Кража со счета Яндекс.Денег у бесправного анонима

22 марта со счета яндекс.денег со статусом «аноним» я оплатила услуги reg.ru.
23 марта с этого счета были не мной проведены три операции:

1. (расход) был снят весь остаток средств (около 2000 руб) на на телефон МТС (Россия): +7 981 982-38-25;
2. (приход) перевод с неизвестного счета 41001283136778 на сумму 800 руб;
3. (расход) снятие этих 800 руб. на вышеуказанный телефон.

И самое главное — был изменен платежный пароль.

Обратившись в службу поддержки, я получила ответ:

«По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.
Кроме того, Ваш счёт не идентифицирован, поэтому Ваш случай не подпадает под условия закона 161-ФЗ о возмещении ущерба. …»

Далее следовало предложение проверить компьютер на вирусы и трояны, перейти на одноразовые пароли и сообщение о блокировке счета.
Я восстановила платежный пароль, перешла на одноразовые пароли.

Далее следуют мои размышления на этот счет. Хотелось бы узнать, насколько я права, или нет.

• Я работаю в MintLinux, не посещаю «компрометирующих» сайтов, всегда выхожу из аккаунтов. Но последнее время пользуюсь Chrome.
• У меня есть другой счет яндекс.денег, аккаунты систем рекламы и продажи ссылок. Ни один из них не был взломан. (возможно пока)
• При смене платежного пароля требуется ввести другой пароль (контрольный вопрос). Даже если предположить, что у меня на компьютере завелся троян и отправил злоумышленнику платежный пароль, то откуда он мог знать второй пароль? Его я вводила при создании счета яндекс.денег достаточно давно и не на этом компьютере. После этого никогда не использовала и электронном виде не храню. Да и вообще зачем было менять платежный пароль, если он был известен.

Напрашивается мысль, что «утечка» произошла не с моей стороны, а есть брешь в яндекс.деньгах. Как без знания контрольного пароля можно было изменить платежный? Почему на почту не пришли сообщения об операциях, которые совершал мошенник?
Получается как-то очень удобно — кто-то можно спокойно сливать деньги с анонимных счетов доверчивых пользователей и при этом сервис никому ничего не должен. Потому что, заводя анонимный счет, да еще без имени «Вася Пупкин», а типа qqq333, вы сами очень похожи на мошенника, и платежные системы могут безнаказанно делать с вашим счетом что-угодно.

Если все же яндекс.деньги не виноваты, и утечка произошла с моего компьютера, то хотелось бы знать как?