Короткий awnser ... да ..
GWT компилируется в javascript и запутывает все, что сказано, вся информация доступна из скомпилированного источника, если кто-то знает, что искать. Если кому-то удастся внедрить простой тег сценария в ваше приложение, он может просто получить все сценарии через XMLHttpRequest и проанализировать их как текст. Независимо от того, насколько запутанным, теоретически возможно получить то, что вы хотите, из любого источника javascript. Если вы видите его в необработанном файле сценария, он достижим, не имеет значения, заблокирован ли он в анонимных замыканиях или еще чем-то, любой механизм безопасности JS можно обойти.
Главное условие - получить контроль над страницей (внедрение скрипта).
Процитирую себя: «Я знаю, что у меня не должно быть ничего чувствительного к клиенту с самого начала ...»
Если стоит взломать, люди попробуют.