Havia validação, mas nesse endpoint em específico deixaram passar. De fato, poderia gerar um escândalo de vazamento de dados enorme.
Respondendo a "Caramba, que doideira! Sem nenhuma validação! I..." dentro da publicação Hackeei minha universidade e obtive acesso aos dados de todos os alunos
1