haveibeenpwned.com

一句话介绍

haveibeenpwned.com 是一个由澳大利亚安全专家 Troy Hunt 运营的免费数据泄露查询工具，用户只需输入邮箱或用户名，就能快速查看该账户是否曾在全球已知的数据泄露事件中被曝光。它因实时追踪数十亿条泄露记录、完全免费使用而成为网络安全领域公认的“泄露检测标杆”，个人用户、企业安全团队和开发者都将其作为日常安全防护的第一道防线。

业务详解

haveibeenpwned.com 的核心服务是聚合、索引和公开已知的数据泄露记录。自 2013 年上线以来，它已收录超过 120 亿条泄露数据，覆盖 Facebook、LinkedIn、Adobe、Equifax 等重大事件。Troy Hunt 本人是微软区域总监（Regional Director）和 MVP，项目最初作为个人研究项目启动，后因数据量大、更新及时而迅速获得行业信任。

平台主要提供两类服务：面向公众的免费查询界面，以及面向开发者和企业的 API 付费接口。免费版可单次查询邮箱是否泄露、查看泄露详情（如泄露来源、泄露数据类型）；API 则支持批量查询、订阅通知（当邮箱出现在新泄露中时自动告警）。此外，网站还提供“密码是否泄露”的单独查询功能，用户可输入密码哈希前缀，安全比对后得知密码是否已被公开。客户覆盖从普通网民到财富 500 强企业安全团队，许多密码管理器和安全工具直接调用其 API 作为数据源。

适合谁用

• 个人用户：最典型的场景是定期检查自己的邮箱是否出现在新泄露中，尤其适合那些注册了大量网站、担心密码被撞库的互联网重度用户。完全免费，无需注册即可使用。
• 安全运维人员：需要监控公司员工邮箱是否泄露，或检查企业对外服务的账户安全状态。可配合 API 实现自动化批量查询。
• 开发者：在开发登录注册功能时，可调用其 API 在用户注册时检查邮箱是否已泄露，并建议用户修改密码。很多密码管理器（如 1Password、Bitwarden）都集成了该服务。
• 企业安全团队：使用 API 订阅泄露告警，当员工邮箱出现在新泄露时第一时间收到通知，便于启动密码重置和风险排查。

关键功能与亮点

• 全球最大泄露数据库：收录超 120 亿条记录，覆盖 600 多个独立泄露事件，数据更新极快，新泄露事件通常数小时内入库。
• 免费查询 + 无广告：核心查询功能完全免费，页面简洁无广告，查询结果清晰展示泄露来源、泄露日期、泄露数据类型（如邮箱、密码、姓名等）。
• 密码泄露检测（Pwned Passwords）：输入密码哈希前缀，安全比对后返回该密码是否出现在泄露中，全程不传输实际密码，保护隐私。
• 域名搜索（企业版）：付费 API 支持按域名查询，企业可一次性查看该域名下所有邮箱的泄露情况，无需逐个输入。
• 通知订阅：免费用户可订阅邮箱通知，当该邮箱出现在新泄露时自动收到邮件提醒；API 用户可实现实时 webhook 推送。
• 开源透明：部分代码开源，数据来源公开可查，Troy Hunt 定期发布项目透明度报告，行业信任度极高。

价格分析

haveibeenpwned.com 的价格策略非常清晰：免费版对个人完全免费，付费仅针对 API 调用。API 定价按查询次数分档，基础套餐为每月 3.50 美元（约 25 元人民币）起，提供 1000 次查询/月；更高档位如 350 美元/月对应 50 万次查询。企业版域名搜索功能包含在更高阶套餐中。

与同类数据泄露检测服务相比，其免费版性价比极高——其他竞品（如 Firefox Monitor、DeHashed）要么查询次数受限，要么需要付费才能查看泄露详情。API 价格在专业级工具中属于中等偏下，尤其适合中小团队。没有隐藏费用，所有价格在官网公开列出。但需注意：免费版不支持批量查询或域名搜索，且没有明确的退款政策（因为 API 是预付费按次使用，购买后不支持退款）。

中国用户怎么用

• 网络通畅性：国内直连友好，无需科学上网即可访问 haveibeenpwned.com 主站和查询功能。页面加载速度较快，偶尔因国际网络波动出现延迟，但整体可用性高。API 接口同样支持国内服务器直连。
• 支付方式：API 付费仅支持信用卡（Visa、Mastercard 等）和 PayPal，不支持支付宝、微信支付。国内用户若需购买 API，需持有外币信用卡或注册 PayPal 并绑定银联卡（部分银联卡可绑定 PayPal）。
• 是否需要梯子：不需要。网站和 API 均未被屏蔽，国内用户可直接使用。
• 发票问题：无法提供中国发票。haveibeenpwned.com 是个人项目，无中国实体，且 Troy Hunt 已明确表示不提供任何形式的商业发票。国内企业如需报销，建议通过海外代理或寻找国内替代品。
• 国内同类替代品：国内有“微步在线威胁情报社区”的邮箱泄露查询功能，以及“知道创宇”的类似服务，但数据量和更新速度远不及 haveibeenpwned。还有“密码检测”类小程序（如“密码安全检测”），但大多仅支持密码查询，邮箱泄露数据不全面。

优缺点对比

优点：

• ✅ 数据量最大、更新最快，行业公信力极高
• ✅ 完全免费使用，无广告，无需注册
• ✅ 支持密码泄露检测（Pwned Passwords），安全且隐私友好
• ✅ 开源透明，数据来源可查，无商业利益冲突
• ✅ 国内直连可用，无需科学上网

缺点：

• ❌ 仅支持邮箱和密码查询，不提供 IP、域名等更广泛的安全情报
• ❌ 免费版不支持批量查询或域名搜索，企业需付费
• ❌ 不提供中文界面，对非英语用户不够友好
• ❌ 无法开具中国发票，国内企业报销困难
• ❌ 不支持支付宝/微信支付，API 购买门槛较高

同类产品对比

1. Firefox Monitor（Mozilla 出品）：同样基于 haveibeenpwned 的数据源，但界面更友好，支持订阅通知。缺点是需要 Firefox 账号，且数据更新依赖上游，不如直接使用原站。
2. DeHashed：商业数据泄露搜索引擎，支持邮箱、用户名、IP、域名等多维度查询，提供更丰富的搜索结果（如关联账户、密码哈希）。但免费版限制查询次数，且数据来源不如 haveibeenpwned 透明。
3. IntelX：暗网数据搜索引擎，包含泄露数据，但需要付费且数据质量参差不齐。适合有深网/暗网情报需求的进阶用户，不适合普通个人。

总结建议

适合选择 haveibeenpwned 的场景：个人用户定期检查邮箱安全、开发者集成泄露检测功能、中小企业安全团队监控员工邮箱泄露。它是最简单、最权威、最免费的泄露检测工具，尤其适合不想付费、不想注册账号、只需要快速查一次的用户。

不适合的场景：需要中文界面、需要国内发票、需要批量域名查询且预算有限（免费版不支持）、需要暗网情报或 IP/域名维度的安全数据。这些需求建议转向 DeHashed、微步在线或商业安全服务商。

建议：个人用户直接使用免费版，无需付费；开发者可先试用免费 API 额度（每月 1000 次查询），确认数据源满足需求后再升级付费套餐；企业用户可先通过免费版逐个查询邮箱，若需长期监控再购买 API。由于没有退款政策，建议先通过免费版充分测试再付费。