Isso é bom, eles têm esse recurso.
Se o e-mail de notificação puder incluir um link de autenticação que não complete a exclusão do e-mail antigo, a menos que o link seja clicado, isso pode ajudar, a menos que suas contas de e-mail também sejam comprometidas.
Suspender a conta parece um bom primeiro passo, e enviar e-mail manual para o endereço antigo para notificar o usuário e garantir que você está falando com um titular de conta legítimo, não um spammer, antes de liberar a suspensão da conta (após remover o novo e-mail impostor).
Eu mesmo ainda não tive que lidar com essa situação, espero que mais conselhos úteis sejam postados. Se o cliente de e-mail deles foi comprometido, pode não haver nada que você possa fazer até que isso seja resolvido, a menos que você tenha outra maneira de se comunicar com os titulares de contas. Você poderia fazer postagens públicas em seu site alertando os membros sobre o que está acontecendo.