Hay algunas cosas que chirrían un poco, aunque quizás sea que no te hayas explicado bien sea por las prisas o por otra razón...
"Tras diversas filtraciones hay cuentas que se han visto afectadas" ... "se descubrieran cuentas y altas a servicios que se pensaban eliminados" ... "cuentas antiguas que ya no se usaban, la contraseña no se recuerda o los equipos dónde se registraron ya no funcionan" ...
Si son cuentas antiguas, digo yo.... ¿cómo es posible saber que se han visto afectadas...? Es difícil que alguien recuerde la cuenta que tuvo hace x años atrás que ya no usa.
En cualquier caso, cuando una cuenta se quiere cerrar o simplemente abandonar, es más que recomendable antes, eliminar todo el contenido que tenga, por ejemplo caso de un correo electrónico, eliminar todos los mensajes, y cambiar datos personales en la cuenta, para que apunten a algo 'inventado', así si el prestatario de los servicios, a pesar de todo decide conservar (aunque inaccesible) dicha cuenta, cualquier intento fructífero de acceso, revelará que no contiene nada y queda la tranquilidad de que los datos de la cuenta, no revelan nada más el propio alias d ela cuenta ('usuario@proveedor')...
Para recuperar una cuenta, nada mejor que ver de quién era esa cuenta (supuesta una empresa donde varios empleados tiene cada cual su cuenta, etc...).
Cada uno sabe la 'forma precisa' en que crea sus contraseñas y esa es la mejor en poder obtener una contraseña, sabiendo como tal usuario las crea... hay quien juega con los nombres de sus animales, hijos, amigos, jugadores de fútbol, etc... hay quien acostumbra a poner x números a contraseñas simples (que suelen ser la misma y se diferencian solamente en esos 2-4 dígitos).
Por otro lado, que haya habido una filtración y aún así una cuenta eliminada conste ahí, no quiere decir que necesariamente esa cuenta esté accesible a la red... luego aunque alguien poseyera las credenciales de acceso, les pasaría lo mismo que a ti: "hash not found in our database", aunque como digo en el fondo exista, no es accesible, porque es una cuenta fuera de servicio, retirada aunque no hubiera sido borrada.
Me temo que es más que una realidad a grito pelado (casi cualquier administrador (con quien tengas confianza) de una BD de una gran empresa te lo podrá confirmar... yo mismo lo he hecho, porque además esa era una especificación del puesto en la empresa)), pero que nadie (abiertamente) reconoce, que cuando se elimina una cuenta, un usuario de ciertas bases de datos, en realidad esa cuenta, ese usuario simplemente se mueve a otra base de datos inaccesible al exterior... desde fuera ha sido borrado, porque no está accesible, pero 'descansa' en alguna parte, quien sabe por cuanto tiempo.