Meist liegt es ja dadran

1. selbe eMail / PW noch woanders benutzt z.B. in nem Online Shop der gehackt wurde, oder eben beim eMail Anbieter
2. Paypal Daten auf einer Phishing-Seite die sich als Paypal ausgibt, eingegeben
3. Trojaner oder Keylogger im System.
4. evtl noch dass es ein relativ leicht zu erratendes PW war,was dann mit Hilfe von Skripten/Programmen mit vorhandenen Email Adressen abgelichen wurde, also ein Zufallstreffer dann quasi.