cyberbezpieczeństwo edukacja

Czy Twoje Dane Wyciekły? 7 Darmowych Narzędzi

Zespół clev.one
8 min czytania
Czy Twoje Dane Wyciekły? 7 Darmowych Narzędzi

Każdego roku miliardy rekordów — adresy e-mail, hasła, numery PESEL, dane kart kredytowych — trafiają na fora darknetowe i w ręce zorganizowanych grup cyberprzestępczych. Po każdym głośnym wycieku Polacy masowo szukają „czy moje dane wyciekły” i „jak sprawdzić wyciek danych”.

Ten poradnik prezentuje 7 sprawdzonych, bezpłatnych narzędzi do weryfikacji wycieku, procedury reagowania krok po kroku oraz strategie prewencyjne — w tym canary tokens jako warstwę aktywnej obrony.

Dlaczego to takie ważne? Koszty wycieków w liczbach

Średni globalny koszt naruszenia danych w 2024 roku wyniósł 4,88 mln USD (raport IBM / Ponemon Institute). W USA rekordowe 10,22 mln USD, w sektorze medycznym — 7,42 mln USD. Choć koszty naruszeń w Polsce są niższe, dynamicznie rosną.

Kluczowe statystyki:

  • 86% firm po naruszeniu raportuje głębokie zakłócenia operacyjne (przestoje, wstrzymanie sprzedaży)
  • Średni cykl życia naruszenia to 277 dni — od włamania do wykrycia
  • Kradzież poświadczeń (login + hasło) odpowiada za 19% wszystkich naruszeń
  • Phishing to wektor inicjujący 16% ataków — zobacz anatomię wycieku danych

Większość ataków zaczyna się od przejęcia danych uwierzytelniających jednej osoby — pozyskanych ze wcześniejszych, słabo zabezpieczonych baz. Dlatego regularne sprawdzanie, czy Twoje dane nie wyciekły, to absolutna podstawa higieny cyfrowej.

7 darmowych narzędzi do sprawdzenia wycieku danych

1. Have I Been Pwned (HIBP) — globalny standard

Stworzona w 2013 roku przez Troya Hunta platforma Have I Been Pwned to największy niezależny agregator danych z naruszeń. Baza obejmuje miliardy skompromitowanych kont z setek incydentów.

Polacy często szukają „haveibeenpwned po polsku” — interfejs jest anglojęzyczny, ale obsługa intuicyjna. W bazie znajdują się dane z polskich platform, w tym e-commerce i lokalnych forów. W samej kampanii z 2023 roku zidentyfikowano 6,3 mln par e-mail-hasło skradzionych przez malware typu stealer.

Jak działa: Wpisujesz e-mail → system sprawdza bazę → dostajesz listę wycieków (w jakim serwisie, kiedy, jakie dane). Komunikat „Oh no — pwned!” oznacza, że Twoje dane figurują w znanych wyciekach.

Pwned Passwords — szczególnie wartościowa funkcja. Pozwala sprawdzić, czy Twoje hasło wyciekło, bez wysyłania go na serwer. System wykorzystuje model k-anonimowości: przeglądarka wysyła tylko pierwsze 5 znaków hasha hasła, resztę porównuje lokalnie. Hasło zweryfikowane pozytywnie w tej bazie należy natychmiast zmienić.

2. BezpieczneDane.gov.pl — polska infrastruktura rządowa

Serwis uruchomiony przez Ministerstwo Cyfryzacji i NASK. Zyskał ogromny priorytet po wycieku z laboratoriów ALAB, w wyniku którego upubliczniono wyniki badań, adresy i numery PESEL setek tysięcy pacjentów.

Kluczowa różnica: Wymaga uwierzytelnienia przez Profil Zaufany, mObywatel, bankowość elektroniczną lub e-dowód. To zabezpieczenie przed masowym skanowaniem danych obywateli przez osoby nieuprawnione.

Jak działa: Logujesz się → wpisujesz e-mail, login lub PESEL → system krzyżowo weryfikuje z bazami CERT Polska (dane ze stealerów, ransomware). Czerwony wykrzyknik = kompromitacja danych.

3. Mozilla Monitor — monitoring do 20 adresów e-mail za darmo

Wcześniej Firefox Monitor. Wykorzystuje bazę Have I Been Pwned, ale dodaje własną warstwę monitoringu. Płatna usługa Monitor Plus (usuwanie danych z baz brokerów) została wygaszona w grudniu 2025 — Mozilla skupiła się na darmowych alertach.

Co oferuje w 2026:

  • Monitoring do 20 adresów e-mail bezpłatnie (jedno konto Mozilla)
  • Automatyczne alerty push przy nowych wyciekach
  • Instrukcje mitygacji krok po kroku, dostosowane do specyfiki incydentu
  • Pogłębione informacje: czy wyciekły dane finansowe, hasła czy dane demograficzne

4. Google Password Checkup — natywna integracja w Chrome/Android

Wbudowane narzędzie Google porównujące zapisane hasła z bazą ponad 4 miliardów skompromitowanych rekordów.

Dostęp: myaccount.google.com → Bezpieczeństwo → Menedżer Haseł, lub ustawienia autouzupełniania w Android.

System kategoryzuje hasła w trzy grupy:

  • Naruszone — obecne w globalnych wyciekach. Chrome od 2024 roku oferuje zmianę hasła jednym kliknięciem w obsługiwanych witrynach
  • Używane wielokrotnie — to samo hasło na wielu stronach. Identyfikator użyty na 15 stronach traci wartość ochronną, gdy jedna z nich padnie ofiarą wycieku
  • Słabe — wzorce klawiaturowe (qwerty), frazy słownikowe, krótkie ciągi

Hasła nie są wysyłane na serwery Google w postaci jawnej — porównanie odbywa się lokalnie z użyciem szyfrowania.

5. DeHashed.com — zaawansowany OSINT

Silnik analizy danych oparty na technikach białego wywiadu (OSINT) z bazą przekraczającą 13 miliardów zdeduplikowanych rekordów z clear-webu i deep-webu. Używany przez analityków bezpieczeństwa korporacyjnego i badaczy fraudów.

Darmowy poziom: Wyszukiwanie po e-mailu, username, a nawet adresie IP. Wynik wskazuje, ile razy i w jakich incydentach dany identyfikator został zlokalizowany. Wartości haseł są zamaskowane — pełne odblokowanie wymaga subskrypcji. Ale sama informacja o wystąpieniu w bazie wystarczy, by zmienić hasła.

6. CyberNews Personal Data Leak Checker

Platforma, która jako pierwsza ujawniła kompilację COMB (Compilation of Many Breaches) — 3,2 miliarda unikalnych par e-mail-hasło z setek naruszeń. Indeks w 2026 roku liczy od 15 do 18,6 miliarda rekordów z ponad 36 tysięcy zidentyfikowanych naruszeń.

Wyróżniki: Możliwość sprawdzenia numeru telefonu (format międzynarodowy), deklarowana polityka zero-logging (nie przechowuje wyszukiwanych adresów). Specjaliści rekomendują CyberNews jako krzyżowe sprawdzenie wyników z HIBP.

7. Intelligence X i LeakCheck — przeszukiwanie darknetu

Intelligence X — wyszukiwarka i archiwum danych pozwalające na przeszukiwanie sieci Tor, I2P oraz publicznych wycieków po e-mailu, domenie, a nawet adresie Bitcoin. Model freemium.

LeakCheck — przeszukiwanie baz po e-mailu i username z automatycznymi raportami przez API i boty komunikatorów. Popularne wśród badaczy bezpieczeństwa.

Porównanie narzędzi — tabela zbiorcza

Narzędzie Unikalne funkcje (darmowe) Automatyczne alerty Specjalizacja
HaveIBeenPwned Pwned Passwords (k-anonymity), weryfikacja Pastes Tak Globalny standard
BezpieczneDane.gov.pl Skanowanie PESEL, uwierzytelnienie rządowe Nie Polskie wycieki
Mozilla Monitor Monitoring 20 adresów e-mail, instrukcje mitygacji Tak Proaktywne alerty
Google Password Checkup Natywna integracja Chrome/Android, kategoryzacja haseł Tak Ekosystem Google
DeHashed Wyszukiwanie po IP i username, dark-web Nie OSINT
CyberNews Skanowanie numerów telefonów, 18B+ rekordów Nie Krzyżowa weryfikacja
Intelligence X / LeakCheck Przeszukiwanie Tor/I2P, domeny, krypto Nie Zaawansowany OSINT

Co zrobić gdy Twoje dane wyciekły — procedura krok po kroku

Krok 1: Zmiana haseł — ale właściwa

Zapomnij o „P@ssw0rd123!” — zautomatyzowane narzędzia łamią takie hasła w sekundy. W 2026 roku NIST promuje długość, nie złożoność.

Frazy hasłowe (passphrases): Długie ciągi losowych słów, np. „Moje-Koty-Lubia-Szybki-Internet-2026”. Minimum 16 znaków dla usług finansowych.

Menedżery haseł: Bitwarden (darmowy), 1Password, Dashlane — generują unikalne hasło dla każdej strony, szyfrują AES-256, architektura zero-knowledge (nawet dostawca nie widzi Twoich haseł).

Krok 2: Włącz MFA — ale nie SMS

Kody SMS są podatne na ataki SIM swapping. Standard w 2026 to:

  • TOTP — Google Authenticator, Authy (kody czasowe)
  • FIDO2/WebAuthn — klucze sprzętowe YubiKey
  • Passkeys — biometria urządzenia, standard FIDO Alliance. Odporne na phishing i wycieki haseł

Krok 3: Jeśli wyciekł PESEL — zastrzeż natychmiast

Przestępcy wykorzystują PESEL do wyłudzeń: chwilówki online, zakup towarów na raty, tworzenie fałszywych spółek.

Zastrzeżenie PESEL: Zaloguj się do mObywatel → moduł „Zastrzeż PESEL” → jednym kliknięciem blokujesz możliwość zaciągnięcia pożyczki na Twoje dane. Taka blokada zdejmuje z Ciebie odpowiedzialność finansową.

Alerty BIK: Aktywuj pakiet powiadomień SMS w Biurze Informacji Kredytowej. Każde sprawdzenie Twojego rejestru kredytowego przez pożyczkodawcę generuje alert — masz minuty na reakcję.

Obowiązki firm i Twoje prawa — RODO w praktyce

Co musi zrobić firma po wycieku

Art. 33 RODO: administrator danych ma 72 godziny od stwierdzenia naruszenia na zgłoszenie do UODO. Dotyczy to ataków hakerskich, ransomware, a nawet pomyłkowego wysłania listy klientów na błędny adres.

Zwolnienie z obowiązku zgłoszenia jest możliwe wyłącznie gdy analiza ryzyka wykaże, że incydent nie narusza praw osób fizycznych — np. skradziono sprzęt z bazą zaszyfrowaną szyfrowaniem wojskowym, a klucze nie wpadły w ręce intruza.

Przy wysokim ryzyku firma musi dodatkowo powiadomić wszystkich poszkodowanych (art. 34 RODO) i podać dane kontaktowe Inspektora Ochrony Danych.

Więcej o procedurach zgłoszeniowych w artykule case study: zgłoszenie naruszenia do UODO.

Twoje prawa jako osoby poszkodowanej

  1. Żądanie informacji (art. 15 RODO) — firma ma miesiąc na odpowiedź
  2. Prawo do bycia zapomnianym (art. 17 RODO) — żądanie usunięcia danych
  3. Skarga do UODO — bezpłatna, przez biznes.gov.pl lub ePUAP. UODO prowadzi dochodzenie i może nałożyć karę do 4% globalnego przychodu
  4. Pozew cywilny (art. 82 RODO) — odszkodowanie majątkowe + zadośćuczynienie za szkodę niemajątkową (stres, utrata reputacji)

Statystyki 2025 roku pokazują 40-procentowy wzrost skarg do UODO — i rosnącą liczbę pozwów cywilnych.

Aktywna prewencja — canary tokens jako warstwa obrony

Tradycyjne reagowanie działa zbyt późno — gdy dane są już na forach darknetu. Znacznie skuteczniejsze podejście to aktywna obrona (Active Defense) z wykorzystaniem canary tokens.

Nazwa nawiązuje do górniczej tradycji — kanarki w kopalni reagowały na bezwonne gazy szybciej niż ludzie, dając czas na ucieczkę. W świecie cyfrowym canary tokens to spreparowane pliki (PDF, Word, Excel, klucze AWS, fałszywe loginy) umieszczone tam, gdzie intruz ich szuka. Nie wpływają na codzienną pracę — ich jedynym celem jest wykrycie nieautoryzowanego dostępu.

Jak to działa:

  1. Generujesz token na canarytokens.org — np. plik „Zestawienie_Wynagrodzen_2026.xlsx”
  2. Umieszczasz go w folderze sieciowym, na dysku chmurowym, w archiwum
  3. Gdy ktokolwiek otworzy ten plik — natychmiast dostajesz alert (e-mail, Slack, webhook)
  4. Alert zawiera IP, geolokalizację, User-Agent — wiesz kto, skąd i kiedy

System generuje praktycznie zero fałszywych alarmów — prawidłowo przeszkolony personel nie otwiera plików-pułapek. Wykrywa zarówno ataki zewnętrzne, jak i zagrożenia wewnętrzne (insider threats).

Dla firm to radykalna zmiana — z pasywnego oczekiwania na powiadomienie o wycieku do aktywnego wykrywania intruza w sekundach, zanim dojdzie do eksfiltracji danych. Więcej o technologii w artykule architektura decepcji — honeytokeny.

Średni dwell time (czas od włamania do wykrycia) bez systemów detekcji to miesiące. Z canary tokens — sekundy.

Podsumowanie — plan działania

Oczekiwanie na powiadomienie o wycieku ze strony firmy to błąd. Od kradzieży bazy do jej eksploatacji atakami credential stuffing mijają minuty.

Twój plan na dziś:

  1. Sprawdź swoje adresy e-mail w HaveIBeenPwned i na BezpieczneDane.gov.pl
  2. Zarejestruj monitoring w Mozilla Monitor (do 20 adresów za darmo)
  3. Uruchom Google Password Checkup — zmień wszystkie naruszone i powtórzone hasła
  4. Wdróż menedżer haseł (Bitwarden jest darmowy) i MFA na kluczowych kontach
  5. Jeśli wyciekł PESEL — zastrzeż w mObywatel i aktywuj alerty BIK
  6. Dla firmy — rozważ canary tokens jako warstwę wczesnego ostrzegania
  7. Sprawdź checklistę NIS2 — nowe wymogi mogą dotyczyć Twojej organizacji

Sprawna obrona informacyjna musi być ciągłym procesem. Prewencja zawsze będzie tańsza, szybsza i mniej dewastująca niż odbudowa reputacji po wycieku.

Chcesz wykrywać nieautoryzowany dostęp do danych w sekundach — zanim stanie się publicznym wyciekiem? Zapisz się na listę oczekujących clev.one — system wczesnego ostrzegania oparty na canary tokens dla polskich firm.

Tagi: #MŚP #RODO #phishing #canary-tokens #uodo

Chcesz chronić swoje dane?

Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.

Zapisz się teraz