Именно поэтому для действительно важных аккаунтов нужно иметь отдельный номер телефона, который нигде, кроме этих аккаунтов, не используется.

В данной ситуации понять ВКонтакте можно. Возможно, одновременно с поддельной доверенностью был изготовлен поддельный договор, по которому права на аккаунт были переданы. Вы же сами говорите, что его цена - 1 миллион рублей, вот и мошенники могли обосновать передачу таким договором с поддельным (или краденым) паспортом. А пока идет разбирательство - по-быстренькому перепродать его, и пусть уже новый владелец с вами возится. Раньше так с квартирами было, ничего нового.

А вот если такой скрытый номер убежит, то тут может быть только три подозреваемых (в отличие от миллионов с открытым номером):

1. Кто-то из своих. Такое тоже случается, тем более что номер принадлежит компании. Может прозвучать как паранойя, но в таких случаях вполне можно использовать различные схемы, когда номер регистрируется на какого-нибудь надежного сотрудника, он пишет доверенность и все это уходит в банковскую ячейку с контролем доступа. Мало ли что может с сотрудником случиться, поэтому при необходимости работодатель может извлечь доверенность. Но если утечка произойдет, всегда можно посмотреть - кто обращался в ячейку. Доверенность, конечно, можно отозвать, поэтому важно назначать именно ответственного сотрудника. Ну и стоит почитать договор с оператором, может вся эта схема незаконна. Преследовать оператор вряд ли будет, но в конфликтных случаях доступ можно потерять.

2. Сотовый оператор. Я не очень знаком с возможностями CRM различных сотовых сетей, но подозреваю, что при наличии паспортных данных, любой сотрудник любого салона может эти данные получить. Не говоря уже об утекших базах данных. Но если не знаешь, на какого именно сотрудника (см. п. 1) зарегистрировано

3. Сам Вконтакте. Вряд ли его сотрудники будут рисковать и предоставлять номер, но есть разные варианты, включая скрытые уязвимости и какие-то ошибки в коде, через которые можно данные выкачать. Тут я полностью согласен со статьей - ВКонтакте должен был предусмотреть процедуру оспаривания и возможность отмены перепривязки. Но представьте, если это делается в связи с тем, что телефон или email был украден? Получается, что злоумышленник, обладающий доступом к вашим коммуникациям, может очень быстро отменить такое переназначение.

Видимо вопрос тут скорее организационно-правовой - подобный сервис должен иметь возможность запретить (именно такую опцию) передачу аккаунта без личного присутствия и/или предоставления каких-либо документов, возможно с нотариальным присутствием. Соответственно, отключение такой опции - аналогично, только через личное присутствие. Процедура сложная, но при управлении чем-то ценой с бюджетную машину, вполне можно потерпеть неудобства.

Вам же желаю скорейшего восстановления доступа, и множество благодарностей за придание случаю публичности, чтобы те, кто действительно дорожат учетками, приняли меры к их защите!