Normalmente el ladrón desconoce el email del usuario, pero como bien se dice si sabe la pass y el email perfectamente el ladrón puede llevar el nick y a ver quien es el guapo que demuestra que ese era su nick, la unica "defensa" sería guardar un "historial" de los emails que ha tenido ese nick, pero lo mas seguro es que sea contraproducente