./1675 c'est vrai sur la partie récupération des données, mais pas sur la partie création de compte admins. En effet apparemment l'API était publique et l'accès aux données se faisait via des ID incrémentaux et non aléatoires. Le compte twitter donk_enby détaille tout ça.
EDIT: Ars Technica vient de publier un article sur le sujet qui résume bien tout: