Perguntas frequentes. Busca de violações de dados e segurança

Atualizado em: 03-abr-2026
Nenhuma pergunta frequente corresponde à sua busca. Tente outras palavras-chave.
Olá, sou Devanand Premkumar e tenho mais de duas décadas de experiência em TI e segurança da informação. Minha carreira tem sido dedicada a ajudar organizações a fortalecer suas defesas on-line e a garantir a conformidade com os padrões do setor. Tenho habilidade em elaborar e implementar estratégias de segurança que funcionam no mundo todo, sejam elas técnicas ou não.

Fora do trabalho, tenho grande interesse por investigações forenses e gosto de encarar desafios em competições de Capture The Flag (CTF). Em 2017, comecei um projeto paralelo chamado XposedOrNot. Ele começou como uma forma de coletar e compartilhar senhas expostas gratuitamente. Com o tempo, venho reunindo dados de violações públicas e, agora, com uma grande quantidade de informações em mãos, quero oferecer este recurso a quem pode tirar maior proveito dele.

Minha trajetória em TI e segurança da informação tem sido imensamente gratificante, e estou comprometido em compartilhar meu conhecimento e minha experiência para criar um mundo digital mais seguro para todos.
O XposedOrNot (XON) é uma ferramenta prática e versátil criada para permitir que você verifique 🔍 se seus dados pessoais foram envolvidos em uma violação de dados. Originalmente, esta iniciativa nasceu do meu profundo interesse por forense e pela análise de violações de dados. A constatação do enorme volume de informações sensíveis expostas e do potencial dano que isso poderia causar rapidamente me levou a transformar esse interesse em um serviço público. Senti-me motivado a oferecer este serviço a todos gratuitamente, tornando-o acessível a todos que querem proteger seus dados pessoais e sua privacidade.

A plataforma XposedOrNot ajuda as pessoas a descobrir se seu e-mail ou seus dados pessoais foram comprometidos em uma violação de dados. Esse conhecimento pode impulsionar os usuários a proteger suas contas com medidas como troca de senhas e monitoramento atento das contas.

Além de apenas verificar e-mails e senhas, o site também facilita aos usuários examinar informações de violações de dados em nível de domínio ou subdomínio. Aqueles que conseguem confirmar a propriedade de seu domínio ganham acesso a uma análise detalhada das violações de dados que afetaram seus usuários.

Um acréscimo empolgante ao nosso conjunto de ferramentas é o CXO Dashboard. Este recurso é especialmente útil para empresas e corporações que gerenciam múltiplos domínios. O CXO Dashboard oferece uma visão unificada das violações de dados e de toda a análise associada. Essa perspectiva consolidada pode simplificar significativamente a complexa tarefa de monitorar violações em vários domínios, capacitando as organizações a entender e responder a incidentes de segurança de forma mais eficiente e eficaz.

Xposed (repositório em página única) reúne detalhes sobre todas as violações de dados carregadas no XposedOrNot. Este repositório foi projetado para ser visualmente atraente, simplificando a compreensão dos aspectos exclusivos de cada violação. Para quem prefere uma lista simples de linhas em uma tabela, você pode consultar a página de violações.

Também criamos um utilitário útil, o recurso Privacy Shield para as pessoas que não desejam que seus e-mails sejam pesquisados publicamente em nossa plataforma. Isso é especialmente útil para quem valoriza a privacidade e quer proteger seus dados.

Você pode se perguntar por que escolher o XposedOrNot em vez de outros serviços de monitoramento de violações. A resposta está em nosso objetivo de aumentar a conscientização sobre violações de dados e oferecer apoio para reduzir os efeitos dessas violações. Toda ajuda é uma luz na escuridão, e queremos contribuir para essa iluminação.

Diferentemente dos serviços de monitoramento tradicionais, que apenas informam sobre sua exposição e o volume de registros vazados, o XposedOrNot vai além. Atribuímos uma pontuação de risco a cada e-mail, avisamos se a senha foi exposta em texto simples e fornecemos informações sobre as principais violações em que o e-mail foi comprometido, entre outros detalhes.

As violações de dados são classificadas por setor em nossa plataforma, oferecendo uma perspectiva esclarecedora sobre os setores mais afetados. Nosso objetivo é promover a transparência e permitir que as pessoas se protejam contra violações de dados de forma eficaz.

Também incorporei um recurso de alertas que pode ser ativado para sites e domínios específicos sempre que eles aparecerem em violações de dados. Este serviço é totalmente gratuito e é útil para todos – desde usuários individuais de e-mail até corporações que buscam compreender melhor a vulnerabilidade de seus usuários a violações de dados.

Além disso, todo o nosso conjunto de dados pode ser consultado e integrado às suas aplicações personalizadas por meio da nossa API do XposedOrNot. Instruções detalhadas sobre como usar a API do XposedOrNot em seus projetos podem ser encontradas em nosso playground de API. Mantendo nossos princípios de acesso livre e aberto aos dados, nossa API continuará sendo totalmente gratuita.

Por fim, gostaria de destacar que nossa aplicação, API e arquivos relacionados são todos de código aberto e hospedados no GitHub. Essa abordagem de código aberto ajuda a melhorar a postura de segurança da plataforma e convida contribuições do público. Acredito no poder da sabedoria coletiva e incentivo entusiastas de segurança, desenvolvedores web, designers e pesquisadores de violações de dados a compartilhar suas ideias e colaborar para tornar o XposedOrNot ainda mais robusto, seguro e eficaz. Suas contribuições podem ajudar a fortalecer ainda mais este utilitário público gratuito. Vamos trabalhar juntos para tornar o XposedOrNot ainda melhor!
No XposedOrNot, obtenho a maior parte dos nossos dados expostos de violações disponíveis na internet. Essas violações costumam ser encontradas em diversos sites e, com técnicas de busca adequadas, podem ser relativamente fáceis de acessar. Além disso, também obtenho algumas violações de dados por meio de tecnologias como torrents.

O XON utiliza apenas violações de dados que foram tornadas públicas. Nosso objetivo é facilitar que pessoas e organizações verifiquem se suas informações pessoais foram expostas em alguma violação de dados conhecida e tomem medidas para se proteger contra possíveis danos.

A lista completa de violações de dados carregadas no XposedOrNot está documentada em detalhes para fácil consulta na página Xposed .
O XposedOrNot é um serviço de monitoramento de violações de dados que permite aos usuários verificar se suas informações pessoais foram expostas em alguma violação de dados conhecida. Quero ser transparente com nossos usuários sobre o que é e o que não é armazenado em nosso serviço.

Para responder a essa pergunta, não armazenamos nenhuma senha de usuário nem informações de identificação pessoal (PII) no XON. Quando um usuário insere seu endereço de e-mail ou nome de domínio em nosso mecanismo de busca, verificamos nosso banco de dados de violações de dados conhecidas para ver se esse e-mail ou domínio esteve envolvido em violações anteriores. Se houver correspondência, fornecemos ao usuário informações sobre a(s) violação(ões) específica(s) em que seu e-mail ou domínio esteve envolvido, junto com quaisquer detalhes adicionais que tenhamos sobre o incidente.

Não armazenamos informações sobre as buscas dos usuários, como o e-mail ou nome de domínio pesquisado e a data da busca, e adotamos medidas para garantir a privacidade e a segurança dos dados de nossos usuários.

Em resumo, o XON não armazena nenhuma senha de usuário nem PII, e as buscas são processadas na memória e nunca são registradas de forma identificável. Coletamos apenas dados de uso agregados e anônimos para melhorar o serviço.

O XON também tem a capacidade de verificar senhas expostas . Este serviço utiliza o algoritmo de hash SHA3-Keccak 512 para converter as senhas coletadas em hashes unidirecionais no armazenamento. Com as tecnologias atualmente disponíveis, é altamente improvável que alguém consiga reverter esses hashes SHA-3 Keccak com facilidade. Isso garante o mais alto nível de segurança para os hashes armazenados.

Confira a página de login de exemplo, que utiliza a API XON Passwords. Isso pode ajudar muitos usuários, evitando que reutilizem senhas antigas e expostas, em conformidade com as diretrizes do NIST.

Quando reportamos violações de dados, buscamos fornecer uma visão abrangente dos tipos de dados que foram expostos. Isso ajuda os usuários a entender o impacto potencial e os riscos associados a uma determinada violação.

Para facilitar para nossos leitores, agrupei logicamente os dados expostos em categorias. Abaixo está um detalhamento dessas categorias e dos tipos de dados que elas abrangem:

Categorias de dados expostos em violações e os tipos de informação que cada categoria inclui
Categoria Tipos de dados expostos
👤 Identificação pessoal Nomes, datas de nascimento, gêneros, nacionalidades, fotos, fotos de perfil, formas de tratamento, apelidos, placas de veículos, perfis de redes sociais, mensagens privadas, avatares
💳 Informações financeiras Saldo de conta, números de conta bancária, cartões de crédito
🍔 Hábitos pessoais e estilo de vida Hábitos de uso de drogas, idiomas falados, detalhes de veículos, números de identificação de veículos
🔒 Práticas de segurança Senhas, senhas anteriores, perguntas e respostas de segurança
🎓 Emprego e educação Candidaturas a empregos, empregadores, ocupações, níveis de escolaridade
📞 Comunicação e interações sociais Endereços de e-mail, identidades de mensageiros instantâneos, números de telefone, mensagens privadas, conexões sociais, perfis de redes sociais
🖥️ Informações de dispositivos e rede Endereços IP, informações de dispositivos, detalhes do agente de usuário do navegador, atividade no site
🩺 Informações de saúde Dados pessoais de saúde, informações de plano de saúde, níveis de condicionamento físico, hábitos de tabagismo
👥 Dados demográficos Faixa etária, idade, etnias, estado civil, idiomas falados, preferências sexuais
🗳️ Posições políticas e sociais Conexões sociais, mensagens privadas

Observação: os dados apresentados refletem apenas detalhes expostos significativos; nem todos os tipos de dados das violações são incluídos. Por se tratar de compilação manual, podem ocorrer erros. Para correções, entre em contato comigo.

Normalmente, não é uma boa ideia revelar de onde vêm as violações de dados, devido à grande quantidade de informações sensíveis em jogo. No entanto, no XON, todos os dados coletados são carregados e podem ser facilmente pesquisados pelo site ou pela API para qualquer e-mail que você inserir.
Com certeza! Oferecemos um serviço AlertMe que você pode usar para se manter informado sobre quaisquer dados expostos. Você pode usar o serviço AlertMe ao buscar e-mails ou verificar senhas em nosso site. Basta ativar o serviço, e enviaremos alertas a você caso detectemos qualquer violação envolvendo seu endereço de e-mail. Essa é uma ótima forma de ficar por dentro de possíveis ameaças à segurança e proteger suas informações sensíveis.

Não pretendo tornar esta Community Edition um serviço pago. Você é livre para usar este serviço e, se o considerar útil, por favor compartilhe e divulgue o uso do XposedOrNot (XON). Cada compartilhamento e recomendação é sempre bem-vindo para mim como pesquisador, pois beneficiará cada vez mais o público em geral.

Sinta-se à vontade para verificar seus e-mails/senhas, bem como os de sua família, amigos ou círculo próximo, sem qualquer limite no número de verificações.
Todas as violações expostas aqui são reconhecidas pelos proprietários dos sites ou pela mídia on-line e estão disponíveis como referências . No XposedOrNot, garantimos que todas as violações expostas carregadas em nosso site sejam reconhecidas pelos respectivos proprietários dos sites ou pela mídia on-line, e fornecemos referências para cada uma. Nos raros casos em que uma violação não é reconhecida pelo proprietário do site, nós a marcamos como tal e tomamos providências para notificá-lo por meio de processos definidos. Acreditamos na transparência e publicamos toda essa comunicação em nossa conta do XposedOrNot no Twitter, bem como nas referências.

Observe que a verificação de violações de dados individuais que afetam um site e seus usuários é atualmente um processo manual, e tomamos o máximo cuidado para garantir a precisão.
Atualmente, as violações de dados são classificadas da seguinte forma:

Violação de dados: uma violação de dados é a divulgação intencional ou não intencional de informações seguras ou privadas/confidenciais a um ambiente não confiável. Sites ou aplicações on-line que têm seus dados violados por recursos externos ou internos e expostos/violados na web para acesso não autorizado.

ComboList: uma combo list é um arquivo de texto contendo uma lista de nomes de usuário e senhas em um formato consistente. As combolists são feitas para serem legíveis por máquina, de modo que possam ser usadas como entrada em ferramentas que automatizam requisições de autenticação a um site ou API.

Marcações usadas nas violações expostas :
Verified: violações que são verificadas individualmente e confirmadas como violações de dados autênticas.
Untrustworthy: violações que não são verificadas nem confirmadas.
Searchable: violações ou ComboLists que podem ser pesquisadas publicamente com um endereço de e-mail.
Sensitive-Site: violações que não podem ser pesquisadas publicamente, considerando a sensibilidade dos dados expostos.
O que é a fórmula da pontuação de risco?

A fórmula da pontuação de risco calcula uma pontuação de risco de exposição ponderada (0-100) com base nos tipos de dados expostos em suas violações, ajustada por modificadores relativos à recência da violação e à gravidade da exposição de senhas.

A fórmula funciona em três etapas:

Etapa 1: pontuação bruta a partir dos tipos de dados expostos
Cada tipo de dado exposto é atribuído a um nível de risco, e os pontos de todos os tipos de dados expostos são somados:
  • Crítico (10 pts cada): senhas, cartões de crédito, números de conta bancária, números de seguro social, documentos de identidade governamentais, números de passaporte, tokens de autenticação, perguntas e respostas de segurança, frases mnemônicas
  • Alto (7 pts cada): números de telefone, endereços físicos, datas de nascimento, dados de saúde, mensagens privadas, registros de conversas, coordenadas GPS, chaves criptografadas, dicas de senha, dados de orientação sexual
  • Médio (4 pts cada): nomes, nomes de usuário, endereços de e-mail, endereços IP, empregadores, ocupações, níveis de escolaridade, detalhes de veículos, endereços MAC
  • Baixo (1 pt cada): qualquer outro tipo de dado reconhecido

Etapa 2: modificadores
A pontuação bruta é então ajustada multiplicando-a pelos seguintes modificadores:
  • Frequência de violações: +1% por violação com senhas em texto simples ou fáceis de quebrar, além da primeira (limitado a +15%)
  • Recência: +15% se a violação mais recente ocorreu nos últimos 12 meses, ou +8% se nos últimos 24 meses
  • Penalidade por senha em texto simples: +10% se alguma violação expôs senhas em texto simples

Etapa 3: pontuação final
A pontuação final é calculada como:
min(100, round(raw_score × modifier))

Os níveis de risco são categorizados em quatro zonas:
• Crítico: 76-100 pontos
• Alto: 51-75 pontos
• Moderado: 26-50 pontos
• Baixo: 0-25 pontos

Este sistema de pontuação baseado em níveis garante que a gravidade dos dados expostos oriente a avaliação de risco, com peso adicional atribuído a violações recentes e à exposição de senhas em texto simples.
Ao criar esta aplicação e este site, levei em consideração o impacto de ambientes inseguros e desprotegidos sobre as violações de dados e a exposição relacionada. Por isso, tomei a decisão de disponibilizar a API e todos os arquivos relacionados como código aberto no GitHub. Como usuário de longa data, acredito firmemente que as ferramentas de código aberto tiveram um impacto significativo em nosso ambiente, mais do que talvez possamos imaginar.

Toda a aplicação e o site são construídos com tecnologia de código aberto, incluindo o sistema operacional (Linux), o script da API (Python) e os arquivos web (HTML/CSS/JavaScript). Ao colaborar e trabalhar em conjunto, podemos melhorar e aprimorar qualquer serviço, e o código aberto é o caminho a seguir.

São bem-vindos quaisquer pull requests e contribuições para modificar, aprimorar ou corrigir bugs. Vamos trabalhar juntos para criar um ambiente on-line melhor e mais seguro para todos ❤️ .
Se você descobrir 🔍 um bug ou uma vulnerabilidade de segurança, eu adoraria 😍 saber disso! Eu o incentivo a divulgá-lo usando as diretrizes de divulgação responsável para apoiar o XposedOrNot.

Quero deixar claro que este não é um programa de bug bounty e não oferecemos recompensa monetária por submissões. No entanto, terei prazer em destacar suas submissões válidas em nossa página Hall of Fame, conforme sua preferência. Acredito em reconhecer as contribuições positivas dos reportadores que demonstraram um alto nível de dedicação ao nosso programa.
O AlertMe é um 💡 prático serviço de notificações que envia a você um e-mail sempre que uma nova violação é adicionada ao XposedOrNot. É uma ótima forma de ficar por dentro de qualquer exposição potencial e tomar as medidas necessárias para se proteger. Configurar o AlertMe é fácil: tudo o que você precisa fazer é inserir seu e-mail e confirmá-lo. A partir de então, você receberá um alerta por e-mail sobre quaisquer novas violações que afetem o endereço de e-mail com o qual você se inscreveu. Você pode ativar o AlertMe pela página inicial ou executando uma busca por violações de dados expostas. Forneceremos orientações sobre inscrições a cada busca, e você pode até ativá-lo por meio do recurso de busca de senhas.
Sim! Consulte nossa documentação completa:

Termos e Condições - Acordo de serviço completo, incluindo uso aceitável, uso da API e responsabilidades do usuário
Relatório de Transparência - Como lidamos com os dados de violações, as solicitações legais e protegemos sua privacidade
Política de Privacidade - Práticas de privacidade detalhadas e tratamento de dados

Sinta-se à vontade para entrar em contato comigo pelo deva@xposedornot.com se tiver qualquer dúvida relacionada à privacidade e a assuntos correlatos.
Adotamos uma abordagem que prioriza a privacidade no tratamento dos dados de violações. Veja exatamente o que armazenamos e o que não armazenamos:

O que ARMAZENAMOS:
• Endereços de e-mail dos conjuntos de dados de violações
• Metadados da violação (nome, data, organização afetada, tipos de dados expostos)
• Hashes de senhas para nosso serviço de verificação de senhas (SHA3-Keccak 512)

O que NÃO ARMAZENAMOS:
• Senhas em texto simples
• Números de cartão de crédito
• Números de seguro social
• Documentos de identificação pessoal
• Quaisquer outros dados pessoais sensíveis das violações

Essa abordagem seletiva permite que você verifique se seu e-mail aparece em violações conhecidas, ao mesmo tempo em que garante que outras informações sensíveis permaneçam completamente fora de nossa infraestrutura. Para detalhes completos, consulte nosso Relatório de Transparência.
Levamos nossas obrigações legais a sério e operamos com total transparência:

• Respondemos prontamente a ordens judiciais válidas, solicitações de autoridades policiais e determinações regulatórias
• Cada solicitação é analisada para garantir que atenda aos padrões legais antes de qualquer ação ser tomada
• Quando um conjunto de dados de violação fica sujeito a uma ordem judicial ou a uma solicitação de remoção válida, podemos suprimir essa informação ou limitar o acesso com base na localização geográfica
• Publicamos estatísticas sobre todas as solicitações de remoção e legais em nosso Relatório de Transparência

Precisa solicitar uma remoção?
Detentores de direitos e organizações podem entrar em contato com nossa equipe de Operações Jurídicas pelo deva@xposedornot.com
Obrigado por levantar essa questão. Trata-se de uma distinção importante e queremos ser transparentes a respeito dela.

O que o Privacy Shield faz por você
Ativar o Privacy Shield mascara permanentemente seu endereço de e-mail de todo acesso público no XposedOrNot. Uma vez protegido:
• Seu endereço deixa de ser retornado em qualquer busca, consulta ou resposta de API públicas.
• Ele deixa de ser indexado para busca.
• Ele não é compartilhado com nenhum terceiro.
• O mascaramento é permanente e não é desfeito a menos que você mesmo nos peça para remover a proteção.

Em termos da GDPR, isso dá pleno efeito ao seu direito de se opor a processamentos posteriores (Art. 21) e ao seu direito à restrição do processamento (Art. 18) no que diz respeito à forma como seus dados são disponibilizados ao público.

O que não conseguimos fazer e por quê
O XposedOrNot é um arquivo de conjuntos de dados de violações publicamente conhecidos. Não coletamos dados pessoais de indivíduos diretamente; cada registro que mantemos tem origem em uma violação de terceiros que já está em domínio público. Por essa razão, não estamos em condições de apagar seletivamente registros individuais de dentro de um conjunto de dados de violação: fazê-lo comprometeria a integridade e o valor probatório do próprio arquivo e não removeria seus dados do vazamento original (que existe de forma independente de nós).

O registro de violação relacionado ao seu endereço de e-mail permanece, portanto, em nosso arquivo após o Privacy Shield ser ativado, mas com o acesso público permanentemente mascarado, conforme descrito acima.

Base legal para a retenção
Baseamo-nos nos seguintes fundamentos da GDPR para reter o registro de violação subjacente:
Art. 6(1)(f), interesses legítimos: operar um arquivo de interesse público de violações de dados para que indivíduos afetados, pesquisadores de segurança, organizações e autoridades competentes possam ser informados sobre violações que já ocorreram e responder a elas.
Art. 17(3)(d) e Art. 89(1), arquivamento de interesse público e pesquisa científica: o registro histórico de uma violação não perde seu valor de interesse público ao longo do tempo, e o Art. 17(3) expressamente afasta o direito ao apagamento quando o processamento é necessário para esses fins, sujeito a salvaguardas apropriadas.
Art. 17(3)(e), reivindicações legais: o registro pode precisar ser referenciado na constituição, no exercício ou na defesa de reivindicações legais, ou para apoiar solicitações legais de reguladores e autoridades policiais.

Período de retenção
Indefinido. Como o fato histórico de que uma violação ocorreu não expira, os registros de violação são retidos enquanto o próprio arquivo for operado. O mascaramento do Privacy Shield aplicado ao seu endereço é igualmente retido pelo mesmo período indefinido, de modo que o acesso público permaneça mascarado permanentemente.

Como seus dados são processados após a proteção
Pesquisável? Não, o endereço é removido de todos os índices de busca públicos.
Acessível? Sem acesso público. O acesso interno é restrito ao mínimo necessário para manter a proteção em vigor.
Compartilhado? Não, nem com terceiros, nem pela API, nem por qualquer exportação.
Processado de outra forma? Apenas conforme necessário para manter a proteção e responder a solicitações legais de reguladores ou autoridades policiais.

O que nunca tivemos em primeiro lugar
Não registramos consultas de busca, endereços IP vinculados a consultas nem histórico de buscas; consulte Registro de consultas de busca e Registro de dados nas buscas. Não há nenhum registro de busca nem metadados de navegação sobre você para apagarmos.

Seus direitos
Você mantém todos os direitos a você concedidos pela GDPR, incluindo o direito de apresentar uma reclamação à sua autoridade supervisora se acreditar que nosso processamento é ilegal. Teremos prazer em colaborar com qualquer autoridade desse tipo e fornecer todas as informações necessárias. Para quaisquer outras dúvidas sobre seus dados, escreva para deva@xposedornot.com e responderemos por escrito.
Não, e eis por que essa é a resposta correta, e não uma lacuna.

Um Contrato de Processamento de Dados (GDPR Art. 28) rege um operador que trata dados pessoais em nome de, e sob as instruções de, um controlador distinto. A Community Edition do XposedOrNot não atua nesse papel. Agimos como controlador de dados independente de um arquivo de interesse público de conjuntos de dados de violações já públicas, baseando-nos nos interesses legítimos do Art. 6(1)(f) e no arquivamento de interesse público do Art. 89(1); consulte Privacy Shield e exclusão sob a GDPR.

Não processamos dados pessoais em nome de nenhum terceiro. As buscas, a API gratuita da comunidade e os recursos Alert Me e de Monitoramento de Domínios envolvem você interagindo diretamente com nosso arquivo, e não nós processando seus dados sob suas instruções contratuais. Como nenhuma relação de controlador para operador é criada, um DPA não se aplica.

Acordos comerciais de processamento, quando necessários, são tratados separadamente pelo xonPlus, que é um projeto distinto, com seus próprios termos. Se sua organização precisar de um DPA, de uma lista de suboperadores ou de Cláusulas Contratuais Padrão para um contrato pago, esses itens pertencem ao xonPlus e não à Community Edition.

Dúvidas? Escreva para deva@xposedornot.com e responderemos por escrito.
Sim, mas com alguns requisitos:

• Você deve respeitar rigorosamente os limites de taxa especificados em nossa documentação da API
• Fornecer atribuição clara ao XposedOrNot ao exibir nossos dados de violações
• Não tentar contornar as restrições de uso ou os limites de taxa
• A redistribuição ou revenda comercial de nossos dados de violações exige autorização explícita por escrito
• Recursos premium da API com limites de taxa mais altos estão disponíveis por meio de assinaturas pagas

Para os termos e restrições completos de uso da API, consulte nossos Termos e Condições e nossa Documentação da API.
Fornecemos SDKs oficiais para facilitar a integração:

Node.js / JavaScript:
npm install xposedornot

Python:
pip install xposedornot

Essas bibliotecas oferecem uma interface simples para verificar e-mails em busca de violações, verificar a exposição de senhas e acessar a análise de violações. Para documentação detalhada, exemplos de código e endpoints da API, visite nossa Documentação da API.
Uma chave de API só é necessária para o endpoint de violações por domínio (POST /v1/domain-breaches/). Os endpoints de e-mail, breach-analytics, breaches e password são públicos e não exigem chave. Para obter uma chave, confirme que você é dono do domínio e, em seguida, obtenha a chave no seu painel:

  1. Verifique a propriedade do seu domínio em Verificação de domínio, usando o método de DNS TXT ou de página HTML.
  2. Abra o CXO Dashboard usando o link seguro e sem senha enviado por e-mail ao endereço do seu domínio verificado.
  3. Copie sua chave de API no painel.
  4. Envie-a em cada requisição no cabeçalho x-api-key. O domínio é derivado da chave, então a requisição não precisa de corpo.
Para o formato completo de requisição e resposta, consulte o endpoint de violações por domínio na documentação da API.
Não, sua privacidade é protegida quando você faz uma busca:

• As consultas de busca são processadas na memória e não são registradas em nenhuma forma identificável
• Não armazenamos os endereços de e-mail que você pesquisa
• Não associamos as consultas a endereços IP além de registros de segurança transitórios que são automaticamente apagados
• Nunca vendemos dados de busca a terceiros nem os usamos para fins de marketing

Exceção: se você se inscrever voluntariamente em nosso serviço "Alert Me", armazenamos seu endereço de e-mail para enviar notificações de violações. Você pode cancelar a inscrição a qualquer momento.

Para detalhes completos sobre nossas práticas de privacidade, consulte nosso Relatório de Transparência.
Embora nos empenhemos para oferecer uma cobertura abrangente de violações, é importante entender as limitações:

• Só podemos reportar violações que tenham sido divulgadas publicamente ou que tenhamos recebido por meio de nossas fontes
• Muitas violações permanecem não reportadas, não descobertas ou são mantidas em sigilo sob acordos legais
• Os dados de violações podem estar incompletos ou conter imprecisões herdadas da fonte original
• Dependemos substancialmente da comunidade de pesquisa em segurança e de divulgações públicas
• Uma busca que não mostra violações NÃO garante que suas informações nunca foram comprometidas

Importante: o XposedOrNot foi concebido para ser uma ferramenta dentro de sua estratégia geral de segurança, e não uma solução de segurança completa. Você também deve usar senhas fortes e exclusivas para cada conta, ativar a autenticação de dois fatores e usar um gerenciador de senhas confiável.

Para detalhes completos sobre as limitações do nosso serviço, consulte nossos Termos e Condições.
Sim! O XposedOrNot é totalmente de código aberto e nós recebemos contribuições de braços abertos:

• Nosso código-fonte está publicamente disponível no GitHub
• Você é livre para revisar, modificar e contribuir com o código
• Os contribuidores mantêm a propriedade de suas contribuições
• Ao contribuir, você concede ao XposedOrNot uma licença para usar sua contribuição sob nossa licença de código aberto
• Podemos creditar publicamente os contribuidores em notas de versão e na documentação

O que é protegido:
Embora nosso código seja de código aberto, o nome, o logotipo e a identidade visual do XposedOrNot são nossa propriedade intelectual e não podem ser usados para criar serviços concorrentes sem permissão.

Para diretrizes completas de contribuição e detalhes de propriedade intelectual, consulte nossos Termos e Condições e nosso Hall of Fame.
Os e-mails que você pode receber são os seguintes:
  1. Confirmação de notificação do Alert Me
  2. Notificações de violações do Alert Me
  3. Notificações e confirmações do Privacy Shield
  4. Notificações e confirmações de validação de domínio

Atualmente, todos os e-mails do XON serão enviados apenas de notifications@xposedornot.com e o processo é completamente automatizado.

Como este e-mail é usado apenas para notificações automatizadas, conforme indicado acima, esta caixa não será monitorada para e-mails recebidos. Use o endereço de e-mail indicado em " Como posso ser contatado " para respostas e comunicação.
Eu adoraria que todos contribuíssem para tornar o XON mais útil para o público em geral. As invasões de contas e os ataques a senhas são um problema real, e qualquer ajuda que possamos obter nesse sentido é muito bem-vinda. Acredito firmemente que cada pequeno esforço conta na luta contra as violações de dados, e dou as boas-vindas a qualquer pessoa que queira ajudar.

Se você encontrar uma violação de dados que não esteja listada no XON e que seja publicamente acessível sem qualquer custo ou expectativa de remuneração, não hesite em entrar em contato comigo e me avisar. Vou verificar a violação e adicioná-la ao XON para que todos possam se beneficiar. Temos até uma página especial de Hall of Fame dedicada a reconhecer e agradecer às pessoas que nos ajudam nesta iniciativa.

Agradeço desde já pelo seu apoio e colaboração. Nós agradecemos muito! 🙏
Não armazenamos nenhum dos dados pesquisados em nosso site ou API. Coletamos apenas dados demográficos por meio do Google Analytics, que você pode desativar a qualquer momento. Você pode encontrar mais informações sobre nossa política de privacidade e de uso aceitável em nosso site.

As buscas são processadas na memória e nunca são registradas de forma identificável. Para melhorar nosso serviço, coletamos apenas dados de uso agregados e anônimos por meio do Google Analytics, em conformidade com a política de privacidade

A única exceção a isso são os usuários que se inscrevem em nosso serviço "Alert Me". Usamos este serviço para notificar os proprietários de endereços de e-mail e domínios sobre quaisquer violações futuras que sejam carregadas no XON. Para garantir a precisão de nossas notificações, usamos um processo de dupla confirmação (opt-in) em que os usuários precisam confirmar seu endereço de e-mail antes de receber alertas.

Se você está se sentindo extremamente cauteloso e quer manter sua presença on-line em sigilo 🕵️, nós entendemos. Você pode perfeitamente usar o navegador Tor para verificar quaisquer violações de dados e dados expostos no XposedOrNot. Queremos garantir que todos se sintam seguros e protegidos, mesmo que você esteja navegando nas sombras como um ninja furtivo.
A Ferramenta de comparação de violações permite verificar dois endereços de e-mail lado a lado para ver como suas exposições a violações se sobrepõem. Isso é especialmente útil para:

🔍 Identificar riscos de reutilização de senhas
Se ambos os e-mails aparecerem na mesma violação, é possível que você tenha reutilizado a mesma senha em diferentes contas. Essa é uma das formas mais comuns pelas quais os atacantes conseguem acesso a múltiplas contas.

📧 Comparar e-mails pessoais e de trabalho
Veja se seus hábitos pessoais colocaram em risco sua conta de trabalho, ou vice-versa. Muitas pessoas usam, sem saber, as mesmas credenciais nos dois.

📊 Como funciona
Quando você insere dois endereços de e-mail, buscamos ambos em nosso banco de dados de violações de dados conhecidas. A ferramenta então:
  • Mostra o total de violações que afetam cada e-mail
  • Destaca as violações em comum que aparecem em ambos
  • Exibe um diagrama de Venn visual da sobreposição
  • Calcula as pontuações de risco individuais e combinadas
  • Lista todos os tipos de dados expostos (senhas, números de telefone, endereços etc.)
  • Fornece recomendações de segurança práticas

🔒 Privacidade em primeiro lugar
Não armazenamos seus endereços de e-mail nem seu histórico de buscas. Cada comparação é realizada em tempo real e nada é registrado. Você também pode usar nosso Privacy Shield para optar por não aparecer em nenhuma busca.
Sim, e é gratuito. Os dados capturados por malware infostealer, incluindo senhas salvas no navegador, cookies de sessão, dados de preenchimento automático e carteiras de criptomoedas, são indexados e aparecem sem custo na sua pesquisa de e-mail habitual e nas análises de domínio. Outros serviços restringem o acesso aos stealer logs a planos pagos. Leia a publicação de lançamento para mais detalhes.
Se você se deparar com qualquer violação de dados publicamente exposta por aí que ainda não tenhamos identificado, adoraríamos saber disso! Basta enviar um e-mail para deva@xposedornot.com ou me enviar uma mensagem pelos seguintes canais:
Twitter - https://twitter.com/DevaOnBreaches
LinkedIn - https://www.linkedin.com/in/devasecurity/
Mastodon - https://infosec.exchange/@DevaOnBreaches
Estou sempre atento 👀 a formas de tornar o XON mais útil e informativo, e sua contribuição pode nos ajudar a levar nosso trabalho a um novo patamar. Além disso, quem sabe, talvez você entre em nossa lista especial de "Super Investigadores de Violações 🦸 " por seus esforços heroicos!

Vamos tornar a internet um lugar mais seguro para todos.