Добро пожаловать в клуб: очень хорошо что вы так легко отделались,  некоторым не повезло куда больше - были попадания на куда большие суммы.
Что с этим делать? 
1. Привязка к сессии - обязательно https only cookie, без этого - рубим
2. Обязательно несколько шагов и форм, плавающих: вставьте банальное 'мы вас любим' с кнопкой 'продолжить' для каждого 5-10го клиента -  отсечете сразу половину таких колхозных скриптов, без всякой капчи
3. CSRF-токен на каждую форму, генеренные id управляющих элементов - не должно быть способа дернуть отправку заказа или восстановление пароля через один единственный POST-запрос или каким-то очевидным разбором html

Вообщем не должно быть простого способа вас попользовать,  если натянуть вашу систему доставки будет стоить 5 000 долларов - все, вы защищены.