Slyszysz o wycieku danych — co robic? Praktyczny przewodnik

Czytasz wiadomość: „Firma X potwierdziła wyciek danych milionów użytkowników.” Albo dostajesz e-mail z informacją, że twoje konto w jakimś serwisie mogło zostać naruszone. Co robisz?

Większość ludzi zamknęłaby kartę i zapomniała o sprawie do jutra. Błąd — bo działając w ciągu kilku godzin, możesz zapobiec realnym szkodom. Działając po tygodniu — możesz tylko liczyć straty.

Ten przewodnik odpowiada na pytania: jak sprawdzić, czy twoje dane naprawdę wyciekły, co zrobić krok po kroku i kiedy sytuacja jest naprawdę poważna.

Czym jest wyciek danych?

Wyciek danych to sytuacja, w której nieautoryzowana osoba uzyskała dostęp do bazy danych firmy lub serwisu i skopiowała informacje o użytkownikach. Mogą to być:

• Adresy e-mail i hasła — najczęstszy scenariusz
• Dane osobowe — imię, nazwisko, adres, data urodzenia
• Numery telefonów
• Dane płatnicze — numery kart, historię transakcji
• PESEL, numer dowodu — w przypadku wycieku z instytucji publicznych lub firm wymagających weryfikacji tożsamości

Skradzione dane trafiają na darkwebowe fora lub do sprzedaży — i pozostają tam latami. Wyciek sprzed trzech lat wciąż może służyć do ataków.

Krok 1 — Sprawdź, czy twoje dane są w bazie wycieków

Have I Been Pwned (haveibeenpwned.com)

To najpopularniejszy i najzaufaniejzy darmowy serwis do sprawdzania wycieków. Prowadzony przez Troya Hunta — uznanego badacza bezpieczeństwa — gromadzi dane z setek wycieków i pozwala sprawdzić, czy twój adres e-mail lub numer telefonu się w nich pojawił.

Jak używać:

1. Wejdź na haveibeenpwned.com
2. Wpisz swój adres e-mail
3. Kliknij „pwned?”
4. Jeśli wynik jest czerwony — twoje dane pojawiły się w co najmniej jednym wycieku. Serwis pokaże, w jakich bazach i jakie kategorie danych zostały ujawnione.

Wynik zielony nie oznacza stuprocentowego bezpieczeństwa — nie wszystkie wycieki trafiają do bazy — ale jest dobrym sygnałem.

Możesz też sprawdzić hasło (zakładka „Passwords”) — serwis nie przetrzymuje haseł, ale sprawdza hash i informuje, czy dane hasło pojawiło się w znanych wyciekach.

Więcej o narzędziach do sprawdzania haseł: Jak sprawdzić, czy twoje hasło wyciekło? Poradnik

Krajowe źródła

CERT Polska i NASK nie prowadzą publicznego serwisu do sprawdzania wycieków porównywalnego z HIBP, ale regularnie publikują ostrzeżenia o konkretnych kampaniach na cert.pl. Warto obserwować.

Krok 2 — Oceń wagę wycieku

Nie każdy wyciek jest tak samo poważny. Hierarchia ryzyka:

Niskie ryzyko:

• Wyciekł tylko adres e-mail — możesz dostać więcej spamu i phishingu, ale bezpośrednie zagrożenie finansowe jest małe

Średnie ryzyko:

• E-mail + hasło (zwłaszcza jeśli to hasło używasz też gdzie indziej)
• Numer telefonu + dane profilowe

Wysokie ryzyko:

• Dane logowania do banku, poczty e-mail lub kont serwisów, których używasz do logowania przez OAuth (Google, Facebook)
• Numer karty płatniczej lub dane płatnicze
• PESEL, numer dowodu, data urodzenia + adres

Krytyczne:

• PESEL + imię, nazwisko, adres, data urodzenia = możliwość wyłudzenia kredytu lub pożyczki na twoje dane

Krok 3 — Działaj według priorytetu

Jeśli wyciekło hasło

Zmień hasło natychmiast na dotkniętym koncie — zanim zrobi to ktoś inny. Następnie:

• Jeśli używałeś tego samego hasła w innych miejscach (bankowość, e-mail, media społecznościowe) — zmień je wszędzie, gdzie je stosowałeś
• Ustaw unikalne, silne hasło dla każdego serwisu
• Rozważ użycie menedżera haseł, który wygeneruje i zapamięta bezpieczne hasła

Polecamy: Jak sprawdzić, czy twoje hasło wyciekło? Poradnik

Jeśli wyciekło konto e-mail + hasło

Twoja skrzynka e-mail to klucz do wszystkiego — przez nią można zresetować hasła do banku, Allegro, Facebooka. Zabezpiecz ją w pierwszej kolejności:

1. Zmień hasło do konta e-mail
2. Włącz weryfikację dwuetapową (2FA) — idealne to aplikacja jak Google Authenticator lub klucz sprzętowy, nie SMS
3. Sprawdź aktywne sesje i urządzenia — w Gmailu: Ustawienia → Bezpieczeństwo → Twoje urządzenia

Jak włączyć 2FA krok po kroku: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć

Jeśli wyciekły dane karty płatniczej

1. Zadzwoń do banku lub wejdź do aplikacji i zastrzeż kartę
2. Sprawdź historię transakcji za ostatnie tygodnie — czy nie ma nieautoryzowanych obciążeń
3. Poproś o wystawienie nowej karty z nowym numerem

Banki w Polsce (PKO BP, mBank, ING, Santander) mają 24h infolinie bezpieczeństwa — numery na odwrocie karty.

Jeśli wyciekły dane osobowe i PESEL

To najpoważniejszy scenariusz. Mając twój PESEL, datę urodzenia i adres, przestępca może próbować wziąć pożyczkę lub kredyt przez internet.

Działania ochronne:

1. Zastrzeż PESEL w systemie Ministerstwa Finansów (mf.gov.pl lub przez mObywatel). Po zastrzeżeniu żadna firma nie może zweryfikować twojego PESEL bez twojej zgody. Szczegóły: Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży
2. Zarejestruj się w Biurze Informacji Kredytowej (BIK) i włącz alerty — dowiesz się natychmiast, gdy ktoś zapyta o twój profil kredytowy
3. Sprawdź raporty w BIG InfoMonitor i ERIF — czy ktoś nie zaciągnął już zobowiązań na twoje dane
4. Złóż zawiadomienie na policji — jeśli jesteś pewny, że twoje dane są zagrożone lub już zostały użyte

Krok 4 — Zgłoś incydent

Do UODO (Urząd Ochrony Danych Osobowych): Jeśli firma, której powierzyłeś dane, poinformowała cię o wycieku, masz prawo do informacji o jego zakresie. Firma ma obowiązek zgłosić naruszenie do UODO w ciągu 72 godzin od jego wykrycia (RODO art. 33). Ty możesz złożyć skargę na uodo.gov.pl.

Do CERT Polska: Incydent możesz zgłosić na incydent.cert.pl. To ważne szczególnie, gdy wyciek prowadzi do aktywnych prób phishingu lub wyłudzania danych.

Na policję: Jeśli doszło do realnej szkody (np. wyłudzenie kredytu, nieautoryzowane transakcje) — złóż zawiadomienie o przestępstwie. Możesz to zrobić online przez Platformę Usług Elektronicznych Policji lub osobiście na komisariacie.

Jak zmniejszyć ryzyko na przyszłość?

Wycieków nie da się w pełni zapobiec — zależy to też od firm, którym powierzasz dane. Ale możesz zminimalizować skutki:

Używaj unikalnych haseł dla każdego serwisu. Jeśli jedno konto wycieknie, inne są bezpieczne. Menedżer haseł (Bitwarden, KeePass) to jedyna praktyczna metoda przy dziesiątkach kont.

Włącz 2FA wszędzie gdzie możesz. Nawet jeśli hasło trafi do złych rąk, bez drugiego czynnika konto pozostanie bezpieczne.

Stosuj adresy alias dla mniej ważnych serwisów. Usługi jak SimpleLogin lub Proton Mail Aliases pozwalają tworzyć unikalne adresy e-mail dla każdej rejestracji. Gdy jeden wycieknie — dezaktywa litujesz alias i problem znika.

Podawaj minimum danych. Jeśli sklep nie potrzebuje twojej daty urodzenia — nie podawaj jej. Mniej danych = mniejsze ryzyko przy wycieku.

Co zrobić teraz?

1. Sprawdź swój adres e-mail w haveibeenpwned.com. Teraz, nie za tydzień. Zajmuje to 30 sekund.

2. Jeśli wynik jest czerwony — zmień hasło na dotkniętym koncie. Zaczn od konta e-mail i bankowości, bo te mają największe konsekwencje.

3. Włącz 2FA na poczcie e-mail i bankowości. To jeden z najważniejszych kroków bezpieczeństwa, jaki możesz zrobić dziś. Przewodnik: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć

4. Zastrzeż PESEL, jeśli twoje dane osobowe wyciekły. Usługa jest bezpłatna i dostępna przez mObywatel. Więcej: Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży

5. Zapisz numery alarmowe bezpieczeństwa. Infolinia banku (odwrót karty), incydent.cert.pl, numer 8080 do zgłaszania podejrzanych SMS-ów. Te kontakty mogą się przydać w każdej chwili.

Wyciek danych to nieprzyjemna sytuacja, ale nie katastrofa — jeśli reagujesz szybko. Godzina działania zaraz po incydencie jest warta więcej niż tydzień stresu po fakcie.