Может я и ошибаюсь но вроде во встроенном клиенте VPN можно отключить шифрования и тогда пароли пойдут в открытом виде. А их уже можно перехватить и заюзать. Проверьте включено ли шифрование.

Во вторых смотрите логи. То есть кто с какого ip и с каким login подключался к VPN(может в логах и mac адреса будут....).
Дальше пробуйте вычилить гада.

https - шифрованный канал. здесь ты прехватить пароль и логин не сможешь.
в http - чаще отправляется хэш.

В клиенте нельзя отключить шифрование - это глупость, так как пароль и логин являеются ключем к шифрованию.

Поищи в инете информацию об атаках man-in-the-middle.. эта фича, кстати, есть в Cain&Abel..

клиент отправляет логин и пароль в открытом виде, а уже на сервере пароль хэшируется и сравнивается с данными в БД..

  Глупость не глупость но шифрование отключить можно.... Сейчас специально проверил.

В окне задания параметров авторизации выберите пункт «Свойства». В открывшемся диалоговом окне выберите закладку «Безопасность». На странице параметров безопасности есть  галочка «Требуется шифрование данных»

Правда проверка пароля пользователя насколько я понял тоже зависит от настроек.
Если при  установке пункта  "безопасный пароль" используется MSCHAP, то пароль в открытом виде действительно не перхватить.

Доброго дня.
По поводу отключения шифрования - отключить можно, но пароль все равно будет передаваться в зашифрованном виде (если конечно не поставите протокол РАР).
Вычислить вора - никакая прога не в помощь. Смотрите логи на серваке (если сервак Ваш), или попросите предоставить (и опять же смотрите).
Обращайте внимание с какого ИП и под каким логином входили. Смотрите кто владелец и как он мог проворонить свой пароль. Настраивайте шифрование трафика с нормальным протоколом проверки паролей.