Z uwagi na ciągle rosnącą ilość włamań i związanych z nimi publikacji baz danych klientów i użytkowników serwisów internetowych, coraz więcej internautów zadaje sobie tytułowe pytanie.
W lipcu 2011 roku dwóch pracowników firmy TippingPoint stworzyło serwis pwnedlist.com, którego zadaniem jest dostarczanie internautom informacji, czy ich dane wyciekły. Serwis gromadzi informacje o wszystkich wyciekach informacji i udostępnia interfejs do sprawdzenia, czy wśród udostępnionych w internecie danych znajduje się dany adres email lub login. Wg twórców systemu baza danych posiada już prawie 5 milionów rekordów (i rośnie regularnie), więc jest w czym sprawdzać.
W związku ze specyficzną funkcjonalnością tego serwisu nasuwa się kilka pytań. Przede wszystkim, czy podając swój adres email nie dostarczamy go spamerom? Pwnedlist rozwiązuje ten problem w prosty sposób – zamiast podać pełne brzmienie adresu email wystarczy wyszukać jego hash utworzony przy użyciu algorytmu SHA-512. Serwis dokonuje porównania podanego hasha do hashy przechowywanych w bazie danych, dzięki czemu nie trzeba podawać pełnego adresu. Hash swojego adresu można łatwo wygenerować w dowolnym serwisie online zapewniającym taką usługę.
Drugim ciekawym tematem jest sposób, w jaki funkcjonuje Pwnedlist. Okazuje się, że w bazie danych systemu nie są przechowywane adresy email, a jedynie ich hashe. System nie przechowuje również żadnych innych wiadomości dotyczących konkretnych adresów lub hashy oprócz daty ich pojawienia się w systemie. W ten sposób twórcy Pwnedlist unikają odpowiedzialności za nieautoryzowane przetwarzanie adresów email oraz zapewniają, że nawet włamanie do serwisu nie spowoduje ujawnienia bazy przechowywanych adresów.
Autorzy informują, iż dane zbierają zarówno z anonimowych doniesień, jak i dedykowanych robotów przeczesujących znane lokalizacje, w których publikowane są zrzuty ujawnionych baz danych (jak np. serwis pastebin). Dla odmiany konkurencyjny dla Pwnedlist serwis ShouldIChangeMyPassword.com opiera się wyłącznie na bazach zlokalizowanych przez jego twórców. Niestety w tym serwisie nie możemy podać skrótu nazwy konta, musimy podać pełne brzmienie.
Należy pamiętać, że negatywny wynik zapytania w obu serwisach nie oznacza, że konto jest bezpieczne – ich bazy są dalekie od kompletności. Lepiej regularnie zmieniać hasło, niż potem żałować.
