Jenže k té schránce (pokud je stále ještě aktivní) má přece přístup i majitel. Takže je tou změnou hesla varován a může podniknout nějaké kroky k obraně.

Ale majitel do běžné internetové schránky nechodí každou chvilku. Jsou lidé, kteří se tam kouknou jednou denně večer nebo ani to ne. Ne každý má nastaveného klienta, který mu maily stahuje na počítač.
Takže je spousta času na to, si nechat vyžádat změnu hesla, ten mail po sobě smazat a pak jej smáznout i z koše. A majitel neví, že k nějaké žádosti a následné změně hesla došlo.

Podle mě je problém hlavně v tom, že ten server (správce) dopustil, aby se mu někdo cizí hrabal nekontrolovaně v útrobách.

To mohla být třeba nějaká chyba redakčního systému, který používá. Za to pak majitel přímo nemůže. Může za to, aby udržoval systém aktuální a nenechával tam staré děravé verze.