Excelente observação e ótima pergunta.

Atualmente, todas as chaves de API têm acesso de leitura e gravação aos bancos de dados associados à conta do usuário, e qualquer agente que possua uma chave de API pode emitir com êxito qualquer solicitação desse tipo.

Como você observa, essa chave de acesso muito básica não foi projetada com nenhum tipo de segurança refinada em mente.

No entanto, estamos trabalhando em um lote de novos recursos de segurança da API REST voltados exatamente para isso.

Entre em contato conosco em [email protected] se você estiver interessado em discutir os detalhes.