なんでも JSONP で取れるので、どこかでベーシック認証通していると、認証ダイアログも出ずに DM のぶっこ抜きなんかが出来てしまったりする。

DM を JSONP で取得するデモ(ソース見て貰えればわかるけど、サーバサイドにデータ送ったりしてません)

• http://kaz.july.7.googlepages.com/twitter_dm_jsonp.html

まあ予想通りといえば予想通りだけど　DM なんかが JSONP できるのはちょっと問題なんじゃないかなと思う。
最初から一貫して、セキュリティなどに関しては twitter はあてに出来ないのは何も変わっていないので protected や DM なんかで、公開されたら不味い情報のやりとりをしているような人は気をつけた方が良いでしょう。