Gelukkig bepaald iedereen zelf wat hij/zij maakt en gratis aanbiedt, je hoeft het niet te gebruiken.
Neemt niet weg dat ik mijn bedenkingen heb in dit specifieke geval maar om een heel andere reden.

In plaats van een hele rant op te houden zou je beter kunnen kijken wat je aan het tikken bent. "ihavebeenpwnd.com" wijst naar een dubieuze website (die inderdaad niet op privacy is gericht, dat heb je dan wel weer goed gezien). Je bedoelt waarschijnlijk "haveibeenpwned.com"

Als je iemands adres hebt kun je al bij allerlei websites proberen te registreren en zo zien waar hij of zij een account heeft. Neemt niet weg dat HaveIBeenPwned het wel makkelijker maakt. En sinds meneer Hunt een commerciele partij zoekt kun je ook zijn motieven in twijfel trekken.

Maar dat neemt niet het onderliggende probleem weg, de klootzakken die je e-mailadres lekken omdat het fucking prutsers zijn die niets van security snappen. Al die bedrijven mogen ze van mij opdoeken. Waarom bestaat LinkedIn nog na zo'n groot datalek?! Dat kun je je beter afvragen...

Goed dat je dit aankaart!

Beste gebruik je daarom standaard, naast het wachtwoord, ook altijd een uniek mailadres. Voorbeeld met pm.me; jouwnaam+willeukerigetekst(a)pm.me.

Een powned site ligt toch op straat, met of zonder Troy Hunt.
Pech gehad.

Tip: koppel niet je werkmail/primaire mail aan je porno accounts.

De data die HIBP laat zien, is sowieso al publiek, en niet een compleet overzicht van alle sites waar jij een account hebt gemaakt... Alleen van die sites die gehackt zijn, EN waarvan Troy de data heeft gekegen...

Daarnaast: als ik wil weten of jij een account bij website X hebt, kan ik ook gewoon naar website X gaan, en een nieuwe user proberen aan te maken met jouw email-adres... Als de site tijdens het aanmaken zegt: dit email-adres is reeds in gebruik, weet ik genoeg, en zoniet, dan cancel ik het aanmaken van de user...

Met andere woorden: als je niet wilt laten weten dat jij een account bij website X hebt: gebruik een wegwerp-email-adres tijdens het registereren, of creeer een nieuw email-forward-adres als een wegwerp-adres niet praktisch is bij die website...

Oh, en je kan niet zoeken op username, en zoeken op wachtwoord laat niet zien wie dat wachtwoord heeft gebruikt, en ook niet op welke websites... alleen hoe vaak een wachtwoord voorkomt in de lijst, en is dus ook niet koppelbaar aan jou...

M.a.w., daar is privacy-technisch wel over nagedacht...

Oh, en nog wat: er is WEL een opt-out functie:

Wat wil je precies? Deze dienst is bedoeld om te checken welke sites gekoppeld aan een email adres mogelijk in het verleden gecompromiteerd zijn en dat is precies het resultaat wat je krijgt te zien.

Hoezo privacy? De databases zijn uitgelekt en overal te vinden. Deze site dekt tenminste nog de wachtwoorden af.

Bij een lek is er sowieso geen privacy meer. Dat is boel is ontploft, zaak afgelopen. Die databases zijn wijd verspreid dus die kun je ook nooit laten verwijderen. Dat is vervelend als er bijv. porno sites tussen zitten maar wie loopt jou na via haveibeenpwnd.com? Realistisch... Van mij staat ook dingen online die ik er niet opgezet heb maar een ander maar ach het is maar internet en dat barst van de rommel... Trek het je niet aan. Ik rommel daarom al jaren op internet, geen serieuze onderwerpen meer, alleen domme rotzooi posten want dat heeft het mij ook opgeleverd. What goes around comes around!

Wat voor oplossing stel je zelf voor?

Je kunt ook geen privacy van die site eisen want jij kunt niet aantonen dat jij bent wie je zegt voor een "blokkade", of wil je soms een kopie paspoort gaan opsturen voor een "privacy check"? Dan lek je nog meer privacy gevoelige data. En het doet niets af van het feit dat je data in de handen zijn van alle hackerclubjes ter wereld.

Volgens mij mis je het concept van de genoemde site een beetje....

Op basis van je wachtwoord kun je niet zoeken, je kunt alleen kijken of jouw wachtwoord gelekt is (ergens, maar niet “waar”).

Op basis van gebruikersnaam kun je niet zoeken.

Op basis van emailadres wel, waarbij je een beperkte lijst te zien krijgt van sites die jouw gegevens hebben gelekt. Dat zijn al publieke lijsten. Jouw emailadres is dus al publiek gemaakt door iemand anders, haveibeenpwnd toont alleen door wie.

Op zich zou het leuk zijn als Troy een optie maakt om een emaildres-zoekactie te kunnen blokkeren, maar daarmee maakt hij dan wel weer publiek dat jij daarvoor kiest.

...Zoals het toneelstuk van Shakespeare: Much ado about nothing.

Wat is dat toch de laatste tijd?
Het Internet computertijdperk beïnvloedt schijnbaar/blijkbaar in toenemende mate labiele(1) mensen. Ik vind het echt triest om zo vaak topics te zien hier van personen die schijnbaar vertwijfeld met hun privacy aan het worstelen zijn. Zij zien achter elke website of in elke email etc. een boze genius schuilgaan die je privéleven belaagt..

Nu weer Troy Hunt. De man heeft gewoon een nobele missie en nu wil hij er een centje aan gaan verdienen. Oef wat is daar nu mis aan? Niemand kan stellen dat aan centjes verdienen iets mis is, dus men gooit het over de boeg dat Troy Hunt 'onze privacy belaagt. Als er geen basis is voor kritiek dan verzint iemand wel een basis voor kritiek. Poneer het woord privacy en bij iedereen (nou ja iedereen...) gaan de antennes op maximale gevoeligheid (0,01 uV)

Ik ben nieuwsgierig naar wie of wat er hierna volgt...

Er wordt hier altijd over security, avg, GPDR en privacy gepraat. Maar nu stapt men daar even snel overheen.

TS heeft hier een goed punt. Er zou een extra controle achter de controle moeten zitten, dat de aanvrager ook toegang heeft tot het email adres. Vanuit Privacy een gewenst oplossing.

En jij de vraag van TS.
De vraag is namelijk volledige valide.
Er wordt nu even snel een bevestiging gegeven op welke sites dit mail adres gebruikt is, zonder enige controle dat jij ook eigenaar van dit mail adres bent. Dat is een privacy issue, niets meer of minder.

Dat staat los van het nut van de site. Er zou alleen een controle moeten zijn of jij ook eigenaar bent van het mail adres.

De functie die je zoekt heet "Opt-out" en staat gewoon in het menu van de website. In dat menu vind je ook iets dat "Privacy" heet en iets dat "FAQs" heet waar een heleboel informatie staat waaruit blijkt dat die site anders werkt dan jij denkt.
Je hebt kennelijk niet werkelijk naar die website gekeken, niet de informatie die er staat gelezen, en misschien wel niet de moeite gedaan om uit te zoeken dat het niet ihavebeenpwned.com maar haveibeenpwned.com is. Wie denk je dat er hier overkomt als schandalig lui?
Ik denk dat iemand die een dienst aan meer dan 4 miljard op het internet aangesloten mensen beschikbaar stelt onmogelijk iedereen persoonlijk kan beantwoorden, dat zou ongetwijfeld meer dan een dagtaak opleveren. Dus staan er FAQs op zijn website, en privacy-informatie, legt hij alles wat regelmatig in die vragen langskomt uit aan iedereen die niet te lui is om het zelf te lezen. Dat hij vragen negeert waarvan het antwoord al lang en breed op de website staat vind ik niet verbazingwekkend en niet van luiheid getuigen. Als Troy Hunt lui was geweest had die hele website niet bestaan.

Als je antwoord wilt op de vraag of haveibeenpwned.com legaal is volgens onze privacywetgeving, doe dan eens een zoekactie op "haveibeenpwned avg". De tweede hit die ik op startphage.com zie na de advertenties is van een jurist die die vraag beantwoordt, op deze website nog wel. Deze website heeft zelf trouwens ook een zoekfunctie. Als je niet schandalig lui bent kom je daar verder zelf wel uit, lijkt me.

Mijn indruk van de post van TS is niet zozeer iemand die labiel is en overal privacy spoken (of geheime diensten) ziet, maar gewoon iemand die boos is - mijn speculatie [5-10 20:38] is dat iemand in z'n omgeving gezien heeft dat hij ook accounts had op sites waar hij liever niet voor uitkomt. [gok op sex/porno/second love e.d.]

Het soort humor en commentaar dat je altijd ziet als bij een breach van zo'n site de statistiekjes van aantallen .gov of .mil mail adressen genoemd worden. Maar een leermomentje als je er door je vriendjes mee betrapt wordt.

Sommige mensen worden opzettelijk labiel gemaakt maar dat terzijde want dit lijkt hier niet van toepassing.
Zo kun je ook een complete site in discrediet brengen. Bijvoorbeeld door te trollen met security en privacy onderwerpen, een vorm daarvan is onmogelijk te beantwoorden vragen te stellen.[1]

Hij mist het concept van de site (in een korte zin). Die databases zijn eenmaal uitgelekt. Uitgelekt is uitgelekt. Die druppels water gaan niet meer terug in de kraan. Er wordt dan gevraagd om een oplossing voor privacy[1] terwijl het bij de site ihavebeenpwnd.com om security gaat. Twee verschillende themas die op dit forum toevallig samensmelten, dus logisch om de vraag hier te stellen.

Ik heb de impressie dat de vragensteller de themas privacy en security met elkaar mixed en de achterliggende concepten van haveibeenpwnd.com niet begrijpt. Er zijn veel specialisten hier en ook mensen die net beginnen. Laat iedereen s.v.p. mee doen en serieus op elkaar reageren d.w.z. op een professionele manier zonder de psychiatrie erbij te halen zodat je de ander helpt op een hoger niveau uit te komen. Iemand die een domme vraag stelt is niet labiel of pathetisch of schizofreen of vul je eigen favoriete geestesstoornis maar in. Help elkaar op een intelligente en professionele manier.

Ik bedenk net dat het inderdaad mogelijk is om een geautomatiseerd systeem te maken waarbij mensen met een email adres een mailtje kunnen aanvragen en beantwoorden om van de site gefilterd te worden. (Niet eens een snede in de databases, gewoon niet op te vragen)

Misschien hebben ze dat toegepast op die site (zie FAQ hierboven genoemd). Zelf ben ik te lui om daar te gaan kijken maar dit zou technisch makkelijk zijn, een opt-out filtertje. Daar stond ik gisteren niet bij stil.

En daar gaat het dus fout. Waarom weten ze jouw wachtwoord? En belangrijker, veel belangrijker: waarom gebruik jij dat wachtwoord ook bij andere sites? En waarom is jouw wachtwoord niet een random gegenereerde tekenreeks van 20 of 25 karakters?

Het niet toepassen van een goed wachtwoord beleid bij jezelf leidt tot die schadelijkheid en luiheid. Oh ff snel een accountje aanmaken wachtwoord: BananeNijSje!2#4%, zo lekker veilig wachtwoord, en omdat ik die ken ga ik hem op nog 15 accounts gebruiken. Sorry hoor, maar dan ben je zelf dom bezig, en als mensen daar misbruik van maken is dat je eigen fout.

Die controle bestaat op de site overigens wel voor de 'domain-search'... Dat kan alleen als je aantoonbaar de eigenaar bent van een domein...

Misschien kan die check ook voor 'gewone' lookups ingebouwd worden, al verhoog je daarmee wel de drempel/maak je het ingewikkelder/minder bruikbaar voor de 'gewone' gebruiker...Da's een afweging die gemaakt moet worden/waarschijnlijk al gemaakt is...

Het lijkt me een interessante om te zien hoe dit AVG-technisch allemaal in elkaar steekt. Misschien iets voor Arnoud Engelfriet!

helemaal de weg kwijt, betreft hier opensource data die gebruikt wordt. ja het zal een hoop mensen dwars zitten...pech gehad ! dan had je maar betere credentials moeten bedenken! oja en bashen op de ''nieuws brenger"haveibeenpwnd diep triest. zoals ik zei allemaal opensource data! en zint het je niet ? zet je opsec goed inelkaar!

Sommige mensen klagen nu eenmaal graag.

Je kunt er zo weinig mee.. Vul eens in google "mijnemail@whatever.com" met quotes. EN je zult dumps gaan vinden via Google. Dus Troy Hunt de schuld geven voor het hunten is overbodig. HIj heeft alleen de zoekmachine bedacht.

Dan suggereer ik dat je met een goed geformuleerde zoekopdracht de juridische vraag opzoekt waarin het aan de orde komt.