常见问题

"数据泄露"（Data Breach）是指因系统安全漏洞、访问控制缺失或人为失误，导致数据被意外暴露、窃取或公开的事件。当一家公司或网站遭受黑客攻击，用户数据（如邮箱、密码、姓名等）被窃取并在互联网上流传时，就构成了一次数据泄露。

近年的典型案例包括：Adobe（1.53 亿账户）、LinkedIn（1.64 亿账户）、网易邮箱（数亿账户）、华住酒店（1.3 亿条开房记录）等。

我们的数据来源于全球权威的泄露数据库，汇总了全球范围内已验证的公开数据泄露事件，涵盖超过 1,000 个泄露源 和 170 亿+ 被泄露账户。我们通过安全 API 实时查询该数据库。

对于密码查询，我们使用收录了超过 8 亿个 曾在泄露事件中出现过的密码数据库。

我们也在积极探索接入国内数据泄露情报源，以便更好地覆盖中国用户常用服务的数据泄露情况。

"Pwned" 一词源于游戏文化和黑客语（leetspeak），是 "owned"（被控制）的变体写法。当你的邮箱地址出现在某次数据泄露事件中时，就意味着你的账户信息在该次事件中被"泄露"了。

在首页输入你的邮箱地址，点击"检查泄露"即可。系统会将你的邮箱地址进行哈希处理后与泄露数据库比对，返回你在哪些泄露事件中出现过。

重要提示：我们采用 k-Anonymity 隐私保护模型，你的邮箱地址不会以明文形式传输到服务器，仅发送哈希值的前 6 位前缀进行匹配。这一机制保证了服务端无法获知你查询的具体是哪个邮箱。

密码查询采用 k-Anonymity 模型，流程如下：

1. 本地哈希：你的密码在浏览器中通过 SHA-1 算法计算哈希值（密码本身不出设备）
2. 发送前缀：仅将哈希值的前 5 位字符发送给服务器
3. 获取列表：服务器返回所有以此前缀开头的泄露密码哈希后缀（通常 400-800 个）
4. 本地比对：浏览器在本地检查你的完整哈希是否在列表中

这意味着：你的密码原文永远不会离开你的设备，服务器也无法知道你到底查询了哪个密码。

不一定。虽然我们尽力保持数据更新，但任何数据库都无法收录所有泄露事件。许多泄露从未被公开发现，或者没有被收录到主流数据库中。"没找到"不等于"没泄露"——缺乏证据不是不存在的证据。

此外，如果你的邮箱启用了退出（Opt-Out）功能，查询结果也不会公开显示。

目前手机号查询功能正在规划中。由于国际主流泄露数据库对中国手机号的覆盖有限，我们正在评估多种技术方案，包括接入国内第三方数据源和自建数据库。请关注后续更新。

可以。你可以构造如下链接，直接展示某个邮箱的查询结果（邮箱地址会经过哈希处理，不会明文暴露在链接中）。该功能将在后续版本中提供。

这意味着该密码曾在某次公开数据泄露事件中出现过。由于泄露的数据集在互联网上广泛流传，使用已被泄露的密码将极大增加你的账户被"撞库"（Credential Stuffing）攻击的风险。

强烈建议：立即停止使用该密码，并为每个重要账户设置唯一、复杂的密码。我们推荐使用密码管理器来生成和管理密码。

绝不存储。密码查询采用 k-Anonymity 模型，密码的 SHA-1 哈希计算在浏览器本地完成，仅向服务器发送哈希值的前 5 位。密码原文永不离开你的浏览器。服务器不记录任何与密码相关的查询行为。

此外，泄露数据库中包含的密码均经过 SHA-1 哈希处理，且不关联任何个人可识别信息（如邮箱地址）。

不会。某次泄露事件中你的邮箱出现在其中是一个不可改变的历史事实。更改密码可以保护你未来的账户安全，但无法改变已经发生的泄露。

如果你不希望某个邮箱地址关联的泄露记录公开显示，可以使用我们的退出（Opt-Out）功能。

我们采取多层隐私保护措施：

• k-Anonymity 模型：邮箱查询发送哈希前 6 位，密码查询发送哈希前 5 位，服务器无法获知具体查询内容
• 不记录查询日志：我们不存储用户的搜索行为记录
• HTTPS 加密：所有数据传输均通过加密连接
• 最小化数据收集：我们仅收集提供服务所必需的最少量信息

详细隐私保护措施请参阅我们的隐私政策。

你无法完全确认，但我们可以坦诚相告：我们没有这样做，也永远不会这样做。本网站的宗旨是为用户提供免费、安全的泄露查询服务。技术上，我们的 k-Anonymity 模型确保服务器端甚至无法看到你查询的完整邮箱地址。

当然，与任何在线服务一样，如果你对我们的意图或安全性有顾虑，可以选择不使用。

我们的服务后端查询的泄露数据存储在云端基础设施上。用户订阅信息等本地数据存储在中国境内的云服务器上，遵守中国相关法律法规。

我们不会明确记录用户的查询行为。仅保留维持服务运行所必需的最少量服务器日志（如异常诊断信息），且这些日志中不包含用户查询的具体内容。

免费版提供每天 1 次查询，适合偶尔了解自己安全状况的用户。付费版提供更多查询次数和持续监控功能：

• 个人版（¥39/年）：不限次数查询 + 监控最多 5 个邮箱账户
• 家庭版（¥99/年）：监控 10 个账户，支持添加家人邮箱
• 企业版（¥299/年）：域名级监控 + 季度安全报告

查看付费计划了解更多。

订阅后，你的邮箱地址会被加入监控列表。当该地址出现在新的数据泄露事件中时，系统会通过邮件或微信模板消息向你发送告警通知，内容包括：

• 泄露发生的网站/服务名称
• 泄露的数据类型（如邮箱、密码、姓名等）
• 泄露事件的规模和发生时间
• 建议的应对措施

监控频率为每日自动扫描，确保你第一时间获知风险。

不可以。出于隐私保护考虑，所有监控通知均需通过被监控邮箱的所有权验证（双重确认机制）。你无法监控他人的邮箱地址，也无法监控你已无法访问的地址。

你可以随时通过用户控制面板取消订阅。取消后不退还已付费用，但你可以继续使用服务至当前计费周期结束。取消后的下一个计费周期将不再自动续费。

"敏感泄露"是指一旦公开可能导致当事人遭受歧视、名誉损害或其他不利影响的泄露事件。例如某些成人社交网站、医疗健康平台等的数据泄露。

这类泄露不在公开搜索中显示。只有通过验证邮箱所有权的订阅用户才能查看自己的账户是否涉及敏感泄露。这一机制保护了受影响者的隐私。

某些泄露可能被标记为"未经验证"。这意味着虽然泄露数据中包含真实个人信息，但该数据集的合法性尚未在合理怀疑之外得到确认。尽管如此，这些数据仍被纳入系统，因为受影响者有权知道自己信息是否在互联网上被暴露。

伪造的泄露是指极不可能包含来自所谓网站的合法数据，但仍可能以合法名义被出售或交易的数据集。这类事件通常由从其他来源聚合的数据组成（或完全伪造），但其中仍包含账户持有人不知情的真实数据。

数据泄露验证通常通过以下方式进行：

1. 受影响的服务是否公开承认了该泄露？
2. 泄露数据是否在搜索引擎中出现（即只是从其他来源复制的）？
3. 数据的结构与预期中的真实泄露是否一致？
4. 攻击者是否提供了足够的证据证明攻击路径？
5. 攻击者是否有可靠发布泄露或伪造泄露的历史记录？

有时会发现大量个人数据被用于发送定向垃圾邮件。这些列表通常从多个来源聚合而来，包含姓名、地址、电话号码和出生日期等信息。虽然数据可能并非来自被入侵的系统，但信息的个人性质以及在当事人不知情的情况下被重新分发的事实，使其有理由被纳入泄露数据库。

无关。我们没有记录搜索行为，搜索通过加密连接进行，且仅传输哈希值前缀。即使有人截获了网络流量，他们也无法获知你查询了哪个邮箱。相关性不意味着因果关系；这只是巧合。

这通常是因为其他人选择了与你相同的用户名。全球有数十亿互联网用户，大多数用户名在某个时间点被其他人使用过的概率很高。这并不意味着你的个人账户受到了影响。

如果你发现了一个尚未收录的数据泄露事件，欢迎通过客服渠道联系我们。提交前请先在"泄露网站"页面确认该事件是否已被收录。

不可以。我们不会向任何人提供泄露事件中出现的密码原文或哈希值。这样做会给双方带来更大安全风险。你可以在密码查询功能中验证某个密码是否曾泄露，但无法获得"你的哪个密码在哪个泄露中出现了"这样的关联信息。

关于数据泄露查询的更多技术细节和最新动态，请关注：

• 我们的博客和更新日志（即将上线）
• 关注数据安全领域的最新动态和知名安全研究者的技术分析
• 泄露网站列表——查看所有已收录的泄露事件

我们通过专业 API 接入全球领先的泄露数据库，在此基础上构建了面向中国用户的中文本地化查询服务，包括中文化的泄露描述、本地化定价和更适合中国用户的交互体验。