Cool alors ils vont aussi taper sur les autres SFR, Doctolib, certains services de l'état, etc.

Tout dépendra du mode de pénétration frauduleuse sur les sites... Si c'est aussi trivial que Free, cela devrait "cogner" de la même façon...
Par contre, si c'est une utilisation d'une faille logicielle, c'est autre chose. Mais il est possible que cela tape aussi, dans la mesure où la faille logicielle pouvait être connue, et pas corrigée.

J'ignore comment Free gère ces adresses mails mais le maintien d'une adresse mail lors du départ d'un client est source d'ambigüités.

* certes ce maintien "à vie", permet à Free de "rendre service" au client malgré son départ et de garder un lien avec lui

* cela permet aussi à Free de ne pas trop se pré-occuper de la purge des données clients

* mais avec une ambigüité vis à vis du client : certains clients gardent, par commodité (c'est gratuit !) , l'usage de cette adresse. Mais au moindre problème, ils découvrent que cette adresse a été maintenue en dehors de tout cadre contractuel ....et donc que Free ne leur doit rien du tout en terme de SAV

* les données non strictement nécessaires à l'usage du mail ont elles été purgées ? Je n'en sais rien mais je soupçonne qu'avant les obligations RGPD, Free n'est guère investi pour faire le ménage et que l'arrivée du RGPD n'a pas provoqué un ménage rétroactif, de plus en plus délicat à faire avec le temps qui passe.

* mais aussi une ambigüité vis à vis des règlements RGPD :  de nombreux clients en quittant Free font le nécessaire pour également se passer de l'adresse Free et au bout de quelques mois ne s'en servent plus du tout. Ils ont, sans doute,  modérément apprécier de découvrir qu'ils étaient concernés par la fuite de Free pour une adresse qu'ils n'utilisaient pas depuis des années !.  En aucun cas, ils n'avaient données l'autorisation à Free de conserver ces données lors leur résiliation, au delà du délai légal de 6 mois.

Ceux qui ont travaillé sur des SI un peu complexes, un peu anciens, savent que "faire le ménage" des données clients n'est pas simple du tout, couteux voire dangereux (purge de mauvaises données) avec un retour sur investissement nul. C'est l'action de fin de projet ....plus ou moins bien faite ...
Ce n'est pas la partie la plus noble du SI mais le RGPD a rendu cette fonctionnalité incontournable.

Que font les autres FAI sur le traitements des adresses mails en cas de départ client ?  Chacun en fonction de son histoire, de ces choix techniques, de son "sérieux"  a des solutions différentes mais c'est un sujet qui n'amuse pas vraiment les directions informatiques.

Certains Opérateurs, au départ des clients, arrêtent les messageries au bout de x mois de non utilisation  (par exemple un an) et purge les données ( peut-être ?)  au bout de ce laps de temps. La aussi pas mal d'ambigüité que l'on voit sur les forums utilisateurs.

Orange fait bien le ménage mais avec quelques difficultés :
* sur de très anciennes adresses : le client parti depuis longtemps découvre que son adresse qu'il utilise tous les jours ne peut plus être utilisé ....
* sur des adresses plus récentes lors de changement de contrat : le modèle de données (et contractuel) d'Orange rattache l'adresse de messagerie à un contrat fixe.  Le passage à la fibre créé un problème courant : si le client (mal conseillé !) ne fait pas une migration du contrat Adsl vers la fibre mais une résiliation Adsl/ création nouveau contrat fibre, il découvre au bout de 6 mois (délai légal de conservation ancienne adresse) que son ancienne adresse n'est plus accessible. Naturellement, la raison de cette disparition d'adresse (modèle de données) est inintelligible  pour la plupart des clients, pourtant fidèles.
* sur des adresses récentes lors d'un départ de chez Orange :  le client qui utilise son adresse Orange sur des dizaines de site web différents dont certains importants (banques, impôts), prend conscience tardivement que son adresse Orange est en sursis au delà des  6 mois.
Les forums Orange sont plein d'exemples.  Je ne sais si  Orange est exemplaire mais en tout cas Orange "fait le ménage" avec des effets de bord pour les clients les moins attentifs mais c'est le prix de la sécurité. Et il n'y pas d'ambigüité aujourd'hui sur la règle fondamentale : résiliation contrat fixe, délai légal de 6 mois d'utilisation de la messagerie et au delà adresse en sursis et les programmes de purge agissent.

Vu le montant de l'amende, Free n'a pas du vraiment convaincre la CNIL qu'il faisait tous les efforts pour purger les données non nécessaires. Ce n'est pas la fuite qui explique le montant de l'amende ( quoique le volume de clients concernés interpelle) mais l'absence de mesures préventives pour appliquer le RGPD correctement.