Transparentność cyberranking.pl zarabia na prowizjach od producentów (model afiliacyjny). Nie wpływa to na treść tego poradnika ani na to, które narzędzia polecam. Narzędzie do samego sprawdzenia wycieku, które tu opisuję jako pierwsze, jest w pełni darmowe. Więcej na stronie O nas.

Szybka odpowiedź

Wejdź na haveibeenpwned.com, wpisz swój adres e-mail i naciśnij sprawdź. W kilka sekund zobaczysz, w których znanych wyciekach pojawił się twój adres i jakie dane były w nich ujawnione: hasła, numer telefonu, adres czy dane karty. Sprawdzenie jest darmowe i nie wymaga zakładania konta. Hasła sprawdzisz osobno w zakładce Pwned Passwords, bez ich ujawniania.

Jeśli twój adres jest na liście, nie panikuj, ale działaj: zmień hasło tam, gdzie doszło do wycieku, i wszędzie, gdzie używałeś tego samego hasła, oraz włącz dwuetapowe uwierzytelnianie. Na przyszłość ustaw stały monitoring wycieków (darmowe powiadomienia daje sam Have I Been Pwned, szerszy monitoring numeru telefonu i dark webu mają pakiety Surfshark One i Norton 360) oraz przejdź na unikalne hasła w menedżerze haseł.

Jak często wyciekają dane Polaków?

Wyciek danych nie jest rzadkim wypadkiem, który zdarza się komuś innemu. To zjawisko masowe, które prędzej czy później dotyka prawie każdego, kto korzysta z internetu od kilku lat. Skala robi wrażenie nawet na osobach z branży.

~2 mld
adresów e-mail w największej kompilacji wycieków dodanej do Have I Been Pwned w 2025 roku
22,4 tys.
zgłoszeń naruszeń danych do UODO w 2025 roku (o połowę więcej niż rok wcześniej)
top 3
miejsce Polski w UE pod względem liczby zgłaszanych naruszeń danych

W 2025 roku do serwisu Have I Been Pwned trafiła ogromna kompilacja danych logowania zebrana z wielu wcześniejszych wycieków: blisko 2 miliardy unikalnych adresów e-mail i ponad miliard haseł. Część z nich pochodzi ze złośliwego oprogramowania kradnącego dane wprost z zainfekowanych komputerów.

W Polsce skalę widać też w danych urzędu. Jak podaje UODO, w 2024 roku zgłoszono blisko 14,8 tysiąca naruszeń ochrony danych, a w 2025 roku liczba ta przekroczyła 22 tysiące, czyli wzrosła o ponad połowę. Polska od lat jest w czołówce krajów UE pod tym względem.

Wniosek jest prosty: zakładaj, że któryś z twoich adresów już gdzieś wyciekł. Pytanie nie brzmi "czy", tylko "który i co z tym zrobić".

Źródła: Have I Been Pwned (Troy Hunt, 2025), Sprawozdanie Prezesa UODO za 2024 rok oraz dane UODO za 2025 rok.

Jak sprawdzić e-mail w Have I Been Pwned

Have I Been Pwned (w skrócie HIBP, po polsku "czy zostałeś zhakowany") to najbardziej znana i zaufana wyszukiwarka wycieków. Prowadzi ją Troy Hunt, uznany badacz bezpieczeństwa, a z bazy korzystają specjaliści, firmy i instytucje na całym świecie. Sprawdzenie zajmuje chwilę.

  1. Wejdź na stronę haveibeenpwned.com (działa po angielsku, ale obsługa jest banalna).
  2. W pole na środku wpisz swój adres e-mail i naciśnij przycisk pwned?.
  3. Jeśli zobaczysz zielony komunikat Good news, no pwnage found, twojego adresu nie ma w znanych wyciekach. To dobry znak, choć nie gwarancja, bo nie każdy wyciek trafia do bazy.
  4. Jeśli pojawi się czerwony komunikat Oh no, pwned, przewiń niżej. Zobaczysz listę wycieków z nazwą serwisu, datą i wykazem ujawnionych danych (hasła, numer telefonu, adres, dane karty).
  5. Powtórz sprawdzenie dla każdego swojego adresu: prywatnego, służbowego, starych kont. Numer telefonu sprawdzisz w osobnej wyszukiwarce na tej samej stronie.
Sprawdź też hasło, nie tylko e-mail W zakładce Pwned Passwords wpiszesz konkretne hasło i sprawdzisz, ile razy pojawiło się w wyciekach. Jeśli liczba jest większa od zera, to hasło jest spalone i nie używaj go nigdzie. Serwis nie wysyła całego hasła, tylko fragment jego skrótu (technika k-anonimowości), więc samo hasło nie opuszcza twojej przeglądarki.

Wbudowane sprawdzanie wycieków mają też przeglądarki i menedżery haseł. Google i Chrome ostrzegają o przejętych hasłach przy logowaniu, a Firefox ma usługę Monitor opartą na tej samej bazie HIBP. Jeśli korzystasz z menedżera haseł, prawdopodobnie masz tę funkcję pod ręką, o czym za chwilę.

Czy wpisywanie e-maila w takiej wyszukiwarce jest bezpieczne?

To uzasadniona obawa, bo przecież nie chcesz podawać danych przypadkowej stronie. W przypadku Have I Been Pwned możesz być spokojny, i warto rozumieć dlaczego.

  • Nie podajesz hasła ani nie zakładasz konta. Sprawdzenie e-maila to zwykłe zapytanie, czy dany adres jest już w bazie wykradzionych danych.
  • Serwis nie udostępnia samych danych. Nie zobaczysz cudzych haseł ani swoich. HIBP mówi tylko, że wyciek miał miejsce i jaki rodzaj danych obejmował.
  • Przy sprawdzaniu haseł działa k-anonimowość. Twoja przeglądarka wysyła tylko pierwsze pięć znaków skrótu hasła, a porównanie kończy się lokalnie. Pełne hasło nigdy nie trafia na serwer.
  • Trzymaj się oryginału. Korzystaj z adresu haveibeenpwned.com lub z funkcji wbudowanej w znany menedżer haseł. Unikaj przypadkowych klonów, które mogą zbierać wpisywane adresy.
Uwaga na fałszywe wyszukiwarki wycieków Po głośnych wyciekach pojawiają się podróbki, które pod pozorem sprawdzenia danych wyłudzają twój e-mail, hasło, a czasem płatność. Prawdziwe sprawdzenie wycieku nigdy nie wymaga podania hasła ani numeru karty. Jeśli strona o to prosi, zamknij ją.

Moje dane wyciekły. Co teraz?

Trafienie w bazie nie oznacza, że ktoś już przejął twoje konto. Oznacza, że twoje dane są w obiegu i trzeba odciąć przestępcy drogę, zanim z nich skorzysta. Działaj po kolei, zaczynając od najważniejszych kont.

  • Zmień hasło w serwisie, którego dotyczył wyciek. Ustaw nowe, długie i niepowtarzalne.
  • Zmień je też wszędzie, gdzie używałeś tego samego lub bardzo podobnego hasła. To najważniejszy krok, bo przestępcy automatycznie testują wykradzione pary login i hasło na innych stronach.
  • Włącz dwuetapowe uwierzytelnianie, najpierw na poczcie i w banku. Dzięki temu samo hasło przestaje wystarczać do zalogowania.
  • Skontaktuj się z bankiem, jeśli wyciekły dane karty lub logowanie do bankowości. W razie potrzeby zastrzeż kartę i włącz powiadomienia o transakcjach.
  • Uważaj na phishing przez kilka tygodni. Po wycieku rośnie liczba oszustw, w których przestępca zna twoje prawdziwe dane i brzmi wiarygodnie. Jak je rozpoznać, opisuję w poradniku jak chronić się przed phishingiem.
  • Sprawdź historię logowań na ważnych kontach i wyloguj nieznane sesje.

Jeśli wyciek dotyczył wrażliwych danych (numer PESEL, dowód, dane medyczne), warto rozważyć zastrzeżenie numeru PESEL w aplikacji mObywatel oraz zgłoszenie sprawy. Przy większych incydentach pomocne bywa też ograniczenie swojego cyfrowego śladu, o czym piszę w poradniku jak usunąć dane z internetu.

Stały monitoring, czyli sprawdzanie raz nie wystarczy

Jednorazowe sprawdzenie pokazuje tylko przeszłość. Nowe wycieki pojawiają się stale, a o większości dowiadujemy się z dużym opóźnieniem. Dlatego sensowniej jest ustawić monitoring, który sam ostrzeże cię, gdy twój adres pojawi się w nowej bazie. Wtedy zmieniasz hasło z wyprzedzeniem, a nie po tym, jak ktoś przejmie konto.

Wariant darmowy

Sam Have I Been Pwned ma funkcję Notify me. Podajesz adres e-mail, potwierdzasz go i od tej pory dostajesz powiadomienie, gdy pojawi się w nowym wycieku. To minimum, które powinien ustawić każdy, i nic nie kosztuje.

Wariant z szerszym monitoringiem

Jeśli chcesz pilnować nie tylko e-maila, ale też numeru telefonu, numeru karty czy danych krążących po dark webie, taką ochronę dorzucają pakiety bezpieczeństwa. Działają w tle i przysyłają alert wraz z podpowiedzią, co zmienić.

Polecane

Surfshark One lub Norton 360

Surfshark One zawiera funkcję Alert, która monitoruje twój e-mail, dane karty i numer dowodu pod kątem wycieków, a do tego dokłada VPN i antywirus w jednej cenie. Norton 360 w wyższych planach prowadzi monitoring dark webu i ostrzega, gdy twoje dane pojawią się w wykradzionych bazach, łącząc to z menedżerem haseł i kopią plików w chmurze. Oba dobrze sprawdzają się jako jeden pakiet dla całej rodziny.

Sprawdź Surfshark One Sprawdź Norton 360
linki partnerskie

Pełne porównanie pakietów ochrony znajdziesz w rankingu programów antymalware, a same usługi VPN w rankingu VPN.

Jak ograniczyć skutki kolejnych wycieków

Wycieków po stronie firm nie unikniesz, bo to one tracą bazy. Możesz za to sprawić, że jeden wyciek nie pociągnie za sobą reszty twoich kont. Trzy nawyki załatwiają większość problemu.

Unikalne hasło do każdego konta

To najważniejsza zmiana. Gdy każde konto ma osobne, losowe hasło, wyciek z jednego serwisu nie zagraża pozostałym. Ręcznie się tego nie spamięta, więc do gry wchodzi menedżer haseł: generuje i przechowuje hasła, a wiele z nich od razu skanuje twoją bazę pod kątem wycieków i słabych powtórzeń. Jak wybrać konkretny, rozkładam w rankingu menedżerów haseł.

Polecane

1Password lub NordPass

1Password ma wbudowany Watchtower, który ostrzega o hasłach z wycieków i tych używanych w kilku miejscach. NordPass robi to samo w funkcji Data Breach Scanner i skanerze stanu haseł. Oba generują mocne, niepowtarzalne hasła i podpowiadają je tylko na właściwej domenie, więc przy okazji chronią przed phishingiem.

Sprawdź 1Password Sprawdź NordPass
linki partnerskie

Dwuetapowe uwierzytelnianie na ważnych kontach

Nawet jeśli hasło wycieknie, drugi składnik (kod z aplikacji albo klucz sprzętowy) nie pozwoli się zalogować obcej osobie. Zacznij od poczty i banku. Krok po kroku opisuję to w poradniku jak zabezpieczyć konto online.

Mniej danych w obiegu

Im mniej miejsc ma twoje dane, tym mniej może ich wyciec. Zakładaj konta tylko tam, gdzie naprawdę potrzeba, kasuj stare i nieużywane, a do mniej ważnych rejestracji rozważ osobny adres e-mail albo alias. To ogranicza powierzchnię ataku bez większego wysiłku.

Lista kontrolna na dziś

Nie musisz robić wszystkiego naraz. Zacznij od kroków, które dają najwięcej bezpieczeństwa najmniejszym wysiłkiem.

Krok 1, teraz

Sprawdź swoje adresy

Wpisz każdy e-mail w haveibeenpwned.com i zanotuj, gdzie doszło do wycieku.

Krok 2, dziś

Zmień spalone hasła

Najpierw tam, gdzie wyciekło, i wszędzie, gdzie używałeś tego samego hasła.

Krok 3, w tym tygodniu

Menedżer haseł i 2FA

Unikalne hasła w jednym miejscu plus drugi składnik na poczcie i w banku.

Krok 4, nawyk

Włącz monitoring

Darmowe Notify me w HIBP albo monitoring wycieków w pakiecie bezpieczeństwa.

Najczęstsze pytania

Gdzie sprawdzić, czy mój e-mail wyciekł?
Najprościej na stronie Have I Been Pwned (haveibeenpwned.com). Wpisujesz swój adres e-mail, a serwis pokazuje, w których znanych wyciekach się pojawił i jakie dane były w nich ujawnione. Usługa jest darmowa, prowadzi ją uznany badacz bezpieczeństwa Troy Hunt, a samo sprawdzenie nie wymaga zakładania konta. Numer telefonu sprawdzisz w osobnej wyszukiwarce na tej samej stronie. Po polsku monitoring wycieków oferują też menedżery haseł i pakiety bezpieczeństwa, na przykład Surfshark One i Norton 360.
Czy wpisanie e-maila w Have I Been Pwned jest bezpieczne?
Tak. Have I Been Pwned tylko sprawdza, czy podany adres znajduje się już w bazie wykradzionych danych, których serwis nie udostępnia publicznie. Nie zakładasz konta i nie podajesz hasła. Przy sprawdzaniu haseł serwis używa techniki k-anonimowości, czyli wysyła tylko fragment skrótu hasła, więc samo hasło nigdy nie opuszcza twojej przeglądarki. To narzędzie używane przez specjalistów i instytucje na całym świecie.
Co zrobić, gdy moje dane znalazły się w wycieku?
Natychmiast zmień hasło do konta, którego dotyczył wyciek, i wszędzie tam, gdzie używałeś tego samego hasła. Włącz dwuetapowe uwierzytelnianie, najpierw na poczcie i w banku. Jeśli wyciekły dane karty lub logowanie do bankowości, skontaktuj się z bankiem i w razie potrzeby zastrzeż kartę. Przez kilka tygodni uważaj na phishing, bo po wycieku rośnie liczba prób oszustwa wykorzystujących twoje prawdziwe dane. Na przyszłość ustaw unikalne hasła w menedżerze haseł i włącz stały monitoring wycieków.
Czy po wycieku trzeba zmieniać wszystkie hasła?
Nie wszystkie naraz. Najpierw zmień hasło do konta wskazanego w wycieku oraz wszędzie, gdzie używałeś tego samego lub bardzo podobnego hasła. To dlatego powtarzanie haseł jest tak groźne: jeden wyciek otwiera przestępcy drogę do wielu kont metodą podstawiania danych logowania. Jeśli każde konto ma osobne, losowe hasło z menedżera, wyciek z jednego serwisu nie zagraża pozostałym i wymiana ogranicza się do jednego miejsca.
Czy monitoring wycieków ma sens, skoro mogę sprawdzić raz za darmo?
Jednorazowe sprawdzenie pokazuje tylko przeszłość. Nowe wycieki pojawiają się stale, a o większości dowiadujesz się z opóźnieniem. Monitoring działa w tle i ostrzega cię mailem, gdy twój adres pojawi się w nowej bazie, dzięki czemu zmieniasz hasło, zanim ktoś zdąży je wykorzystać. Darmowe powiadomienia daje sam Have I Been Pwned (Notify me). Szerszy monitoring, obejmujący też numer telefonu, numer karty czy dane z dark webu, jest częścią pakietów Surfshark One i Norton 360 oraz lepszych menedżerów haseł.

Powiązane artykuły

Poradnik

Jak zabezpieczyć konto online. Hasła i dwuetapowe logowanie
Ranking

Najlepsze menedżery haseł. Ranking 2026
Poradnik

Jak chronić się przed phishingiem? Poradnik 2026
Poradnik

Jak usunąć swoje dane z internetu
Poradnik

Fałszywe SMS i oszustwa na BLIK. Jak się chronić
Dane

Cyberbezpieczeństwo w Polsce 2025 w liczbach
Artykuł zawiera linki partnerskie oznaczone jako "link partnerski". Kliknięcie i zakup przez taki link może skutkować wypłatą prowizji dla cyberranking.pl. Nie ma to wpływu na treść ani oceny narzędzi. Dowiedz się więcej o naszej metodologii.