Особенно если вы используете поле из коллекции Meteor.users для того чтобы идентифицировать пользовательские права. Дело в том что из коробки у пользователя есть возможность изменять значение полей своего документа, и недоброжелатель может сам наделить себя правами.
Запрещайте перезапись полей коллекцииц Meteor.users:
import {Meteor} from 'meteor/meteor'
Meteor.startup(() => {
Meteor.users.deny({
update: () => true
})
})