Giusto per chiarire, SHA256 è un hash unidirezionale, non una crittografia. Una volta eseguito l'hash, non può essere ripristinato.
Hai ragione a temere che una password che hai creato (non generata automaticamente dal sito) ti sia stata inviata via email. Detto questo, non sono d'accordo con la tua affermazione:
"If they can, that means that my sensitive information are stored in plain text too."
Solo perché fanno una cosa sbagliata, non significa che stanno facendo anche le cose sbagliate. Allo stesso modo, solo perché un altro sito memorizza correttamente le password, non significa che non stiano commettendo altri errori. In altre parole, non puoi mai fidarti veramente di qualsiasi sito se non sai esattamente come funziona dietro le quinte.
In realtà l'unica cosa che sai per certo, è che ti stanno inviando via email la password che hai creato quando ti sei registrato. Questa è una cattiva pratica, ma non significa necessariamente niente di più. È possibile che invii l'e-mail nel momento in cui ti registri, poi esegui l'hashing della tua password con SHA256 come rivendicano, e magari usi i metodi appropriati di archiviazione anche per le informazioni di pagamento (o non memorizzi affatto le informazioni di pagamento sui loro server). / p>
La prima cosa che raccomando sarebbe cambiare la password su quel sito. È possibile che l'email che hai ricevuto contenente la tua password si verifichi solo al momento della registrazione. Potrebbero non inviarti un'e-mail ogni volta che cambi la tua password, e in caso contrario, e se ritieni che siano sinceri che stiano tagliando la tua password, allora probabilmente starai bene da allora.
Come ulteriore precauzione, se la password che hai utilizzato inizialmente è utilizzata anche dagli account che hai su altri siti web, ti consiglio di cambiarli. (Questo è il motivo per cui è buona norma usare una password diversa su ogni sito che usi.)
Modifica: come nota a margine, ti consiglierei di contattare il sito e far loro sapere che sei preoccupato per loro mandandoti un'email con la password che hai inserito. Forse anche collegarli direttamente a questa domanda come un buon riferimento. Speriamo che tu possa convincerli a cambiare il loro processo.