El correo electrónico como medio de comunicación generalmente se considera inseguro; los protocolos principales no se diseñaron con la seguridad implementada, y mientras que los protocolos seguros se han superpuesto, la naturaleza del correo electrónico significa que debe diseñarse para que "no se abra": todos esperan que su servicio de correo electrónico pueda enviarse a cualquier persona con una dirección de correo electrónico válida, por lo que si no son compatibles con TLS, entonces no puede usarla. Y, por supuesto, está el problema del reenvío: una vez que me envía un correo electrónico con datos confidenciales, pierde el control. Puedo reenviarlo o imprimirlo.
Su pregunta proviene principalmente de una perspectiva ligeramente diferente: ¿qué pasa con el buzón de correo electrónico como un lugar seguro para almacenar datos? Realmente no hay una respuesta para eso, ya que diferentes piezas de software de correo electrónico almacenan el buzón de manera diferente. La mayoría de los modernos usarán tecnología decente para asegurar la base de datos de buzones real. Por otro lado, los servicios de correo electrónico en la nube más populares hacen su dinero leyendo su correo electrónico y utilizando la información para vender publicidad dirigida, lo que no es bueno para la seguridad.
En general, las cuentas de correo electrónico se piratean mucho porque a) esas son una de las mejores cosas para atacar: "Robo a los bancos porque es donde guardan el dinero" yb) porque están protegidos con contraseñas y los humanos son basura en las contraseñas. Realmente no es que sean inherentemente inseguros.
Los restablecimientos de contraseñas basados en el correo electrónico no son ideales, pero los clientes los encuentran convenientes y son baratos en escala, por lo que estamos atrapados con ellos.