Czym jest doxing i jak się przed nim chronić?

Słowo doxing/doxxing pochodzi od terminu dropping dox (podrzucanie dokumentów, ang. dox/docs – dokumenty) – starej techniki, której hakerzy używali jako zemsty w czasach, gdy IRC był popularny. Miało to na celu pozbawienie danej osoby anonimowości oraz zastraszenie lub nękanie, a nawet napuszczenie na nią organów ścigania. Dla hakerów, którzy starają się zachować anonimowość, doxxing był i nadal jest poważnym zagrożeniem cybernetycznym.

Obecnie doxing jest stosowany głównie przez cyberprzestępców i graczy online. Ktoś może ujawnić dane osobowe twoje lub członków twojej rodziny, ponieważ nie spodobały mu się treści, które publikujesz w mediach społecznościowych lub na forach, albo dlatego, że chce się zemścić za to, jak pokonałeś go w grze online. Nie musisz być osobą publiczną – ofiarą może stać się każdy użytkownik internetu.

Atak doxingowy może nie wydawać się dużym zagrożeniem. Co ktoś miałby zrobić z danymi, które udostępniasz? Twoje dane, takie jak adres, numer telefonu, adres e-mail i numer PESEL, mogą być rozproszone na wielu platformach.

A co jeśli ktoś doda do tego dane sieciowe, dokumenty finansowe, informacje o kontach bankowych, prywatną korespondencję, żenujące zdjęcia, podpisane petycje i publicznie udostępniane opinie? Małe, wyselekcjonowane fragmenty informacji mogą poważnie nadszarpnąć reputację każdego. To coś więcej niż tylko naruszenie Twojej prywatności. Doxxing może też:

• szkodzić osobistej lub zawodowej reputacji,
• poniżać i być powodem do wstydu,
• wywołać potencjalnie szkodliwą reakcję społeczną,
• doprowadzić do kradzieży tożsamości,
• prowadzić do cyberataków,
• może narazić ofiarę na krzywdę fizyczną,
• być zachętą do nękania i gróźb śmierci,
• prowadzić do naśmiewania się i swattingu (fałszywego zgłaszania incydentów, takich jak sytuacje z zakładnikami pod Twoim adresem domowym).

Legalność (lub nielegalność) doxxingu zależy od kraju. W Polsce sam akt wejścia w posiadanie publicznie dostępnych danych nie jest karalny, jednak manipulowanie nimi i wykorzystywanie ich w szkodliwych celach jest przestępstwem.

Na przykład ujawnienie prawdziwej tożsamości użytkownika posługującego się w sieci pseudonimem jest naruszeniem dóbr osobistych. W wyniku działań doxingu może także dojść do zniesławienia czy znieważenia ofiary – zmanipulowane urywki danych mogą negatywnie wpłynąć na jej reputację, co może np. uniemożliwić ofierze kontynuowanie wykonywania danego zawodu.

Możesz i naprawdę warto to zrobić. Doxxing to najlepszy sposób, aby dowiedzieć się, ile Twoich danych osobowych znajduje się w internecie. W ten sposób możesz spróbować usunąć wszystko, co nie powinno się tam znajdować.

Najlepszym sposobem na rozpoczęcie jest wygooglowanie swojego imienia i nazwiska. Twoje konta w mediach społecznościowych prawdopodobnie pojawią się jako pierwsze. Chociaż w przypadku większości z nich niewiele możesz zrobić (poza zmianą imienia i nazwiska na pseudonim), niektóre pozwolą Ci ukryć swój profil przed wyszukiwarkami. Możesz to na przykład zrobić na Facebooku, odznaczając pole „Zezwól wyszukiwarkom spoza Facebooka na podawanie linków do Twojego profilu” w ustawieniach, w zakładce „Odbiorcy i widoczność”.

Następnie możesz zawęzić wyszukiwanie. Wygoogluj swoje imię i nazwisko wraz z innymi słowami kluczowymi, takimi jak „numer telefonu” lub „adres”. Sprawdź, czy Twój adres, numer telefonu, adres e-mail i pseudonimy, których używasz, są powiązane z Twoim imieniem i nazwiskiem. Możliwe, że trafisz na witryny brokerów danych, na których Twoje dane osobowe online są zebrane w jednym pliku (możesz skorzystać z usługi takiej jak Incogni, aby automatycznie usunąć dane z brokerskich stron).

Sprawdź także wyniki dotyczące obrazów. Jeśli udostępniasz w sieci tylko kilka zdjęć, możesz skorzystać z wyszukiwania po obrazach i sprawdzić, czy zostały one opublikowane tam, gdzie nie powinny. Co zrobić z informacjami, które znajdziesz o sobie w internecie? Jeśli mieszkasz na terenie Unii Europejskiej, możesz żądać usunięcia danych osobowych z serwisu, powołując się na przepisy RODO.

PRO TIP: Zadbaj o prywatność swoich profili w mediach społecznościowych. Profil niedostępny publicznie zwiększa prywatność i bezpieczeństwo, co jest szczególnie ważne w zapobieganiu doxingowi.

Dobra wiadomość jest taka, że w dość łatwy sposób można podjąć kroki, aby uniknąć doxxingu lub przynajmniej zminimalizować ryzyko jego wystąpienia.

1. Ogranicz udostępnianie informacji online

Spróbuj skorzystać z wyszukiwarki znanej z prywatności, aby wyszukać swoje dane. Dlaczego? Ponieważ Google udostępnia wyniki wyszukiwania na podstawie Twojego „profilu użytkownika” i preferencji, co oznacza, że możesz nie zobaczyć tych samych informacji, co haker.

Kiedy już dowiesz się, jakie informacje o Tobie są dostępne, spróbuj usunąć jak najwięcej z tych treści. To może być wyzwanie! Spora ich część najprawdopodobniej będzie znajdować się na platformach Google i Twoich profilach w mediach społecznościowych.

2. Zadbaj o ochronę, zanim skomentujesz

Fora i serwisy informacyjne, które umożliwiają zamieszczanie anonimowych lub pseudoanonimowych komentarzy, w dalszym ciągu gromadzą dane użytkowników – takie jak adres IP – które mogą ujawnić Twoją lokalizację i tożsamość.

Jeśli czujesz potrzebę pozostawiania komentarzy na stronach internetowych, skorzystaj z programu do zmiany IP, nigdy nie podawaj swoich danych osobowych, które mogłyby skutkować kradzieżą tożsamości, nie loguj się na swoje konta w mediach społecznościowych i pamiętaj, aby używać VPN do zmiany adresu IP.

3. Usuń swoje dane z brokerskich stron

Brokerzy przeszukują internet, gromadzą zebrane dane w jednym miejscu i sprzedają je firmom. Możesz poprosić ich o usunięcie danych, ale ponieważ na nich zarabiają, może to być długotrwały i frustrujący proces.

Danymi handluje się też w darknecie. Dla każdego, kto wie co to jest darkweb (lub nie), usunięcie z niego danych nie będzie łatwym zadaniem. NordVPN oferuje w swojej aplikacji funkcję Dark Web Monitor, która przeszukuje darknet w poszukiwaniu danych logowania użytkownika i wysyła mu powiadomienie, jeśli znajdzie jakieś informacje. Ciężko kontrolować zawartość darknetu, ale usunięcie danych z internetu, z którego korzystamy na co dzień, to i tak spory sukces.

4. Chroń swoje hasła

Hasła są niezbędne do ochrony naszych kont finansowych, profili w mediach społecznościowych i nie tylko. Upewnij się, że chronisz swoje konta silnymi i unikalnymi hasłami – możesz także skorzystać z generatora haseł NordPass. Nie używaj tego samego hasła na różnych witrynach i chroń je. Menedżery haseł, takie jak NordPass, mogą chronić Twoje dane, przechowując je w zaszyfrowanym schowku i zapamiętując je za Ciebie.

Ponadto włączaj uwierzytelnianie dwuskładnikowe, gdzie tylko możesz. Nawet jeśli osoba atakująca zdobędzie twoje hasło, kolejny etap logowania (np. w postaci kodu w aplikacji autoryzacyjnej) ochroni twoje konto. Choć każdy rodzaj 2FA jest lepszy niż żaden, zalecamy unikanie SMS-ów jako metody weryfikacji, ponieważ są one podatne na ataki polegające na zmianie karty SIM (tzw. SIM swap).

5. Używaj wirtualnej sieci prywatnej (VPN)

Połączenie z siecią VPN szyfruje Twoje dane online i ukrywa Twój prawdziwy adres IP – to jeden z najskuteczniejszych środków bezpieczeństwa, jaki możesz zastosować. W ten sposób nikt nie będzie szpiegować twoich prywatnych informacji, kiedy scrollujesz strony lub grasz w gry.

Zamiast darmowego VPN wybierz zaufaną usługę, taką jak NordVPN. Dzięki ochronie przed zagrożeniami jesteś chroniony przed podejrzanymi witrynami internetowymi zawierającymi złośliwe oprogramowanie, a nasz moduł blokujący reklamy może również uniemożliwić doxxerom dostęp do Twoich prywatnych danych.