Troy Hunt, der Betreiber der Plattform "Have I Been Pwned" (HIBP) hat in einem Beitrag zum 1. Juni 2026 bekannt gegeben, dass er Daten aus dem Tausendsten Datenleck in seinen Datenbank aufgenommen habe. Troy Hunt betreibt die Plattform HIBP seit 12 Jahren, beklagt aber, dass die Frist der Offenlegung solcher Vorfälle immer länger werde.
Was ist HIBP?
Have I Been Pwned (HIBP) ist eine Website, auf der Internetnutzer überprüfen können, ob ihre persönlichen Daten durch Datenlecks gefährdet wurden. Es reicht die Eingabe einer E-Mail-Adresse zur Prüfung, ob diese in einem Datenleck enthalten ist.
Die Webseite wurde vor 12 Jahren durch den Australier Troy Hunt aufgesetzt und umfasst nun laut obigem Screenshot über 17,6 Milliarden Datensätze aus 1.001 Datenlecks.
Der 1.000st Vorfall ist aufgenommen
Der Tausendste Vorfall wurde von Hunt Anfang Juni 2026 eingetragen. Ich bin bereits die Tage über nachfolgenden Tweet von Troy Hunt auf diesen Sachverhalt aufmerksam geworden.
In einem Blog-Beitrag 1,000 Data Breaches Later, the Disclosure Lag is Worse Than Ever legt er diesen Meilenstein offen und fragt sich, ob die Seite Plattform "Have I Been Pwned" (HIBP), die er vor 12 Jahren mal aufgesetzt hat, überhaupt noch Sinn mache bzw. nötig sei. Denn es gebe inzwischen ja Datenschutzvorschriften wie der DSGVO der EU und das CCPA in Kalifornien, die die Offenlegung von Datenschutzvorfällen vorschreiben.
Der Umstand, dass der Tausendste Vorfall seit dem Start der Plattform vor 12 Jahren nun aufgenommen werden musste und die große Zahl an Einträgen unterstreicht die Notwendigkeit der Plattform. Denn wo sonst könnten Betroffene nachsehen, wo ihre Daten von Datenlecks betroffen sind.
In seinem Blog-Beitrag beklagt Troy Hunt aber einen weiteren, negativen Trend (abseits der Tatsache, dass es immer mehr und immer schnellere Vorfälle mit Datenlecks gibt). Er stellt eine immer längere Verzögerungen bei der Offenlegung solcher Vorfälle fest. Hunt führt den Vorfall bei der Kreuzfahrt-Reederei Carnival auf, die gehackt wurden. Am 19. April 2026 gab es Meldungen, dass 8.7 Millionen Datensätze abhanden gekommen seien.
Die Cybergruppe ShinyHunters hat Carnival seinerzeit als Opfer auf seiner Leak-Seite geführt. Fünf Tage später, am 24. April 2026, wurden Datensätze in diversen Foren durch die Cybergruppe gepostet. Carnival informierte die Öffentlichkeit aber erst am 27. Mai 2025 über den Cybervorfall mit dem Datenabfluss. Laut Carnival-Pressemitteilung von diesem Tag geschah dies 43 Tage, nachdem die Reederei von dem Vorfall erfahren hatte, schreibt Hunt.
Mehr als sechs Wochen lang hatten die Opfer der Datenpanne, deren Namen, Geburtsdaten, E-Mail-Adressen, Treueprogrammdaten und natürlich ihre Verbindung zu Carnival massenhaft an die Öffentlichkeit gelangt waren, absolut keine Ahnung von ihrer Gefährdung. Und bei einer Nachfrage von Troy Hunt, ob es einen Datenabfluss gab, hat Carnival noch negativ beschieden. Da gilt immer noch: "Abwiegeln, bis es nicht mehr zu leugnen ist". Ob es für Carnival in der EU eine DSGVO-Strafe und Entschädigung für Opfer gibt, muss man abwarten. Aber die Ausführungen von Troy Hunt zum "Jubiläum" lesen sich nicht sehr positiv.
MVP: 2013 – 2016
