Так пароль есть смысл менять или нет? Просто если они дыру не закрыли то смысла, меняй не меняй а все равно дыра и могут влезть снова
По-идее, пароли не должны храниться в явном виде. Если утекли API, они сами их сбросят, как было в прошлый раз.
Вот 2FA не знаю можно ли увести или нет со стороны сервера. Наверное, возможно.