Bon, ils sont transparents et communiquent ouvertement sur l'incident, c'est bien. Après, les mots de passe étant hashés (et non chiffrés PCI !) en SHA-512, ça limite très grandement le risque ! J'imagine qu'ils utilisent un sel.
Au moins, il ne s'agit pas d'une faille triviale et les mots de passe ne sont pas enregistrés en clair.