дыры в первую очередь в головах у людей. и если в качестве пароля используют "123456", или в качестве контрольного вопроса свою фамилию, то никакие дыры в системе не нужны.
я уж не говорю о случаях, когда люди сами присылают свой пароль в ответ на запрос якобы службы поддержки.
для взломов social engineering как правило рулит гораздо больше, чем поиск дырок в софте.
так что ваше предложение о взломе какого-то абстрактного ящика мягко говоря некорректно. ломаться должен не какой попало ящик, а комплексная система "ящик - комп юзера - человек".