Estava no bolso da frente!
Pelo que eu entendi, eles colocaram o chip em outro celular e, assim, descobriram o número do meu telefone. Com isso, acessaram o facebook (com o número) e informaram que perderam a senha. O facebook deve ter enviado um SMS com um código de acesso para o número (que era o meu) e, com isso, eles entraram no face. Foram nas minhas informações e pegaram meu e-mail. E, com isso, julgaram que esse e-mail é o mesmo do iCloud.