Co to jest doxing (doxxing)? Na czym polega? Jak się bronić?

Zdobywanie i publikowanie prywatnych informacji na temat danej osoby – to doxxing, groźne zjawisko, które może zrujnować Ci karierę, uprzykrzyć życie, wystawić na pośmiewisko lub wyczyścić bankowe konto. Dowiedz się, na czym polega doxing i jak się przed nim obronić.

Co to znaczy doxing?

Doxing (znany również jako doxxing) polega na wyszukiwaniu i publikowaniu prywatnych lub identyfikujących informacji o osobie lub organizacji w Internecie bez zgody zainteresowanego.

Jak się domyślasz, w większości przypadków jest to działanie nielegalne i oznacza naruszenie dóbr osobistych i prywatności.

Termin „dox” to neologizm stworzony na bazie anglojęzycznych wyrażeń docs („dokumenty”) i compiling/releasing (przetwarzać/upubliczniać) i dotyczy gromadzenia, a potem rozpowszechniania danych osobowych, m.in.:

• imienia i nazwiska,
• adresu domowego,
• numeru telefonów,
• adresu e-mail,
• numeru rejestracyjnego samochodu,
• zdjęć (np. intymne lub dokumentów),
• szczegółów dotyczących zawodu i miejsca pracy,
• prywatnej korespondencji,
• informacji finansowych (np. danych karty kredytowej),
• informacji na temat stanu zdrowia, preferencji seksualnych i politycznych czy ewentualnych informacji z rejestrów karnych itp.

Doxing polega też na wykorzystywaniu danych zebranych o osobach, które anonimowo publikują w sieci, np. w mediach społecznościowych lub na różnych forach internetowych.

Doxerzy mogą działać w imię „wyższych celów” (np. ujawniając dane dotyczące funkcjonariuszy opresyjnych reżimów – opozycjoniści na Białorusi wrzucili do sieci dane kilku tysięcy milicjantów i funkcjonariuszy państwa podczas protestów w 2020 roku), z zemsty, chęci dokuczenia lub w celu szantażu/wymuszenia okupu.

Kim są ofiary doxingu?

Celem doxerów są celebryci (w tym youtuberzy i influencerzy), aktywiści, dziennikarze, politycy i biznesmeni. Ofiarą doxingu są też zwykli ludzie, jeżeli w grę wchodzi okrutny żart lub zemsta.

Eksperci podkreślają: każdy, kto wyraża opinie lub umieszcza cokolwiek w sieci może stać się ofiarą doxingu i cyberprzemocy.

Co ciekawe, doxing w swoim arsenale mają też służby specjalne.

Np. hakerzy pracujący dla rządu USA włamali się w 2018 roku do rosyjskiej agencji propagandowej IRA czyli mówiąc wprost, fabryki trolli. Uderzenie było odwetem za rosyjskie ataki m.in. z czasów wyborów na prezydenta Stanów Zjednoczonych. Efekt? M.in. pracownicy rosyjskiej agencji zaczęli dostawać, jak pisze „New York Times”, e-maile, SMS-y i pop-upy, w których amerykańscy hakerzy jasno dawali do zrozumienia, że znają ich tożsamość.

Ofiarą doxingu padają nie tylko indywidualne osoby. Doxing używają przestępcy atakujący firmy. Sprawca zbiera poufne informacje, których ujawnienie może wpędzić firmę w kłopoty finansowe lub podważyć zaufanie klientów. Taki doxing wymierzony jest również w prezesów, dyrektorów i dokładnie wybranych pracowników korporacji (narzędziem jest np. ukierunkowany atak czyli spear phishing).

Jak działają doxerzy – krok po kroku

Aby wiedzieć jak uchronić się przed doxxingiem poznaj schemat działania dokserów:

1. Zbieranie informacji na temat ofiary – doxerzy zaczynają od przeszukania internetu. Interesują ich dane osobowe (imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail, a także zdjęcia i filmy). Często korzystają z publicznych baz danych, cieszą się, jak ofiara pozostawia fragmenty informacji na forach internetowych, stronach randkowych czy serwisach społecznościowych. Doxerzy mogą również sięgnąć po bazy danych kupione w Darkwebie, które wyciekły/zostały wykradzione ze sklepów online i różnych serwisów internetowych, wykorzystać luki w zabezpieczeniach aplikacji czy też pozyskać informacje po wysłaniu fałszywego e-maila do ofiary (phishing).
2. Analiza informacji – doxerzy analizują zebrane informacje, szukając w nich szczegółów, które mogą pomóc w nękaniu ofiary. Mogą to być np. dane o rodzinie, hobby, preferencjach seksualnych czy kontaktach biznesowych.
3. Publikowanie informacji – dane uzyskane po kwerendzie, dokserzy wrzucają do sieci, np. na fora dyskusyjne czy portale społecznościowe, mogą je również rozesłać do bliskich i znajomych ofiary. W ten sposób chcą ją nękać, narazić na agresję lub kompromitację. Publikacja oznacza mnóstwo negatywnych skutków dla ofiary ataku: ryzyko kradzieży tożsamości, szantaż, nękanie w mediach społecznościowych, szkody finansowe, a nawet realną przemoc fizyczną.
4. Szantaż/groźba – agresor nie zawsze publikuje zdobytą wiedzę. Informacje może wykorzystać do szantażu i zdobycia pieniędzy. Doxerzy np. grożą ofierze, że opublikują jej prywatne zdjęcia lub filmy czy też nękają ją w świecie realnym (dzwoniąc na prywatny numer telefonu, wysyłając przesyłki pocztą).

Doxing wymierzony w firmy

Jak już wiesz, ofiarą dokserów padają nie tylko celebryci. Doxing dotyczy również korporacji. Oto, jak działa agresor (informacje za securelist.com):

• zbiera publicznie dostępne informacje – cyberprzestępcy sięgają po dane umieszczonych w źródłach publicznych (np. w serwisach społecznościowych – m.in. LinkedIn lub Facebook) aby znaleźć kluczowych pracowników i ich miejsce w firmowej hierarchii. Do takich osób należą m.in. dyrektor generalny, dyrektor działu HR oraz główny księgowy, a cennym źródłem są nawet fotki z siłowni czy restauracji,
• kupuje dane w Darknecie – według serwisu Securelist za dane z dowodu osobistego trzeba zapłacić do 10 dolarów, skan paszportu to 6-15 dolarów, selfie z dokumentami kosztuje 40-60 dolarów, dokumentacja medyczna do 30 dolarów, informacje z karty kredytowej 6-20 dolarów, a dane bankowości online 50-500 dolarów, najdroższy jest dostęp do poczty e-mail i mediów społecznościowych – trzeba za niego wyłożyć 400-800 dolarów (choć często to oszustwo wymierzone w innych przestępców),
• używa ukierunkowanych ataków typu BEC (Business E-mail Compromise) – wykorzystuje dane osobowe z profili pracowników w mediach społecznościowych, podszywa się pod pracowników lub kontrahentów, aby zdobyć zaufanie ofiary i nakłonić ją do przesłania poufnych informacji (umowy, bazy danych klientów) lub pieniędzy na konto napastnika, tylko w lutym 2021 r. zarejestrowano 1646 ataków BEC,
• wykorzystuje wyciek danych – agresor zbiera informacje z poufnych dokumentów, które zostały wykradzione lub przez nieuwagą trafiły do sieci. Często dotyczy to źle skonfigurowanych usług chmurowych (np. w 2017 roku wyciekły dane 14 milionów użytkowników Verizon),
• wykorzystuje piksele śledzące – piksel ukryty jest w wiadomościach tekstowych i pozwalają zdobyć informacje o np. czasie otwarcia wiadomości e-mail, wersji klienta poczty, adresie IP odbiorcy oraz jego przybliżonej lokalizacji. Dzięki tym informacjom cyberprzestępca może zbudować profil celu i podszyć się pod niego w kolejnych atakach. Agresor np. wysyłał wiadomości testowe do CEO i pracowników księgowości aby ustalić ich harmonogramy pracy. Potem udawał dyrektora generalnego i prosił o przelew milionów dolarów w czasie, gdy dyrektor generalny był nieosiągalny, ale dział księgowości pracował online. Ten atak, jak stwierdza Securelist udał się – firma przelała pieniądze na zewnętrzne konto.
• używa phishingu – podstawowe narzędzie używane przez przestępców do gromadzenia danych korporacyjnych. Firmowe adresy e-mail pracowników są wykorzystywane do wysyłania wiadomości imitujących typowe powiadomienia pochodzące z platform biznesowych (np. SharePoint), z prośbą o kliknięcie linku w celu wykonania ważnej czynności. Łącze prowadzi do sfałszowanej strony internetowej z fałszywym formularzem do wprowadzania danych uwierzytelniających konto firmowe – wpisane hasło wpada w ręce przestępców. Skuteczną odmianą takiego ataku jest phishing telefoniczny – np. po przejęciu bazy e-maili przestępcy proszą wybranego pracownika o kontakt telefoniczny, a potem namawiają go do podania wrażliwych danych firmowych.

Co mogą zrobić firmy, aby uchronić się przed doksingiem? Eksperci radzą inwestować w zabezpieczenia danych, szkolenia pracowników (np. aby nie rozmawiali o firmowych sprawach na zewnętrznych komunikatorach) oraz użycie technologii antyspamowych i antyphishingowych.

Co to jest doxxowanie?

Doxing to narzędzie do nękania, zastraszania lub zemsty w Internecie. Może być używany przez jednostki, grupy, a nawet całe społeczności.

Czym jest zatem doxxowanie?

To zbieranie umieszczonych w sieci danych (w tym już upublicznionych informacji np. na portalach społecznościowych) o osobie lub firmie, a potem ich rozpowszechnienie.

Informacje zgromadzone podczas doxingu można użyć do prześladowania, szantażowania lub wymuszania na ofierze określonych działań czy też podżegania innych do cyberprzemocy.

Doxing kojarzony jest często z aktywizmem internetowym i ruchami politycznymi, jednak może być również prowadzony z powodów osobistych lub dla korzyści finansowych.

Doxing na przykładach

Głośne przykłady doxingu to:

• publikacja w internecie (na serwisie 4chan) skradzionych z chmury Apple, prywatnych zdjęć celebrytek w 2014 r. – do sieci trafiły zdjęcia ponad setki nagich amerykańskich aktorek,
• wyciek danych serwisu Ashley Madison (2015 r.) – hakerzy wykradli wszystkie dane użytkowników portalu ułatwiającego małżeńską zdradę, zażądali zamknięcia serwisu i zagrozili publikacją przejętych informacji. Dotrzymali groźby – do sieci trafiły miliony adresów e-mail, nazwisk, adresów domowych i informacji o kartach kredytowych,
• sprawa anonimowego blogera Slate Star Codex (2020 r.) – bloger twierdził, że dziennikarz „New York Times” groził ujawnieniem jego tożsamości, zamknął swojego bloga,
• agresja na dziennikarkę ze sklepu Pitchfork – po publikacji krytycznej recenzji płyty Taylor Swift, fani piosenkarki upublicznili jej numer telefonu i adres domowy, efektem była masa gróźb,
• ujawnienie tożsamości aktorek porno (2016 r.) – posłużył do tego rosyjski serwis społecznościowy VK, który umożliwiał wyszukiwanie użytkowników przy użyciu zdjęć, członkowie społeczności internetowej Dvach rozsyłali fotki do krewnych i znajomych ofiar (m.in. nauczycielka z Petersburga odeszła z pracy po zdemaskowaniu jej udziału w filmach dla dorosłych – zdjęcia i wideo trafiły na skrzynki e-mail uczniów i nauczycieli z jej szkoły),
• atak przy użyciu mediów społecznościowych (Twittera) – 17-letni cyberprzestępca i jego wspólnicy podszyli się pod personel Twittera, zaatakowali pracowników serwisu aby uzyskać dostęp do 130 kont znanych osób (m.in. Baracka Obamy, Kim Kardashian, Jeffa Bezosa i Elona Muska). Agresorzy opublikowali na nich fałszywe wiadomości, obiecując użytkownikom Twittera podwojenie pieniędzy, które przeleją na wskazany portfel bitcoinów. Obietnica skusiła wiele osób, które przelały w sumie 110 000 dolarów w bitcoinach.

Doxing – jak się przed nim bronić

Chcesz się uchronić przed doxingiem? To niełatwe zadanie, bo nasza obecność w sieci jest coraz większa (np. poprzez upowszechnienie usług lekarskich online).

Są jednak wskazówki, których warto przestrzegać.

Ogranicz ilość prywatnych informacji, które publikujesz online. Podstawowa zasada: umieszczaj w internecie minimalną liczbę informacji na swój temat.

Przed opublikowaniem swoich danych w sieci (nawet najbardziej banalnych) pamiętaj, że każdy szczegół, który znalazł się w internecie, nawet w zamkniętych zasobach, może się stać informacją publicznie dostępną dla wszystkich.

Sęk w tym, że nawet omijając z daleka media społecznościowe i zachowując największą ostrożność w stosunku do swoich danych, też możesz stać się ofiarą doxingu.

Oto szczegółowe zalecenia, których warto przestrzegać:

• poszukaj informacji na swój temat w sieci (zacznij od wyszukiwarki Google), możesz skorzystać z „prawa do bycia zapomnianym” czyli zawnioskować o skasowanie dotyczących Ciebie informacji – zob. Co wie o mnie Google?,
• sprawdź, jakie informacje o Tobie oferują serwisy społecznościowe (zmień ustawienia, kto może oglądać zdjęcia i czytać wpisy) – zob. Co wie o mnie Facebook?,
• zorientuj się czy Twoje zdjęcia online zawierają metadane pomagające w identyfikacji szczegółów o życiu prywatnym – zob. EXIF, czyli jakie ukryte informacje zapisane są w zdjęciach,
• sprawdź godne zaufania strony informujące o danych, które wyciekły do internetu (np. haveibeenpwned.com),
• nie podawaj adresów e-mail i numeru telefonu na serwisach online (np. używaj jednorazowych adresów e-mail),
• nie odpisuj na e-maile z nieznanych adresów, nie klikaj w zawarte w nich załączniki lub linki,
• korzystaj z silnych haseł, uwierzytelnienia dwuetapowego (2FA) i menedżerów haseł,
• skany dokumentów i inne ważne/poufne informacje przechowuj w cyfrowych sejfach (usługa dostępna w wielu programach antywirusowych oraz aplikacjach do zarządzania hasłami),
• zmiana ustawień dotyczących prywatności to nie wszystko – chroń swoje urządzenia za pomocą skanów biometrycznych lub kodu PIN/hasła,
• nigdy nie udostępniaj danych osobowych nieznajomym online.

Czy doxing jest karalny?

Doxing jest poważnym przestępstwem podejmowanym w celu poniżenia, ośmieszenia, szantażowania lub zastraszenie innej osoby.

W polskim prawie nie ma przepisów odnoszących się bezpośrednio do doxingu. Jednak karane jest naruszenie prywatności innej osoby i publikowanie jej danych osobowych.

Doxing – Ustawa o ochronie danych osobowych

W nielegalne przetwarzanie danych osobowych wymierzony jest art. 107 ustawy o ochronie danych osobowych:

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Inaczej mówiąc, ujawnienie informacji np. na temat stanu zdrowia, szczegółów dotyczących intymnego życia ofiary czy też poglądów politycznych, których nie chce sama ujawniać, jest karalne.

Doxing – Kodeks cywilny

To nie wszystko. Mamy jeszcze art. 23 Kodeksu cywilnego:

Art. 23. [Dobra osobiste człowieka]

Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Doxing – Kodeks karny

Zjawisko doxingu jest też ścigane przez Kodeks karny. Chodzi o artykuły dotyczące przestępstwa przeciwko wolności oraz oszustwa:

Art. 190a.

§ 1.
Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia, poniżenia lub udręczenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Art. 191.

§ 1.
Kto stosuje przemoc wobec osoby lub groźbę bezprawną w celu zmuszenia innej osoby do określonego działania, zaniechania lub znoszenia, podlega karze pozbawienia wolności do lat 3.

Art. 286.

§ 1.
Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Jak widzisz, są narzędzia aby ukarać sprawcę doxxingu. Niestety jego skuteczna identyfikacja, ściganie i ukaranie nie zawsze jest łatwe. Z pewnością każdy przypadek doxingu należy niezwłocznie zgłosić na policję, zabezpieczyć dowody i poprosić administratora strony/serwisu o usunięcie kompromitujących materiałów.