So als denkanstoß:
EF Password muss im klartext sein sonst könnte sich das script ja nicht mit deinem pw im ef einloggen und die lose der user transferieren.

Ist das Passwort im md5 hash (o.ä.) ist es für das script unbrauchbar, ist es in einem zurückverfolgbaren hash gespeichert d.h. man kann ihn wieder ins klare umwandeln, bringt es eigentlich auch nichts da, wenn sich ein hacker die mühe macht eine seite zu hacken stören die 5 min für das pw knacken auch nicht.
---------------
Die frage bei dir ist nun, wie kommt er den an die PW's, ist er direkt in die DB reingekommen (wenn ja, wei kommt er an das pw, keylogger?) oder hat eine lücke ausgenutzt wodurch er dies auslesen konnte ?