Quanto ás passwords eles so conseguiram sacar o HASH das passwords, esse HASH está em MD5 que é uma encriptação de uma só via, esta versão do vBulletin utiliza um "salt" diferente por utilizador para a encriptação das passwords por isso é pouco provável que descubram as palavras passe dos utilizadores.
What?
Ex: senha é "brasil".
Para gravar no banco de dados é feita a conversão de "brasil" acrescentando um "salt", p. ex "989xbp". Cria-se a string "brasil989xbp" que através de uma função MD5 transforma em algo como "8b23bdsinfoETi9202022". Esta última informação é gravada no banco de dados sendo impossível reverter tal informação.
O sistema checa as senhas utilizadas no banco de dados através da conversão do MD5 gerado pela senha inserida nos formulários. Ou seja, mesmo que alguém acesse diretamente o banco de dados, não será capaz de ler as senhas dos usuários pois elas não estão gravadas assim como são escritas.
Risco: o usuário saber o "salt" e pegar um dicionário de palavras e ficar criando várias combinações palavra -> MD5. Assim ele poderá descobrir alguns senhas que utilizam de palavras simples da língua.