Is my email on the dark web — and if so, what can I do?

You may have heard of the dark web. It’s a more private version of the internet that we all use every day, which can be both a positive and a negative. In terms of cybercrime, the dark web can be a place for cybercriminals to trade personal data and use it to launch cyberattacks. In this article, we’ll explain how your email could be affected by a data breach, what to look out for, and what to do if your email is on the dark web.

Is my email on the dark web?

The most common way for your email address to appear on the dark web is in a data breach. Hackers attack businesses’ online databases to collect personal information. They can sell this information on the dark web for a profit and use it to create phishing scams, target you with ransomware, or commit identity fraud.

If you’re worried that you’ve been affected by a data breach, here are some signs you can watch out for to see if your email address has been leaked on the dark web:

• Receiving unusual notifications or emails indicates that your email address may have been used to create accounts, sign up for services, or make purchases.
• Seeing payments you didn’t make appear on your bank statement.
• Receiving emails saying that the passwords for your online accounts have been changed.
• Seeing emails being sent from your email address that you don’t recognize.

What is the dark web?

If you’re not familiar with how the internet is structured, there are essentially three layers:

• Sieć powierzchniowa: Think of this as the ‘normal’ web. This is the internet you use every day, which is made of public web pages available to everyone and can be found using search engines.
• Głęboka sieć: The deep web is made up of web pages that are not indexed by search engines. That means you can’t access these web pages unless you have the authority to do so, for example, if you know its URL or password. The deep web is used to protect sensitive data, so this is where your online banking, cloud storage, and government portals are stored.
• Dark web: The dark web is similar to the deep web in that search engines don’t index it, and it can’t be accessed without specific requirements, such as a password or dedicated software. While there are many legitimate uses(nowe okno) for the dark web, it is also frequently used to facilitate criminal activity. Users on the dark web can’t be tracked using geolocation or IP address(nowe okno), which has led cybercriminals to use it to sell illegal goods and services.

Now, let’s take a closer look at how and why your email address could appear there.

How do email addresses end up on the dark web?

Cybercriminals steal customer data to make a profit, and the profit from stealing this data is increasing dramatically. In recent years, high-profile data breaches have seen millions of records leaked: in the UK, Marks & Spencer(nowe okno) and the Co-op(nowe okno) have recently been affected by large breaches. North Face and Cartier(nowe okno) have also announced breaches of their own. TechCrunch estimates that in 2024, more than 1 billion records were leaked(nowe okno).

In data breaches, many types of personal information can be leaked. The most common include:

• Imię i nazwisko
• Data urodzenia
• Adresu e-mail
• Home address
• Social Security number
• Financial information

Among all of this information, you might wonder why your email address is as valuable as your financial information: Your email address is actually your online passport(nowe okno).

What can hackers do with my email address?

Your email address is tied to almost everything you do online. It helps cybercriminals see which websites you use, what you purchase online, who you communicate with, and more. It’s a very valuable piece of information for hackers because there are so many potential ways they can exploit it. Attackers can use your email address to find your accounts, create phishing scams to target your family and friends, blackmail you, and steal your money.

If you receive a notification letting you know your email address has been leaked in a data breach, you have time to minimize the damage that hackers can cause.

Co zrobić, gdy moje dane wyciekły

The impact of a data breach can be difficult to handle, but you can still take control of the situation. Here are our top three recommendations if you find out your email is found on the dark web.

Inform the relevant authorities

You can mitigate the damage caused by a data breach by informing any service providers or local authorities. To inform your local police, in the US you can contact the Internet Crime Complaint Center (IC3)(nowe okno) and in the UK you can contact Action Fraud(nowe okno). Contact your your bank if you’ve noticed unauthorized transactions made from your bank account. Even if you haven’t noticed any unauthorized payments, you can freeze your card to be safe. If you’ve been a victim of identity fraud, you can also report this online. In the UK, Stop! Think Fraud(nowe okno) has a useful checklist of actions to take if you’ve been the victim of identity fraud. IdentifyTheft.gov(nowe okno) has similar resources for those in the US.

Zmień hasła

Change the password for all your online accounts, including your email address. This is especially important because if a hacker manages to brute force or guess one of your passwords correctly using a credential stuffing attack, they’ll use that password to try and access your other online accounts.

You should create secure and unique passwords, a different one for each online account. This can be manual work because you’ll need to change all of your passwords individually. You can make your life easier by creating and saving each new password as you go using a secure password manager. That way, the health of the password can be tracked through Proton Pass automatically. Also, you can autofill your passwords next time you visit the website and save yourself the effort of remembering them all.

Start using two-factor authentication

Two-factor authentication (2FA) adds an extra layer of security to all of your online accounts. Depending on what type of 2FA is supported by each individual website, you can use:

• Hasła jednorazowe (OTP) generowane przez Proton Pass lub aplikację uwierzytelniającą, taką jak Proton Authenticator. Odradzamy wybieranie opcji otrzymywania kodów OTP przez SMS, ponieważ jest to niebezpieczny sposób odbierania wrażliwych informacji.
• Klucze bezpieczeństwa, takie jak YubiKey.
• Klucze dostępu. Tylko nowsze urządzenia będą wspierać klucze dostępu i nie wszystkie strony internetowe obecnie je obsługują.
• Hasła. Zalecamy przechowywanie haseł w menadżerze haseł tak samo, jak przechowujesz inne hasła.

Uwierzytelnianie dwustopniowe to doskonały sposób na znaczne utrudnienie dostępu do konta komukolwiek poza Tobą. Nawet jeśli Twoje hasło wycieknie online, haker nie będzie w stanie uzyskać dostępu bez Twojej drugiej metody logowania.

Jak zapobiec pojawieniu się Twojego e-maila w dark webie

Najlepsze sposoby na ochronę Twojego adresu e-mail są wbudowane w Proton Pass, zaszyfrowany end-to-end menadżer haseł. Możesz zaoszczędzić cenny czas i wysiłek, bezpiecznie korzystając z internetu, jednocześnie upewniając się, że chronisz się przed naruszeniami danych za pomocą niezawodnego i godnego zaufania narzędzia.

Używaj aliasów hide-my-email

Kluczem do zapobiegania pojawianiu się Twojego adresu e-mail online jest niepodawanie go. Powinieneś go ukrywać i zachować w prywatności tak samo, jak numer PESEL czy numer paszportu. Aliasy hide-my-email mogą Ci w tym pomóc.

Alias e-mail to losowo wygenerowany adres e-mail, który tworzysz i używasz, aby chronić swój osobisty adres e-mail. Możesz to zrobić łatwo i automatycznie dzięki Proton Pass, łatwemu w użyciu i bezpiecznemu menadżerowi haseł, który pozwala tworzyć i używać aliasów e-mail.

Nie musisz pamiętać wszystkich swoich aliasów e-mail; zamiast tego pozwól Proton Pass pamiętać je za Ciebie, podczas gdy Ty tworzysz indywidualne aliasy e-mail jako dane logowania do wszystkich stron internetowych, z których korzystasz na co dzień. W ten sposób firmy i hakerzy nie znają Twojego prawdziwego adresu e-mail i nie mogą powiązać go z Twoimi aliasami e-mail w przypadku naruszenia. Możesz po prostu wyłączyć alias i utworzyć nowy.

Skorzystaj z usługi monitoringu dark web

Ręczne skanowanie dark webu w poszukiwaniu Twojego adresu e-mail jest niemożliwe, dlatego wyspecjalizowane usługi, takie jak Monitoring dark web od Proton, mogą zrobić to za Ciebie. Ta usługa skanuje dark web w poszukiwaniu wszystkich adresów e-mail zapisanych w Proton Pass i powiadamia Cię, jeśli któryś się pojawi. Możesz szybko zareagować, zmieniając hasło do tego adresu e-mail lub pozbywając się aliasu e-mail, znacznie zmniejszając ryzyko zhakowania któregokolwiek z Twoich kont.

Przejmij kontrolę nad wszystkimi swoimi prywatnymi danymi

Zamiast skupiać się wyłącznie na trzymaniu adresu e-mail z dala od dark webu, możesz przechowywać wszystko, czego potrzebujesz, w Proton Pass, aby zapewnić temu ochronę. Szyfrowanie end-to-end wbudowane w Proton Pass uniemożliwia komukolwiek poza Tobą — nawet Proton — dostęp do Twoich informacji. Niezależnie od tego, jak korzystasz z internetu, na jakich platformach lub urządzeniach wolisz, możesz dostosować Proton Pass do swoich potrzeb.