Solucionado un breach de seguridad. Ahora las requests solo pueden

manipular los modelos con el user_id asociado al Token de autorizacion.
Anteriormente se podia para toda request que no sea GET.

app/api/permissions.py

@@ -11,8 +11,7 @@ class IsOmixomUser(permissions.BasePermission):
         token = request.META.get('HTTP_AUTHORIZATION')
         response = get_user_id(token)
         if response:
-            request.GET._mutable = True
-            request.GET['user_id'] = response.json()["user_id"]
+            request.data["user_id"] = response.json()["user_id"]
             return response.status_code == 200
         else:
             return False

app/api/views.py

@@ -11,6 +11,6 @@ class ProgrammedReportViewSet(viewsets.ModelViewSet):
 
     # Solo se devuelven los modelos para el user_id asociado al token. (Ver IsOmixomUser)
     def get_queryset(self):
-        user_id = self.request.GET.get("user_id")
+        user_id = self.request.data["user_id"]
         qs = ProgrammedReport.objects.filter(user_id=user_id)
         return qs