Segurança é minimizar o risco. Ao dizer-lhe para alterar sua senha após um ataque, eles estão garantindo que fizeram a devida diligência em proteger novamente o sistema. Dessa forma, você não poderá voltar e processá-los por perda de dados após a violação, já que eles lhe disseram para alterar sua senha. Por exemplo, na violação de dados do Target recentemente, havia vários bancos que processaram a Target por não realizarem due diligence e não protegerem o sistema adequadamente, causando cobranças fraudulentas quando eles foram hackeados. (1)
Incluído na minimização do risco está a percepção de que há sempre uma nova maneira de obter dados, como usar a infraestrutura de nuvem, como a Amazon, para executar ataques de força bruta (2). Se alguém tiver os dados, eles eventualmente descobrirão, e a boa prática é presumir que foi violada.
Como uma analogia, digamos que o proprietário de um prédio com várias unidades tenha roubado sua caixa de chaves, mas nenhuma das chaves foi rotulada. Nenhum inquilino questionaria se as fechaduras das unidades mudaram, mesmo que demorasse muito tempo para alguém entrar em uma unidade tentando todas as chaves. O proprietário do prédio seria responsabilizado se algo fosse roubado dos apartamentos até que eles fossem trocados.
Fontes:
(1) link
(2) link