É quase sempre assim... quem é da área e/ou já fez treinamentos de cbersegurança sabe que todo  hack possui é fruto de uma falha explorada do software/hardware, engenharia social ou então participação 'criminosa' de alguém que já está ou estava dentro.

Não deveria ser, mas muitas empresas ainda hoje não possuem procedimentos básicos do que fazer quando um determinado colaborador sai da empresa, alguma sequer sabem tudo oque o usuário tinha acesso.
Já prestei consultoria uma vez em uma empresa do grupo em que trabalhava... desligaram um funcionário do suporte, mudaram as senhas pessoasi deles mas esqueceram de trocar as senhas de um servidor de e-mail que dava acesso à TODA troca de mensagens da empresa.
No pior dos casos, as vezes nem se sabe tudo oque o funcionário tinha acesso, e por fezes preferem simplesmente "deixar passar" acreditando na boa-fé do ex-funcionário.

Por sorte, percebi que quando muitas empresas precisar se adequar à LGPD, elas foram forçadas à fazer um levantamento correto dessas informações e elaborar um manual básico de procedimentos de segurança. Mas ainda assim fica a dica... não confiem seus dados pessoais e dinheiro à nenhuma empresa... vocês nunca sabem quem é o fulano mal intencionado que está do outro lado do servidor.