Используйте TLS, храните API-ключи приватно и отправляйте abuse/security обращения на опубликованный контакт.