Хорошо, что у них есть такая функция.
Если в уведомительном письме будет ссылка для аутентификации, которая не завершит удаление старого адреса, пока на неё не нажмут, это может помочь, если только учётные записи электронной почты не скомпрометированы.
Приостановка аккаунта кажется хорошим первым шагом, а также отправка ручного письма на старый адрес, чтобы уведомить пользователя и убедиться, что вы общаетесь с законным владельцем аккаунта, а не со спамером, прежде чем снять приостановку (после удаления нового поддельного адреса электронной почты).
Мне самому не приходилось сталкиваться с такой ситуацией, надеюсь, появятся более полезные советы. Если почтовый клиент скомпрометирован, возможно, ничего нельзя сделать, пока это не будет исправлено, если у вас нет другого способа связаться с владельцами аккаунтов. Вы можете опубликовать публичные сообщения на своём сайте, предупреждая участников о происходящем.