Ont peu payer en BTC ? 

Pas de hack de serveur, c'est du script kiddie qui récupère une combolist (mail+mdp) trouvée sur le net, qui la teste sur différents sites ayant des récompenses fidélités (mcdo, brioche dorée, ...) via un outil qui automatise ça (associé à une liste de proxy pour pas se faire ban son IP) et qui revend les comptes intéressants 2-3€ via un banal shopify ou autre.
Vu que plein de monde a le même mdp de partout, dès qu'un site est hacké leur compte devient accessible de partout.

La même technique permet de récupérer des comptes netflix, c+, spotify, ... qui eux ont plus de valeurs (ce qui attire plus de monde donc plus dur de trouver quelque chose à revendre) et cela pousse à l'adoption de la double authentification (pour bloquer ces techniques)

Et pour un ado, vendre quelques dizaines de comptes comme ça, c'est du rab d'argent de poche (et au final peu de risque de se faire prendre vu les sommes en jeu)

J'utilise keepass 2

J'ai effectivement des mots de passe sur des palanquées de sites, et le couple identifiant mot de passe n'est jamais le même...
Ce qui fait que lorsqu'un site est compromis, un seul mot de passe à changer...
J'utilise tout bêtement un truc appelé keepass, et c'est ce soft qui a généré les mots de passe, et je n'ai qu'un seul mot de passe d'entrée dans keepass à me souvenir, même si ce dernier est peu compliqué.
La base de mots de passe est propagée sur mon phone et mes machines locales à chaque fois que je modifie un mot de passe de site sur keepass, et rien n'est stocké sur le cloud!
En passant Keepass est un truc qui n'a pas été "jeté" par l'ANSSI... Sans être une garantie absolue, c'est déjà positif. Et le truc est très fréquemment mis à jour.
On peut éventuellement coupler keepass grâce à des plugins sur Chrome ou Firefox, si l'on est un peu flemmard...

KeePass disputes vulnerability allowing stealthy password theft
By Sergiu Gatlan January 30, 2023

...
The development team behind the open-source password management software KeePass is disputing what is described as a newly found vulnerability that allows attackers to stealthily export the entire database in plain text.

KeePass is a very popular open-source password manager that allows you to manage your passwords using a locally stored database, rather than a cloud-hosted one, such as LastPass or Bitwarden.

To secure these local databases, users can encrypt them using a master password so that malware or a threat actor can't just steal the database and automatically gain access to the passwords stored within it.

The new vulnerability is now tracked as CVE-2023-24055, and it enables threat actors with write access to a target's system to alter the KeePass XML configuration file and inject a malicious trigger that would export the database, including all usernames and passwords in cleartext.

The next time the target launches KeePass and enters the master password to open and decrypt the database, the export rule will be triggered, and the contents of the database will be saved to a file the attackers can later exfiltrate to a system under their control.