Wenn er sich die DB gezogen hat braucht er keine Hashes mehr. Er hat ja alles was er will. Außer dem PW. Denn die Funktion Hash + Salt ist nicht umkehrbar.
Ich würde trotzdem alle Kunden informieren das eingebrochen wurde und alles PW trotzdem zurücksetzen.