・BEではデータベースは利用されていません。idlist.log(Mail<->BEID)のあれがDB代わりです。ロックなんてあるわけ無いです
・設定ファイルらしきものはありますが、パスワードHASHの共通鍵はハードコーディング(100箇所ほど)です
・メール送信プログラムとか呼ばれてるけどそのパスワードもハード(ry
・DM機能ももちろんデータベースなしです。
・メロンポイントの購入ログも暗号化すらされず普通に保存です
・クラッカーはサーバにrootを持っている可能性もあります。
・浪人も同一作者なのであとはお察し