🔍 Jak sprawdzić, czy hasło wyciekło

3 darmowe sposoby weryfikacji + plan awaryjny po wykryciu wycieku.

Sprawdź na haveibeenpwned.com (HIBP)

  1. Wejdź na stronę haveibeenpwned.com — to najpopularniejsza darmowa baza wycieków.
  2. Wpisz swój adres e-mail w pole wyszukiwania.
  3. Strona pokaże listę wszystkich wycieków, w których pojawił się Twój e-mail.
  4. Sprawdź, jakie dane wyciekły (samo hasło, dane karty, PESEL).
  5. Sprawdź również numery telefonów (zakładka 'Phones') i hasła (Passwords).

Sprawdź konkretne hasło

  1. Na haveibeenpwned.com/Passwords wpisz swoje hasło.
  2. Strona używa technologii k-anonimizacji — Twoje hasło NIE jest wysyłane w całości.
  3. Wynik pokaże, ile razy hasło pojawiło się w wyciekach.
  4. Jeśli >0 — natychmiast je zmień we WSZYSTKICH serwisach, gdzie go używasz.
  5. Alternatywa: 1Password Watchtower i Bitwarden Reports same skanują Twoje hasła.

Powiadomienia o przyszłych wyciekach

  1. Na HIBP wybierz 'Notify me' — wpisz e-mail, dostaniesz alert przy nowym wycieku.
  2. Firefox Monitor (monitor.mozilla.org) — alerty od Mozilli na bazie HIBP.
  3. Google → Konto → Bezpieczeństwo → Sprawdzanie haseł — sprawdza zapisane w Chrome.
  4. Apple → Ustawienia → Hasła → Zalecenia bezpieczeństwa — robi to samo dla iCloud Keychain.
  5. Bitwarden / 1Password — wbudowany monitoring wycieków przy haśle premium.

Co zrobić po wycieku — natychmiast

  1. Zmień hasło w serwisie, z którego wyciekło — najpierw to.
  2. Zmień hasło wszędzie tam, gdzie używałeś tego samego hasła.
  3. Włącz 2FA na wszystkich kluczowych kontach (mail, bank, social media).
  4. Sprawdź ostatnie logowania w mailu i banku — czy nie ma nieznanych adresów IP.
  5. Wyloguj wszystkie sesje (większość serwisów ma 'Wyloguj na wszystkich urządzeniach').

Co jeśli wyciekły dane karty lub PESEL?

  1. Karta płatnicza: zastrzeż natychmiast w aplikacji banku lub przez infolinię.
  2. PESEL: zastrzeż w aplikacji mObywatel (Zastrzeż PESEL) — chroni przed wzięciem kredytu.
  3. Sprawdź BIK (raz w roku za darmo na bik.pl) i raporty CRIF, KRD.
  4. Zgłoś incydent na policji — przyda się do reklamacji w banku.
  5. Złóż zawiadomienie do CERT Polska (incydent.cert.pl).

Profilaktyka — żeby nie wyciekło ponownie

  1. Używaj UNIKALNEGO hasła w każdym serwisie — menedżer haseł generuje za Ciebie.
  2. Włącz 2FA wszędzie, gdzie się da (najlepiej aplikacja TOTP, nie SMS).
  3. Nie podawaj prawdziwego e-maila wszędzie — używaj aliasów (np. SimpleLogin, Apple Hide My Email).
  4. Sprawdzaj HIBP raz w miesiącu albo włącz powiadomienia.
  5. Aktualizuj system i aplikacje — większość wycieków zaczyna się od dziurawej aplikacji.

Najczęściej zadawane pytania

Czy haveibeenpwned.com jest bezpieczne?

Tak, prowadzony przez Troya Hunta (uznany ekspert), współpracuje z FBI i Mozillą. Nie zapisuje haseł — używa hashy i k-anonimizacji.

Co to jest k-anonimizacja?

Mechanizm wysyłania pierwszych 5 znaków SHA-1 hasła, a serwer odsyła wszystkie dopasowania. Twoje hasło nigdy nie opuszcza komputera.

Hasło wyciekło — czy ktoś już ma dostęp do mojego konta?

Niekoniecznie. Wycieki często wypływają miesiące po incydencie. Najszybciej zmień hasło i włącz 2FA — minimalizujesz ryzyko.

Jak sprawdzić, czy mój numer telefonu wyciekł?

Na haveibeenpwned.com w zakładce 'Phones' (m.in. wyciek z Facebooka 2021 — 533 mln numerów).

Wyciekł mój PESEL — co teraz?

Zastrzeż PESEL w aplikacji mObywatel (od listopada 2023 darmowe). Bez zastrzeżenia ryzykujesz, że ktoś weźmie kredyt na Ciebie.