Есть общие ошибки, которые делают люди, и есть общие платформы, которые люди используют. Каждый, если его оставить не исправленным, позволит кому-то взломать его с помощью простого скрипта.
Но если бы кто-то занимался чем-то конкретным, в данном случае номерами социального страхования, которые имеют большое значение в кольцах организованной преступности, я бы ожидал, что кто-то потратит немного больше времени на то, чтобы выяснить, как работает сайт, и применить пользовательский эксплойт чтобы получить данные.
Я тоже не понимаю, почему это должен быть XSS. Если их системы не отправляли журналы доступа вне сервера или даже регистрировали каждую точку входа, существует множество способов, которыми кто-то может использовать эксплуатируемый сервер и впоследствии очистить его.