Pwned, ou Have I Been Pwned (HIBP), est un site Web qui permet aux internautes de vérifier si leurs données personnelles ont été compromises par des violations de données. Il collecte et analyse des centaines de vidages et de pâtes de bases de données contenant des informations sur des milliards de comptes ayant fait l'objet d'une fuite. Les utilisateurs peuvent rechercher leurs propres informations en saisissant leur nom d'utilisateur ou leur adresse e-mail et s'inscrire pour être averti si leur adresse e-mail apparaît dans de futurs vidages.
Le terme pwned provient d'un terme script kiddie et est une dérivation du mot possédé, expliquée par la proximité des touches p et o sur un clavier d'ordinateur. Pwned est utilisé pour impliquer que quelqu'un a été compromis ou contrôlé d'une manière ou d'une autre.
Have I Been Pwned a été créé par Troy Hunt, un expert en sécurité Web qui a passé son temps à analyser les violations de données à la recherche de tendances et de modèles. Il a créé HIBP après une faille de sécurité d'Adobe Systems en octobre 2013, lorsque 153 millions de comptes ont été affectés. En décembre 2013, HIBP a été lancé avec cinq violations de données répertoriées: Adobe Systems, Stratfor, Gawker, Yahoo! Voices et Sony Pictures. Depuis lors, certaines des plus grandes failles de l'histoire d'Internet ont été ajoutées, notamment Myspace, Zynga, Adult Friend Finder et Ashley Madison.
En août 2017, Hunt a rendu 306 millions de mots de passe publics et accessibles via une recherche sur le Web. Désormais, plus de 500 millions de mots de passe qui ont déjà été exposés lors de violations de données peuvent être téléchargés en masse. Cette exposition permet aux utilisateurs de vérifier si leurs mots de passe ont été compromis dans le passé et les rend impropres à une utilisation continue car ils courent un risque beaucoup plus grand. Rendre les mots de passe publics décourage les utilisateurs de réutiliser les mots de passe, une action qui peut sembler pratique, mais qui est risquée et pourrait conduire à des cyberattaques telles que le bourrage d'informations d'identification.