Häufig gestellte Fragen. Datenleck-Suche & Sicherheit
Aktualisiert: 03.04.2026Abseits der Arbeit interessiere ich mich stark für forensische Untersuchungen und stelle mich gerne den Herausforderungen bei Capture-The-Flag-Wettbewerben (CTF). 2017 startete ich ein Nebenprojekt namens XposedOrNot. Es begann als Möglichkeit, offengelegte Passwörter kostenlos zu sammeln und zu teilen. Mit der Zeit habe ich Daten aus öffentlichen Datenlecks zusammengetragen, und nun, mit einer Fülle von Informationen, möchte ich diese Ressource denjenigen zur Verfügung stellen, die am meisten davon profitieren können.
Mein Weg in der IT und Informationssicherheit war ungemein erfüllend, und ich setze mich dafür ein, mein Wissen und meine Erfahrung zu teilen, um eine sicherere digitale Welt für alle zu schaffen.
Die XposedOrNot-Plattform hilft Menschen herauszufinden, ob ihre E-Mail-Adresse oder ihre persönlichen Daten bei einem Datenleck kompromittiert wurden. Dieses Wissen kann Nutzer dazu bewegen, ihre Konten mit Maßnahmen wie Passwortänderungen und aufmerksamer Kontoüberwachung abzusichern.
Neben der reinen Prüfung von E-Mail-Adressen und Passwörtern ermöglicht die Website es Nutzern auch, Informationen zu Datenlecks auf Domain- oder Subdomain-Ebene zu untersuchen. Wer den Besitz seiner Domain bestätigen kann, erhält Zugang zu einer detaillierten Analyse der Datenlecks, von denen seine Nutzer betroffen waren.
Eine spannende Ergänzung unseres Tool-Angebots ist das CXO-Dashboard. Diese Funktion ist besonders hilfreich für Unternehmen und Konzerne, die mehrere Domains verwalten. Das CXO-Dashboard bietet einen einheitlichen Überblick über Datenlecks und alle zugehörigen Analysen. Diese konsolidierte Sicht kann die komplexe Aufgabe der Datenleck-Überwachung über verschiedene Domains hinweg erheblich vereinfachen und versetzt Organisationen in die Lage, Sicherheitsvorfälle effizienter und wirksamer zu verstehen und darauf zu reagieren.
Xposed (Repository auf einer einzigen Seite) enthält Details zu allen in XposedOrNot geladenen Datenlecks. Dieses Repository ist visuell ansprechend gestaltet und erleichtert das Verständnis der besonderen Merkmale jedes einzelnen Datenlecks. Wer eine einfache Auflistung in Tabellenform bevorzugt, kann die Datenleck-Seite heranziehen.
Wir haben außerdem ein nützliches Hilfsmittel geschaffen, die Privacy-Shield-Funktion, für Personen, die nicht möchten, dass ihre E-Mail-Adressen auf unserer Plattform öffentlich gesucht werden können. Dies ist besonders nützlich für alle, die Wert auf ihre Privatsphäre legen und ihre Daten schützen möchten.
Sie fragen sich vielleicht, warum Sie sich für XposedOrNot statt für andere Dienste zur Datenleck-Überwachung entscheiden sollten. Die Antwort liegt in unserem Ziel, das Bewusstsein für Datenlecks zu schärfen und Unterstützung zu bieten, um deren Auswirkungen zu verringern. Jede noch so kleine Hilfe ist ein Licht in der Dunkelheit, und wir möchten zu dieser Erhellung beitragen.
Anders als herkömmliche Überwachungsdienste, die Sie lediglich über Ihre Offenlegung und die Menge der geleakten Datensätze informieren, geht XposedOrNot einen Schritt weiter. Wir vergeben für jede E-Mail-Adresse einen Risiko-Score, weisen darauf hin, falls das Passwort im Klartext offengelegt wurde, und liefern unter anderem Informationen zu den wichtigsten Datenlecks, bei denen die E-Mail-Adresse kompromittiert wurde.
Datenlecks werden auf unserer Plattform nach Branchen klassifiziert und bieten so einen aufschlussreichen Einblick in die am stärksten betroffenen Sektoren. Unser Ziel ist es, Transparenz zu fördern und Einzelpersonen in die Lage zu versetzen, sich wirksam gegen Datenlecks zu schützen.
Außerdem habe ich eine Warnfunktion integriert, die sich für einzelne Websites und Domains aktivieren lässt, sobald diese in Datenlecks auftauchen. Dieser Dienst ist völlig kostenlos und für jeden von Nutzen – von einzelnen E-Mail-Nutzern bis hin zu Unternehmen, die besser verstehen möchten, wie anfällig ihre Nutzer für Datenlecks sind.
Darüber hinaus kann unser gesamter Datenbestand über unsere XposedOrNot-API abgefragt und in Ihre eigenen Anwendungen integriert werden. Ausführliche Anleitungen zur Verwendung der XposedOrNot-API in Ihren Projekten finden Sie in unserem API-Playground. Getreu unserem Grundsatz des freien und offenen Datenzugangs bleibt unsere API auch weiterhin vollständig kostenlos.
Abschließend möchte ich hervorheben, dass unsere Anwendung, unsere API und die zugehörigen Dateien allesamt quelloffen sind und auf GitHub gehostet werden. Dieser Open-Source-Ansatz trägt dazu bei, die Sicherheitslage der Plattform zu verbessern, und lädt zu Beiträgen aus der Öffentlichkeit ein. Ich glaube an die Kraft des kollektiven Wissens und ermutige Sicherheitsbegeisterte, Webentwickler, Designer und Datenleck-Forscher, ihre Ideen einzubringen und zusammenzuarbeiten, um XposedOrNot noch robuster, sicherer und wirksamer zu machen. Ihre Beiträge können dazu beitragen, dieses kostenlose öffentliche Angebot weiter zu stärken. Lassen Sie uns gemeinsam XposedOrNot noch besser machen!
XON verwendet ausschließlich Datenlecks, die öffentlich zugänglich gemacht wurden. Unser Ziel ist es, Einzelpersonen und Organisationen die einfache Prüfung zu ermöglichen, ob ihre persönlichen Informationen in bekannten Datenlecks offengelegt wurden, und ihnen zu helfen, Maßnahmen zum Schutz vor möglichen Schäden zu ergreifen.
Die vollständige Liste der in XposedOrNot geladenen Datenlecks ist zum einfachen Nachschlagen ausführlich auf der Xposed-Seite dokumentiert.
Um diese Frage zu beantworten: Wir speichern in XON keine Nutzerpasswörter und keine personenbezogenen Daten (PII). Wenn ein Nutzer seine E-Mail-Adresse oder seinen Domainnamen in unsere Suchmaschine eingibt, prüfen wir unsere Datenbank bekannter Datenlecks, um festzustellen, ob diese E-Mail-Adresse oder Domain von früheren Datenlecks betroffen war. Bei einer Übereinstimmung stellen wir dem Nutzer Informationen zu den konkreten Datenlecks bereit, von denen seine E-Mail-Adresse oder Domain betroffen war, sowie alle weiteren Details, die uns zu dem Vorfall vorliegen.
Wir speichern keine Informationen über Nutzersuchen, etwa die gesuchte E-Mail-Adresse oder den gesuchten Domainnamen und das Datum der Suche, und ergreifen Maßnahmen, um die Privatsphäre und Sicherheit der Daten unserer Nutzer zu gewährleisten.
Zusammengefasst: XON speichert keine Nutzerpasswörter und keine PII, und Suchanfragen werden im Arbeitsspeicher verarbeitet und niemals in identifizierbarer Form protokolliert. Zur Verbesserung des Dienstes erheben wir ausschließlich aggregierte, anonyme Nutzungsdaten.
XON kann außerdem offengelegte Passwörter prüfen. Dieser Dienst nutzt den Hash-Algorithmus SHA3-Keccak 512 , um die gesammelten Passwörter bei der Speicherung in Einweg-Hashes umzuwandeln. Mit den derzeit verfügbaren Technologien ist es höchst unwahrscheinlich, dass jemand diese SHA-3-Keccak-Hashes ohne Weiteres umkehren kann. Dies gewährleistet höchste Sicherheit für die gespeicherten Hashes.
Sehen Sie sich bitte die Beispiel-Anmeldeseite an, die die XON-Passwörter-API nutzt. Dies kann vielen Nutzern helfen, indem es sie davon abhält, alte und offengelegte Passwörter wiederzuverwenden – im Einklang mit den NIST-Richtlinien.
Wenn wir über Datenlecks berichten, möchten wir einen
umfassenden Überblick über die Arten von Daten geben, die
offengelegt wurden. Dies hilft Nutzern, die möglichen Auswirkungen
und Risiken eines bestimmten Datenlecks zu verstehen.
Um es unseren Lesern leichter zu machen, habe
ich die offengelegten Daten logisch in Kategorien
gruppiert. Nachfolgend finden Sie eine Aufschlüsselung
dieser Kategorien und der Arten von Daten, die sie
umfassen:
| Kategorie | Arten offengelegter Daten |
|---|---|
| 👤 Persönliche Identifikation | Namen, Geburtsdaten, Geschlecht, Staatsangehörigkeiten, Fotos, Profilfotos, Anreden, Spitznamen, Kfz-Kennzeichen, Social-Media-Profile, Private Nachrichten, Avatare |
| 💳 Finanzinformationen | Kontostand, Bankkontonummern, Kreditkarten |
| 🍔 Persönliche Gewohnheiten und Lebensstil | Drogenkonsum, Gesprochene Sprachen, Fahrzeugdetails, Fahrzeug-Identifikationsnummern |
| 🔒 Sicherheitspraktiken | Passwörter, Frühere Passwörter, Sicherheitsfragen und -antworten |
| 🎓 Beschäftigung und Bildung | Bewerbungen, Arbeitgeber, Berufe, Bildungsniveaus |
| 📞 Kommunikation und soziale Interaktionen | E-Mail-Adressen, Instant-Messenger-Identitäten, Telefonnummern, Private Nachrichten, Soziale Verbindungen, Social-Media-Profile |
| 🖥️ Geräte- und Netzwerkinformationen | IP-Adressen, Geräteinformationen, Browser-User-Agent-Details, Website-Aktivität |
| 🩺 Gesundheitsinformationen | Persönliche Gesundheitsdaten, Krankenversicherungsinformationen, Fitnesszustand, Rauchgewohnheiten |
| 👥 Demografie | Altersgruppe, Alter, Ethnien, Familienstand, Gesprochene Sprachen, Sexuelle Vorlieben |
| 🗳️ Politische und gesellschaftliche Ansichten | Soziale Verbindungen, Private Nachrichten |
Hinweis: Die dargestellten Daten geben nur die wesentlichen offengelegten Details wieder; nicht alle Datenarten aus Datenlecks sind enthalten. Aufgrund der manuellen Zusammenstellung können Fehler auftreten. Für Korrekturen kontaktieren Sie mich bitte.
Sie können gerne Ihre E-Mail-Adressen und Passwörter sowie die Ihrer Familie, Freunde oder Ihres engsten Umfelds prüfen – ohne jegliche Begrenzung der Anzahl der Prüfungen.
Bitte beachten Sie, dass die Verifizierung einzelner Datenlecks, die eine Website und ihre Nutzer betreffen, derzeit ein manueller Prozess ist, und wir achten mit größter Sorgfalt auf Genauigkeit.
Datenleck: Ein Datenleck ist die absichtliche oder unabsichtliche Freigabe sicherer oder privater/vertraulicher Informationen an eine nicht vertrauenswürdige Umgebung. Websites oder Online-Anwendungen, deren Daten durch externe oder interne Akteure kompromittiert und für unbefugten Zugriff im Web offengelegt/geleakt wurden.
ComboList: Eine Combo-Liste ist eine Textdatei mit einer Liste von Benutzernamen und Passwörtern in einem einheitlichen Format. Combo-Listen sind maschinenlesbar konzipiert, damit sie als Eingabe für Tools dienen können, die Authentifizierungsanfragen an eine Website oder API automatisieren.
Tags, die bei offengelegten Datenlecks verwendet werden:
Verifiziert: Datenlecks, die einzeln verifiziert und als authentische Datenlecks bestätigt wurden.
Nicht vertrauenswürdig: Datenlecks, die nicht verifiziert und nicht bestätigt sind.
Durchsuchbar: Datenlecks oder Combo-Listen, die mit einer E-Mail-Adresse öffentlich durchsucht werden können.
Sensitive-Site: Datenlecks, die aufgrund der Sensibilität der offengelegten Daten nicht öffentlich durchsucht werden können.
Die Risiko-Score-Formel berechnet einen gewichteten Offenlegungs-Risiko-Score (0–100) auf Grundlage der Arten von Daten, die über Ihre Datenlecks hinweg offengelegt wurden, angepasst durch Modifikatoren für die Aktualität des Datenlecks und die Schwere der Passwortoffenlegung.
Die Formel arbeitet in drei Schritten:
Schritt 1: Rohwert aus offengelegten Datenarten
Jede Art offengelegter Daten wird einer Risikostufe zugeordnet, und die Punkte für alle offengelegten Datenarten werden summiert:
• Kritisch (je 10 Pkt.): Passwörter, Kreditkarten, Bankkontonummern, Sozialversicherungsnummern, amtliche Ausweise, Passnummern, Auth-Tokens, Sicherheitsfragen und -antworten, Mnemonic-Phrasen
• Hoch (je 7 Pkt.): Telefonnummern, Postanschriften, Geburtsdaten, Gesundheitsdaten, Private Nachrichten, Chatprotokolle, GPS-Koordinaten, Verschlüsselte Schlüssel, Passworthinweise, Daten zur sexuellen Orientierung
• Mittel (je 4 Pkt.): Namen, Benutzernamen, E-Mail-Adressen, IP-Adressen, Arbeitgeber, Berufe, Bildungsniveaus, Fahrzeugdetails, MAC-Adressen
• Niedrig (je 1 Pkt.): Jede andere erkannte Datenart
Schritt 2: Modifikatoren
Der Rohwert wird anschließend durch Multiplikation mit den folgenden Modifikatoren angepasst:
• Häufigkeit der Datenlecks: +1 % je Datenleck mit Klartext- oder leicht zu knackenden Passwörtern über das erste hinaus (gedeckelt bei +15 %)
• Aktualität: +15 %, wenn das jüngste Datenleck innerhalb der letzten 12 Monate liegt, oder +8 %, wenn es innerhalb der letzten 24 Monate liegt
• Strafzuschlag für Klartextpasswörter: +10 %, wenn ein Datenleck Passwörter im Klartext offengelegt hat
Schritt 3: Endwert
Der Endwert wird wie folgt berechnet:
min(100, round(raw_score × modifier))Die Risikostufen werden in vier Zonen eingeteilt:
• Kritisch: 76–100 Punkte
• Hoch: 51–75 Punkte
• Mittel: 26–50 Punkte
• Niedrig: 0–25 Punkte
Dieses stufenbasierte Bewertungssystem stellt sicher, dass die Schwere der offengelegten Daten die Risikobewertung bestimmt, wobei aktuelle Datenlecks und die Offenlegung von Klartextpasswörtern zusätzlich gewichtet werden.
Die gesamte Anwendung und Website beruhen auf Open-Source-Technologie, darunter das Betriebssystem (Linux), das API-Skript (Python) und die Web-Dateien (HTML/CSS/JavaScript). Durch Zusammenarbeit und gemeinsames Wirken können wir jeden Dienst verbessern und weiterentwickeln – Open Source ist der Weg in die Zukunft.
Ich freue mich über jeden Pull Request und jeden Beitrag, um Fehler zu ändern, zu verbessern oder zu beheben. Lassen Sie uns gemeinsam eine bessere und sicherere Online-Umgebung für alle schaffen ❤️ .
Ich möchte klarstellen, dass dies kein Bug-Bounty-Programm ist und wir keine finanzielle Belohnung für Einsendungen anbieten. Gerne stelle ich jedoch Ihre gültigen Einsendungen auf Wunsch auf unserer Hall of Fame-Seite vor. Ich lege Wert darauf, die positiven Beiträge von Meldenden zu würdigen, die ein hohes Maß an Engagement für unser Programm gezeigt haben.
• Nutzungsbedingungen – Vollständige Nutzungsvereinbarung einschließlich akzeptabler Nutzung, API-Nutzung und Pflichten der Nutzer
• Transparenzbericht – Wie wir mit Datenleck-Daten und rechtlichen Anfragen umgehen und Ihre Privatsphäre schützen
• Datenschutzrichtlinie – Ausführliche Datenschutzpraktiken und Datenverarbeitung
Schreiben Sie mir gerne an deva@xposedornot.com, falls Sie Fragen zum Datenschutz und zu verwandten Themen haben.
Was wir speichern:
• E-Mail-Adressen aus Datenleck-Datensätzen
• Datenleck-Metadaten (Name, Datum, betroffene Organisation, Arten der offengelegten Daten)
• Passwort-Hashes für unseren Passwortprüfdienst (SHA3-Keccak 512)
Was wir NICHT speichern:
• Passwörter im Klartext
• Kreditkartennummern
• Sozialversicherungsnummern
• Persönliche Ausweisdokumente
• Sämtliche anderen sensiblen personenbezogenen Daten aus Datenlecks
Dieser selektive Ansatz ermöglicht es Ihnen zu prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht, während sichergestellt ist, dass andere sensible Informationen vollständig außerhalb unserer Infrastruktur bleiben. Vollständige Details finden Sie in unserem Transparenzbericht.
• Wir reagieren umgehend auf gültige rechtliche Anordnungen, Anfragen von Strafverfolgungsbehörden und behördliche Vorgaben
• Jede Anfrage wird geprüft, um sicherzustellen, dass sie die rechtlichen Standards erfüllt, bevor Maßnahmen ergriffen werden
• Wird ein Datenleck-Datensatz Gegenstand einer gerichtlichen Verfügung oder einer gültigen Löschungsanfrage, können wir diese Informationen unterdrücken oder den Zugriff auf Grundlage des geografischen Standorts einschränken
• Wir veröffentlichen Statistiken zu allen Löschungs- und Rechtsanfragen in unserem Transparenzbericht
Möchten Sie eine Löschung beantragen?
Rechteinhaber und Organisationen können unser Legal-Operations-Team unter deva@xposedornot.com kontaktieren
Was Privacy Shield für Sie leistet
Die Aktivierung von Privacy Shield maskiert Ihre E-Mail-Adresse dauerhaft vor jeglichem öffentlichen Zugriff auf XposedOrNot. Sobald sie geschützt ist:
• Ihre Adresse wird in keiner öffentlichen Suche, Abfrage oder API-Antwort mehr zurückgegeben.
• Sie wird nicht mehr für die Suche indexiert.
• Sie wird an keine dritte Partei weitergegeben.
• Die Maskierung ist dauerhaft und wird nicht aufgehoben, es sei denn, Sie selbst bitten uns, den Schutz zu entfernen.
In Bezug auf die DSGVO verschafft dies Ihrem Widerspruchsrecht gegen die weitere Verarbeitung (Art. 21) sowie Ihrem Recht auf Einschränkung der Verarbeitung (Art. 18) volle Wirkung, was die öffentliche Verfügbarkeit Ihrer Daten betrifft.
Was wir nicht tun können und warum
XposedOrNot ist ein Archiv öffentlich bekannter Datenleck-Datensätze. Wir erheben personenbezogene Daten nicht direkt von Einzelpersonen; jeder von uns gehaltene Datensatz stammt aus einem Datenleck eines Dritten, das bereits öffentlich zugänglich ist. Aus diesem Grund sind wir nicht in der Lage, einzelne Datensätze innerhalb eines Datenleck-Datensatzes selektiv zu löschen: Dies würde die Integrität und den Beweiswert des Archivs selbst beeinträchtigen und würde Ihre Daten nicht aus dem ursprünglichen Leck entfernen (das unabhängig von uns existiert).
Der Datenleck-Datensatz, der sich auf Ihre E-Mail-Adresse bezieht, verbleibt daher nach der Aktivierung von Privacy Shield in unserem Archiv, jedoch mit dauerhaft maskiertem öffentlichem Zugriff wie oben beschrieben.
Rechtsgrundlage für die Aufbewahrung
Für die Aufbewahrung des zugrunde liegenden Datenleck-Datensatzes stützen wir uns auf folgende Grundlagen der DSGVO:
• Art. 6 Abs. 1 lit. f, berechtigte Interessen: der Betrieb eines im öffentlichen Interesse liegenden Archivs von Datenlecks, damit betroffene Personen, Sicherheitsforscher, Organisationen und zuständige Behörden über bereits eingetretene Datenlecks informiert werden und darauf reagieren können.
• Art. 17 Abs. 3 lit. d und Art. 89 Abs. 1, Archivierung im öffentlichen Interesse und wissenschaftliche Forschung: der historische Nachweis eines Datenlecks verliert seinen Wert im öffentlichen Interesse im Laufe der Zeit nicht, und Art. 17 Abs. 3 schließt das Recht auf Löschung ausdrücklich aus, sofern die Verarbeitung für diese Zwecke erforderlich ist, vorbehaltlich geeigneter Garantien.
• Art. 17 Abs. 3 lit. e, Rechtsansprüche: der Datensatz kann zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Unterstützung rechtmäßiger Anfragen von Aufsichtsbehörden und Strafverfolgungsbehörden herangezogen werden müssen.
Aufbewahrungsdauer
Unbefristet. Da die historische Tatsache, dass ein Datenleck eingetreten ist, nicht verfällt, werden Datenleck-Datensätze so lange aufbewahrt, wie das Archiv selbst betrieben wird. Die auf Ihre Adresse angewandte Privacy-Shield-Maskierung wird ebenso für denselben unbefristeten Zeitraum aufbewahrt, sodass der öffentliche Zugriff dauerhaft maskiert bleibt.
Wie Ihre Daten nach dem Schutz verarbeitet werden
• Durchsuchbar? Nein, die Adresse wird aus allen öffentlichen Suchindizes entfernt.
• Zugänglich? Kein öffentlicher Zugriff. Der interne Zugriff ist auf das zur Aufrechterhaltung des Schutzes erforderliche Mindestmaß beschränkt.
• Weitergegeben? Nein, weder an Dritte, noch über die API, noch über irgendeinen Export.
• Anderweitig verarbeitet? Nur soweit erforderlich, um den Schutz aufrechtzuerhalten und auf rechtmäßige Anfragen von Aufsichts- oder Strafverfolgungsbehörden zu reagieren.
Was wir von vornherein nie gespeichert haben
Wir protokollieren keine Suchanfragen, keine mit Abfragen verknüpften IP-Adressen und keinen Suchverlauf, siehe Protokollierung von Suchanfragen und Datenprotokollierung bei Suchen. Es gibt kein Suchprotokoll und keine Browsing-Metadaten über Sie, die wir löschen könnten.
Ihre Rechte
Ihnen bleiben alle Rechte erhalten, die Ihnen nach der DSGVO zustehen, einschließlich des Rechts, bei Ihrer Aufsichtsbehörde Beschwerde einzulegen, wenn Sie der Auffassung sind, dass unsere Verarbeitung rechtswidrig ist. Wir arbeiten gerne mit jeder solchen Behörde zusammen und stellen alle erforderlichen Informationen bereit. Für alle weiteren Fragen zu Ihren Daten schreiben Sie bitte an deva@xposedornot.com, und wir werden Ihnen schriftlich antworten.
Ein Auftragsverarbeitungsvertrag (DSGVO Art. 28) regelt einen Auftragsverarbeiter, der personenbezogene Daten im Auftrag und nach Weisung eines gesonderten Verantwortlichen verarbeitet. XposedOrNot Community Edition agiert nicht in dieser Rolle. Wir handeln als unabhängiger Verantwortlicher für ein im öffentlichen Interesse liegendes Archiv bereits öffentlicher Datenleck-Datensätze und stützen uns auf Art. 6 Abs. 1 lit. f, berechtigte Interessen, sowie Art. 89 Abs. 1, Archivierung im öffentlichen Interesse, siehe Privacy Shield & DSGVO-Löschung.
Wir verarbeiten keine personenbezogenen Daten im Auftrag eines Dritten. Bei Suchen, der kostenlosen Community-API sowie den Funktionen Alert Me und Domain-Überwachung interagieren Sie jeweils direkt mit unserem Archiv; wir verarbeiten Ihre Daten nicht nach Ihren vertraglichen Weisungen. Da kein Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter entsteht, ist ein AVV nicht anwendbar.
Kommerzielle Verarbeitungsvereinbarungen werden, sofern sie benötigt werden, gesondert von xonPlus abgewickelt, einem eigenständigen Projekt mit eigenen Bedingungen. Wenn Ihre Organisation für eine kostenpflichtige Zusammenarbeit einen AVV, eine Liste der Unterauftragsverarbeiter oder Standardvertragsklauseln benötigt, gehören diese zu xonPlus und nicht zur Community Edition.
Fragen? Schreiben Sie an deva@xposedornot.com, und wir werden Ihnen schriftlich antworten.
• Sie müssen die in unserer API-Dokumentation festgelegten Ratenbegrenzungen strikt einhalten
• Geben Sie XposedOrNot eindeutig als Quelle an, wenn Sie unsere Datenleck-Daten anzeigen
• Versuchen Sie nicht, Nutzungsbeschränkungen oder Ratenbegrenzungen zu umgehen
• Die kommerzielle Weiterverbreitung oder der Weiterverkauf unserer Datenleck-Daten erfordert eine ausdrückliche schriftliche Genehmigung
• Premium-API-Funktionen mit höheren Ratenbegrenzungen sind über kostenpflichtige Abonnements verfügbar
Die vollständigen Nutzungsbedingungen und Einschränkungen der API entnehmen Sie bitte unseren Nutzungsbedingungen und der API-Dokumentation.
Node.js / JavaScript:
npm install xposedornotPython:
pip install xposedornotDiese Bibliotheken bieten eine einfache Schnittstelle, um E-Mail-Adressen auf Datenlecks zu prüfen, die Offenlegung von Passwörtern zu verifizieren und auf Datenleck-Analysen zuzugreifen. Ausführliche Dokumentation, Codebeispiele und API-Endpunkte finden Sie in unserer API-Dokumentation.
POST /v1/domain-breaches/) benötigt. Die
Endpunkte für E-Mail, Datenleck-Analysen, Datenlecks und
Passwörter sind öffentlich und benötigen keinen Schlüssel.
Um einen Schlüssel zu erhalten, bestätigen Sie, dass Ihnen
die Domain gehört, und holen Sie den Schlüssel anschließend
aus Ihrem Dashboard ab:- Verifizieren Sie den Besitz Ihrer Domain unter Domain-Verifizierung, und zwar entweder über die DNS TXT- oder die HTML-Seiten-Methode.
- Öffnen Sie das CXO-Dashboard über den sicheren, passwortlosen Link, der an die Adresse Ihrer verifizierten Domain gesendet wurde.
- Kopieren Sie Ihren API-Schlüssel aus dem Dashboard.
-
Senden Sie ihn bei jeder Anfrage als
x-api-key-Header. Die Domain wird aus dem Schlüssel abgeleitet, sodass die Anfrage keinen Body benötigt.
• Suchanfragen werden im Arbeitsspeicher verarbeitet und in keiner identifizierbaren Form protokolliert
• Wir speichern die von Ihnen gesuchten E-Mail-Adressen nicht
• Wir verknüpfen Anfragen nicht mit IP-Adressen, abgesehen von vorübergehenden Sicherheitsprotokollen, die automatisch gelöscht werden
• Wir verkaufen Suchdaten niemals an Dritte und verwenden sie nicht zu Marketingzwecken
Ausnahme: Wenn Sie sich freiwillig für unseren „Alert Me“-Dienst anmelden, speichern wir Ihre E-Mail-Adresse, um Ihnen Datenleck-Benachrichtigungen zu senden. Sie können sich jederzeit abmelden.
Vollständige Details zu unseren Datenschutzpraktiken finden Sie in unserem Transparenzbericht.
• Wir können nur über Datenlecks berichten, die öffentlich bekannt gegeben wurden oder die uns über unsere Quellen erreicht haben
• Viele Datenlecks bleiben ungemeldet, unentdeckt oder werden aufgrund rechtlicher Vereinbarungen vertraulich behandelt
• Datenleck-Daten können unvollständig sein oder Ungenauigkeiten enthalten, die aus der ursprünglichen Quelle übernommen wurden
• Wir stützen uns wesentlich auf die Sicherheitsforschungs-Community und öffentliche Offenlegungen
• Eine Suche, die keine Datenlecks anzeigt, GARANTIERT NICHT, dass Ihre Informationen nie kompromittiert wurden
Wichtig: XposedOrNot ist als ein Werkzeug innerhalb Ihrer gesamten Sicherheitsstrategie konzipiert, nicht als vollständige Sicherheitslösung. Sie sollten außerdem für jedes Konto starke, einzigartige Passwörter verwenden, die Zwei-Faktor-Authentifizierung aktivieren und einen seriösen Passwort-Manager nutzen.
Vollständige Details zu den Grenzen unseres Dienstes finden Sie in unseren Nutzungsbedingungen.
• Unser Quellcode ist öffentlich verfügbar auf GitHub
• Es steht Ihnen frei, den Code zu prüfen, zu verändern und dazu beizutragen
• Mitwirkende behalten das Eigentum an ihren Beiträgen
• Mit Ihrem Beitrag gewähren Sie XposedOrNot eine Lizenz, Ihren Beitrag im Rahmen unserer Open-Source-Lizenz zu nutzen
• Wir können Mitwirkende öffentlich in Versionshinweisen und der Dokumentation nennen
Was geschützt ist:
Auch wenn unser Code quelloffen ist, sind der Name, das Logo und das Branding von XposedOrNot unser geistiges Eigentum und dürfen nicht ohne Genehmigung verwendet werden, um konkurrierende Dienste zu schaffen.
Vollständige Richtlinien für Beiträge und Details zum geistigen Eigentum finden Sie in unseren Nutzungsbedingungen und in der Hall of Fame.
- Alert-Me-Bestätigung der Benachrichtigung
- Alert-Me-Benachrichtigungen über Datenlecks
-
Privacy-Shield-Benachrichtigungen und -Bestätigungen
-
Benachrichtigungen und Bestätigungen zur
Domain-Validierung
Da diese E-Mail-Adresse wie oben angegeben nur für automatisierte Benachrichtigungen verwendet wird, werden eingehende E-Mails an diese Adresse nicht überwacht. Bitte verwenden Sie für Rückmeldungen und Kommunikation die E-Mail-Adresse, die unter „ Wie kann ich erreicht werden “ angegeben ist.
Wenn Sie auf ein Datenleck stoßen, das nicht in XON gelistet ist und ohne jegliche Kosten oder Erwartung einer Vergütung öffentlich zugänglich ist, zögern Sie bitte nicht, mich zu kontaktieren und mir Bescheid zu geben. Ich werde das Datenleck verifizieren und es zu XON hinzufügen, damit alle davon profitieren können. Wir haben sogar eine spezielle Hall of Fame-Seite, die der Anerkennung und dem Dank an Personen gewidmet ist, die uns bei dieser Initiative unterstützen.
Vielen Dank im Voraus für Ihre Unterstützung und Ihr Vertrauen. Wir wissen das sehr zu schätzen! 🙏
Suchanfragen werden im Arbeitsspeicher verarbeitet und niemals in identifizierbarer Form protokolliert. Zur Verbesserung unseres Dienstes erheben wir über Google Analytics ausschließlich aggregierte, anonyme Nutzungsdaten, im Einklang mit der Datenschutzrichtlinie
Die einzige Ausnahme bilden Nutzer, die sich für unseren „Alert Me“-Dienst anmelden. Wir nutzen diesen Dienst, um die Inhaber von E-Mail-Adressen und Domains über künftige Datenlecks zu informieren, die in XON geladen werden. Um die Genauigkeit unserer Benachrichtigungen sicherzustellen, verwenden wir ein Double-Opt-in-Verfahren, bei dem Nutzer ihre E-Mail-Adresse bestätigen müssen, bevor sie Warnungen erhalten.
🔍 Risiken der Passwort-Wiederverwendung zu erkennen
Wenn beide E-Mail-Adressen im selben Datenleck auftauchen, haben Sie möglicherweise dasselbe Passwort über mehrere Konten hinweg wiederverwendet. Dies ist eine der häufigsten Methoden, mit denen Angreifer Zugriff auf mehrere Konten erlangen.
📧 Private und berufliche E-Mail-Adressen zu vergleichen
Sehen Sie, ob Ihre privaten Gewohnheiten Ihr berufliches Konto gefährdet haben oder umgekehrt. Viele Menschen verwenden unwissentlich dieselben Zugangsdaten für beide.
📊 So funktioniert es
Wenn Sie zwei E-Mail-Adressen eingeben, durchsuchen wir unsere Datenbank bekannter Datenlecks nach beiden. Das Tool:
- zeigt die Gesamtzahl der Datenlecks, die jede E-Mail-Adresse betreffen
- hebt gemeinsame Datenlecks hervor, die in beiden auftauchen
- stellt ein visuelles Venn-Diagramm der Überschneidung dar
- berechnet individuelle und kombinierte Risiko-Scores
- listet alle offengelegten Datenarten auf (Passwörter, Telefonnummern, Adressen usw.)
- liefert umsetzbare Sicherheitsempfehlungen
🔒 Datenschutz zuerst
Wir speichern weder Ihre E-Mail-Adressen noch Ihren Suchverlauf. Jeder Vergleich wird in Echtzeit durchgeführt, und nichts wird protokolliert. Sie können auch unser Privacy Shield nutzen, um sich davon abzumelden, in Suchen aufzutauchen.
Twitter - https://twitter.com/DevaOnBreaches
LinkedIn - https://www.linkedin.com/in/devasecurity/
Mastodon - https://infosec.exchange/@DevaOnBreaches
Ich halte stets Ausschau 👀 nach Möglichkeiten, XON nützlicher und informativer zu machen, und Ihr Beitrag könnte uns helfen, das Ganze auf die nächste Stufe zu heben. Und wer weiß – vielleicht schaffen Sie es für Ihren heldenhaften Einsatz sogar auf unsere besondere „Breaches Super Sleuths 🦸 “-Liste!
Lassen Sie uns das Internet für alle zu einem sichereren Ort machen.