124 miljoen wachtwoorden die zijn gestolen door infostealer-malware, alsmede 56 miljoen e-mailadressen van gecompromitteerde accounts, zijn toegevoegd aan datalekzoekmachine Have I Been Pwned (HIBP). Dat heeft HIBP-oprichter Troy Hunt bekendgemaakt. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt.

De nu toegevoegde e-mailadressen en wachtwoorden werden gevonden in zogenaamde "stealer logs". Dit zijn bestanden die door infostealer-malware worden aangemaakt. Deze bestanden bevatten de naam van de websites waarop slachtoffers inloggen, plus bijbehorende gebruikersnaam en wachtwoord. Infostealers zijn malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens. De gestolen data wordt in een bestand verzameld en naar de aanvaller teruggestuurd. Vervolgens verschijnt de data op Telegram, forums of andere kanalen. Onderzoekers en securitybedrijven weten geregeld dergelijke logs te achterhalen en kunnen die dan delen met HIBP.

Van de 56 miljoen in de stealer logs gevonden e-mailadressen was 86 procent al via een ander datalek bij Have I Been Pwned bekend. Naast de zoekmachine voor gecompromitteerde e-mailadressen biedt HIBP ook een dienst genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. In de stealer logs werden 124 miljoen unieke wachtwoorden gevonden die nu aan Pwned Passwords zijn toegevoegd.