Si anche questa è un'ipotesi, però (secondo me eh) non giustifica il fatto che Blizzard non intraprenda contromisure anche in tal senso. Sono loro che devono fare in modo che il login sia garantito solo a te.
Visto che gli sms non costano nulla, possono anche far partire un codice univoco della durata di pochi minuti sul tuo cell in modo da limitare l'accesso al malintenzionato che ti ha preso in qualsiasi modo user e psw.
In ogni caso, da come stesso tu hai detto "fa un restore completo del tuo char" si evince che Blizzard se ne assume tacitamente la responsabilità. Quindi mi da ragione.
Probabile che implementare maggiori sicurezze gli costi di più che ridarti la roba che ti hanno rubato.
Allo stesso modo, se ti clonano il bancomat o la carta o il conto online, la banca non ti può dire che è colpa tua perchè la psw era facile o perchè il KL ti ha ciullato i dati di login o perchè quando hai dato la carta di credito in mano alla cassiera non hai controllato dove la infilava. E' tenuta a risarcirti e basta, e secondo me è giusto così.
Diversamente, su sta cosa potrebbero giocarci andando a riversare sul cliente anche la responsabilità della sicurezza dei dati. Imho, non può essere così.