Obrigado pelas respostas! Vou passar um follow up da situação:
Conseguimos reunir vários logs do VPS e das ações realizadas no mesmo. Nada de anormal foi encontado, as ações foram feitas por ele, tal como reiniciar, desligar, executar troca de senha, etc... Isso descarta a possibilidade de algum IP estranho ter realizado alguma alteração de senha para ter acesso ao VPS. Todas as ações foram realizadas a partir de um IP do cliente.
Nos nossos termos há sim um parágrafo especificando a questão da responsabilidade a respeito de falhas de segurança para esses casos, assegurando que essa é responsabilidade do cliente manter o sistema dele e o ambiente a qual ele usa sempre seguro.
Além disso, aparentemente tudo isso não passa de suposição... tentamos tratar o caso de forma amigável, como sempre fizemos, até para evitar que algum cliente saia falando mal de nós por ai.. mas nada foi apresentado, a única coisa que recebemos foi algo do tipo "se não foram vocês quem vazaram, quem vazou? me explique.".
Conversei com a advogada, e dada essas informações que conseguimos, foi avaliado como baixo risco.
Mais uma vez, agradeço a todos que comentaram!