Anonymous Coward曰く、

カーネギーメロン大学CyLabセキュリティ＆プライヴァシー研究所の研究者らによる調査で、サービスがサイバー攻撃を受けて個人情報が流出した場合、そのサービスの利用者でパスワードを変更するのは3分の1程度だということが分かった（ZDNet、Bank Info Security、Slashdot）。この調査はIEEE 2020 Workshop on Technology and Consumer Protectionで発表されたもので、実際のブラウザトラフィックを元に算出されたものだという。

研究に使用されたデータセットには、参加者249人のホームコンピュータから収集された情報が含まれている。データの収集期間は2017年1月から2018年12月までで、この期間中にYahoo、Disqus、MyFitnessPal、Deloitteなど影響を与えるデータ震害が発生している。収集されたデータには、Webトラフィックだけでなく、Webサイトへのログインに使用されているブラウザ内保存パスワードも含まれるという。

249人のユーザーのうち、収集期間中に利用しているサービスでデータの漏洩があったと判明したのは63人。その63人のユーザーのうち21人（33％）がパスワードの変更のため漏洩のあったサイトに再アクセスした。なお、データ漏洩の発表があってから3か月以内にパスワードを変更したのは15人のユーザーだけだった。 また、漏洩が発生したサービスと同じパスワードを使っているサービスは平均で30近くあったことも分かったとしている。