Безопасность сводится к минимизации риска. Сказав вам сменить пароль после атаки, они гарантируют, что сделали все возможное, чтобы обеспечить безопасность системы. Таким образом, вы не сможете вернуться и подать в суд на них за потерю данных после взлома, так как они сказали вам сменить пароль. Например, недавно в результате взлома данных Target несколько банков подали в суд на Target за то, что он не проявил должной осмотрительности и не обеспечил надлежащую защиту системы, что привело к мошенническим обвинениям в случае взлома.(1)
В минимизацию рисков входит осознание того, что всегда есть какой-то новый способ получения данных, например, использование облачной инфраструктуры, такой как Amazon, для проведения атак методом перебора (2). Если у кого-то есть данные, они в конечном итоге выяснят это, и хорошая практика - предположить, что они были нарушены.
В качестве аналогии, скажем, владелец многоквартирного здания украл свой ящик для ключей, но ни один из ключей не был помечен. Никто из арендаторов не станет сомневаться в том, что замки юнитов будут изменены, даже если кому-то понадобится много времени, чтобы взломать юнит, попробовав все ключи. Владелец здания будет нести ответственность, если что-либо будет украдено из квартир, пока они не будут изменены.
Источники:
(1) http://www.reuters.com/article/2014/03/26/us-target-trustwave-lawsuit-idUSBREA2P0B020140326
(2) http://www.infoworld.com/t/data-security/amazon-ec2-enables-brute-force-attacks-the-cheap-148447
