Posso ter entendido errado o bug, mas como pode uma bigtech, com diversos funcionários, metodologias ágeis e diversos processos ter um problema de segurança como esse?
Com certeza esse dado criptografado ai deve ser um id apenas do usuário para fazer a construção da session dele depois, em uma empresa cheia de processos como ninguém olhou e pensou que isso pode ficar sucetivel a comportamentos inesperados como o de troca de senha e tals.
De novo, posso estar errado, mas acessos como esse deveriam ser validados não dessa forma mas sim com uma tabela preparada para conter os registros de quando a pessoa fez a solicitação do login e um tempo limite para a validade disso.
Seu entendimento seria melhor com mais dados, mas por questão de segurança ainda não posso expor todos os detalhes. Você está correto em afirmar que deveriam fazer uma validação (foi como resolveram junto de outras questões de segurança). O token recuperado no endpoint deveria expirar por tempo e uso, e uma verificação do estado da conta (ex: mudou senha) deveria quebrar o token. Como envolve central de contas (conexão entre contas da meta) é mais complexo que lidar com um "jwt". Bugs de segurança como esse são mais comuns do que você imagina, mesmo em bigtchs.