Certo che potevano, ma potevano anche semplicemente mandare email ogni volta che cambiate la vostra password.
Ora, a seconda del tipo di sistema, ci sono un sacco di regolamenti, verifiche, revisioni e processi che potrebbero essere rilevanti per garantire che gli sviluppatori non lo facciano, o molti altri tipi di attività dannose. Tuttavia, tu, come consumatore, di solito non hai molte informazioni in proposito, tranne nel caso in cui non funzioni, ad esempio se ti inviano una e-mail con la tua password originale quando chiedi di ripristinarla.
Ma stai facendo la domanda sbagliata qui.
Sì, è importante che qualunque sistema tu usi sia sviluppato in modo sicuro, ma questo non rimuoverà mai l'elemento di fiducia implicita che avrai sempre nel sistema stesso e, in questo contesto, gli sviluppatori sono equivalenti al sistema stesso.
La vera domanda che dovresti porre - e in effetti sembra che tu stia insinuando - è come proteggere i tuoi altri account, su altri sistemi, da uno sviluppatore malevolo o da un sistema .
La risposta è semplice, davvero: usa una password diversa per ogni sistema.
Consentitemi di ripeterlo, per dare enfasi:
NEVER REUSE PASSWORDS ON DIFFERENT SYSTEMS.
Crea una password univoca (strong, casuale, ecc.) per ogni sito e non immetti mai la password per SitoA su Sito B.
Perché come hai notato intuitivamente, se SiteB ha la tua password per SiteA in qualsiasi forma, allora quella password non è più protetta da SiteB.
Solo per divertimenti, ecco un xkcd su questo :
Un'ultima nota, se stai iniziando a preoccuparti "Come diamine, ricorderò una password sicura indipendentemente per ogni sito diverso ?? !!?" - Dai un'occhiata a questa domanda qui sui passphrase , e guarda anche ai gestori di password (ad es. Password Safe, Keepass, LastPass, 1Pass, ecc.).