Facebook (al igual que tuenti) es tristemente famoso por la serie de bugs "zero day" que han ido apareciendo... No resulta difícil hacerse con la clave de alguien.

En cualquier caso, las dos formas más sencillas e inmediatas son un keylogger o phising (engañarte para que introduzcas tus credenciales en una página que parece ser la auténtica pero no lo es).

Si tenía un keylogger "profesional" (no de los que circulan gratuitamente por internet), yo reinstalaría el PC (pillárlos suele ser enormemente complejo, y no puedes ganrantizar que no tenga tambien un rootkit).

En cualquier caso, tu cliente se estará conectando a facebook a través de SSL para autenticación, con lo que salvo que haya un "SSL-relay" en la red (y debería haber sido avisada por su navegador de que la identidad del servidor no es la que dice ser), la información de login viajará encriptada y el "proveedor de servicios" no debería poder "esnifarla" (para eso es la encriptación, obviamente).

Lo que sea que se use para espiar a tu cliente, si es que está siendo espiado/a, es muy posible que esté en su PC (incluso podrían estar capturándole cookies de sesión). No te compliques, si no controlas mucho de análisis forense y seguridad, lo mejor es que formatees, reinstales todo fuera de esa red, metas un antivirus adecuado y legal (NOD32, p.ej.), y que no se instale nada que no conzoca, ni meta sus credenciales en ningún sitio salvo que tenga claro lo que hace.

Podrán capturar contraseñas en claro por la red, pero si todas las que mandas son encriptadas (por ej, el correo puedes recibirlo/enviarlo con autenticacón SSL/TLS) no debías preocuparte demasiado.

Cuando te roban contraseñas suele ser un problema de sentido común y de creer que el mundo de internet es un "mundo mágico de colores lleno de cosas divertidas e inofensivas"... Y eso ni Disney :)