Od początku lat 90. ludzie używają doxingu jako toksycznego sposobu na dokonanie cyfrowej zemsty — pozbawienia czyjejś anonimowości poprzez demaskowanie jej tożsamości w Internecie. Jednak w ostatnich latach ta trująca praktyka nabrała nowego życia, a ludzie byli oszukiwani i wymuszani na kryptowalutach, a w najbardziej ekstremalnych przypadkach byli narażeni na przemoc fizyczną.
Przez ostatni rok badacz bezpieczeństwa Jacob Larsen – który około dziesięć lat temu padł ofiarą doxingu, gdy ktoś próbował wyłudzić od niego konto w grze – monitorował grupy doxingowe, obserwując techniki stosowane do demaskowania ludzi i przeprowadzając wywiady z prominentnymi członkami społeczność doxingowa. Jak wynika z wywiadów Larsena, działania Doxing doprowadziły do dochodów „znacznie ponad sześciocyfrowych rocznie”, a metody obejmują składanie fałszywych wniosków do organów ścigania o uzyskanie danych osobowych.
„Głównym celem doxingu, zwłaszcza gdy obejmuje element wymuszenia fizycznego, są finanse” – mówi Larsen, który kieruje zespołem ds. ofensywnego bezpieczeństwa w firmie CyberCX zajmującej się cyberbezpieczeństwem, ale badania nad doxingiem przeprowadził osobiście przy wsparciu firmy.
Podczas kilku sesji czatu online w sierpniu i wrześniu Larsen przeprowadził wywiady z dwoma członkami społeczności doxing: „Ego” i „Reiko”. Chociaż żadna z ich tożsamości offline nie jest publicznie znana, uważa się, że Ego był członkiem pięcioosobowej grupy doxingowej znanej jako ViLe, a Reiko w zeszłym roku była administratorką największej publicznej witryny doxingowej, Doxbin, a także była zaangażowani w inne grupy. (Dwóch innych członków ViLe przyznał się do włamania i kradzieży tożsamości w czerwcu). Larsen mówi, że zarówno Ego, jak i Reiko usunęły swoje konta w mediach społecznościowych od czasu rozmowy z nim, co uniemożliwiło WIRED niezależną rozmowę z nimi.
Ludzie mogą zostać zniesmaczeni z najróżniejszych powodów — od nękania w grach online po podżeganie do przemocy politycznej. Doxing może „upokarzać, szkodzić i ograniczać autonomię informacyjną” docelowych osób, twierdzi Bree Anderson, kryminolog cyfrowy na Uniwersytecie Deakin w Australii, która badał temat z kolegami. Anderson twierdzi, że istnieją bezpośrednie szkody „pierwszego rzędu”, takie jak ryzyko dla bezpieczeństwa osobistego, oraz długoterminowe „szkody drugiego rzędu”, w tym strach przed przyszłym ujawnieniem informacji.
Badania Larsena skupiały się głównie na tych, którzy dopingowali dla zysku. Doxbin odgrywa kluczową rolę w wielu działaniach związanych z doxingiem, a witryna internetowa zawiera ponad 176 000 publicznych i prywatnych doxów, które mogą zawierać nazwiska, dane z mediów społecznościowych, numery ubezpieczenia społecznego, adresy domowe, miejsca pracy i podobne dane należące do członków rodziny danej osoby. Larsen twierdzi, że jego zdaniem większość ataków na Doxbin wynika z wymuszeń, chociaż mogą istnieć inne motywacje i dążenie do rozgłosu. Po przesłaniu informacji Doxbin nie usunie ich, chyba że naruszy to warunki korzystania z witryny.
„Twoim obowiązkiem jest chronić swoją prywatność w Internecie” – powiedziała Reiko w jednej z rozmów z Larsenem, który opublikował transkrypcje. Ego dodał: „To użytkownicy muszą dbać o bezpieczeństwo w Internecie, ale bądźmy szczerzy: niezależnie od tego, jak bardzo będziesz ostrożny, ktoś może Cię wyśledzić”.
Podszywanie się pod policję, przemoc jako usługa
Zachowanie całkowitej anonimowości w Internecie jest prawie niemożliwe — a wiele osób nie próbuje, często podając swoje prawdziwe nazwiska i dane osobowe na kontach internetowych i dzieląc się informacjami w mediach społecznościowych. Taktyka Doxingu polegająca na zbieraniu szczegółowych informacji o ludziach w zarzutach przeciwko członkom ViLemogą obejmować ponowne użycie wspólnych haseł w celu uzyskania dostępu do kont, dostęp do publicznych i prywatnych baz danych oraz inżynierię społeczną w celu przeprowadzenia ataków polegających na zamianie kart SIM. Są też bardziej nikczemne metody.
Larsen twierdzi, że awaryjne żądania danych (EDR) również mogą zostać nadużyte. EDR umożliwić funkcjonariuszom organów ścigania zwracanie się do firm technologicznych o nazwiska i dane kontaktowe osób bez żadnych nakazów sądowych, ponieważ uważają, że może istnieć niebezpieczeństwo lub ryzyko dla życia ludzi. Żądania te są kierowane bezpośrednio do platform technologicznych, często za pośrednictwem określonych portali internetowych, i zasadniczo muszą pochodzić z oficjalnych adresów e-mail organów ścigania lub rządów.
