Riferendomi all'articolo del data breach aggiungo che è assurdo che mantengano le password in chiaro. Il minimo è salvare l'hash+salt della password per successiva verifica.