さすがにかわいそすぎたので、

"プログラムの方に関しては完全に門外漢なのでアドバイスは出来ないですが、まずはユーザーがアクセスする可能性のある、認証が必要なAPI全てに対して認証なしでアクセスできないかどうかや、不正なリクエストをされても弾けるように厳密な検証をする、また不正なアクセスを後々確認できるようにログ回収してはいかがでしょうか。"

と返信しておきました♥