Como ficamos quanto a segurança ao utilizar o Spring actuator ? Pois ali pelo que foi mostrado você simplesmente adicionou o starter e deixou ele aberto, ou seja, qualquer um poderia entrar no /health ou em algum outro path e ver informações sensíveis da nossa aplicação
abs
Na documentação, diz que só o /health e o /info ficam habilitados.
Se você configurou um WebSecurityConfigurerAdapter (o que é o comum), você mesmo tem que defiinir as regras.
Dá pra colocar no application.properties:
management.endpoints.web.base-path=/actuatorE aí, criar uma regra do Spring Security para o /actuator