En teoría con la normativa actual la empresa está obligada a notificar a sus clientes la intrusión.
Por desgracia nunca sabremos si esos datos que fueron extraídos (robados) después fueron vendidos en el mercado negro o se utilizaron para más cosas....
Citar
Las contraseñas para las nuevas cuentas que contengan números, mayúsculas, minúsculas y un mínimo de 12 carácteres.
Una contraseña de 8 caracteres es considerada segura hoy en día, es el mínimo que pide el foro y también Google, pero siempre y cuando tenga mayúsculas, minúsculas, número, caracteres especiales, etc. Mejor utilizar un gestor de contraseñas.
Pero el uso de contraseñas acabará en desuso, una contraseña no es segura, aunque tenga 12 caracteres mínimo, el futuro (presente) es utilizar doble factor de autenticación 2FA, MFA y que no sea vía SMS, mejor una llave de seguridad USB es una buena idea.