Wenn eine E-Mail-Adresse in der Datenbank auftaucht, muß das übrigens nicht unbedingt etwas heißen. Schließlich gibt es auch eine Reihe eher unseriöse bis illegale Webseiten, die den Besitz einer E-Mail-Adresse nicht überprüfen, so daß sich jeder dort mit einer fremden E-Mail anmelden könnte. Gerade solche Webseiten werden aber verstärkt gehackt oder verkaufen auch Daten.
Solange diese Abfragen bei haveibeenpawned.com oder HPI keine Details liefern, kann man mit den Infos nicht viel anfangen außer eher grundlos in Panik zu verfallen. Berechtigt dürfte die Panik nur sein, wenn man Passwörter für Foren auch für Microsoft, Google, Facebook, Amazon, usw. verwendet. Bei den großen Anbietern kann man sicher sein, daß diese Passwörter nur in Form eines Hash speichern, so daß ein Diebstahl dort folgenlos wäre, wenn beim Hashen kein Mist gebaut wurde.
Eine genauere Überprüfung wäre möglich, wenn diese Anfragen über die Felder Passwort, Name, usw. mehr als ein Betroffen liefern würden. Beispielsweise könnten die den ersten und/oder letzten Buchstaben oder die Länge mitteilen. Das würde im Fall einer unberechtigten Abfrage nichts offenbaren, würde aber dem Besitzer der E-Mail ermöglichen die Gefährdung genauer abzuschätzen.
Von meinen E-Mail-Adressen befinden sich mehrere in diesen Datenbanken, aber laut haveibeenpawned.com keines meiner Passwörter, die ich für derartig unsicherer Seiten verwendet habe.