1. Dem BSI hat offensichtlich jemand aus Foren stammende Listen mit Mailaddressen-Passwort-Paaren zugeschickt. (Oder es ist auf andere Weise da heran gekommen.)

2. Das BSI gibt zur Herkunft nichts an - angeblich um Ermittlungen nicht zu behindern.

3. Das BSI hat die Mailadressen gehascht und in einer Datenquelle gespeichert.

4. Das BSI hat eine Webseite eingerichtet, wo man eine Mailadresse eingeben kann, das wird inzwischen scheinbar auf zwei Servern gehostet.

Die machen folgendes:

-- 1) Die eingegebene Mailadresse wir gehasht in einem FIFO-Puffer nebst einem halbwegs brauchbaren Identifizierungscode für die Antwort per Mail gespeichert.
-- 3) "Danke, wir mailen Sie mit dem Identifizierungscode an-Seite" wird ausgesendet.

5. Es lauft (wo auch immer) ein weiterer Prozess:
   -- 1) Es wird dem Puffer eine gehashte Mailadresse entnimmen, geschaut, ob dieser Hash in der Datentabelle vorkommt und das versprochene Mail gesendet - wenn nicht nicht.

Dabei gibt es aber ein paar höchst fragwürdige, vom BSI verursachte Umstände hinsichtlich der Performance.

Jörg Reinholz