de poder, se puede, la mayoría de esos hack's se deben a diversas causas:

-inyecciones SQL no controladas
-débiles contraseñas o root sin contraseña
-debilidad en el FTP, si accede al archivo de conexión, obtiene una contraseña!
-el mismo caso del FTP, pero debido a inyecciones por upload, al no validar el tipo de archivo, permitiendo inyectar script que luego el cracker pueda ejecutar!!!
-que tu programador o DBA de confianza venda la base de datos (poco ético, como indica @mayid)
-y pare de contar, desgraciadamente esa gente malintencionada parece no tener mejor oficio que saltarse las normas