Yer..tapi macam x logik jugak sebab bila request password, link comfirmation tu akan bawa balik ke hosting dan TT akan tukar password melalui hosting..
Maksud saya disini, dia tak dapat tgk password baru TT dalam email tu melainkan dia tukar password tu melalui cara yang sama..
Kemungkinan lain mungkin dia bruteforce hosting TT..caranya gunakan gabungan seberapa banyak simbol dan aksara besar kecik untuk password TT..
Cara tu memang berkesan sebab kebanyakan dictinary bruteforce yang ada sekarang (yg biasa digunakan hackers) hanya melibatkan huruf dan number sahaja..
Lain2 penyebab saya rasa x mungkin
betul juga tu.sy gunakan gmail jd setiap kali nak buka email kena masukkan kod yg dihantar ke smartphone.2 step verification