Nem mondta senki, hogy a hash megoldás rossz az ellenőrzésre és jogilag is megfelelő, szerintem ebben senki nem kételkedett, én sem. Onnan indultunk, hogy a haveibeenpwned tárolja-e az eredeti adatot, vagy csak hasht. Ha a "hash"-elt adatból tud neked bármilyen domain kérésre előállítani email címlistát, az már nem a pontos adat ellenőrzése. Tud előállítani ilyet, emiatt jó eséllyel nem hash listája van, hanem az eredeti adatot is tárolja (nem tudom, csak feltételezem, lehet "hash"-ből elő tudja állítani az eredeti email címet ellenőrző input nélkül, de az mint írtam, már nem hash:). Ne láss bele te sem ennél többet.