Από τις αρχές της δεκαετίας του 1990, οι άνθρωποι χρησιμοποιούν το doxing ως έναν τοξικό τρόπο ψηφιακής εκδίκησης – αφαιρώντας την ανωνυμία κάποιου και αποκαλύπτοντας την ταυτότητά του στο διαδίκτυο. Αλλά τα τελευταία χρόνια, η δηλητηριώδης αυτή πρακτική έχει αποκτήσει νέα ζωή, με ανθρώπους να δέχονται doxing, να εκβιάζονται για κρυπτονομίσματα και, στις πιο ακραίες περιπτώσεις, ενδεχομένως να αντιμετωπίζουν σωματική βία.

Τον τελευταίο χρόνο, ο ερευνητής ασφαλείας Jacob Larsen -ο οποίος έπεσε θύμα doxing πριν από περίπου μια δεκαετία, όταν κάποιος προσπάθησε να τον εκβιάσει για ένα gaming account- παρακολουθεί ομάδες doxing, παρατηρεί τις τεχνικές που χρησιμοποιούνται για την αποκάλυψη της ταυτότητας των ανθρώπων και παίρνει συνεντεύξεις από εξέχοντα μέλη της κοινότητας doxing.

Οι ενέργειες doxing έχουν οδηγήσει σε εισοδήματα πολύ πάνω από εξαψήφιο αριθμό ετησίως και οι μέθοδοι περιλαμβάνουν την υποβολή ψεύτικων αιτημάτων των αρχών επιβολής του νόμου για να πάρουν τα δεδομένα των ανθρώπων, σύμφωνα με τις συνεντεύξεις του Larsen.

Ο πρωταρχικός στόχος του doxing, ιδίως όταν περιλαμβάνει ένα στοιχείο φυσικού εκβιασμού, είναι τα χρήματα, λέει ο Larsen, ο οποίος ηγείται μιας ομάδας ασφάλειας στην εταιρεία κυβερνοασφάλειας CyberCX, αλλά διεξήγαγε την έρευνα για το doxing με προσωπική ιδιότητα και με την υποστήριξη της εταιρείας.

Κατά τη διάρκεια διαφόρων διαδικτυακών συζητήσεων τον περασμένο Αύγουστο και Σεπτέμβριο, ο Larsen πήρε συνέντευξη από δύο μέλη της κοινότητας του doxing τους Ego και Reiko.

Αν και καμία από τις offline ταυτότητές τους δεν είναι δημόσια γνωστή, ο Ego πιστεύεται ότι ήταν μέλος της πενταμελούς ομάδας doxing που είναι γνωστή ως ViLe, και ο Reiko πέρυσι ενήργησε ως διαχειριστής του μεγαλύτερου δημόσιου ιστότοπου doxing, του Doxbin, ενώ συμμετείχε και σε άλλες ομάδες. (Δύο άλλα μέλη της ViLe ομολόγησαν την ενοχή τους για χάκινγκ και κλοπή ταυτότητας τον Ιούνιο).

Ο Larsen λέει ότι τόσο ο Ego όσο και ο Reiko διέγραψαν τους λογαριασμούς τους στα μέσα κοινωνικής δικτύωσης από τότε που μίλησαν μαζί του, γεγονός που καθιστά αδύνατη την προσέγγισή τους.

Οι άνθρωποι μπορούν να υποστούν doxing για πολλούς και διάφορους λόγους – από παρενόχληση σε διαδικτυακά παιχνίδια, έως υποκίνηση πολιτικής βίας.

Το doxing μπορεί να ταπεινώσει, να βλάψει και να μειώσει την πληροφοριακή αυτονομία των ατόμων που στοχοποιούνται, λέει η Bree Anderson, ψηφιακή εγκληματολόγος στο Πανεπιστήμιο Deakin στην Αυστραλία, η οποία έχει ερευνήσει το θέμα μαζί με συναδέλφους της.

Υπάρχουν άμεσες βλάβες πρώτου βαθμού, όπως οι κίνδυνοι για την προσωπική ασφάλεια, και πιο μακροπρόθεσμες βλάβες δεύτερου βαθμού, όπως το άγχος γύρω από μελλοντικές αποκαλύψεις πληροφοριών, λέει η Anderson.

Η έρευνα του Larsen επικεντρώθηκε κυρίως σε αυτούς που έκαναν doxing με σκοπό το κέρδος. Το Doxbin είναι το επίκεντρο πολλών προσπαθειών doxing, με τον ιστότοπο να φιλοξενεί περισσότερα από 176.000 δημόσια και ιδιωτικά doxes, τα οποία μπορεί να περιέχουν ονόματα, στοιχεία social media, αριθμούς κοινωνικής ασφάλισης, διευθύνσεις κατοικίας, τόπους εργασίας και παρόμοια στοιχεία που ανήκουν σε μέλη της οικογένειας ανθρώπων.

Ο Larsen λέει ότι πιστεύει ότι το μεγαλύτερο μέρος του doxing στο Doxbin οφείλεται σε δραστηριότητες εκβιασμού, αν και μπορεί να υπάρχουν και άλλα κίνητρα και doxing για λόγους δημοσιότητας. Από τη στιγμή που ανεβαίνουν πληροφορίες, το Doxbin δεν τις αφαιρεί, εκτός αν παραβιάζουν τους όρους χρήσης του ιστότοπου.

«Είναι δική σου ευθύνη να διαφυλάξεις την ιδιωτικότητά σου στο διαδίκτυο», δήλωσε ο Reiko σε μία από τις συνομιλίες με τον Larsen, ο οποίος δημοσίευσε τα απομαγνητοφωνημένα κείμενα. Ο Ego πρόσθεσε: «Είναι ευθύνη των χρηστών να διατηρούν την ασφάλειά τους στο διαδίκτυο, αλλά ας είμαστε ρεαλιστές, όσο προσεκτικός κι αν είσαι, κάποιος μπορεί να σε εντοπίσει».

Προσποιούνται τους αστυνομικούς, προσφέρουν βία ως υπηρεσία

Το να είσαι εντελώς ανώνυμος στο ίντερνετ είναι σχεδόν αδύνατο – και πολλοί άνθρωποι δεν προσπαθούν καν, χρησιμοποιώντας συχνά τα πραγματικά τους ονόματα και τα προσωπικά τους στοιχεία σε διαδικτυακούς λογαριασμούς και μοιράζοντας πληροφορίες στα μέσα κοινωνικής δικτύωσης.

Οι τακτικές Doxing για τη συλλογή των στοιχείων των ανθρώπων, μερικές από τις οποίες περιγράφονται λεπτομερώς στις κατηγορίες κατά των μελών της ViLe, μπορεί να περιλαμβάνουν την επαναχρησιμοποίηση κοινών κωδικών πρόσβασης για την είσοδο σε λογαριασμούς, την πρόσβαση σε δημόσιες και ιδιωτικές βάσεις δεδομένων και την κοινωνική μηχανική για την εξαπόλυση επιθέσεων ανταλλαγής SIM. Υπάρχουν επίσης και πιο κακόβουλες μέθοδοι.

Τα αιτήματα δεδομένων έκτακτης ανάγκης (EDR) μπορούν επίσης να χρησιμοποιηθούν καταχρηστικά, λέει ο Larsen. Τα EDRs επιτρέπουν στους αξιωματούχους των αρχών επιβολής του νόμου να ζητούν από τις εταιρείες τεχνολογίας τα ονόματα και τα στοιχεία επικοινωνίας των ανθρώπων χωρίς δικαστική εντολή, καθώς πιστεύουν ότι μπορεί να υπάρχει κίνδυνος ή ρίσκο για τη ζωή τους.

Τα αιτήματα αυτά υποβάλλονται απευθείας σε τεχνολογικές πλατφόρμες, συχνά μέσω συγκεκριμένων διαδικτυακών πυλών, και σε γενικές γραμμές πρέπει να προέρχονται από επίσημες διευθύνσεις ηλεκτρονικού ταχυδρομείου των αρχών επιβολής του νόμου ή της κυβέρνησης.

Εάν ένας παράγοντας απειλής μπορεί να υποκλέψει αυτή τη διαδικασία, είναι ο ταχύτερος τρόπος για να αποκτήσει ευαίσθητα δεδομένα υψηλής ακρίβειας για το θύμα, εξηγεί ο Larsen.

Πραγματικά εντείνουν τις προσπάθειές τους και το χρησιμοποιούν ως κύρια μέθοδο για να κάνουν doxing στα θύματα. Αυτού του είδους το αίτημα έχει χρησιμοποιηθεί στο παρελθόν για την παρενόχληση γυναικών και παιδιών, καθώς και ως όπλο εναντίον ερευνητών ασφαλείας.

Κατά τη διάρκεια της έρευνάς του, ο Larsen λέει ότι διείσδυσε σε διάφορες ομάδες του Telegram, όπου οι άνθρωποι πουλούσαν πρόσβαση σε συστήματα για να κάνουν EDRs και κυβερνητικά emails που χρειάζονταν για να κάνουν τα αιτήματα.

Ένα άτομο, σύμφωνα με τα screenshots που μοιράστηκε ο Larsen, ισχυρίστηκε ότι πουλούσε πρόσβαση στην πλατφόρμα του TikTok, χρησιμοποιώντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου του Υπουργείου Δικαιοσύνης των ΗΠΑ και ισχυρίστηκε ότι είχε και μια διεύθυνση ηλεκτρονικού ταχυδρομείου του FBI.

Ένας άλλος ισχυρίστηκε ότι θα έκανε κυβερνητικές διευθύνσεις ηλεκτρονικού ταχυδρομείου από τη Μοζαμβίκη, τις Φιλιππίνες, το Πακιστάν και τη Βραζιλία για 125 δολάρια το καθέναην καθεμία.

Ο Larsen λέει ότι ανέφερε τις λεπτομέρειες στις υπηρεσίες επιβολής του νόμου. Το FBI αρνήθηκε να σχολιάσει σχετικά με τα ψευδή EDRs, ενώ ένας εκπρόσωπος του TikTok υπέδειξε τις δημόσιες πολιτικές του σχετικά με τα αιτήματα δεδομένων έκτακτης ανάγκης και τους τρόπους με τους οποίους προσπαθεί να διασφαλίσει ότι αυτά είναι έγκυρα. Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ δεν απάντησε σε αίτημα σχολιασμού.

Τα τελευταία χρόνια έχουν εμφανιστεί και ομάδες παροχής βίας ως υπηρεσία από τις κοινότητες ανταλλαγής SIM, οι οποίες επιτρέπουν στους ανθρώπους να πληρώνουν για την εκτέλεση βίαιων πράξεων.

Ο ψηφιακός εκβιασμός μπορεί να οδηγήσει σε φυσικό εκβιασμό, λέει ο Larsen, προσθέτοντας ότι η Doxbin δεν επιτρέπει την ανάρτηση απειλών ή συζητήσεων για βία στην πλατφόρμα της.

«Έχω δει ανθρώπους να δέχονται doxing και αυτό να καταλήγει στο να τους λιθοβολούν, να πυροβολούν το σπίτι τους, να τους πετάνε μολότοφ από τα παράθυρα, να τους παρακολουθούν ομαδικά, όλα αυτά σε μια προσπάθεια να τους εκβιάσουν για χρήματα» δήλωσε ο Ego σε μια συζήτηση με τον Larsen.

Τα βίντεο των επιθέσεων αναρτώνται μερικές φορές στο διαδίκτυο. Τα πράγματα γίνονται πολύ άσχημα στο διαδίκτυο, πολύ περισσότερο απ’ ό,τι οι άνθρωποι συνειδητοποιούν, δήλωσε ο Ego.

Αυτά τα περιστατικά μπορεί να αφορούν ανθρώπους που προσπαθούν να εκβιάσουν για κρυπτονομίσματα όσους έχουν μεγάλα αποθέματα – αν και κάποιες υπηρεσίες βίας έχουν χρησιμοποιηθεί για βεντέτες μεταξύ διαδικτυακών ομάδων.

Αν δεν καταργηθούν αυτές οι πλατφόρμες ή αν δεν τιμωρηθούν περισσότεροι φορείς, τόσο στις ΗΠΑ όσο και στο εξωτερικό, το φαινόμενο θα συνεχίσει να αυξάνεται, λέει ο Larsen. Ιδιαίτερα καθώς το κρυπτονόμισμα υιοθετείται όλο και περισσότερο από περισσότερους ανθρώπους.

Μικρή προστασία από Doxing

Σε παγκόσμιο επίπεδο, υπάρχουν ελάχιστες νομικές προστασίες κατά του doxing – αν και ορισμένα στοιχεία μπορεί να εμπίπτουν στη νομοθεσία περί παρακολούθησης, παρενόχλησης ή προστασίας δεδομένων.

Οι νόμοι παγκοσμίως απλώς δεν είναι κατάλληλοι για να παρέχουν προστασία, λέει η Amanda Manyame, σύμβουλος ψηφιακών δικαιωμάτων στην Equality Now, μια φεμινιστική ΜΚΟ για τα ανθρώπινα δικαιώματα.

Τα θύματα δεν έχουν τρόπο να ανακτήσουν γρήγορα τον έλεγχο των πληροφοριών που έχουν δημοσιευτεί με σκοπό να τα παρενοχλήσουν, να τα εκφοβίσουν ή/και να τα βλάψουν.

Η άμεση απόσυρση του περιεχομένου που σχετίζεται με το doxing είναι πολύ σημαντική για τα θύματα και οι κυβερνήσεις πρέπει να θεσπίσουν νόμους που να επιβάλλουν την αφαίρεση τέτοιου περιεχομένου εντός 24 ωρών, λέει η Manyame, με την έρευνα της Equality Now να αναφέρει ότι το doxing μπορεί να επηρεάσει δυσανάλογα τις γυναίκες και τα κορίτσια.

Υποδεικνύοντας τις προκλήσεις της απομάκρυνσης των πληροφοριών, το Doxbin δημοσιεύει μια έκθεση διαφάνειας –μιμούμενο τις πρακτικές των μεγάλων τεχνολογικών πλατφορμών– στην οποία απαριθμείται ο αριθμός των αιτημάτων αφαίρεσης που λαμβάνει.

Περίπου 160 αιτήματα από δικηγόρους και τοπικούς και εθνικούς φορείς επιβολής του νόμου απαριθμούνται από 27 χώρες, λέει ο Larsen, με την πλειονότητα να απορρίπτεται καθώς δεν παραβιάζει τους περιορισμένους όρους παροχής υπηρεσιών του Doxbin.

Παρόλο που οι νομικές οδοί για την αφαίρεση δεδομένων είναι ελάχιστες, υπάρχουν μέτρα που μπορούν να λάβουν οι πολίτες για να περιορίσουν ορισμένες από τις επιπτώσεις που συνδέονται με το doxing και την ευρύτερη κατάχρηση της ιδιωτικής ζωής στο διαδίκτυο.

Σε ατομικό επίπεδο, λέει ο Larsen, τα κοινά μέτρα κυβερνοασφάλειας μπορούν να βοηθήσουν, όπως η μη επαναχρησιμοποίηση κωδικών πρόσβασης σε εφαρμογές και ιστότοπους, το κλείδωμα λογαριασμών στα μέσα κοινωνικής δικτύωσης και η μη δημοσίευση φωτογραφιών και προσωπικών πληροφοριών, καθώς και η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων για όσο το δυνατόν περισσότερους λογαριασμούς.

Για τους ανθρώπους που θέλουν να προχωρήσουν περισσότερο, η χρήση ονομάτων χρήστη και email που δεν συνδέονται με την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου ή διαδικτυακό χειρισμό είναι ένα πιθανό πρώτο βήμα.

Με πληροφορίες από Wired