Het van oorsprong Amsterdamse informatiebedrijf Bureau van Dijk lekte eind 2021 bijna 28 miljoen e-mailadressen, die nu aan Have I Been Pwned zijn toegevoegd. Bureau van Dijk verzamelt, bewerkt, standaardiseert en verspreidt gegevens over bedrijven. De informatieleverancier werd in 2017 voor drie miljard euro door de Amerikaanse kredietbeoordelaar Moody's overgenomen.

Twee jaar geleden wisten aanvallers toegang te krijgen tot een 426 gigabyte grote database van het bedrijf, die vervolgens op internet te koop aangeboden. Het betreft honderden miljoenen regels data over bedrijven en personen, waaronder persoonlijke informatie zoals namen, geboortedata. Volgens Have I Been Pwned gaat het verder om 28 miljoen unieke e-mailadressen, samen met adresgegevens (van vermoedelijk bedrijfslocaties), telefoonnummers en functietitels.

De gestolen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de 28 miljoen gestolen e-mailadressen was 46 procent al via een ander datalek bij de zoekmachine bekend.