Jag har jobbat med utveckling av betallösningar för Magento så jag kan kanske erbjuda lite insikt.
Att de har sparat kreditkortsnummer tror jag är osannolikt, dels för att de troligen inte har någon användning för det och dels för att den betalleverantör de använt troligen försett dem med modulen och den inte sparar by default. Jag ser inte varför de skulle lägga till den funktionaliteten själva när det bara innebär problem för dem.
I de flesta fall stannar du inte kvar på siten när du skriver in dina kortuppgifter utan blir omdirigerad till betalleverantörens "gateway" och skriver där in betaluppgifterna, butiken får då inte se ditt kreditkortsnummer.
Det finns också lösningar där du skriver in kreditkortsnumret direkt på siten som sen sköter kontakt med betallösningen i sin tur. Här kan butiken såklart spara uppgifterna men det tror jag inte man gjort.
Hur har de då utfört attacken?
De har förmodligen snappat upp kortnumret när du skriver in det, det har uppdagats många säkerhetshål i Magento de senaste åren och många av dem har varit allvarliga. Ett sannolikt scenario är att oneplus inte varit snabba nog att åtgärda dessa.
Länken i artikeln beskriver just det scenario som detta avser:
https://blog.sucuri.net/2015/04/impacts-of-a-hack-on-a-magent...
Att kortnummer läckt är absolut inte synonymt med att de sparats.