La definición literal de hack es entrar a un sistema de un tercero sin permiso y es lo que ha sucedido. Que simplemente han hecho un POST usando el objeto XmlHttpRequest o hayan hecho otra cosa es irrelevante, sigue siendo un hack (más fácil pero hack). Es como cuando dejan bases de datos elasticsearch o mongodb o similar accesibles desde internet y acaban volcando toda la información... ahí directamente no tienen nada que hacer y sigue siendo un hack (y habría que despedir a unos cuantos en casos así)