Troy Hunt, der Betreiber der Plattform "Have I Been Pwned" (HIBP) hat in einem Beitrag zum 1. Juni 2026 bekannt gegeben, dass er Daten aus dem Tausendsten Datenleck in seinen Datenbank aufgenommen habe. Troy Hunt betreibt die Plattform HIBP seit 12 Jahren, beklagt aber, dass die Frist der Offenlegung solcher Vorfälle immer länger werde.
Was ist HIBP?
Have I Been Pwned (HIBP) ist eine Website, auf der Internetnutzer überprüfen können, ob ihre persönlichen Daten durch Datenlecks gefährdet wurden. Es reicht die Eingabe einer E-Mail-Adresse zur Prüfung, ob diese in einem Datenleck enthalten ist.
Die Webseite wurde vor 12 Jahren durch den Australier Troy Hunt aufgesetzt und umfasst nun laut obigem Screenshot über 17,6 Milliarden Datensätze aus 1.001 Datenlecks.
Der 1.000st Vorfall ist aufgenommen
Der Tausendste Vorfall wurde von Hunt Anfang Juni 2026 eingetragen. Ich bin bereits die Tage über nachfolgenden Tweet von Troy Hunt auf diesen Sachverhalt aufmerksam geworden.
In einem Blog-Beitrag 1,000 Data Breaches Later, the Disclosure Lag is Worse Than Ever legt er diesen Meilenstein offen und fragt sich, ob die Seite Plattform "Have I Been Pwned" (HIBP), die er vor 12 Jahren mal aufgesetzt hat, überhaupt noch Sinn mache bzw. nötig sei. Denn es gebe inzwischen ja Datenschutzvorschriften wie der DSGVO der EU und das CCPA in Kalifornien, die die Offenlegung von Datenschutzvorfällen vorschreiben.
Der Umstand, dass der Tausendste Vorfall seit dem Start der Plattform vor 12 Jahren nun aufgenommen werden musste und die große Zahl an Einträgen unterstreicht die Notwendigkeit der Plattform. Denn wo sonst könnten Betroffene nachsehen, wo ihre Daten von Datenlecks betroffen sind.
In seinem Blog-Beitrag beklagt Troy Hunt aber einen weiteren, negativen Trend (abseits der Tatsache, dass es immer mehr und immer schnellere Vorfälle mit Datenlecks gibt). Er stellt eine immer längere Verzögerungen bei der Offenlegung solcher Vorfälle fest. Hunt führt den Vorfall bei der Kreuzfahrt-Reederei Carnival auf, die gehackt wurden. Am 19. April 2026 gab es Meldungen, dass 8.7 Millionen Datensätze abhanden gekommen seien.
Die Cybergruppe ShinyHunters hat Carnival seinerzeit als Opfer auf seiner Leak-Seite geführt. Fünf Tage später, am 24. April 2026, wurden Datensätze in diversen Foren durch die Cybergruppe gepostet. Carnival informierte die Öffentlichkeit aber erst am 27. Mai 2025 über den Cybervorfall mit dem Datenabfluss. Laut Carnival-Pressemitteilung von diesem Tag geschah dies 43 Tage, nachdem die Reederei von dem Vorfall erfahren hatte, schreibt Hunt.
Mehr als sechs Wochen lang hatten die Opfer der Datenpanne, deren Namen, Geburtsdaten, E-Mail-Adressen, Treueprogrammdaten und natürlich ihre Verbindung zu Carnival massenhaft an die Öffentlichkeit gelangt waren, absolut keine Ahnung von ihrer Gefährdung. Und bei einer Nachfrage von Troy Hunt, ob es einen Datenabfluss gab, hat Carnival noch negativ beschieden. Da gilt immer noch: "Abwiegeln, bis es nicht mehr zu leugnen ist". Ob es für Carnival in der EU eine DSGVO-Strafe und Entschädigung für Opfer gibt, muss man abwarten. Aber die Ausführungen von Troy Hunt zum "Jubiläum" lesen sich nicht sehr positiv.
MVP: 2013 – 2016
Leider wird die jeweilige Quelle nicht genannt, wenn man E-Mails prüft. So ist selbst bei jeweils unterschiedlichen E-Mails für unterschiedliche Dienstleister nicht prüfbar, aus welchem tatsächlichen Leck sie kommen. Insofern leider wenig aussagekräftig.
Die "Quelle" wird doch immer genannt sofern möglich?
Entweder wird direkt ein Leak einer Webseite aufgeführt oder eine Combo-List, ggf auch eine Collection von irgendwelchen Forschern. Das Problem sind Combo-Listen, weil halt u.a. die bösen Leute nicht unbedingt verraten woher die Zugangsdaten kommen. Selbst wenn die Herkunft aus den Listen erkennbar ist, kannst halt kein Zugriff drauf geben, dann hast du andere Probleme. Die Quellen die für den Eintrag releavnt sind werden genannt.
Ich stimme dir aber total zu, du müsstest wirklich in die Listen reinshauen um zu wissen was da ggf. los ist. Wenn 2005 eine Webseite gelekaed wurde, du weißt bei jeder neuenn Liste nicht ob da neue Daten drinnen sind oder immer "recycled" wurde.
Sowas bringt als Quelle wenig, drei verschiedene Beispiele:
Und immer noch sind da 10 Jahre alte Datensätze enthalten, welche längst überholt und nicht mehr aktuell sind… Werde da jedes Mal, wenn ich da mal abfrage, informiert, dass ich betroffen bin. Pustekuchen — schaut man dann nach, stellt man fest, dass das Vorfälle sind, welche noch aus der Zeit Christi stammen ;-P
Nette Zahl, bereinigt aber schon unbedeutender!
Ist wie bei den Meldungen zu Vorfällen selbst: beachtliche Anzahl an Betroffenen… Bereinigt man die veralteten und ungültigen Datensätze und die Datensätze, die nicht wirklich einen Breach darstellen, sondern lediglich eine weitere Sammlung vorheriger Lecks, bleibt maximal die Hälfte davon übrig… aber je größer die Zahl, desto mehr Klicks…
Sehe ich nicht so!
Ich bin von dem Adobe-Hack von 2013 betroffen, die einzige Meldung, die ich für eine meiner Emailadressen bekomme. Noch 2024 habe ich betreffend dieser Lücke einen Angriffsbesuch mit Nennung des damaligen Passwortes gehabt:
"Wir kennen uns eigentlich schon eine Weile, zumindest kenne ich dich. Du kannst mich Big Brother oder das alles sehende Auge nennen."
Wenn deine Mailadresse, die du überprüfst, noch in Verwendung ist, dann ist keine missbräuchliche Weitergabe überholt, egal wie lang sie her sein mag. Im Gegenteil: Je länger die Daten im Umlauf sind, desto weitere Kreise ziehen sie.
Du hast natürlich sofort nach Bekanntwerden alle deine damit verbundenen Passwörter geändert und damit ist die Sache für dich konkret nicht mehr aktuell. Aber woher soll HIBP das wissen? Wehe, wenn du eine bekanntermaßen betroffene Adresse checken würdest und die Seite würde sie nicht kennen: Dann hieße es gleich, die Daten dort seien lückenhaft.
sorry sehe ich anders… den es geht um die eMail / PW Kombi und die ist längst überholt!
eMails Selbst ist wie deine Postanschrift nix Geheimes, ebensowenig wenn jemand meinen Namen kennt… klar beides kennt nicht jeder (muss man auch nicht), aber doch Viele.
Das ist auch kein Risiko wenn man die kennt. Die Kombi dagegen schon.
Die email PW Kombi von nem Breach bei Sony Adobe LastFM von vor 10 Jahren juckt nicht da nicht mehr gültig ob das irgendwelche Phösen durchexersieren ist egal kommen sie nicht rein mit.
Aktuelle Kombis sind interessant und wichtig zu wissen.
Die email PW Kombi vor 10 Jahren ist durchaus interesant, weil ggf. allein das Passwort (damals dumm gewählt) weitere Hinweise geben kann.
Auch hat man (selbst wenn man aufpasst) meist noch irgendwelche toten aktiven Konten für Webseiten aus der Zeit wo man noch dumm war, die man nicht mehr auf dem Schirm hat. Das ist gerade in der heutigen Zeit ein Problem.
Ebenfalls kann die "emailX PWY" auf eine andere "PWY emailZ" Kombi schließen, was auch richtig Scheiße sein kann.
Vielleicht oute ich mich ja als Depp, aber hier meine Gedanken:
a) nutze z.Zt. ca. 15 verschiedenen Mail-Adressen incl. Aliasse (Tendenz steigend) bei 3 Mail-Providern, wäre die Suche bei HIBP doch sehr mühsam und
b) sehe ich immer noch die Gefahr, dass ich bei einer Suche bei HIBP erst recht meine Mail-Adressen im Netz verbreite und
c) wer garantiert mir, dass meine Suche bei HIBP sicher ist und nicht gerade dadurch Infos gespeichert werden?
Also kann sein – oder ich "erleide" eine Fortbildung (ist ja nie das Schlechteste)
faire Frage.
so kannst die Password Liste offline betreiben und selber durchsuchen. in Kombination mit dsinternals lässt sich das für ein Unternehmen gut automatisieren.
die anderen Datenanfragen können über eine API genutzt werden, aber AFAIK nicht offline.
da ich seit ca 10 Jahren in Demos und Workshops immer dieselben Fake Daten benutze und diese immer noch nicht breached sind vertraue ich Troy. :-)
Betroffen sein kannst du nur wenn du dein Kennwort mehrfach verwendest hast.
Dann hast du es aber schon geteilt , wie auch meist die Mailadresse.
Dann ist weiteres Teile ja eh schon egal.
"überhaupt noch Sinn mache bzw. nötig sei"
Ja, HIBP muss unbedingt weiter betrieben werden. Wenn Troy Hunt mal keinen Bock mehr hat, müsste das jemand übernehmen, der es genau so wie es ist es weiter betreibt. Der Dienst ist sehr nützlich, wir z.B. haben da das Abo, das automatisch Firmenmailadressen meldet, wen da mal was leakt, und wir machen auch wöchentlich HIBP-Abgleich mit Passorthashes von Kundenkonten auf unserem Webserver, und indirekt kommen die Breeched Passwörter auch beim AD/Entra-Abgleich von Specops zum Einsatz.