Esto sucede, simplemente porque los sistemas (el 99%, o más) están mal diseñados.

Un site, no debe guardar (JAMÁS) contraseñas, entre otras cosas, porque no las necesita, solo debe guardar la 'prueba de la contraseña', esto es, el HASH de la contraseña. Así aunque alguien encuentre un hash, no es suficiente para acceder al site, necesita además, como mínimo una contraseña que cuadre en ese hash, así sea una resultado de una colisión. Por tanto, obtener tal hash, no soluciona prácticamente nada, todavía habría que nadar en el laberinto de posibilidades para encontrar una colisión. Lo que en la práctica, podría (en muchas ocasiones, aunque difícil de saber) dar tiempo a que el site, se enterara de haber sido hackeado y avisar a los usuarios... dando así tiempo (muchísimo más tiempo, comparado a obtener contraseñas en texto plano), a cambiarlas sin más problemas...

...y para ser más seguro, el site debiera guardar, no un hash, si no dos, procedentes de hashear la misma contraseña pero con dos algoritmos distintos, así la colisión conduce prácticamente a la nulidad (la posibilidad real es el producto de todas als posibilidades de cada método, esto, si son de la misma longitud, la posibilidad de colisión es la raíz cuadrada de uno solo de los algoritmos). Esto prácticamente aseguraría, que aunque alguien si hiciera con el hash (que guarde el site) de tu contraseña, no le bastaría con encontrar una colisión, pués fallaría igualando el hash para el otro algoritmo... lo que supone elevar el tiempo de búsqueda de la clave, esto, es...en la práctica, supondría usar fuerza bruta, exactamente igual que si no se dispusiese de dicho Hash...