Это было ожидаемо, так как у нас люди относятся к защите информации и тем более к персональным данным........совершенно не удивлен. Пароль по всем правилам должен состоять не менее 8 символов цифро-буквенного состава с использованием верхнего регистра. Сами виноваты :-):-)
Конкретно с данными утечками не все так просто и не до конца ясно, но не все зависело от пароля.
1) Часть учеток одинаковы, но написаны в разном регистре, например user@domain.com и User@domain.com, что косвенно говорит о том что они были добыты с помощью фишинга и кейлоггеров.
2) Владельцы некоторых учеток не использовали их вообще либо только для специфичных целей, стало быть они были слиты в результате другой атаки.
Ну а оставшаяся бОльшая часть учеток уже были вскрыты и использовались для рассылки спама, возможно как раз подбором пароля. Для примера можно посмотреть ТОП-100 использованных паролей
http://pastebin.com/2YTZMaF0, самый распространенный
123456 
Думаю, что в "целом по больнице" ситуация с остальными учетками на многих интернет-сервисах не сильно отличается.
