Es gibt zwei Stufen kompromittierter Accounts:
Zum einen sind das Kombinationen aus Website, Benutzername und Passwort - wenn ein Account also z.B. durch Phishing direkt in die Hände Dritter fällt. Wenn es soweit ist, dann ist es eigentlich schon zu spät.
Zum anderen sind das Passwörter, die auf Listen stehen. SoSci Survey testet gegen solche Listen, damit Sie gar nicht erst nicht in die o.g. Situation kommen. Das heißt: Wenn Ihr Passwort auf so einer Liste steht (auch ohne Ihren Benutzernamen), dann akzeptiert SoSci Survey es nicht mehr. Wenn jemand Benutzerkonten auf www.soscisurvey.de knacken wollte, wären solche Liste nämlich das erste, was man durchprobieren würde.
Mit anderen Worten: Auch wenn noch niemand im Besitz Ihres Logins ist, verweigert SoSci Survey prophylaktisch dennoch Passwörter, die unsicher sind.
ob ich irgendeine Möglichkeit habe, nachzuvollziehen, ob ggfs. Daten abgeflossen sind?
Sie können in den Projekt-Einstellungen in dem Karteireiter "Ereignisprotokoll (Logfile)" nachsehen, wann Daten herunterladen wurden und von welcher IP-Adresse aus. Die IP-Adresse wiederum gibt einen Hinweis darauf, aus welcher geografischen Gegend der Zugriff erfolgte.
Alleine die Meldung, dass Sie ein kompromittiertes Passwort verwenden, ist aber noch kein Hinweis darauf, dass Daten abgeflossen wären.