Ich bin mir (fast) sicher >90% aller „pwned“ Passwörter, inkl. meiner eigenen, stammen aus irgend welchen Online Shops die auf irgend einem völlig veralteten cPanel laufen deren Hoster $0.00 für Data Security ausgeben, Hauptsache Dumping Preise, 1€ Webshop, etc. pp 
Als Kunde kannst du da garnichts machen ausser Throwaway Mail Alias und Einmal Passwort aus dem Passwort-Safe, egal wie nervig es auch sein mag.
Denn die Frage ist nicht ob es einen selbst erwischt sondern nur wann…