Leak-Datenbank «Have I Been Pwned» wächst weiter

Vor rund sieben Jahren hat der australische IT-Security-Experte Troy Hunt den Dienst «Have I Been Pwned» ins Leben gerufen. Laut eigenen Angaben wollte Hunt damit geleakte Accountdaten indexieren und durchsuchbar machen. Er fütterte seine Datenbank zunächst mit einem Breach, der 154 Millionen Datensätze umfasste. Aus der Sicht Hunts war das zu dieser Zeit «recht beachtlich», wie er in einem aktuellen Blog-Beitrag schreibt.

«Have I Been Pwned» bietet Userinnen und Usern sowie auch Unternehmen oder Behörden die Möglichkeit zu prüfen, ob ihre E-Mail-Adressen und Passwörter bei einem Datendiebstahl kompromittiert wurden. Dazu muss man auf der Website des Dienstes lediglich seine Mail-Adresse eingeben.

Seit letztem Jahr kooperiert auch der Bund mit Hunt (Computerworld berichtete). So kann das Informatiksteuerungsorgan des Bundes via API-Zugriff nun auf sämtliche Datensätze zugreifen, die von «Have I Been Pwned» erfasst werden, und prüfen, ob bei neuen Leaks Mail-Adressen von Bundesangestellten dabei sind.

Seit dem Start im Jahr 2013 ist die Datenbank des Security-Experten massiv gewachsen. Erst kürzlich ergänzte Hunt diese mit rund 270 Millionen Datensätzen aus einem Hack der E-Book-Plattform Wattpad. Damit knackte der Dienst die Grenze von 10 Milliarden Einträgen.

Im Blog-Beitrag zu diesem Anlass thematisierte Hunt auch den Verkauf von «Have I Been Pwned», den er im letzten Jahr angekündigt hatte. Gemäss seinen Ausführungen ist dies aber nun definitiv vom Tisch. Vielmehr wolle er Optionen wie Open Sourcing in Erwägung ziehen, schreibt Hunt. Er könne sich auch vorstellen mit gemeinnützigen Organisationen zusammenzuarbeiten, «die den Dienst und nicht das Geld in den Vordergrund stellen».

Eine Alternative zu «Have I Been Pwned» liefert übrigens das Hasso-Plattner-Institut. Der « HPI Identity Leak Checker» funktioniert im Prinzip gleich wie Hunts Dienst. Auch diese Datenbank wächst stetig. So schafft sie es mittlerweile gar auf mehr als 11 Milliarden Datensätze.