Seu entendimento seria melhor com mais dados, mas por questão de segurança ainda não posso expor todos os detalhes. Você está correto em afirmar que deveriam fazer uma validação (foi como resolveram junto de outras questões de segurança). O token recuperado no endpoint deveria expirar por tempo e uso, e uma verificação do estado da conta (ex: mudou senha) deveria quebrar o token. Como envolve central de contas (conexão entre contas da meta) é mais complexo que lidar com um "jwt". Bugs de segurança como esse são mais comuns do que você imagina, mesmo em bigtchs.