Возможно ломали через соседей, закладка в ОС, RCE/SQL в используемых скриптах и т.д. и т.п.

Из простых вариантов, из разряда пальцем в небо, можно предположить, XSS + Ретаргетинг. Пользователь не дожимает до заказа, уходит, яндекc показывает ему рекламу конкурента, который настроил кампанию c вхождением ранее посещённых URL, пользователь кликает, перенаправляется на сайт конкурента, в этот момент XSS-кой вытягиваеются данные заказа и он формируется на сайте конкурента.

Нужно проводить аудит, в том числе изучать логи, сопоставлять тайминги и прочее. Если теряете профит, то лучше обратиться к знающим людям, а не гадать на кофейной гуще.