Yazılımcı olarak söyliyeyim kartlar üzerindeki barkodlar kısaca numaralar vardır cihaz bu serial numaraya yüklenen tutarı (pos cihazından) 4G LTE işlemiyle sunucuya yazdırır (servera post edilir) server yüklenilen tutar neyse onu sorgulamak için her ekrana gösterildiğinde ortalama 10 ms (ping) ile check eder SQL olarak sorgu gönderir ve veritabanında bakiye sütününda tutar mevcutsa -ye düşer böylece işlem tamamlanmış olur hacklemek için;

- Serverin ip adresini bilmeniz gerek bunun için posların haberleştiği ağı yada okutulan cihazın hangi sorgularla hangi iplere post attığını görmek gerek
- Serverin işletim sistemini nmap benzeri programlarla taratarak ifşalamak gerekir
- Serverin açığını ve kullanılan versiyona uygun portlar taratılıp solucan sokulması için debug edilir
- En önemli nokta ve kısa method sistemleri durdurmak için DNS yada AMP saldırısı düzenlenir ve eğer cloud sistem değil ise basit bir şekilde tüm otobüsler/yada araçların o an kartı okuyamama ve bakiyeleri teyit edememesi sağlanarak hizmet aksatılır buna kısaca Ddos diyoruz

Daha metodları var ama her method bazı kötü kişilerin eline geçebilir.
Eski bir siber güvenlik uzmanı olarak tecrübelerimin sadece kelime bulmuş hali