В чем дыра? Что значит не могут выложить в интернет архив с каталогом /storage/sdcard? Доступ к /sdcard дается по пермишену READ_EXTERNAL_STORAGE. Есть пермишен значит можно читать все что угодно от туда и выкладывать в интернет если захочется. Все секьюрные данные хранятся во внутренней памяти приложений, в /data/data//. Какие секьюрные данные вы обнаружили на sdcard? Какие БД или shared_preferences может с токенами авторизации? Фото и видео невозможно хранить во внутренней памяти потому что она быстро забьется, а так же к ним не будет доступа для других приложений типа галерей.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.