Latem 2025 r. badacze z Cybernews opisali zbiór aż 16 miliardów rekordów logowania, obejmujący konta Google, Apple, Facebooka i dziesiątek innych usług. Skalę incydentu porównuje się do cyfrowej katastrofy ekologicznej. Dane pochodzą z ponad 30 baz i są świeże, więc mogą posłużyć do natychmiastowych przejęć kont, kampanii phishingowych czy kradzieży tożsamości.
Zaledwie rok wcześniej świat obiegła informacja o RockYou2024 – kompilacji niemal 10 miliardów haseł w postaci otwartego tekstu. Wiele z nich to starsze wycieki, ale sam rozmiar pliku pozwala atakującym błyskawicznie testować kombinacje login–hasło przy użyciu ataków brute-force.
W praktyce oznacza to, że niemal każdy internauta powinien przyjąć za punkt wyjścia scenariusz „moje dane już wyciekły” i zweryfikować stan swoich kont. Wyciek hasła nie zawsze prowadzi do natychmiastowego przejęcia dostępu, ale otwiera drogę do podszywania się pod ofiarę, kradzieży środków finansowych czy rozsyłania złośliwych treści, zwłaszcza gdy to samo hasło było używane w kilku serwisach.
Najpopularniejszym narzędziem do samodzielnej weryfikacji jest Have I Been Pwned (HIBP). Wystarczy wpisać adres e-mail, aby sprawdzić, w których znanych wyciekach dane konta już się pojawiły. Do bazy HIBP trafiają także zbiory przekazane przez CERT Polska, np. po kampanii phishingowej, która w 2023 roku ujawniła 68 tys. polskich haseł.
Wyciek haseł: jak sprawdzić krok po kroku
Polscy użytkownicy mają też do dyspozycji rządowy portal BezpieczneDane.gov.pl, gdzie po zalogowaniu profilem zaufanym można sprawdzić, czy PESEL lub adres e-mail znajduje się w krajowych wyciekach. Serwis działa we współpracy z CERT-em i Centralnym Ośrodkiem Informatyki, dzięki czemu odpowiada na incydenty specyficzne dla naszego rynku.
Nie trzeba jednak ograniczać się do zewnętrznych stron. Firefox Monitor powiadomi użytkownika automatycznie, gdy adres e-mail zostanie odnaleziony w nowym wycieku, a sam menedżer haseł Firefoksa oznaczy loginy zagrożone kompromitacją.
Użytkownicy Chrome mają do dyspozycji wbudowany Google Password Checkup, który następnie może samodzielnie wygenerować i wdrożyć mocniejsze hasło na obsługiwanych witrynach. Zapowiedziana w maju 2025 roku funkcja „automatycznej podmiany” ma wejść do stabilnej wersji przeglądarki jeszcze w tym roku.
Jeżeli napotkasz w sieci narzędzie obiecujące „pełny skan dark webu” w zamian za drobną opłatę lub podanie hasła – zrezygnuj. Eksperci ostrzegają, że pozornie atrakcyjne usługi mogą służyć do gromadzenia dodatkowych danych ofiar albo wyłudzania pieniędzy pod pretekstem rzekomych naruszeń.
Kiedy okaże się, że twoje hasło rzeczywiście wyciekło, nie ma czasu na zwłokę. Najpierw zmień je na unikalne i mocne, a następnie włącz dwuskładnikowe uwierzytelnianie – aplikacyjne lub sprzętowe – aby ograniczyć użyteczność skradzionych danych. Jeżeli to możliwe, przejdź na passkeys, które są odporne na tradycyjne ataki słownikowe, ponieważ nie korzystają z wpisywanego hasła.
Sprawdzenie wycieku haseł. Rozważ logowanie bezhasłowe
Coraz więcej platform – od systemów Apple przez Google aż po portale społecznościowe – promuje przejście na logowanie bezhasłowe. To kierunek, który może wyeliminować problem masowych wycieków haseł u źródła, ale do czasu pełnej adopcji użytkownicy muszą aktywnie monitorować swoje konta i reagować natychmiast po każdym nowym incydencie.
Wnioski są jasne: globalna fala wycieków haseł nie zwolni w najbliższej przyszłości, więc regularne sprawdzanie adresu e-mail w wiarygodnych bazach, korzystanie z menedżera haseł i włączanie uwierzytelniania wieloskładnikowego stają się podstawową higieną cyfrową, porównywalną z aktualizowaniem systemu operacyjnego czy wykonywaniem kopii zapasowych.
FAQ. Co trzeba wiedzieć o wycieku haseł
Jak sprawdzić, czy moje dane wyciekły?
Aby szybko zweryfikować, czy Twój adres e-mail trafił do znanych baz wycieków, odwiedź haveibeenpwned.com i sprawdź wynik wyszukiwania. Jeśli posiadasz profil zaufany, zaloguj się w rządowym serwisie BezpieczneDane.gov.pl, który porównuje adres e-mail lub numer PESEL z krajowymi rejestrami incydentów. W przeglądarce włącz funkcje takie jak Firefox Monitor lub Google Password Checkup, aby automatycznie otrzymywać alerty o nowych naruszeniach. Po każdym potwierdzonym wycieku natychmiast zmień hasło na unikalne, aktywuj dwuskładnikowe uwierzytelnianie i rozważ przejście na passkeys tam, gdzie to możliwe.
Gdzie znaleźć hasła, które wyciekły?
Najbezpieczniej sprawdzisz, czy Twoje hasło wyciekło, korzystając z bazy Pwned Passwords na haveibeenpwned.com, gdzie wpisany ciąg jest najpierw lokalnie haszowany, więc serwis nie poznaje jego treści. Krajowe i branżowe zespoły reagowania (np. CERT Polska) co jakiś czas udostępniają skróty haseł z dużych incydentów, które możesz pobrać i porównać lokalnym skanerem offline. Pełne dumpy w otwartym tekście krążą na forach typu BreachForums oraz w zamkniętych kanałach Telegramu, lecz ich pobieranie i przechowywanie narusza regulacje RODO i prawo autorskie. Dlatego praktycznym i legalnym rozwiązaniem jest włączenie w menedżerze haseł (Firefox, Chrome, 1Password itd.) automatycznego monitoringu naruszeń, który ostrzeże Cię, gdy Twoje dane pojawią się w nowej paczce wycieków.
Skąd wiesz, że Twoje hasło zostało zhakowane?
Pierwszym sygnałem jest nietypowa aktywność na koncie, na przykład nieudane próby logowania, logowania z obcych lokalizacji lub wiadomości „resetuj hasło”, których sam nie inicjowałeś. Drugą wskazówką są powiadomienia bezpieczeństwa z banku, sklepu internetowego czy serwisu społecznościowego, informujące o zmianie danych lub operacjach, których nie rozpoznajesz. Dodatkowo możesz samodzielnie sprawdzić adres e-mail lub skrót hasła w wiarygodnych bazach wycieków, takich jak Have I Been Pwned albo wbudowany Google Password Checkup czy Firefox Monitor. Gdy potwierdzisz naruszenie, natychmiast ustaw nowe, unikalne hasło, włącz dwuskładnikowe uwierzytelnianie i monitoruj konto pod kątem kolejnych ostrzeżeń.
Czy moje hasło zostało wykradzione?
Otwórz haveibeenpwned.com i sprawdź swój adres e-mail lub (bezpiecznie zahaszowane) hasło w bazie Pwned Passwords, aby zobaczyć, czy pojawiło się w znanych wyciekach. Jeśli masz profil zaufany, zaloguj się na BezpieczneDane.gov.pl, gdzie rządowa baza incydentów porówna Twój e-mail lub PESEL z informacjami z ostatnich naruszeń. Włącz w przeglądarce (Firefox Monitor, Google Password Checkup) lub menedżerze haseł automatyczne alerty, które powiadomią Cię natychmiast po wykryciu nowego wycieku. Dodatkowo monitoruj nietypowe logowania i prośby o reset, bo to często pierwsze objawy, że ktoś już zna Twoje hasło.
Sprawdź też:
- Seed phrase. Bezpiecznie przechowuj hasło do portfela kryptowalut
- CERT Polska – Lista ostrzeżeń przed niebezpiecznymi stronami. Oficjalny, rządowy feed phishingowych domen
- OWASP Password Storage Cheat Sheet – wytyczne dla deweloperów, które tłumaczą, jak bezpiecznie przechowywać hasła. Przydatne jako dalsza lektura dla technicznych czytelników
- ENISA – Good Practices for Password Security. Europejskie wytyczne uzupełniające perspektywę USA (NIST) o kontekst unijny i RODO
- Sprawdź, czy wyciek haseł dotknął ciebie