Znači ni oni nisu enkriptirali osjetljive kolone u bazi podataka. Tko nije enkriptir'o - hakiran je bio!
Nije dovoljno "na disku" imati kriptirano, nego baš na razini kolone npr broj kreditne kartice, SSN, password itd.
Makar nerijetko vidim i aplikacije koje se na bazu spajaju hardkodiranim usernameom i passwordom, i to "SA" (sysadmin) da bude najbolje.
Ako ste se prepoznali, čimčim prije - nagovorite dev-ove da stave konfigurabilni account s kojim se aplikacija spaja na bazu. Za početak.