Это правильный ответ JSON?

Здравствуйте, гуру,

Я вызываю REST API корпоративного приложения, которое должно оставаться безымянным, и они возвращают JSON, например, следующий:

throw 'allowIllegalResourceCall is false.';
{
  "data": ... loads of valid JSON stuff here ...
}

Это действительно действительный JSON? Если (как я подозреваю) это не так, есть ли веские причины для подобных махинаций?

Ответ, который я получил от поставщика приложения, заключается в том, что это делается в целях безопасности, но я Я изо всех сил пытаюсь понять, как это может значительно улучшить безопасность, если вообще.

Заранее спасибо!

Питер