Темы FCM не являются "безопасными". Любой может подписаться на них. Вам не следует распространять конфиденциальные данные по теме.
Если вы хотите отправлять конфиденциальные данные только определенным пользователям, вам следует использовать токены устройств для прямой отправки сообщений. Или это, или примите тот факт, что любой клиент может «прослушать» тему, если он просто знает название темы и конфигурацию вашего проекта (который по сути является общедоступным, поскольку он запекается в вашем приложении во время сборки).