Website Have I Been Pwned heeft een nieuwe mijlpaal bereikt, de website heeft het duizendste datalek geregistreerd. Volgens oprichter Troy Hunt doen bedrijven er steeds langer over om slachtoffers van datalekken te informeren. Have I Been Pwned werd eind 2013 gelanceerd. Via de website kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Het gaat dan om datasets van gestolen gegevens die bijvoorbeeld door criminelen op internet worden gepublcieerd.

Inmiddels zijn er e-mailadressen van duizend 'pwned websites' aan de zoekmachine toegevoegd. In totaal gaat het om 17,5 miljard 'pwned accounts'. De grootste datalekken werden vastgesteld bij Facebook, MySpace, Wattpad, NetEase, Deezer en Twitter. Bij elk van deze diensten wisten aanvallers gegevens van meer dan tweehonderd miljoen accounts te stelen. In het geval van Facebook ging het zelfs om bijna 510 miljoen accounts. Het duizendste datalek komt op naam van 'car-shopping platform' Edmunds, waar de criminele groepering ShinyHunters gegevens van 178.000 mensen buitmaakte.

Onderzoeker en Have I Been Pwned (HIBP)-oprichter Troy Hunt merkt op dat bedrijven steeds langer de tijd nemen om slachtoffers van een datalek te informeren. Bedrijven geven als reden dat ze eerst de aard en omvang van de gestolen data willen vaststellen voordat ze personen kunnen informeren. Hunt hekelt deze houding, omdat het suggereert dat er ook geen vroege waarschuwing kan worden gestuurd totdat de volledige impact duidelijk is, iets wat niet veel moeite voor een bedrijf zou moeten zijn, aldus de HIBP-oprichter.

Hunt vermoedt dat bedrijven de bekendmaking van een datalek bewust uitstellen om class action rechtszaken te voorkomen. "Dit gaat niet over de klant op de eerste plek zetten, het gaat over het beschermen van de organisatie", merkt de onderzoeker op. Hij stelt dat de verantwoordelijkheid van bedrijven in de eerste plaats bij de aandeelhouders ligt en dat die niet blij zijn met rechtszaken.