個人情報が流出する事件が後を絶ちませんが、どうやら不正に入手されたIDやパスワードが大量にブラックマーケットに出回っている兆候が否定できません。そのリストを用いて他のサイトで成りすましてログインに使用する行為をパスワードリスト攻撃あるいはリスト型アカウントハッキングと呼ばれています。

参考「使い回しIDが標的に…流出情報で不正アクセス」
http://www.yomiuri.co.jp/net/security/ryusyutsu/20130204-OYT8T00248.htm?from=tw


会員制サイトを運用していると防御ばかり気になりますが、最悪漏洩したことを想定したリスク設計を行うこと自体がタブーになっている場合があると思われます。なぜならSIerは、開発を担う立場上、漏洩を想定すること自体が提供サービスの質に問題があることを示すことになり、自ら信用を低下させかねないことには触れたがりません。

例えば会員登録性のポータルサイトで会員データが漏えいした場合、パスワードが暗号化されていなかったら、そのID&パスワードを使用して他のサイトで不正が行われるかもしれません。その場合、漏洩元が信用の棄損や損害賠償の責を負わないとは言えません。

このような二次被害を防止するために、パスワードが平文(非暗号化)で保存される仕様の会員サイトがありましたら、せめてパスワードだけでも暗号化する改修を行うことを推奨いたします。

こちらは以前書いたエントリーですが、改修のプロセスを大雑把に記述してありますので、参考にしていただければと思います。
http://blog.shinkaku.co.jp/archives/19808826.html