C’est bien qu’ils aient cette fonctionnalité.
Si l’e-mail de notification peut inclure un lien d’authentification qui n’achèvera pas la suppression des anciens e-mails à moins que le lien ne soit cliqué, cela pourrait aider, à moins que leurs comptes de messagerie ne soient également compromis.
Suspendre le compte semble être une bonne première étape, et envoyer un e-mail manuel à l’ancienne adresse pour informer l’utilisateur et s’assurer que vous parlez à un titulaire de compte légitime et non à un spammeur avant de lever la suspension du compte (après avoir supprimé le nouvel e-mail imposteur).
Je n’ai pas eu à gérer cette situation moi-même, j’espère que d’autres conseils plus utiles seront publiés. Si leur client de messagerie a été compromis, il se peut que vous ne puissiez rien faire jusqu’à ce que cela soit résolu, à moins que vous n’ayez un autre moyen de communiquer avec les titulaires de compte. Vous pourriez faire des publications publiques sur votre site pour avertir les membres de ce qui se passe.