Czym jest doxing i jak się przed nim chronić?

Doxing – co to jest?

Słowo doxing/doxxing pochodzi od terminu dropping dox (podrzucanie dokumentów, ang. dox/docs – dokumenty) – starej techniki, której hakerzy używali jako zemsty w czasach, gdy IRC był popularny. Miało to na celu pozbawienie danej osoby anonimowości oraz zastraszenie lub nękanie, a nawet napuszczenie na nią organów ścigania. Dla hakerów, którzy starają się zachować anonimowość, doxxing był i nadal jest poważnym zagrożeniem cybernetycznym.

Obecnie doxing jest stosowany głównie przez cyberprzestępców i graczy online. Ktoś może ujawnić dane osobowe twoje lub członków twojej rodziny, ponieważ nie spodobały mu się treści, które publikujesz w mediach społecznościowych lub na forach, albo dlatego, że chce się zemścić za to, jak pokonałeś go w grze online. Nie musisz być osobą publiczną – ofiarą może stać się każdy użytkownik internetu.

Jak szkodliwy jest doxing?

Atak doxingowy może nie wydawać się dużym zagrożeniem. Co ktoś miałby zrobić z danymi, które udostępniasz? Twoje dane, takie jak adres, numer telefonu, adres e-mail i numer PESEL, mogą być rozproszone na wielu platformach.

A co jeśli ktoś doda do tego dane sieciowe, dokumenty finansowe, informacje o kontach bankowych, prywatną korespondencję, żenujące zdjęcia, podpisane petycje i publicznie udostępniane opinie? Małe, wyselekcjonowane fragmenty informacji mogą poważnie nadszarpnąć reputację każdego. To coś więcej niż tylko naruszenie Twojej prywatności. Doxxing może też:

• szkodzić osobistej lub zawodowej reputacji,
• poniżać i być powodem do wstydu,
• wywołać potencjalnie szkodliwą reakcję społeczną,
• doprowadzić do kradzieży tożsamości,
• prowadzić do cyberataków,
• może narazić ofiarę na krzywdę fizyczną,
• być zachętą do nękania i gróźb śmierci,
• prowadzić do naśmiewania się i swattingu (fałszywego zgłaszania incydentów, takich jak sytuacje z zakładnikami pod Twoim adresem domowym).

Czy doxing jest legalny?

Legalność (lub nielegalność) doxxingu zależy od kraju. W Polsce sam akt wejścia w posiadanie publicznie dostępnych danych nie jest karalny, jednak manipulowanie nimi i wykorzystywanie ich w szkodliwych celach jest przestępstwem.

Na przykład ujawnienie prawdziwej tożsamości użytkownika posługującego się w sieci pseudonimem jest naruszeniem dóbr osobistych. W wyniku działań doxingu może także dojść do zniesławienia czy znieważenia ofiary – zmanipulowane urywki danych mogą negatywnie wpłynąć na jej reputację, co może np. uniemożliwić ofierze kontynuowanie wykonywania danego zawodu.

Czy mogę zdoxować siebie samego/samą?

Możesz i naprawdę warto to zrobić. Doxxing to najlepszy sposób, aby dowiedzieć się, ile Twoich danych osobowych znajduje się w internecie. W ten sposób możesz spróbować usunąć wszystko, co nie powinno się tam znajdować.

Najlepszym sposobem na rozpoczęcie jest wygooglowanie swojego imienia i nazwiska. Twoje konta w mediach społecznościowych prawdopodobnie pojawią się jako pierwsze. Chociaż w przypadku większości z nich niewiele możesz zrobić (poza zmianą imienia i nazwiska na pseudonim), niektóre pozwolą Ci ukryć swój profil przed wyszukiwarkami. Możesz to na przykład zrobić na Facebooku, odznaczając pole „Zezwól wyszukiwarkom spoza Facebooka na podawanie linków do Twojego profilu” w ustawieniach, w zakładce „Odbiorcy i widoczność”.

Następnie możesz zawęzić wyszukiwanie. Wygoogluj swoje imię i nazwisko wraz z innymi słowami kluczowymi, takimi jak „numer telefonu” lub „adres”. Sprawdź, czy Twój adres, numer telefonu, adres e-mail i pseudonimy, których używasz, są powiązane z Twoim imieniem i nazwiskiem. Możliwe, że trafisz na witryny brokerów danych, na których Twoje dane osobowe online są zebrane w jednym pliku (możesz skorzystać z usługi takiej jak Incogni, aby automatycznie usunąć dane z brokerskich stron).

Sprawdź także wyniki dotyczące obrazów. Jeśli udostępniasz w sieci tylko kilka zdjęć, możesz skorzystać z wyszukiwania po obrazach i sprawdzić, czy zostały one opublikowane tam, gdzie nie powinny. Co zrobić z informacjami, które znajdziesz o sobie w internecie? Jeśli mieszkasz na terenie Unii Europejskiej, możesz żądać usunięcia danych osobowych z serwisu, powołując się na przepisy RODO.

PRO TIP: Zadbaj o prywatność swoich profili w mediach społecznościowych. Profil niedostępny publicznie zwiększa prywatność i bezpieczeństwo, co jest szczególnie ważne w zapobieganiu doxingowi.

Jak uniknąć doxingu

Dobra wiadomość jest taka, że w dość łatwy sposób można podjąć kroki, aby uniknąć doxxingu lub przynajmniej zminimalizować ryzyko jego wystąpienia.

1. Ogranicz udostępnianie informacji online

Spróbuj skorzystać z wyszukiwarki znanej z prywatności, aby wyszukać swoje dane. Dlaczego? Ponieważ Google udostępnia wyniki wyszukiwania na podstawie Twojego „profilu użytkownika” i preferencji, co oznacza, że możesz nie zobaczyć tych samych informacji, co haker.

Kiedy już dowiesz się, jakie informacje o Tobie są dostępne, spróbuj usunąć jak najwięcej z tych treści. To może być wyzwanie! Spora ich część najprawdopodobniej będzie znajdować się na platformach Google i Twoich profilach w mediach społecznościowych.

2. Zadbaj o ochronę, zanim skomentujesz

Fora i serwisy informacyjne, które umożliwiają zamieszczanie anonimowych lub pseudoanonimowych komentarzy, w dalszym ciągu gromadzą dane użytkowników – takie jak adres IP – które mogą ujawnić Twoją lokalizację i tożsamość.

Jeśli czujesz potrzebę pozostawiania komentarzy na stronach internetowych, skorzystaj z programu do zmiany IP, nigdy nie podawaj swoich danych osobowych, które mogłyby skutkować kradzieżą tożsamości, nie loguj się na swoje konta w mediach społecznościowych i pamiętaj, aby używać VPN do zmiany adresu IP.

3. Usuń swoje dane z brokerskich stron

Brokerzy przeszukują internet, gromadzą zebrane dane w jednym miejscu i sprzedają je firmom. Możesz poprosić ich o usunięcie danych, ale ponieważ na nich zarabiają, może to być długotrwały i frustrujący proces.

Danymi handluje się też w darknecie. Dla każdego, kto wie co to jest darkweb (lub nie), usunięcie z niego danych nie będzie łatwym zadaniem. NordVPN oferuje w swojej aplikacji funkcję Dark Web Monitor, która przeszukuje darknet w poszukiwaniu danych logowania użytkownika i wysyła mu powiadomienie, jeśli znajdzie jakieś informacje. Ciężko kontrolować zawartość darknetu, ale usunięcie danych z internetu, z którego korzystamy na co dzień, to i tak spory sukces.

4. Chroń swoje hasła

Hasła są niezbędne do ochrony naszych kont finansowych, profili w mediach społecznościowych i nie tylko. Upewnij się, że chronisz swoje konta silnymi i unikalnymi hasłami – możesz także skorzystać z generatora haseł NordPass. Nie używaj tego samego hasła na różnych witrynach i chroń je. Menedżery haseł, takie jak NordPass, mogą chronić Twoje dane, przechowując je w zaszyfrowanym schowku i zapamiętując je za Ciebie.

Ponadto włączaj uwierzytelnianie dwuskładnikowe, gdzie tylko możesz. Nawet jeśli osoba atakująca zdobędzie twoje hasło, kolejny etap logowania (np. w postaci kodu w aplikacji autoryzacyjnej) ochroni twoje konto. Choć każdy rodzaj 2FA jest lepszy niż żaden, zalecamy unikanie SMS-ów jako metody weryfikacji, ponieważ są one podatne na ataki polegające na zmianie karty SIM (tzw. SIM swap).

5. Używaj wirtualnej sieci prywatnej (VPN)

Połączenie z siecią VPN szyfruje Twoje dane online i ukrywa Twój prawdziwy adres IP – to jeden z najskuteczniejszych środków bezpieczeństwa, jaki możesz zastosować. W ten sposób nikt nie będzie szpiegować twoich prywatnych informacji, kiedy scrollujesz strony lub grasz w gry.

Choć darmowy VPN może być kuszący, postaw na zaufaną usługę, taką jak NordVPN, który oferuje więcej funkcji bezpieczeństwa. Dzięki wbudowanej ochronie przed zagrożeniami jesteś chroniony przed podejrzanymi witrynami internetowymi zawierającymi złośliwe oprogramowanie, a blokada reklam może również uniemożliwić doxxerom dostęp do Twoich prywatnych danych.