Najczęściej zadawane pytania. Wyszukiwanie wycieków danych i bezpieczeństwo

Aktualizacja: 03-04-2026
Nie znaleziono pytań pasujących do wyszukiwania. Spróbuj innych słów kluczowych.
Cześć, jestem Devanand Premkumar, specjalista ds. bezpieczeństwa z ponad dwudziestoletnim doświadczeniem w IT i bezpieczeństwie informacji. W 2017 roku uruchomiłem XposedOrNot jako projekt poboczny, aby za darmo zbierać i udostępniać ujawnione hasła; dziś jest to pełnoprawny serwis powiadomień o wyciekach. Pełną historię znajdziesz na stronie O nas.
XposedOrNot (XON) to praktyczne i pomocne narzędzie, które pozwala Ci zweryfikować 🔍, czy Twoje dane osobowe pojawiły się w wycieku danych. Pierwotnie ta inicjatywa zrodziła się z mojego głębokiego zainteresowania informatyką śledczą i analizą wycieków danych. Uświadomienie sobie ogromnej ilości ujawnionych wrażliwych informacji oraz potencjalnych szkód, jakie mogą wyrządzić, szybko skłoniło mnie do przekształcenia tego zainteresowania w usługę publiczną. Chciałem zaoferować ją wszystkim za darmo, aby była dostępna dla każdego, kto chce chronić swoje dane osobowe i prywatność.

Platforma XposedOrNot pomaga ludziom dowiedzieć się, czy ich e-mail lub dane osobowe zostały skompromitowane w wycieku danych. Ta wiedza może zmotywować użytkowników do zabezpieczenia kont poprzez działania takie jak zmiana haseł i uważne monitorowanie konta.

Poza sprawdzaniem e-maili i haseł strona umożliwia także analizowanie informacji o wyciekach danych na poziomie domeny lub subdomeny. Osoby, które potwierdzą własność swojej domeny, uzyskują dostęp do szczegółowej analizy wycieków danych, które dotknęły ich użytkowników.

Ciekawym uzupełnieniem naszego zestawu narzędzi jest Panel CXO. Ta funkcja jest szczególnie przydatna dla firm i korporacji zarządzających wieloma domenami. Panel CXO oferuje ujednolicony widok wycieków danych i wszystkich powiązanych analiz. Taka skonsolidowana perspektywa może znacznie uprościć złożone zadanie monitorowania wycieków w wielu domenach, pomagając organizacjom rozumieć incydenty bezpieczeństwa i reagować na nie sprawniej i skuteczniej.

Xposed (repozytorium na jednej stronie) zawiera szczegóły wszystkich wycieków danych dodanych do XposedOrNot. To repozytorium zaprojektowano tak, aby było atrakcyjne wizualnie i ułatwiało zrozumienie unikalnych cech każdego wycieku. Jeśli wolisz prostą listę wierszy w tabeli, możesz skorzystać ze strony wycieków.

Stworzyliśmy też przydatne narzędzie, funkcję Privacy Shield dla osób, które nie chcą, aby ich e-maile były publicznie wyszukiwane na naszej platformie. Jest to szczególnie przydatne dla tych, którzy cenią swoją prywatność i chcą chronić swoje dane.

Możesz się zastanawiać, dlaczego warto wybrać XposedOrNot zamiast innych usług monitorowania wycieków. Odpowiedź tkwi w naszym celu: zwiększać świadomość wycieków danych i pomagać ograniczać ich skutki. Każda pomoc to światło w ciemności, a my chcemy to światło wzmacniać.

W przeciwieństwie do tradycyjnych usług monitorowania, które jedynie informują o ujawnieniu i liczbie wyciekłych rekordów, XposedOrNot idzie o krok dalej. Każdemu e-mailowi przypisujemy ocenę ryzyka, informujemy, czy hasło zostało ujawnione w postaci jawnego tekstu, i podajemy między innymi informacje o największych wyciekach, w których e-mail został skompromitowany.

Wycieki danych są na naszej platformie klasyfikowane według branż, co daje wgląd w najbardziej dotknięte sektory. Naszym celem jest wspieranie przejrzystości i umożliwienie skutecznej ochrony przed wyciekami danych.

Dodałem też funkcję alertów, którą można aktywować dla poszczególnych stron i domen, gdy tylko pojawią się w wyciekach danych. Ta usługa jest całkowicie darmowa i przydatna dla każdego, od indywidualnych użytkowników e-maila po korporacje chcące lepiej zrozumieć podatność swoich użytkowników na wycieki danych.

Co więcej, nasz cały zbiór danych można odpytywać i integrować z Twoimi własnymi aplikacjami poprzez nasze XposedOrNot API. Szczegółowe instrukcje korzystania z XposedOrNot API w Twoich projektach znajdziesz w naszym playgroundzie API. Zgodnie z naszą filozofią darmowego i otwartego dostępu do danych nasze API pozostanie całkowicie bezpłatne.

Na koniec chciałbym podkreślić, że nasza aplikacja, API i powiązane pliki są w całości open source i hostowane na GitHub. Takie otwarte podejście pomaga poprawiać poziom bezpieczeństwa platformy i zachęca społeczność do współtworzenia. Wierzę w siłę zbiorowej mądrości i zachęcam entuzjastów bezpieczeństwa, twórców stron, projektantów i badaczy wycieków danych do dzielenia się pomysłami i współpracy, aby XposedOrNot był jeszcze solidniejszy, bezpieczniejszy i skuteczniejszy. Twoje wkłady mogą jeszcze bardziej wzmocnić to darmowe narzędzie publiczne. Wspólnie uczyńmy XposedOrNot jeszcze lepszym!
W XposedOrNot większość ujawnionych danych pozyskuję z wycieków dostępnych w internecie. Takie wycieki zwykle można znaleźć na różnych stronach, a przy odpowiednich technikach wyszukiwania dostęp do nich bywa stosunkowo łatwy. Dodatkowo część wycieków danych pozyskuję przez technologie takie jak torrenty.

XON korzysta wyłącznie z wycieków danych, które zostały upublicznione. Naszym celem jest ułatwienie osobom i organizacjom sprawdzenia, czy ich dane osobowe zostały ujawnione w znanych wyciekach danych, oraz podjęcia kroków chroniących przed potencjalnymi szkodami.

Pełna lista wycieków danych zaindeksowanych przez XposedOrNot jest szczegółowo udokumentowana na stronie Xposed .
XposedOrNot to usługa monitorowania wycieków danych, która pozwala użytkownikom sprawdzić, czy ich dane osobowe zostały ujawnione w znanych wyciekach danych. Chcę być wobec naszych użytkowników przejrzysty co do tego, co jest, a co nie jest przechowywane w naszej usłudze.

Odpowiadając na to pytanie: nie przechowujemy w XON żadnych haseł użytkowników ani danych osobowych (PII). Gdy użytkownik wpisuje swój adres e-mail lub nazwę domeny w naszej wyszukiwarce, sprawdzamy naszą bazę znanych wycieków danych, aby ustalić, czy ten e-mail lub domena pojawiły się we wcześniejszych wyciekach. Jeśli jest dopasowanie, przekazujemy użytkownikowi informacje o konkretnych wyciekach, w których wystąpił jego e-mail lub domena, wraz z dodatkowymi szczegółami incydentu, jakie posiadamy.

Nie przechowujemy informacji o wyszukiwaniach użytkowników, takich jak wyszukiwany e-mail lub nazwa domeny czy data wyszukiwania, i stosujemy środki zapewniające prywatność i bezpieczeństwo danych naszych użytkowników.

Podsumowując: XON nie przechowuje żadnych haseł użytkowników ani PII, a zapytania wyszukiwania są przetwarzane w pamięci i nigdy nie są zapisywane w formie umożliwiającej identyfikację. Zbieramy wyłącznie zbiorcze, anonimowe dane o użyciu, aby ulepszać usługę.

XON umożliwia także sprawdzanie ujawnionych haseł . Ta usługa wykorzystuje algorytm haszowania SHA3-Keccak 512 do zamiany zebranych haseł na jednokierunkowe hasze w magazynie danych. Przy obecnie dostępnych technologiach jest wysoce nieprawdopodobne, aby ktoś łatwo odwrócił te hasze SHA-3 Keccak. Zapewnia to najwyższy poziom bezpieczeństwa przechowywanych haszy.

Zobacz przykładową stronę logowania, korzystającą z XON Passwords API. Może to pomóc wielu użytkownikom, zapobiegając ponownemu używaniu starych i ujawnionych haseł, zgodnie z wytycznymi NIST.

Informując o wyciekach danych, staramy się przedstawić kompleksowy przegląd typów danych, które zostały ujawnione. Pomaga to użytkownikom zrozumieć potencjalny wpływ i ryzyka związane z danym wyciekiem.

Aby ułatwić lekturę, logicznie pogrupowałem ujawnione dane w kategorie. Poniżej znajdziesz zestawienie tych kategorii i typów danych, które obejmują:

Kategorie ujawnionych danych w wyciekach oraz typy informacji w każdej kategorii
Kategoria Typy ujawnionych danych
👤 Identyfikacja osobista Imiona i nazwiska, Daty urodzenia, Płeć, Narodowości, Zdjęcia, Zdjęcia profilowe, Formy grzecznościowe, Pseudonimy, Tablice rejestracyjne, Profile w mediach społecznościowych, Prywatne wiadomości, Awatary
💳 Informacje finansowe Saldo konta, Numery kont bankowych, Karty kredytowe
🍔 Nawyki osobiste i styl życia Zażywanie używek, Znane języki, Dane pojazdów, Numery identyfikacyjne pojazdów
🔒 Praktyki bezpieczeństwa Hasła, Historyczne hasła, Pytania i odpowiedzi bezpieczeństwa
🎓 Zatrudnienie i edukacja Aplikacje o pracę, Pracodawcy, Zawody, Poziomy wykształcenia
📞 Komunikacja i interakcje społeczne Adresy e-mail, Tożsamości w komunikatorach, Numery telefonów, Prywatne wiadomości, Powiązania społeczne, Profile w mediach społecznościowych
🖥️ Informacje o urządzeniu i sieci Adresy IP, Informacje o urządzeniu, Szczegóły user agenta przeglądarki, Aktywność na stronie
🩺 Informacje zdrowotne Osobiste dane zdrowotne, Informacje o ubezpieczeniu zdrowotnym, Poziom sprawności fizycznej, Palenie tytoniu
👥 Dane demograficzne Grupa wiekowa, Wiek, Pochodzenie etniczne, Stan cywilny, Znane języki, Preferencje seksualne
🗳️ Poglądy polityczne i społeczne Powiązania społeczne, Prywatne wiadomości

Uwaga: prezentowane dane odzwierciedlają jedynie istotne ujawnione szczegóły; nie uwzględniono wszystkich typów danych z wycieków. Ze względu na ręczne opracowanie mogą wystąpić błędy. W sprawie poprawek skontaktuj się ze mną.

Zazwyczaj ujawnianie, skąd pochodzą wycieki danych, nie jest dobrym pomysłem, bo w grę wchodzi bardzo dużo wrażliwych informacji. Jednak w XON wszystkie zebrane dane są wgrane i można je łatwo przeszukiwać przez stronę lub API dla dowolnego wpisanego przez Ciebie e-maila.
Oczywiście! Oferujemy usługę AlertMe, dzięki której będziesz na bieżąco z informacjami o ujawnionych danych. Z usługi AlertMe możesz skorzystać podczas wyszukiwania e-maili lub weryfikowania haseł na naszej stronie. Wystarczy aktywować usługę, a my wyślemy Ci alerty, gdy wykryjemy wycieki obejmujące Twój adres e-mail. To świetny sposób, aby kontrolować potencjalne zagrożenia bezpieczeństwa i chronić swoje wrażliwe informacje.

Nie zamierzam czynić tej edycji Community płatną. Możesz swobodnie korzystać z tej usługi, a jeśli uznasz ją za przydatną, podziel się nią i rozpowszechniaj korzystanie z XposedOrNot (XON). Każde polecenie i rekomendacja są dla mnie jako badacza zawsze mile widziane, bo przynoszą coraz większe korzyści ogółowi.

Możesz sprawdzać swoje e-maile/hasła, a także te należące do Twojej rodziny, przyjaciół lub najbliższego otoczenia, bez żadnego limitu liczby sprawdzeń.
Wszystkie prezentowane tutaj wycieki są potwierdzone przez właścicieli stron lub media internetowe i dostępne jako odniesienia . W XposedOrNot dbamy o to, aby wszystkie ujawnione wycieki wgrane na naszą stronę były potwierdzone przez właścicieli danych stron lub media internetowe, i dla każdego podajemy odniesienia. W rzadkich przypadkach, gdy wyciek nie jest potwierdzony przez właściciela strony, oznaczamy go odpowiednio i podejmujemy kroki, aby powiadomić właściciela w ramach zdefiniowanych procesów. Wierzymy w przejrzystość i publikujemy całą taką komunikację na naszym koncie XposedOrNot na Twitterze oraz w odniesieniach.

Pamiętaj, że weryfikacja poszczególnych wycieków danych dotykających stronę i jej użytkowników jest obecnie procesem ręcznym i dokładamy najwyższej staranności, aby zapewnić dokładność.
Wycieki danych są obecnie klasyfikowane następująco:

Wyciek danych: wyciek danych to celowe lub niezamierzone ujawnienie zabezpieczonych lub prywatnych/poufnych informacji do niezaufanego środowiska. Dotyczy stron lub aplikacji internetowych, których dane zostały naruszone przez podmioty zewnętrzne lub wewnętrzne i ujawnione w sieci, umożliwiając nieautoryzowany dostęp.

ComboList: combo lista to plik tekstowy zawierający listę nazw użytkowników i haseł w spójnym formacie. Combolisty mają być odczytywane maszynowo, aby mogły służyć jako dane wejściowe dla narzędzi automatyzujących żądania uwierzytelnienia do strony lub API.

Tagi używane w ujawnionych wyciekach :
Verified: wycieki zweryfikowane indywidualnie i potwierdzone jako autentyczne wycieki danych.
Untrustworthy: wycieki niezweryfikowane i niepotwierdzone.
Searchable: wycieki lub ComboListy, które można publicznie wyszukiwać po adresie e-mail.
Sensitive-Site: wycieki, których nie można publicznie wyszukiwać ze względu na wrażliwość ujawnionych danych.
Czym jest formuła oceny ryzyka?

Formuła oceny ryzyka oblicza ważoną ocenę ryzyka ujawnienia (0-100) na podstawie typów danych ujawnionych w Twoich wyciekach, korygowaną modyfikatorami za świeżość wycieku i powagę ujawnienia hasła.

Formuła działa w trzech krokach:

Krok 1: Wynik surowy z typów ujawnionych danych
Każdy typ ujawnionych danych jest przypisany do poziomu ryzyka, a punkty za wszystkie ujawnione typy danych są sumowane:
  • Krytyczne (po 10 pkt): hasła, karty kredytowe, numery kont bankowych, numery ubezpieczenia społecznego, dokumenty rządowe, numery paszportów, tokeny uwierzytelniające, pytania i odpowiedzi bezpieczeństwa, frazy mnemoniczne
  • Wysokie (po 7 pkt): numery telefonów, adresy fizyczne, daty urodzenia, dane zdrowotne, prywatne wiadomości, logi czatów, współrzędne GPS, zaszyfrowane klucze, podpowiedzi haseł, dane o orientacji seksualnej
  • Średnie (po 4 pkt): imiona i nazwiska, nazwy użytkowników, adresy e-mail, adresy IP, pracodawcy, zawody, poziomy wykształcenia, dane pojazdów, adresy MAC
  • Niskie (po 1 pkt): każdy inny rozpoznany typ danych

Krok 2: Modyfikatory
Wynik surowy jest następnie korygowany przez pomnożenie przez następujące modyfikatory:
  • Częstotliwość wycieków: +1% za każdy wyciek z hasłami w jawnym tekście lub łatwymi do złamania poza pierwszym (maksymalnie +15%)
  • Świeżość: +15%, jeśli najnowszy wyciek miał miejsce w ciągu 12 miesięcy, lub +8%, jeśli w ciągu 24 miesięcy
  • Kara za hasła w jawnym tekście: +10%, jeśli jakikolwiek wyciek ujawnił hasła w jawnym tekście

Krok 3: Wynik końcowy
Wynik końcowy jest obliczany jako:
min(100, round(raw_score × modifier))

Poziomy ryzyka są podzielone na cztery strefy:
• Krytyczny: 76-100 punktów
• Wysoki: 51-75 punktów
• Umiarkowany: 26-50 punktów
• Niski: 0-25 punktów

Ten oparty na poziomach system punktacji sprawia, że to powaga ujawnionych danych decyduje o ocenie ryzyka, z dodatkową wagą dla niedawnych wycieków i ujawnienia haseł w jawnym tekście.
Tworząc tę aplikację i stronę, wziąłem pod uwagę wpływ niezabezpieczonych i niebezpiecznych środowisk na wycieki danych i związane z nimi ujawnienia. Dlatego zdecydowałem się udostępnić API i wszystkie powiązane pliki jako open source na Github. Jako wieloletni użytkownik głęboko wierzę, że narzędzia open source wywarły na nasze otoczenie większy wpływ, niż możemy sobie uświadamiać.

Cała aplikacja i strona są zbudowane na technologiach open source, w tym systemie operacyjnym (Linux), skrypcie API (Python) i plikach webowych (HTML/CSS/JavaScript). Współpracując razem, możemy ulepszać każdą usługę, a open source to droga naprzód.

Zapraszam do zgłaszania pull requestów i wkładów modyfikujących, ulepszających lub naprawiających błędy. Wspólnie stwórzmy lepsze i bezpieczniejsze środowisko online dla wszystkich ❤️ .
Jeśli odkryjesz 🔍 błąd lub lukę bezpieczeństwa, chętnie 😍 o tym usłyszę! Zachęcam Cię do zgłoszenia go zgodnie z wytycznymi odpowiedzialnego ujawniania i wsparcia XposedOrNot.

Chcę jasno zaznaczyć, że nie jest to program bug bounty i nie oferujemy nagród pieniężnych za zgłoszenia. Chętnie jednak wyróżnię Twoje prawidłowe zgłoszenia na naszej stronie Galeria Sław, zgodnie z Twoją preferencją. Wierzę w docenianie pozytywnego wkładu zgłaszających, którzy wykazali się dużym zaangażowaniem w nasz program.
AlertMe to 💡 poręczna usługa powiadomień, która wysyła Ci e-mail, gdy tylko nowy wyciek zostanie dodany do XposedOrNot. To świetny sposób, aby być na bieżąco z potencjalnym ujawnieniem danych i podjąć niezbędne kroki, aby się chronić. Konfiguracja AlertMe jest prosta: wystarczy podać swój e-mail i go potwierdzić. Od tego momentu będziesz otrzymywać alerty e-mail o każdym nowym wycieku dotyczącym adresu e-mail, który zasubskrybowano. AlertMe możesz aktywować na stronie głównej lub podczas wyszukiwania ujawnionych wycieków danych. Przy każdym wyszukiwaniu podpowiadamy, jak subskrybować, a usługę możesz aktywować nawet z poziomu wyszukiwania haseł.
Tak! Zajrzyj do naszej obszernej dokumentacji:

Warunki Korzystania - pełna umowa o świadczenie usługi, w tym dopuszczalne użycie, korzystanie z API i obowiązki użytkownika
Raport Przejrzystości - jak obsługujemy dane z wycieków, żądania prawne i chronimy Twoją prywatność
Polityka Prywatności - szczegółowe praktyki prywatności i przetwarzania danych

Śmiało napisz do mnie na deva@xposedornot.com, jeśli masz pytania dotyczące prywatności i pokrewnych tematów.
W obsłudze danych z wycieków stawiamy prywatność na pierwszym miejscu. Oto dokładnie, co przechowujemy, a czego nie:

Co przechowujemy:
• adresy e-mail ze zbiorów danych z wycieków
• metadane wycieku (nazwa, data, dotknięta organizacja, typy ujawnionych danych)
• hasze haseł dla naszej usługi sprawdzania haseł (SHA3-Keccak 512)

Czego NIE przechowujemy:
• haseł w jawnym tekście
• numerów kart kredytowych
• numerów ubezpieczenia społecznego
• dokumentów tożsamości
• żadnych innych wrażliwych danych osobowych z wycieków

To selektywne podejście pozwala Ci sprawdzić, czy Twój e-mail pojawia się w znanych wyciekach, a jednocześnie gwarantuje, że pozostałe wrażliwe informacje pozostają całkowicie poza naszą infrastrukturą. Pełne szczegóły znajdziesz w naszym Raporcie Przejrzystości.
Poważnie traktujemy nasze zobowiązania prawne i działamy w pełni przejrzyście:

• niezwłocznie odpowiadamy na ważne nakazy prawne, wnioski organów ścigania i polecenia regulacyjne
• każde żądanie jest weryfikowane pod kątem zgodności ze standardami prawnymi, zanim podejmiemy działania
• gdy zbiór danych z wycieku zostaje objęty nakazem sądowym lub ważnym żądaniem usunięcia, możemy ukryć te informacje lub ograniczyć dostęp w zależności od lokalizacji geograficznej
• publikujemy statystyki wszystkich żądań usunięcia i żądań prawnych w naszym Raporcie Przejrzystości

Chcesz zgłosić żądanie usunięcia?
Posiadacze praw i organizacje mogą kontaktować się z naszym zespołem Legal Operations pod adresem deva@xposedornot.com
Dziękuję za poruszenie tego tematu. To ważne rozróżnienie i chcemy być w tej kwestii przejrzyści.

Co Privacy Shield robi dla Ciebie
Włączenie Privacy Shield trwale ukrywa Twój adres e-mail przed wszelkim publicznym dostępem w XposedOrNot. Po włączeniu ochrony:
• Twój adres nie jest już zwracany w żadnym publicznym wyszukiwaniu, zapytaniu ani odpowiedzi API.
• Nie jest już indeksowany na potrzeby wyszukiwania.
• Nie jest udostępniany żadnej stronie trzeciej.
• Ukrycie jest trwałe i nie zostaje zniesione, chyba że Ty sam poprosisz nas o usunięcie ochrony.

W terminologii RODO daje to pełny skutek Twojemu prawu do sprzeciwu wobec dalszego przetwarzania (art. 21) oraz prawu do ograniczenia przetwarzania (art. 18) w zakresie publicznego udostępniania Twoich danych.

Czego nie możemy zrobić i dlaczego
XposedOrNot to archiwum publicznie znanych zbiorów danych z wycieków. Nie zbieramy danych osobowych bezpośrednio od osób, każdy przechowywany przez nas rekord pochodzi z wycieku u strony trzeciej, który już znajduje się w domenie publicznej. Z tego powodu nie jesteśmy w stanie wybiórczo usuwać pojedynczych rekordów ze zbioru danych wycieku: naruszyłoby to integralność i wartość dowodową samego archiwum, a nie usunęłoby Twoich danych z pierwotnego wycieku (który istnieje niezależnie od nas).

Rekord wycieku dotyczący Twojego adresu e-mail pozostaje więc w naszym archiwum po włączeniu Privacy Shield, ale z publicznym dostępem trwale ukrytym, jak opisano powyżej.

Podstawa prawna przechowywania
Przechowując bazowy rekord wycieku, opieramy się na następujących podstawach RODO:
art. 6 ust. 1 lit. f, prawnie uzasadnione interesy: prowadzenie archiwum wycieków danych w interesie publicznym, aby osoby dotknięte, badacze bezpieczeństwa, organizacje i właściwe organy mogły być informowane o zaistniałych wyciekach i na nie reagować.
art. 17 ust. 3 lit. d i art. 89 ust. 1, archiwizacja w interesie publicznym i badania naukowe: historyczny zapis wycieku nie traci z czasem wartości dla interesu publicznego, a art. 17 ust. 3 wprost wyłącza prawo do usunięcia danych, gdy przetwarzanie jest niezbędne do tych celów, z zastrzeżeniem odpowiednich zabezpieczeń.
art. 17 ust. 3 lit. e, roszczenia prawne: rekord może być potrzebny do ustalenia, dochodzenia lub obrony roszczeń prawnych albo do obsługi zgodnych z prawem wniosków regulatorów i organów ścigania.

Okres przechowywania
Bezterminowy. Ponieważ historyczny fakt wystąpienia wycieku nie wygasa, rekordy wycieków są przechowywane tak długo, jak działa samo archiwum. Ukrycie Privacy Shield zastosowane do Twojego adresu jest zachowywane przez ten sam bezterminowy okres, dzięki czemu publiczny dostęp pozostaje trwale zablokowany.

Jak przetwarzane są Twoje dane po włączeniu ochrony
Możliwe do wyszukania? Nie, adres jest usuwany ze wszystkich publicznych indeksów wyszukiwania.
Dostępne? Brak publicznego dostępu. Dostęp wewnętrzny jest ograniczony do minimum niezbędnego do utrzymania ochrony.
Udostępniane? Nie, ani stronom trzecim, ani przez API, ani przez żaden eksport.
Przetwarzane w inny sposób? Tylko w zakresie wymaganym do utrzymania ochrony i odpowiedzi na zgodne z prawem wnioski regulatorów lub organów ścigania.

Czego nigdy nie przechowywaliśmy
Nie logujemy zapytań wyszukiwania, adresów IP powiązanych z wyszukiwaniami ani historii wyszukiwań, zobacz Logowanie zapytań wyszukiwania oraz Logowanie danych przy wyszukiwaniach. Nie istnieje żaden log wyszukiwań ani metadane przeglądania na Twój temat, które moglibyśmy usunąć.

Twoje prawa
Zachowujesz wszystkie prawa przyznane Ci przez RODO, w tym prawo do wniesienia skargi do organu nadzorczego, jeśli uważasz, że nasze przetwarzanie jest niezgodne z prawem. Chętnie podejmiemy współpracę z każdym takim organem i przekażemy wszelkie wymagane informacje. W razie dalszych pytań o Twoje dane napisz na deva@xposedornot.com, a odpowiemy pisemnie.
Nie, a oto dlaczego to właściwa odpowiedź, a nie brak.

Umowa powierzenia przetwarzania danych (art. 28 RODO) reguluje działanie podmiotu przetwarzającego, który przetwarza dane osobowe w imieniu i na polecenie odrębnego administratora. XposedOrNot Community Edition nie działa w tej roli. Występujemy jako niezależny administrator danych dla prowadzonego w interesie publicznym archiwum już publicznych zbiorów danych z wycieków, opierając się na art. 6 ust. 1 lit. f (prawnie uzasadnione interesy) i art. 89 ust. 1 (archiwizacja w interesie publicznym), zobacz Privacy Shield i usunięcie danych wg RODO.

Nie przetwarzamy danych osobowych w imieniu żadnej strony trzeciej. Wyszukiwania, darmowe API community oraz funkcje Alert Me i monitorowania domen polegają na Twojej bezpośredniej interakcji z naszym archiwum, a nie na przetwarzaniu przez nas Twoich danych na podstawie Twoich umownych poleceń. Ponieważ nie powstaje relacja administrator-podmiot przetwarzający, DPA nie ma zastosowania.

Komercyjne ustalenia dotyczące przetwarzania, tam gdzie są potrzebne, obsługuje osobno xonPlus, odrębny projekt z własnymi warunkami. Jeśli Twoja organizacja potrzebuje DPA, listy podprocesorów lub standardowych klauzul umownych dla płatnej współpracy, ich miejsce jest w xonPlus, a nie w Community Edition.

Masz pytania? Napisz na deva@xposedornot.com, a odpowiemy pisemnie.
Tak, ale pod pewnymi warunkami:

• musisz ściśle przestrzegać limitów zapytań określonych w naszej dokumentacji API
• wyraźnie wskazuj XposedOrNot jako źródło przy wyświetlaniu naszych danych o wyciekach
• nie próbuj obchodzić ograniczeń użycia ani limitów zapytań
• komercyjna redystrybucja lub odsprzedaż naszych danych o wyciekach wymaga wyraźnej pisemnej zgody
• funkcje premium API z wyższymi limitami zapytań są dostępne w płatnych subskrypcjach

Pełne warunki i ograniczenia korzystania z API znajdziesz w naszych Warunkach Korzystania oraz Dokumentacji API.
Udostępniamy oficjalne SDK ułatwiające integrację:

Node.js / JavaScript:
npm install xposedornot

Python:
pip install xposedornot

Te biblioteki zapewniają prosty interfejs do sprawdzania e-maili pod kątem wycieków, weryfikowania ujawnienia haseł i dostępu do analityki wycieków. Szczegółową dokumentację, przykłady kodu i endpointy API znajdziesz w naszej Dokumentacji API.
Tak. Konektory dla Microsoft Sentinel, Splunk, Wazuh i Maltego już działają, a integracje dla MISP, TheHive/Cortex i OpenCTI są w drodze. Wszystkie są zbudowane na XposedOrNot API. Odwiedź stronę Integracje, aby zobaczyć aktualny status, przewodniki konfiguracji i linki do każdego projektu.
Klucz API jest potrzebny tylko dla endpointu wycieków domeny (POST /v1/domain-breaches/). Endpointy e-maili, analityki wycieków, wycieków i haseł są publiczne i nie wymagają klucza. Aby uzyskać klucz, potwierdź własność domeny, a następnie pobierz klucz ze swojego panelu:

  1. Zweryfikuj własność swojej domeny na stronie Weryfikacja domeny, metodą DNS TXT lub strony HTML.
  2. Otwórz Panel CXO za pomocą bezpiecznego, bezhasłowego linku wysłanego e-mailem na adres w zweryfikowanej domenie.
  3. Skopiuj swój klucz API z panelu.
  4. Wysyłaj go w każdym żądaniu w nagłówku x-api-key. Domena jest wyprowadzana z klucza, więc żądanie nie wymaga treści.
Pełny format żądania i odpowiedzi znajdziesz w endpoincie wycieków domeny w dokumentacji API.
Nie, Twoja prywatność jest chroniona podczas wyszukiwania:

• zapytania wyszukiwania są przetwarzane w pamięci i nie są logowane w żadnej formie umożliwiającej identyfikację
• nie przechowujemy adresów e-mail, których szukasz
• nie wiążemy zapytań z adresami IP poza tymczasowymi logami bezpieczeństwa, które są automatycznie usuwane
• nigdy nie sprzedajemy danych wyszukiwania stronom trzecim ani nie używamy ich do celów marketingowych

Wyjątek: jeśli dobrowolnie zapiszesz się do naszej usługi "Alert Me", przechowujemy Twój adres e-mail, aby wysyłać Ci powiadomienia o wyciekach. Możesz zrezygnować w każdej chwili.

Pełne szczegóły naszych praktyk prywatności znajdziesz w naszym Raporcie Przejrzystości.
Choć ciężko pracujemy, aby zapewnić kompleksowe pokrycie wycieków, ważne jest zrozumienie ograniczeń:

• możemy informować tylko o wyciekach, które zostały publicznie ujawnione lub które otrzymaliśmy z naszych źródeł
• wiele wycieków pozostaje niezgłoszonych, nieodkrytych lub utrzymywanych w poufności na mocy umów prawnych
• dane z wycieków mogą być niekompletne lub zawierać nieścisłości odziedziczone z pierwotnego źródła
• w dużej mierze polegamy na społeczności badaczy bezpieczeństwa i publicznych ujawnieniach
• wyszukiwanie bez wyników NIE gwarantuje, że Twoje informacje nigdy nie zostały skompromitowane

Ważne: XposedOrNot ma być jednym z narzędzi w Twojej ogólnej strategii bezpieczeństwa, a nie kompletnym rozwiązaniem. Używaj też silnych, unikalnych haseł do każdego konta, włącz uwierzytelnianie dwuskładnikowe i korzystaj z renomowanego menedżera haseł.

Pełne szczegóły ograniczeń naszej usługi znajdziesz w naszych Warunkach Korzystania.
Tak! XposedOrNot jest w pełni open source i aktywnie zapraszamy do współtworzenia:

• nasz kod źródłowy jest publicznie dostępny na GitHub
• możesz swobodnie przeglądać, modyfikować i rozwijać kod
• współtwórcy zachowują własność swoich wkładów
• współtworząc, udzielasz XposedOrNot licencji na użycie Twojego wkładu na warunkach naszej licencji open source
• możemy publicznie wymieniać współtwórców w notatkach wydań i dokumentacji

Co jest chronione:
choć nasz kod jest open source, nazwa XposedOrNot, logo i identyfikacja wizualna są naszą własnością intelektualną i nie mogą być używane do tworzenia konkurencyjnych usług bez zgody.

Pełne wytyczne współtworzenia i szczegóły własności intelektualnej znajdziesz w naszych Warunkach Korzystania oraz Galerii Sław.
Możesz otrzymywać następujące e-maile:
  1. Potwierdzenie powiadomień Alert Me
  2. Powiadomienia Alert Me o wyciekach
  3. Powiadomienia i potwierdzenia Privacy Shield
  4. Powiadomienia i potwierdzenia walidacji domeny

Obecnie wszystkie e-maile z XON pochodzą wyłącznie z adresu notifications@xposedornot.com i są w pełni zautomatyzowane.

Ponieważ ten adres służy tylko do zautomatyzowanych powiadomień opisanych powyżej, przychodzące na niego wiadomości nie są monitorowane. Do odpowiedzi i komunikacji użyj adresu e-mail podanego w " Jak można się ze mną skontaktować ".
Bardzo chciałbym, aby każdy pomagał czynić XON jeszcze bardziej użytecznym dla ogółu. Przejęcia kont i ataki na hasła to realny problem, a każda pomoc w tym kierunku jest bardzo cenna. Głęboko wierzę, że w walce z wyciekami danych liczy się każdy, nawet najmniejszy wysiłek, i zapraszam każdego, kto chce pomóc.

Jeśli natrafisz na wyciek danych, którego nie ma w XON, a jest publicznie dostępny bez żadnych kosztów ani oczekiwania wynagrodzenia, nie wahaj się skontaktować ze mną i dać mi znać. Zweryfikuję wyciek i dodam go do XON z korzyścią dla wszystkich. Mamy nawet specjalną stronę Galeria Sław poświęconą docenianiu i dziękowaniu osobom, które pomagają nam w tej inicjatywie.

Z góry dziękuję za wsparcie i życzliwość. Naprawdę to doceniamy! 🙏
Nie przechowujemy żadnych danych wyszukiwanych na naszej stronie ani w API. Zbieramy jedynie dane demograficzne przez Google Analytics, z czego możesz zrezygnować w każdej chwili. Więcej informacji o naszej polityce prywatności i dopuszczalnego użycia znajdziesz na naszej stronie.

Zapytania wyszukiwania są przetwarzane w pamięci i nigdy nie są logowane w formie umożliwiającej identyfikację. Aby ulepszać usługę, zbieramy wyłącznie zbiorcze, anonimowe dane o użyciu przez Google Analytics, zgodnie z polityką prywatności

Jedynym wyjątkiem są użytkownicy, którzy zapisali się do naszej usługi "Alert Me". Używamy jej, aby powiadamiać właścicieli adresów e-mail i domen o przyszłych wyciekach dodawanych do naszego indeksu. Aby zapewnić trafność powiadomień, stosujemy proces podwójnego opt-in, w którym użytkownicy muszą potwierdzić swój adres e-mail przed otrzymywaniem alertów.

Jeśli jesteś wyjątkowo ostrożny i chcesz ukryć swoją obecność online 🕵️, rozumiemy to. Możesz spokojnie używać przeglądarki Tor, aby sprawdzać wycieki danych i ujawnione dane w XposedOrNot. Chcemy, aby każdy czuł się bezpiecznie, nawet jeśli przegląda sieć w cieniu jak skryty ninja.
Narzędzie porównywania wycieków pozwala sprawdzić dwa adresy e-mail obok siebie i zobaczyć, jak ich ekspozycje w wyciekach się pokrywają. Jest to szczególnie przydatne do:

🔍 Wykrywania ryzyka ponownego użycia haseł
Jeśli oba e-maile pojawiają się w tym samym wycieku, być może użyto tego samego hasła na różnych kontach. To jeden z najczęstszych sposobów, w jakie atakujący uzyskują dostęp do wielu kont.

📧 Porównywania e-maili prywatnych i służbowych
Sprawdź, czy Twoje prywatne nawyki naraziły Twoje konto służbowe, lub odwrotnie. Wiele osób nieświadomie używa tych samych danych logowania w obu.

📊 Jak to działa
Gdy podasz dwa adresy e-mail, przeszukujemy naszą bazę znanych wycieków danych dla obu. Następnie narzędzie:
  • pokazuje łączną liczbę wycieków dotyczących każdego e-maila
  • wyróżnia wspólne wycieki występujące w obu
  • wyświetla wizualny diagram Venna pokrycia
  • oblicza indywidualne i łączne oceny ryzyka
  • wymienia wszystkie ujawnione typy danych (hasła, numery telefonów, adresy itd.)
  • podaje praktyczne zalecenia bezpieczeństwa

🔒 Prywatność przede wszystkim
Nie przechowujemy Twoich adresów e-mail ani historii wyszukiwań. Każde porównanie jest wykonywane w czasie rzeczywistym i nic nie jest logowane. Możesz też użyć naszego Privacy Shield, aby zrezygnować z pojawiania się w jakichkolwiek wyszukiwaniach.
Tak, i to za darmo. Złośliwe oprogramowanie infostealer przechwytuje z zainfekowanych urządzeń hasła zapisane w przeglądarce, ciasteczka sesji, dane autouzupełniania i portfele kryptowalut. XposedOrNot indeksuje te dane ze stealer logów i uwzględnia je w Twoim zwykłym wyszukiwaniu e-maili, skanach domen i panelach bez opłat, podczas gdy inne usługi monitorowania wycieków zamykają dostęp do stealer logów za płatnymi planami kosztującymi setki dolarów miesięcznie. Przeczytaj wpis premierowy: Introducing Stealer Logs - AlienStealer.
Jeśli natrafisz na publicznie ujawnione wycieki danych, których jeszcze nie wychwyciliśmy, chętnie o nich usłyszymy! Po prostu wyślij e-mail na deva@xposedornot.com lub napisz do mnie przez następujące kanały:
Twitter - https://twitter.com/DevaOnBreaches
LinkedIn - https://www.linkedin.com/in/devasecurity/
Mastodon - https://infosec.exchange/@DevaOnBreaches
Zawsze wypatruję 👀 sposobów, aby uczynić XON jeszcze bardziej użytecznym i pouczającym, a Twoje uwagi mogą pomóc nam wejść na wyższy poziom. Poza tym, kto wie, może trafisz na naszą specjalną listę "Breaches Super Sleuths 🦸 " za swoje heroiczne wysiłki!

Uczyńmy internet bezpieczniejszym miejscem dla wszystkich.