Doxing to jedna z metod działania godzącego w cyberbezpieczeństwo, dodatkowo naruszająca prywatność użytkowników internetu. Może prowadzić do ujawnienia tożsamości anonimowej osoby, utraty reputacji, strat finansowych, uszczerbku na zdrowiu fizycznym i psychicznym. Na szczęście istnieje szereg czynności, które można podjąć bądź podejmować cały czas w trakcie korzystania z sieci, by zminimalizować ryzyko padnięcia ofiarą doxingu. O tym, a także o definicji i zakresie zjawiska, w dzisiejszym artykule.
Czym jest doxing?
Doxing, spotykany również pod nazwą doxxing, to nielegalna praktyka rozpowszechniania – najczęściej publikowania w internecie – danych osobowych i prywatnych informacji bez wiedzy i zgody ich właścicieli. Dane te, takie jak imię, nazwisko, adres czy nawet informacje o życiu rodzinnym i sposobach spędzania wolnego czasu, publikowane są w miejscu, do którego dostęp ma nieograniczona liczba użytkowników, np. na forach, w mediach społecznościowych, na stronach, w komunikatorach. Osobie dopuszczającej się doxingu, czyli doxerowi, chodzi o to, aby prywatne informacje na temat jego ofiary stały się dostępne dla wszystkich.
Słowo doxing pochodzi od terminu dropping docs/dox, czyli wrzucania do sieci dokumentów (w domyśle: prywatnych, w tym danych osobowych). Określenie to było używane w latach 90 ubiegłego wieku. Działania podejmowali się hakerzy wobec innych hakerów celem odebrania im anonimowości w internecie. Upublicznienie danych pozwalało na identyfikację osób stojących za pseudonimami sieciowymi.
Jakie dane zbierają doxerzy?
Doxerzy interesują się wszystkimi danymi, których upublicznienie mogłoby zaszkodzić ofierze. Przykładowo: jeśli ktoś posługuje się w internecie swoim imieniem i nazwiskiem, a także udostępnia na Facebooku w trybie publicznym zdjęcia siebie z psem, takie dane będą interesować doxera znacznie mniej niż np. numer telefonu, prywatny adres e-mail, adresy domu i pracy, prywatne zdjęcia publikowane w trybie dla znajomych.
Osoba dokonująca doxingu przed finalnym opublikowaniem danych poświęca czas i wykorzystuje różnorodne umiejętności do zgromadzenia interesujących ją informacji. Skrupulatnie zapisuje na dysku zdjęcia i screenshoty, notuje informacje z życia prywatnego ofiary. Korzysta przy tym zarówno z kanałów dostępnych dla zwykłego użytkownika sieci (m.in. odczytuje dane udostępnione samodzielnie przez ofiarę, np. w mediach społecznościowych), jak i ze sposobów nielegalnych, m.in. łamania haseł do kont i phishingu.
Skąd doxer bierze dane ofiary?
Aby paść ofiarą doxera, nie trzeba wcale paść ofiarą hakera. Innymi słowy: doxer to nie zawsze haker. Często jest to osoba z dostępem do tych samych informacji, do których dostęp ma dowolny inny użytkownik sieci. Po prostu doxer ma motywację, by przejrzeć różne serwisy oraz zebrać i zestawić dane w taki sposób, aby zaszkodzić ofierze.
Dane, którymi posługuje się doxer, mogą pochodzić bezpośrednio od ofiar – są to informacje celowo lub bezwiednie publikowane na ich kontach w social media, forach, w komunikatorach i na przeróżnych stronach. Krótko mówiąc: w internecie.
- Celowo publikowanymi danymi są np. zdjęcia w bieliźnie wrzucane na Instagram bądź poufne informacje firmowe zdradzone w ramach przechwałek na mało znanym forum branżowym. Pozostawienie takich informacji samym sobie nie wyrządziłoby ofiarom krzywdy, ale już zebranie ich przez doxera i opublikowanie w innym miejscu – np. na fanpage’u firmy zatrudniającej daną osobę – może doprowadzić do przykrych konsekwencji.
- Natomiast dane publikowane bezwiednie to np. elementy zdjęć, do których ofiara nie przywiązuje wagi, ale już doxer owszem. Mogą to być chociażby charakterystyczne budynki umożliwiające określenie lokalizacji, powiązania międzyludzkie stanowiące podstawę do szantażu czy dane widoczne po przybliżeniu na biletach koncertowych, lotniczych, innych.
Oczywiście istnieją też hakerzy posługujący się doxingiem jako narzędziem do osiągnięcia celu. W repertuarze sposobów na zdobycie danych osobowych ofiar znajdują się m.in. łamanie haseł i włamywanie się na konta (dlatego warto znać i stosować zasady tworzenia silnych haseł), catfishing (dlatego warto wiedzieć, czym on jest i jak się przed nim ustrzec), phishing (podszywanie się pod różne osoby, firmy i instytucje, np. banki, dostawców internetowych, doręczycieli paczek), tworzenie deepfake’ów, wykorzystywanie luk w zabezpieczeniach stron, programów, systemów.
I wreszcie doxerzy mogą skorzystać z prywatnych danych, które wyciekły podczas ataku hakerskiego, przy czym przeprowadzonego przez kogoś innego w przeszłości. To ważne, by natychmiast po dowiedzeniu się o ataku na serwis, w którym ma się konto, zmienić podstawowe dane – co najmniej hasło. Niestety danych takich jak imię, nazwisko, adres zamieszkania czy numery kart nie zmienia się ot tak. Informacje te zostają w sieci i mogą być wykorzystane w przyszłości.
Czemu służy doxxing?
Nie można jednoznacznie stwierdzić, jakiemu celowi służy doxing. Wszystko zależy od osoby i sytuacji. Jedni doxerzy szukają zemsty, innym rujnowanie życia ludziom sprawia przyjemność. Mogą nękać i dręczyć dla – w ich mniemaniu – żartu i zabawy. Czasem doxxing jest sprawdzianem umiejętności hakera bądź samozwańczego detektywa internetowego. Cyberprzestępca chce się przekonać, ile danych uda mu się zebrać. Niekiedy zaś chodzi o zdobycie uznania osób z danej społeczności.
W powyższych przypadkach doxing służy stricte upublicznieniu danych, wobec czego ofiara nie może zapobiec ujawnieniu informacji o niej – nawet nie wie, że ktoś szykuje się do ataku na jej prywatność. Niekiedy jednak przestępcom chodzi o coś innego, np. zarobienie pieniędzy. Wówczas dane uzyskane w procesie zbierania informacji służą do szantażowania. Może również chodzić o zmuszenie kogoś do wykonania bądź zaniechania jakiejś czynności zgodnie z wolą doxera. W takim przypadku zebrane dane służą do zastraszania. W obu sytuacjach prywatne informacje zostają upublicznione tylko w razie niespełnienia warunków przestępcy, więc nie zawsze dochodzi do doxingu.
Warto też zaznaczyć, iż doxxing może mieć podłoże zarówno osobiste (np. zranione uczucia, zazdrość, nienawiść), jak i niezwiązane z konkretną osobą (np. chęć zarobienia pieniędzy, czerpanie przyjemności z nękania kogoś, dążenie do wymuszenia na kimś jakiejś czynności). W pierwszej sytuacji ofiarą doxingu będzie konkretna osoba. W drugiej – dowolna.
Czy zwykły użytkownik sieci może paść ofiarą doxingu?
Niestety tak. Chociaż szczególnie atrakcyjną grupą potencjalnych ofiar są osoby znane, popularne, wpływowe lub bogate – zwłaszcza prowadzące jakąś działalność w sieci anonimowo bądź pod pseudonimem – nic nie stoi na przeszkodzie, by doxer skierował się ku zwykłemu użytkownikowi internetu: Tobie, Twojemu tacie lub cioci, któremukolwiek z Twoich znajomych. O ile bowiem od ofiar z pierwszej grupy można uzyskać większe pieniądze, a także można od nich oczekiwać wykonania bardziej spektakularnych działań, o tyle upublicznianie danych dla zabawy, mszczenie się na kimś czy też nękanie kogoś może być wycelowane w zwykłego Kowalskiego. Poza tym przeciętny użytkownik sieci może dać się łatwiej zastraszyć niż celebryta, polityk czy znany biznesman. Za tymi drugimi stoi sztab prawników, natomiast zwykła osoba może czuć przerażenie, osamotnienie i bezsilność w obliczu doxxingu, wobec czego będzie bardziej skłonna spełnić żądania przestępcy.
Ale to nie wszystko. Ofiarą doxingu może paść nie tylko człowiek, ale także firma, organizacja, fundacja lub inny tego typu podmiot. Doxerowi bowiem może chodzić o zniszczenie biznesu bądź idei stojącej za powstaniem ugrupowania (partii politycznej, stowarzyszenia ideologicznego, organizacji religijnej). Aby osiągnąć cel, zbiera i publikuje różne poufne dane na temat interesującego go podmiotu. Przy okazji niestety cierpią ludzie. Dla przykładu: aby zdyskredytować firmę x, doxer może opublikować w internecie listę jej klientów. W takim wypadku cierpią nie tylko reputacja i finanse biznesu, lecz także realne osoby, których dane wyciekły do internetu, a które być może nie chcą być kojarzone z usługami danej firmy (a nawet jeśli nie przeszkadza im fakt skojarzenia z firmą x, nie chcą, aby ich imiona, nazwiska, numery telefonów i adresy pozostawały do wglądu dla dowolnego użytkownika sieci).
Jak nie paść ofiarą doxingu? Jak się przed nim chronić?
Aby zminimalizować ryzyko padnięcia ofiarą doxxingu, należy zabezpieczyć się zarówno przed doxerem niebędącym hakerem, jak i doxerem-hakerem. Oto, co możesz zrobić, by zadbać o prywatność:
- Publikuj w internecie wyłącznie niezbędne informacje o sobie. Pamiętaj, że nie chodzi tylko o social media, ale także o dowolne inne miejsca – również te, w których masz anonimowy profil. Zidentyfikowanie Cię na podstawie użytego e-maila, adresu IP lub innej danej nie jest trudne dla osoby, która ma motywację i czas.
- Jeżeli chcesz dzielić się prywatnymi treściami w social media, zawsze korzystaj z trybu dla znajomych. Jednocześnie akceptuj zaproszenia do znajomych bądź prośby o dostęp do profilu wyłącznie od faktycznych znajomych. Najlepiej ustaw cały profil na prywatny.
- Uważaj na dane umieszczane na zdjęciach – wszelkie informacje pisane zamazuj, a jeśli nie potrafisz, zrezygnuj z publikowania takich zdjęć. Nigdy nie publikuj zdjęć dokumentów, a także biletów czy dyplomów.
- Do pisania na forach i komentowania na stronach używaj nieprawdziwych danych. Możesz założyć jeden nieoficjalny adres e-mail, którym będziesz się posługiwał w mało ważnych serwisach. Z kolei podczas komentowania wpisuj dowolny adres e-mail, np. xyz@gmail.com. Zmieniaj pseudonim – za każdym razem pisz pod innym.
- Jeżeli musisz zweryfikować się w jakimś serwisie, korzystaj ze sposobów innych niż przesyłanie dokumentów.
- Stosuj zasady tworzenia silnych haseł i korzystaj z weryfikacji dwuetapowej. Nie trzeba być hakerem, by odgadnąć banalne hasło, takie jak imię Twojego dziecka czy psa.
- Używaj sprawdzonego managera haseł. Programy te dostępne są w wersji darmowej i płatnej.
- Kiedy usuwasz konto w jakimś serwisie, zawsze upewniaj się, że Twoje dane zostają wymazane z bazy. Masz do tego prawo na podstawie rozporządzenia RODO. Ponadto zrób listę stron, na których się zarejestrowałeś. Wyrejestruj się z tych, których nie używasz.
- Korzystaj z VPN-a, by ukryć swoje IP. Dbaj również o poufność lokalizacji (adresów), w których przebywasz. Nie udostępniaj lokalizacji ani nie melduj się w konkretnych miejscach w mediach społecznościowych.
- Sprawdzaj informacje o sobie w internecie. Najłatwiejszą czynnością jest wpisanie w Google swojego imienia i nazwiska – a także innych danych, np. numeru telefonu – z konta incognito. Dodatkowo jeśli prowadzisz firmę lub jesteś osobą publiczną, rozważ wykupienie alertów wysyłanych w przypadku pojawienia się Twoich danych w internecie.
Jeżeli zaś chodzi o ustrzeżenie się przed doxerem-hakerem:
- Nigdy nie otwieraj linków otrzymywanych w e-mailach, SMS-ach czy wiadomościach od nieznajomych osób. Mało tego, nie otwieraj linków od tych osób i instytucji, które z pozoru znasz. Może się bowiem okazać, że to wcale nie Orange.pl przesyła Ci nowy rachunek za telefon, lecz Orunge.pl czy Orange.x.pl. Zanim cokolwiek klikniesz, upewnij się, że nadawca jest tym, za kogo się podaje.
- Nigdy nie otwieraj niezweryfikowanych linków znalezionych w internecie. Anonimowy użytkownik polecił coś niesamowitego na forum? Znalazłeś rozwiązanie wszystkich swoich problemów umieszczone w formie linka na nieznanym blogu? Lepiej zrobisz, jeśli powstrzymasz się od kliknięcia.
- Nigdy nie ściągaj, a tym bardziej nie instaluj na komputerze programów, systemów ani gier pochodzących z nieznanych źródeł. Jeżeli nie jest to program ściągnięty bezpośrednio od twórcy, a twórca nie jest wiarygodny, poszukaj innego programu o podobnych funkcjach.
- Nigdy nie ściągaj, a tym bardziej nie instaluj na telefonie aplikacji ani gier pochodzących z nieznanych źródeł. Atrakcyjne wizualnie motywy kolorystyczne, wciągające gry ani bajeranckie aplikacje nie są warte utraty danych, a w efekcie pieniędzy, reputacji czy nawet zdrowia fizycznego i psychicznego.
- Korzystaj z programów antywirusowych i zabezpieczeń systemowych, np. zapory sieciowej. Istnieją dobre i darmowe programy, które automatycznie zablokują Ci dostęp do zainfekowanych wirusami stron i plików, kiedy na takowe trafisz.
Padłem ofiarą doxingu – co dalej?
Na początek warto wiedzieć, że chociaż doxing nie został ujęty w polskim prawie jako odrębne zjawisko, stanowi działanie nielegalne. Jest to bowiem naruszenie rozporządzenia RODO o ochronie danych osobowych. Czy jednak zawsze? Cóż, to kwestia sporna. Jeżeli ktoś używa wyłącznie danych udostępnionych z własnej woli i w trybie publicznym przez daną osobę, np. na jej kontach w social media, sprawa jest mniej oczywista, niż kiedy cyberprzestępca publikuje dane pozyskane za sprawą phishingu.
Kolejną różnicę stanowi to, czy ktoś faktycznie dokonał doxingu (opublikował dane), czy jedynie zebrał informacje (nie doszło do doxingu). Samo gromadzenie danych na czyjś temat nie jest karalne, o ile dane te pozyskuje się legalnymi sposobami. Takie działanie w żaden sposób nie łamie RODO. Natomiast karalne są działania takie jak uporczywe nękanie, grożenie, szantażowanie, oszustwo, a także inne sposoby wykorzystania informacji w celu zaszkodzenia ofierze czy też manipulowanie nimi.
Niezależnie od przypadku każdy doxxing bądź nawet jego próbę warto zgłosić na policję. Aby mieć dowody, trzeba zrobić screenshoty publikacji, pobrać strony, na których doszło do doxingu, a także zapisać wszelkie możliwe dane konta doxera oraz informacje o publikacji. Przydadzą się zarówno podczas zgłaszania sprawy na policję, jak i w czasie procesu karnego bądź cywilnego. Dobrze też skontaktować się z właścicielami serwisu, w którym zdoxowano ofiarę, by czym prędzej usunęli niepożądane treści.
Ponadto warto zadbać o bezpieczeństwo i prywatność w sieci, wykonując te czynności, które zaniedbało się wcześniej: ustawiając konta w social media na prywatne, wyrzucając nieznane osoby ze znajomych, usuwając niepotrzebne zdjęcia, ograniczając liczbę kont na portalach do faktycznie używanego minimum. Dobrze też zmienić hasła i skorzystać z reszty wskazówek umieszczonych w poprzednim punkcie.