Ich bin, anders als der Artikel, der Meinung, dass die Entwickler unverantwortlich sind.
1. dürften solche Anwendungen nicht über einen unverschlüsselten Port erreichbar sein. es gibt überhaupt keinen Grund, auch ohne Freigabe ins Internet, dass solche Anwendungen noch so läuft.
2. Dürften solche Anwendungen, wenn sie denn per HTTPS bereitgestellt werden, nur laufen, wenn eine ordentliche Authentifizierung verwendet wird.
Es gibt genügend Frameworks, mit denen man dieses realisieren kann, und so sollte, wenn solche in Framework nicht verwendet wird, die Anwendung nicht per HTTP laufen.
Und das nicht zu machen, ist ein eklatanter Mangel, der den Einsatz solcher Software zu einer Straftat werden lässt.
(so meine Meinung)