Quando un'azienda viene violata dagli hacker, spesso il contenuto dei suoi database si fa strada su Internet. A volte questo includerà ovviamente informazioni personali come contenuti e-mail o dati personali, ma è abbastanza comune vedere un file di testo con e-mail e password nel formato:
a.aaronson@aol.com: abcdef ... johnsmith@hotmail.com: password123johnsmith@gmail.com: hello456
Si tratta di informazioni utili per i professionisti della sicurezza per verificare se un account utilizza una password pubblicata da qualche parte in una fuga di dati. D'altra parte, i dati vengono rubati e le persone non hanno acconsentito che i loro dati vengano utilizzati per questo scopo.
Esistono servizi come Sono stato pwnato che consentono un utente per cercare questi database e scoprire se i loro dati sono inclusi in un dump di dati pubblico. Troy Hunt (che lo gestisce) ha sede in Australia, ma se il sito fosse disponibile per gli utenti in Europa, sarebbe comunque coperto dalla legislazione GDPR. HIBP utilizza password con hash per mantenere la privacy.
Ai sensi del GDPR, è legale per me come individuo tenere una copia di un database trapelato ed è legale per una società di sicurezza conservarla (o informazioni derivate da it). Vivo nel Regno Unito (in particolare in Scozia) se altre leggi sono pertinenti.