Часто такие простые пароли в JWT — это знак, что где-то явно недоделали или просто для теста оставили. С загрузкой файлов вообще надо внимательней смотреть, иногда мелочь, которую не замечаешь, оказывается дыркой. В таких задачах главное — не упускать самых базовых проверок, иначе легко проскакивает.