1990’ların başından beri insanlar doxing’i dijital intikam almak için zehirli bir yol olarak kullandılar – birinin kimliğini çevrimiçi olarak ifşa ederek anonimliğini ortadan kaldırdılar. Ancak son yıllarda, bu zehirli uygulama yeni bir hayat kazandı, insanlar doxing’e maruz kaldı ve kripto para için gasp edildi ve en uç durumlarda fiziksel şiddetle karşı karşıya kalma potansiyeline sahip oldu.
Geçtiğimiz yıl, yaklaşık on yıl önce birisinin kendisinden bir oyun hesabı için şantaj yapmaya çalışmasıyla doxing kurbanı olan güvenlik araştırmacısı Jacob Larsen, doxing gruplarını izliyor, insanların maskelerini düşürmek için kullanılan teknikleri gözlemliyor ve doxing topluluğunun önde gelen üyeleriyle röportajlar yapıyor. Larsen’in röportajlarına göre, doxing eylemleri “yıllık altı haneli rakamların çok üzerinde” gelir elde edilmesine yol açtı ve yöntemler arasında insanların verilerini almak için sahte kolluk kuvvetleri talepleri yapmak da yer alıyor.
Siber güvenlik şirketi CyberCX’te saldırgan bir güvenlik ekibine liderlik eden ancak doxing araştırmasını şirketin desteğiyle kişisel olarak yürüten Larsen, “Özellikle fiziksel bir gasp bileşeni söz konusu olduğunda doxing’in birincil hedefi finans oluyor” diyor.
Geçtiğimiz Ağustos ve Eylül aylarında birkaç çevrimiçi sohbet oturumunda Larsen, doxing topluluğunun iki üyesiyle röportaj yaptı: “Ego” ve “Reiko.” Çevrimdışı kimliklerinden hiçbiri kamuoyuna açıklanmasa da, Ego’nun ViLe olarak bilinen beş kişilik doxing grubunun bir üyesi olduğuna inanılıyor ve Reiko geçen yıl en büyük kamu doxing web sitesi Doxbin’in yöneticisi olarak görev yaptı ve ayrıca diğer gruplarda yer aldı. (Diğer iki ViLe üyesi Haziran ayında bilgisayar korsanlığı ve kimlik hırsızlığı suçunu kabul etti.) Larsen, hem Ego’nun hem de Reiko’nun kendisiyle görüştükten sonra sosyal medya hesaplarını sildiğini ve WIRED’ın onlarla bağımsız olarak konuşmasının imkansız hale geldiğini söylüyor.
İnsanlar, çevrimiçi oyunlarda tacizden siyasi şiddeti kışkırtmaya kadar çok çeşitli nedenlerle dox’lanabilir. Avustralya’daki Deakin Üniversitesi’nde dijital kriminolog olan ve konuyu meslektaşlarıyla birlikte araştıran Bree Anderson, doxing’in hedeflenen kişilerin “aşağılanmasına, zarar görmesine ve bilgi özerkliğini azaltmasına” neden olabileceğini söylüyor. Anderson, kişisel güvenliğe yönelik riskler gibi doğrudan “birinci derece” zararlar ve gelecekte bilgi ifşası konusunda duyulan kaygı gibi daha uzun vadeli “ikinci derece zararlar” olduğunu söylüyor.
Larsen’in araştırması çoğunlukla kar amacıyla doxing yapanlara odaklanmıştır. Doxbin, birçok doxing çabasının merkezindedir ve web sitesi, insanların aile üyelerine ait isimler, sosyal medya bilgileri, Sosyal Güvenlik numaraları, ev adresleri, iş yerleri ve benzeri bilgileri içerebilen 176.000’den fazla kamu ve özel dox’a ev sahipliği yapmaktadır. Larsen, Doxbin’deki doxing’in çoğunun gasp faaliyetleri tarafından yönlendirildiğine inandığını, ancak başka motivasyonlar ve şöhret için doxing olabileceğini söylüyor. Bilgiler yüklendikten sonra, Doxbin web sitesinin hizmet şartlarını ihlal etmediği sürece onu kaldırmayacaktır.
Reiko, transkriptleri yayınlayan Larsen ile yaptığı görüşmelerden birinde, “İnternette gizliliğinizi korumak sizin sorumluluğunuzdadır,” dedi. Ego ekledi: “Çevrimiçi güvenliklerini sıkı tutmak kullanıcıların sorumluluğundadır, ancak gerçekçi olalım, ne kadar dikkatli olursanız olun, birileri sizi yine de takip edebilir.”
Polis Taklidi, Hizmet Olarak Şiddet
Çevrimiçi ortamda tamamen anonim olmak neredeyse imkansızdır ve birçok kişi bunu denemez, genellikle çevrimiçi hesaplarında gerçek adlarını ve kişisel bilgilerini kullanır ve sosyal medyada bilgi paylaşır. ViLe üyelerine yöneltilen suçlamalarda ayrıntılı olarak açıklanan, insanların ayrıntılarını toplamak için kullanılan doxing taktikleri arasında hesaplara erişmek için ortak parolaları tekrar kullanmak, kamuya açık ve özel veritabanlarına erişmek ve SIM takas saldırıları başlatmak için sosyal mühendislik yer alabilir. Daha kötü niyetli yöntemler de vardır.
Acil veri talepleri (EDR) de kötüye kullanılabilir, diyor Larsen. EDR’ler kolluk kuvvetlerinin insanların hayatları için tehlike veya risk olabileceğine inandıkları için mahkeme emri olmadan teknoloji şirketlerinden insanların isimlerini ve iletişim bilgilerini istemelerine olanak tanır. Bu talepler doğrudan teknoloji platformlarına, genellikle belirli çevrimiçi portallar aracılığıyla yapılır ve genel olarak resmi kolluk kuvvetleri veya hükümet e-posta adreslerinden gelmesi gerekir.