Ja, heel veel mensen. Ook hebben mensen er wel bij stil gestaan dat hij in feite een heler is.
Maar Troy zelf ziet het anders, dus wat doe je er tegen? Voor de rechter slepen zou kunnen, maar dan moet je natuurlijk wel een hard feit tegen hem hebben niet alleen emotionele argumenten.

Blijkbaar heb je nooit gekeken hoe HIBP werkt, daarom reageert Troy sowieso niet op je onzin conclusie.

Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

ras of etnische afkomst;
politieke opvattingen;
godsdienst of levensovertuiging;
lidmaatschap van een vakbond;
genetische of biometrische gegevens met oog op unieke identificatie;
gezondheid;
seksuele leven;
strafrechtelijk verleden.
Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.



Fijn dat er zo'n database is om even te kijken of jouw seksuele voorkeur gelekt is op een site of dat je vrij radicale gedachten er op nahoudt. En het is een kwestie van tijd voordat alle e-mail adressen wereldwijd er in staan als we dit geen halt toeroepen.

Ik denk dat je geen antwoord krijgt omdat dat al in de FAQs staat:
Het klopt dus niet dat zonder enige controle alle lekken worden weergegeven. Op de pagina met het overzicht van de gepwnde websites die zijn opgenomen kan je aan het vlam-symbooltje (de legenda staat onderaan de pagina) zien welke websites niet publiek worden weergegeven. Zo te zien vallen alle porno- en datingsites eronder en meer.

Dat er bij de sites die overblijven persoonlijke informatie wordt vrijgegeven klopt. Voor zover ik overzie is zowat de hele wereld van mening dat dat nadeel niet opweegt tegen de voordelen die deze site oplevert, inclusief juristen.

Maar als jij denkt dat dit een schending van de AVG is, dien dan vooral een klacht in bij de Autoriteit Persoonsgegevens en kijk wat voor reactie je daarop krijgt. Het kan even duren, want ze zijn onderbemensd en hebben grote vertragingen in de afhandeling.

Heb jij er ooit stil bij gestaan dat iemand dat ook zonder HIBP kan doen? Het is het is verzamelen van beschikbare data.

Ik zeg niet dat het nobel is, maar het is ook niet 100% slecht. Het is grijs. Voor mij weegt het voordeel tegen het nadeel.

Zoals een eerder reactie als je het overtuigd bent dat het niet in orde is dan kun je naar een rechter of andere instantie. Maar juist dat dat nog niet gebeurt is, geen effect gehad doet mij vermoeden dat het dus niet iemand overtuigd heeft.

Dank je voor je heldere argumenten waarom mijn opmerking onzin zou zijn.

Ja, ik weet best hoe HIBP werkt, ik klop JOUW e-mail adres in bij HIBP en zie op dit moment onderstaande gegevens, maar morgen staat daar b.v. Parler.com bij of gays4gays.cum. Dat zegt NOG meer over jou en leg dat maar eens uit aan de voorganger van de Seba kerk in Krimpen aan de IJssel en wat voor impact dat op jou heeft als dit aan het licht komt in de gemeenschap.


8fit: In July 2018, the health and fitness service 8fit suffered a data breach. The data subsequently appeared for sale on a dark web marketplace in February 2019 and included over 15M unique email addresses alongside names, genders, IP addresses and passwords stored as bcrypt hashes. The data was provided to HIBP by dehashed.com.

Compromised data: Email addresses, Genders, Geographic locations, IP addresses, Names, Passwords
Anti Public Combo List logo

Anti Public Combo List (unverified): In December 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Anti Public". The list contained 458 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I Been Pwned.

Compromised data: Email addresses, Passwords
Collection #1 logo

Collection #1 (unverified): In January 2019, a large collection of credential stuffing lists (combinations of email addresses and passwords used to hijack accounts on other services) was discovered being distributed on a popular hacking forum. The data contained almost 2.7 billion records including 773 million unique email addresses alongside passwords those addresses had used on other breached services. Full details on the incident and how to search the breached passwords are provided in the blog post The 773 Million Record "Collection #1" Data Breach.

Compromised data: Email addresses, Passwords
Dropbox logo

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).

Compromised data: Email addresses, Passwords
Exploit.In logo

Exploit.In (unverified): In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In". The list contained 593 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I Been Pwned.

Compromised data: Email addresses, Passwords
Last.fm logo

Last.fm: In March 2012, the music website Last.fm was hacked and 43 million user accounts were exposed. Whilst Last.fm knew of an incident back in 2012, the scale of the hack was not known until the data was released publicly in September 2016. The breach included 37 million unique email addresses, usernames and passwords stored as unsalted MD5 hashes.

Compromised data: Email addresses, Passwords, Usernames, Website activity
LinkedIn logo

LinkedIn: In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.

Compromised data: Email addresses, Passwords
Nitro logo

Nitro: In September 2020, the Nitro PDF service suffered a massive data breach which exposed over 70 million unique email addresses. The breach also exposed names, bcrypt password hashes and the titles of converted documents. The data was provided to HIBP by dehashed.com.

Compromised data: Email addresses, Names, Passwords
Zynga logo

Zynga: In September 2019, game developer Zynga (the creator of Words with Friends) suffered a data breach. The incident exposed 173M unique email addresses alongside usernames and passwords stored as salted SHA-1 hashes. The data was provided to HIBP by dehashed.com.

Compromised data: Email addresses, Passwords, Phone numbers, Usernames


De reden waarom ik van Troy (nog) geen antwoord heb ontvangen is simpel, hij voelt nattigheid.

Wie bepaald wat gevoelige data is? Is een lek op de christenunie.nl gevoellig of niet, handig alvast om te weten dat iemand een Dropbox account heeft, nu nog even kijken of ik een wachtwoord ergens kan ontfutselen. Ach god, een man van 65 die op een pets site zit die eigenlijk voor kleuters is.

De AP heeft het te druk en een capaciteits probleem:


Op 10 oktober 2020 heeft de Autoriteit Persoonsgegevens (AP) uw klacht over xxxxxxxx ontvangen. Vanwege de grote drukte bij de AP heeft het contact met u helaas langer geduurd dan de bedoeling is, onze excuses hiervoor. In het belang van een goede beoordeling van uw klacht heb ik nog een aantal aanvullende vragen voor u:

Probleem 1 is dus dat er websites zijn die jouw gegevens lekken.

Als "je niet wilt dat mensen weten dat je daar vertoeft":
- vertoef daar dan niet (het is enorm lastig om 100% anoniem te blijven op internet);
- of gebruik een ander e-mail adres (tip: niet van je werk en geen "wegwerp" adres [1]).

HIBP maakt het makkelijker om te checken of jouw gegevens zijn gelekt doordat je dit maar op één plaats hoeft te doen, en de door HIBP gepubliceerde wachtwoordhashes worden veel gebruikt om te controleren of gebruikers zwakke (eerder gelekte) wachtwoorden kiezen. Inderdaad kunnen ook derden (met bedoelingen die niet in jouw belang zijn) checken of jouw gegevens voorkomen bij HIBP. Echter, buiten HIBP om zijn die gegevens vaak al in het bezit van criminelen, en in een deel van de gevallen (zoals bij Facebook) hebben criminelen die gegevens al langer in hun bezit. Al met al wegen de voordelen van HIBP m.i. ruimschoots op tegen mogelijke nadelen.

[1] https://www.security.nl/posting/693194/Spammers+op+dood+spoor#posting693316

Want als de dataset alleen in handen is van criminelen kan die check niet?

Troy is juist goed bezig en privacy zit best ingebakken, lees vooral eens goed hoe het werkt en dat je beschreven case dus niet kan.

Alsof je dat zelf niet kan beantwoorden. Op HIBP bepaalt Troy Hunt wat hij als gevoelig aanmerkt en afschermt.

Dat meldde ik er ook al bij. Je eigen reactie geeft aan dat klachten uiteindelijk wel behandeld worden. Als je vindt dat HIBP een klacht verdient dan is het erg jammer dat die vertraging er is, maar als je het dan maar niet meldt dan weet je zeker dat je klacht nooit aan bod komt.

Maar misschien is het lekkerder om op een website die maar door een vrij klein publiek gelezen verontwaardigd te doen dan om te handelen naar je overtuiging.

Op 10 oktober 2020 heeft de Autoriteit Persoonsgegevens (AP) uw klacht over Parkmobile ontvangen. Vanwege de grote drukte bij de AP heeft het contact met u helaas langer geduurd dan de bedoeling is, onze excuses hiervoor. In het belang van een goede beoordeling van uw klacht heb ik nog een aantal aanvullende vragen voor u:

Ik kan zelf gelukkig putten uit een oneindig aantal e-amil adressen maar niet iedereen weet/doet dat, over mij zal je nagenoeg niks vinden op internet ook niet al weet je NAW/email/telefoonnummer etc. van mij. Ik was me in 1996 al bewust van een aantal van de gevaren van het internet, dat is alleen maar erger geworden.


HIBP maakt het gemakkelijker om te checken of iemands gegevens zijn gelekt ..... etc.
Dat de gegevens al in bezit zijn van criminelen doet niet ter zake, HIBP geeft aan iedereen informatie over een e-mail account waar niemand anders iets mee te maken heeft.

Enfin, kennelijk ben ik e e n van de weinigen die hierin een probleem ziet.

Bedankt voor jullie reacties.

Ik snap simpelweg de stelling niet

Ah, jij bent belangrijk!

Of misschien zijn er op de wereld wel 4,7 miljard mensen met internettoegang en levert zelfs de kleine fractie daarvan die zich geroepen voelt te laten weten het er niet mee eens te zijn al zoveel e-mails op dat het voor één persoon ondoenlijk is om die allemaal te beantwoorden. Vragen waarop de antwoorden in zijn FAQs en blogposts terug te vinden zijn zullen dan niet de hoogste prioriteit krijgen.

Het is volkomen duidelijk dat je het grondig oneens bent met wat hij doet en hoe hij het doet, maar dat wil niet zeggen dat een uitleg die je van hem zou ontvangen iets niews zou bevatten, en dan voegt het niets toe aan wat er al in de genoemde FAQs en blogposts te vinden is.

Ik heb een suggestie voor je. Er zijn in Nederland en wereldwijd eindeloos veel juristen die op websites allerlei artikelen en blogs publiceren over de juridische aspecten van hoe het internet in elkaar zit en hoe het zich ontwikkelt. Ga eens zoeken naar juristen die over HIBP schrijven en kijk eens of je er kan vinden die stellen dat die website iets onrechtmatigs doet. Ik heb dat ooit wel eens geprobeerd, toen iemand (jij?) op deze website zich over HIBP beklaagde. Ik heb toen alleen voorbeelden gevonden van juristen die HIBP aanbevolen.

Kijk eens of jij juristen kan vinden die jouw gelijk bevestigen. Zo ja, post dan hier de links. Zo nee, ga je dan eens afvragen of het ontbreken van afkeuring door juristen misschien een indicatie dat er juridisch gezien niets mis mee is en dat jouw begrip daarvan gebrekkig is.

@13:41

Er zijn talloze juristen en zelfs rechters bezig geweest met de toeslagenaffaire, de rest is geschiedenis.

Er is niks mis met gays, bisexuelen of transgenders. En mocht dat wel een probleem zijn, dan woont u waarschijnlijk in een ander land met een ouderwetse instelling maar niet het Westen anno 2021.

Ik vind het dan ook belachelijk dat dit als voorbeeld wordt gebruikt om een punt te maken. Een enge mindset.

De toeslagenaffaire heeft geen donder te maken met dit onderwerp. Wat juristen er al dan niet over te melden hebben is wel degelijk relevant.

eehm. 200 jaar geleden gooide we hier in het verlichte westen ook de heksen in een put, en 80 jaar geleden hielden we bij wie joods was en wie niet, omdat die informatie geen kwaad kon om te noteren.
Dat er niks mis is met wie of hoe ik ben op dit moment, op deze plek, met deze mensen, wil niet zeggen dat dat zo blijft.

en verder is Troy goed bezig, hij informeert iedereen over data die daarvoor alleen bekend was bij slechterikken.
als je een wachtwoord reset aanvraagt bij veel websites, geven die ook aan dat er een reset verzonden is naar het mailadres, OF dat het adres niet bekend is. en daarmee weet ook iedereen of je wel of niet ingeschreven bent.

het is wat dat internet.

Helaas is deze stelling, ook in Nederland niet juist. Genoeg 'groepen' in Nederland die hier een afkeur van hebben en dit met regelmaat kenbaar maken.
Alleen in de MSM komt dit maar zeldzaam naar boven, het zou maar eens negatief afstralen op deze 'groep', moeten we natuurlijk helemaal niet willen.

Da's een goeie, dank! Speelt dit bij veel websites dat je weet?

Websitebouwers horen hun sites geen uitsluitsel te laten geven of een account bestaat, en zouden dus iets moeten melden als volgt:
Die melding zou meteen gegeven moeten worden, d.w.z. er mag geen tijdverschil zijn bij bestaande versus niet-bestaande accounts.

Ook is het belangrijk dat een hierbij gebruikte "URL Token" of tijdelijk wachtwoord niet te raden en/of in korte tijd te brute-forcen is (je moet er altijd vanuit gaan dat een aanvaller weet hoe iemands accountnaam luidt op een site). Veel soorten GUID's zijn onvoldoende onvoorspelbaar!

Zie https://cheatsheetseries.owasp.org/cheatsheets/Forgot_Password_Cheat_Sheet.html voor best practices en valkuilen.

Users die ongevraagd een wachtwoord-reset-e-mail ontvangen (is mij nog nooit overkomen) weten dus dat iemand anders aan het checken is of zij een account hebben op een specifieke website. Wellicht een goed moment om daar dan meteen een random gegenereerd wachtwoord uit een wachtwoordmamager op te zetten...

Het gaat NIET over welke seksuelevoorkeur of welk gedachtengoed/geloof, het gaat er over dat mensen op deze manier simpel bepaalde zaken over jou te weten kunnen komen waarvan jij mogelijk helemaal niet wilt dat mensen uit jouw omgeving dat weten.

Het is pas eng dat mensen voorbeelden uit hun veband trekken en niet meer begrijpen wat er bedoeld wordt.

Ik wil helemaal niet dat mensen weten dat ik eigenlijk Uggs koop en daar 's avonds mee op de bank zit.

Je hebt er geen problemen mee dat HIBP gegevens verstrekt maar ziet wel een probleem als een website zelf aangeeft of een email in gebruik is? [:confused icon:]