この手のはどう対処するのが正解なんでしょうね。メールアドレスとパスワード「だけ」の流出なら二段階認証?