Wenn anzunehmen ist, dass Accountinhaber abc seine Anmeldedaten an xyz weitergibt, also auch das Passwort, kannst du eigentlich nur mit Sperren der beiden Accounts reagieren.

Ich würde dann den ursprünglich berechtigten Nutzer sperren, der für den Service bezahlt hat. Ich möchte eigentlich erreichen, dass auch der unberechtigte Nutzer für den Service bezahlt.

Wie soll das gehen? Dass ein Nutzer erst die eigene Kennung verwendet und dann per Reverse Engineering in die Kennung eines anderen, ihm bekannten Nutzers, wechselt, dürfte ein extrem unwahrscheinliches Vorgehen sein. Wenn ich eine eigene Kennung eines Dienstes habe, und eine alternative Kennung, die mehr anbietet, dann melde ich mich, wenn ich diese Mehrleistung erreichen will, nicht unter meiner eigenen Kennung an, sondern unter der anderen.

Du kriegst also gar nicht mit, dass ich nicht für die Leistung bezahlt habe. Du versuchst etwas, wogegen es kein automatisierbares Mittel gibt: Multiaccountnutzung zu verhindern. Und das auch noch mit extrem eingeschränkten Mitteln, nämlich ausschließlich mit Javascript und PHP von einem Drittserver.

Ich habe schon dafür gesorgt, dass die Routinen nicht im Cache sind und auch sofort nach Verwendung wieder gelöscht werden (im DOM).

Du machst dir etwas vor. Wenn ein Server Inhalte per HTTP ausliefert, kann man diese Inhalte auch speichern. Man benutzt einfach nur keinen Browser, sondern Tools wie cURL.

Und da du die Freundlichkeit hast, Javascript zu verwenden, ist es problemlos möglich, zu erkennen, was genau du da machst, um die "geheimen Inhalte" nachzuladen. Das nachzukonstruieren dürfte ebenfalls problemlos machbar sein. Im Prinzip braucht man nur an der Netzwerkleitung zu lauschen, welche HTTP-Requests denn ausgeführt werden - dein wie auch immer kompliziertes Javascript interessiert da nicht die Bohne, man wartet einfach ab, bis der Request nach der zweiten Ressource kommt.

Zwar reicht auch das noch nicht aus, weil der unberechtigte Benutzer auch noch die ursprüngliche Aufruflogik ändern müsste, aber das wäre auf jeden Fall einfacher, als den Code selbst zu entwickeln.

Sorry, aber ich habe für deine Situation kein Verständnis. Es geht um bezahlte Dienste - aber niemand ist bereit, vernünftige technische Voraussetzungen bereitzustellen (aktuelles PHP, alles auf einer Domain). Und dann willst du noch sowas wie "Sicherheit" herstellen - hahaha!