Glassdoor probabilmente sta facendo in modo proattivo esattamente ciò che fanno i cattivi, per intercettare preventivamente il riutilizzo della password e proteggere il tuo account.
Le password di altri siti compromessi sono a volte pubblicamente trapelate (in una forma di testo in chiaro o in un modulo che è debolmente immagazzinato e facilmente violato). Sembra che Glassdoor abbia esaminato tali perdite e ne abbia correlato almeno una con il tuo account (probabilmente cercando il tuo indirizzo email in quelle perdite, quindi controllando se la password in quella perdita corrisponde alla tua password di Glassdoor).
Di solito, puoi usare un sito come Sono stato pwned per verificare quali perdite (se ce ne sono) hanno contenuto l'indirizzo e-mail che usi con Glassdoor. Ma sembra che non sia il caso, quindi Glassdoor potrebbe aver acquisito una perdita che non è ancora presente su HIBP.
Inoltre, poiché HIBP non fornisce le password stesse, l'unico modo in cui Glassdoor potrebbe farlo è se hanno ottenuto direttamente le perdite pubbliche e hanno eseguito la correlazione. Come ha detto Anders, è possibile che l'abbiano acquistato direttamente o da un'altra fonte.
Al valore nominale, Glassdoor sta facendo una buona cosa qui. I cattivi attori sanno che gli utenti spesso condividono la stessa password su tutti i siti, quindi scaricano la fuga pubblica e quindi provano le combinazioni email / password su altri siti comuni. Glassdoor sta contrastando proattivamente questo. Questo è positivo per la sicurezza dell'utente e un buon segno che sanno cosa stanno facendo.