Elke keer dat u iets liket op een sociaal netwerk, u aansluit bij een community van buurtbewoners, uw cv publiceert of op een straatcamera wordt vastgelegd, stapelt deze informatie zich op in databases. U hebt wellicht geen idee van hoe kwetsbaar het achterlaten van al die informatiesporen (elke handeling op het internet en bijna elke handeling in de echte wereld) u maakt.
De verkeerde fietser, chauffeur, vader
Doxing kan iedereen overkomen, zoals deze drie anekdotes illustreren.
Toen wielrenner Peter Weinberg uit Maryand beledigende berichten en dreigementen van onbekenden begon te ontvangen, kwam hij erachter dat zijn trainings-app zijn fietsroutes publiceerde, en iemand had die gebruikt om daaruit af te leiden dat Weinberg onlangs een plek was gepasseerd waar iemand een kind had aangevallen. De menigte identificeerde hem snel (en onterecht) als de verdachte en ze vonden én publiceerden zijn adres. In een zeer bekend patroon werden de daaropvolgende corrigerende tweets en andere ophelderingen veel minder gedeeld dan de oorspronkelijke informatie.
Aan de andere kant van de wereld publiceerden dierenrechtenactivisten uit Singapore de naam en het adres van een persoon wiens auto een hond had aangereden, met daarin een oproep om “haar het leven zuur te maken”. Volgens de eigenaar van de auto schaadden de openbare aantijgingen haar carrière: nadat burgerwachten hadden ontdekt waar ze werkte, stroomde de Facebook-pagina van haar bedrijf over met haatberichten. Feit is dat iemand anders de auto bestuurde ten tijde van de aanrijding.
In een beroemder verhaal gaat over baseball-pro Curt Schilling die tweets over zijn dochter zag die hij ongepast en beledigend achtte. Schilling achterhaalde de auteurs hiervan (waarvan hij zei dat het hem minder dan een uur kostte), stelde een flink dossier over elke dader samen, en postte wat van deze informatie op zijn blog. De daders die betrokken waren bij de baseball-community werden binnen een dag ontslagen of uit hun sportteams gezet.
Wat gebeurde hier?
Alle drie deze verhaalden vormen simpele voorbeelden van doxing. Het woord beschrijft het verzamelen en de online publicatie van identificerende gegevens zonder iemands toestemming. Behalve dat dit erg vervelend is, kan het ook daadwerkelijke schade in het echte leven aanrichten, zoals bijvoorbeeld aan de reputatie, het werk en zelfs de fysieke veiligheid van mensen.
De motieven van doxers variëren. Sommigen geloven dat ze criminelen ontmaskeren, sommigen proberen hun online tegenstanders te intimideren, en weer anderen doen het uit wraak voor persoonlijke geschillen. Doxing dook in de jaren 90 van de vorige eeuw op als fenomeen, maar is sindsdien een stuk gevaarlijker geworden. En met de hoeveelheid aan privéinformatie die nu voor iedereen beschikbaar is, is er voor doxing niet echt een speciale vaardigheid of privilege vereist.
We zijn hier niet om de legaliteit of ethiek van doxing te analyseren. Als beveiligingsexperts is het onze taak om de methodes van doxers te beschrijven en manieren te bieden om uzelf te beschermen.
Doxing: een kijkje van binnenuit
Omdat er geen speciale kennis of middelen voor nodig zijn, is doxing erg gebruikelijk geworden. De tools die doxers gebruiken zijn vaak ook gewoon legitiem en openbaar toegankelijk.
Zoekmachines
Gewone zoekmachines kunnen een hoop persoonlijke informatie bieden, en het gebruik van hun geavanceerde zoekfuncties (bijvoorbeeld het zoeken op specifieke websites of bestandstypes) kan doxers helpen om de juiste informatie sneller te vinden.
Behalve de voor- en achternaam kan een nickname ook de online gewoontes van een persoon verraden. De gebruikelijke praktijk van het gebruik van dezelfde nickname op meerdere websites maakt het bijvoorbeeld makkelijker voor online detectives, die deze naam kunnen gebruiken om opmerkingen en posts van allerlei openbaar beschikbare middelen te verzamelen.
Sociale netwerken
Sociale netwerken, inclusief gespecialiseerde platforms zoals LinkedIn, bevatten een schat aan persoonlijke gegevens.
Een openbaar profiel met echte gegevens is in feite een kant-en-klaar dossier. Zelfs als een profiel privé is en alleen voor vrienden openstaat, kan een toegewijde onderzoeker stukjes informatie verzamelen door de opmerkingen, communities, posts van vrienden en meer te scannen. Voeg daar een vriendschapsverzoek aan toe, wellicht van iemand die zich voordoet als recruiter, en u komt op het volgende niveau aan: social engineering.
Social engineering
Een kenmerk van veel aanvallen: met social engineering wordt van de menselijke aard geprofiteerd om doxers te helpen informatie te verkrijgen. Met het gebruik van openbaar beschikbare informatie over een doelwit als startpunt, kan een doxer contact opnemen met het slachtoffer om ze te verleiden nog meer persoonlijke informatie op te geven. Een doxer kan zich bijvoorbeeld voordoen als een administratief medewerker van een medische instelling of een bankvertegenwoordiger om informatie uit een slachtoffer te krijgen, en dit is een list die vaak beter werkt als er een aantal waarheden doorheen gemixt worden.
Officiële bronnen
Mensen in het publieke domein hebben vaak de meeste moeite om netwerkanonimiteit te bewaren, maar dat betekent nog niet dat het alleen rocksterren en professionele atleten zijn die hun persoonlijke informatie goed moeten beschermen.
Een doxer kan zelfs een werknemer gebruiken om het vertrouwen van een potentieel doxing-slachtoffer te schaden, zoals met een volledige aam en foto op een zakelijke “Over ons”-pagina of de volledige contactinformatie op een afdelingssite. Dat klinkt onschuldig, maar algemene bedrijfsinformatie brengt u geografisch gezien dicht bij de persoon, en een foto kan naar een profiel op een sociaal netwerk leiden.
Ook zakelijke activiteiten laten over het algemeen sporen na op het internet, en er is bijvoorbeeld heel wat informatie over de oprichters van bedrijven openbaar toegankelijk in veel landen.
Zwarte markt
Meer geavanceerde methodes omvatten het gebruik van niet-openbare bronnen, zoals gecompromitteerde databases die toebehoren aan overheidsinstanties en bedrijven.
Uit onze onderzoeken blijkt dat darknet-outlets allerlei soorten persoonsgegevens verkopen, van paspoort-scans ($ 6 of meer) tot accounts op apps voor online bankieren ($ 50 of meer).
Professionele gegevensverzamelaars
Doxers besteden soms ook werk uit aan data brokers, bedrijven die persoonlijke gegevens verkopen die ze van verschillende bronnen hebben vergaard. Handel in gegevens is geen standaard criminele onderneming; banken maken gebruik van de gegevens van deze brokers, evenals reclame- en rekruteringskantoren. Helaas geven niet alle data brokers erom wie de gegevens nou eigenlijk koopt.
Wat te doen als uw gegevens zijn gelekt
In een interview met Wired suggereert Eva Galperin, directeur cybersecurity van Electronic Frontier Foundation, dat u als u erachter komt dat er misbruik is gemaakt van uw persoonlijke gegevens, contact op moet nemen met de sociale netwerken waar doxers uw gegevens publiceren. Begin met de klantenservice of technische ondersteuning. Het vrijgeven van privé-informatie zonder toestemming van de eigenaar is over het algemeen een inbreuk op de gebruikersovereenkomst. Hoewel dit het probleem niet volledig zal oplossen, kan het de potentiële schade wel beperken.
Galperin raadt ook aan om uw sociale netwerk-accounts te blokkeren of om iemand te vinden die uw accounts enige tijd na een aanval kan beheren. Net als anders beschikbare maatregelen na een lek wordt de schade hierdoor niet ongedaan gemaakt, maar het kan u wel wat kalmeren en een aantal moeilijke situaties online voorkomen.
Uzelf tegen doxing beschermen
U bent ongetwijfeld beter af als u de waarschijnlijkheid van een datalek kunt beperken dan wanneer u met de consequenties ervan moet leven. Immuniteit is echter simpel nog niet. U hebt bijvoorbeeld nauwelijks invloed op data dumps of lekken van databases van overheidsinstellingen of sociale netwerken. U kunt het werk van doxers echter wel moeilijker maken.
Onthul geen geheimen op het internet
Houd uw persoonlijke gegevens in zoverre dit mogelijk is van het internet af, en dan vooral uw adres, telefoonnummer en foto’s. Zorg ervoor dat de foto’s die u online post geen geotags bevatten en dat er geen privé-informatie in uw online documenten staat.
Controleer de instellingen van uw sociale netwerken
We raden aan om strikte privé-instellingen te configureren op de sociale netwerken en diensten die u gebruikt. Maak profielen alleen toegankelijk voor vrienden en houd uw vriendenlijst regelmatig in de gaten. U vindt stapsgewijze instructies op ons Privacy Checker-portaal om uw sociale netwerken en andere diensten correct te configureren.
Bescherm uw accounts tegen hackers
Het gebruik van een ander wachtwoord voor elk account kan ingewikkeld klinken (al hoeft dat niet zo te zijn), maar het biedt wel belangrijke bescherming. Als u overal hetzelfde wachtwoord gebruikt en dit via een van de door u gebruikte diensten gelekt wordt, dan helpen zelfs de strengste privacyinstellingen u niet meer.
Daarom raden we het gebruik van een wachtwoordmanager aan. Onze oplossing Kaspersky Password Manager slaat niet alleen wachtwoorden op, maar ook de websites en diensten waar ze toegang tot verkrijgen, en u beschikt over één hoofdwachtwoord dat u moet onthouden. We raden ook aan om, waar mogelijk, tweestapsverificatie te gebruiken om uw verdediging verder te versterken.
Ga slim te werk met accounts van derden
Vermijd indien mogelijk het aanmelden voor websites met gebruik van sociale netwerken of andere accounts die uw echte gegevens bevatten. Het koppelen van het ene account met het andere zorgt ervoor dat uw online activiteiten eenvoudig te volgen zijn, door bijvoorbeeld uw opmerkingen aan uw eigen naam te linken.
Om dit probleem op te lossen, is het handig om minimaal twee e-mailaccounts op te zetten. Een daarvan kunt u gebruiken voor accounts met uw echte naam, en het andere voor websites waar u liever anoniem blijft. Gebruik verschillende nicknames voor verschillende diensten, om het verzamelen van informatie over uw aanwezigheid op het internet te bemoeilijken.
Probeer een dossier over uzelf op te stellen
Een manier om de staat van uw privacy te beoordelen is door zelf de rol van doxer op u te nemen en op zoek te gaan naar informatie over uzelf op het internet. Op die manier ontdekt u eventuele problemen op sociale netwerken die u hebt en komt u erachter welke stukjes persoonlijke informatie op het internet rondzwerven. Dit kan u helpen om de bron van zulke gegevens te achterhalen en wellicht kunt u deze zo ook verwijderen. Om op passieve wijze een oogje in het zeil te houden, kunt u Google zo instellen dat u een melding krijgt in het geval van nieuwe zoekresultaten bij zoekopdrachten die uw naam bevatten.
Verwijder informatie over uzelf
Eventuele content die inbreuk maakt op uw privacy kunt u rapporteren en u kunt zoekmachines en sociale netwerken vragen om uw gegevens te verwijderen (hier vindt u bijvoorbeeld de instructies voor Google, Facebook en Twitter).
Sociale netwerken en andere diensten verbieden normaal gesproken de ongeautoriseerde publicatie van persoonlijke gegevens in hun gebruiksbeleid, maar in werkelijkheid kunnen alleen wetshandhavingsautoriteiten bepaalde dubieuze middelen onder controle krijgen.
Wettelijke data brokers stellen individuen normaal gesproken in staat om hun persoonlijke informatie te verwijderen, maar op basis van de enorme hoeveelheid van dit soort bedrijven, zal alles verwijderen niet makkelijk zijn. Tegelijkertijd zijn er ook weer bedrijven en diensten die u kunnen helpen digitale sporen uit te wissen. In zo’n geval moet u een afweging maken wat betreft het gemak, de grondigheid en de kosten die u bereid bent te maken.
Snelle tips
Iedereen kan op elk moment doelwit van doxing worden, met of zonder een duidelijke reden hiervoor. Deze tips kunnen u helpen om uw online privacy te beschermen:
- Houd uw persoonlijke gegevens — echte naam, adres, waar u werkt, enzovoorts — van het internet af;
- Sluit uw sociale netwerk-accounts af voor buitenstaanders en gebruik robuuste, unieke wachtwoorden en tweestapsverificatie. Installeer voor het beheer van uw wachtwoorden Kaspersky Password Manager;
- Vermijd het gebruik van het ene account om op een andere dienst in te loggen, zeker als een van deze accounts uw echte gegevens bevat;
- Wees proactief: probeer zelf eens een dossier over uzelf op te stellen en dien een verzoek in voor de verwijdering van uw gegevens bij diensten die te veel over u weten;
- Overweeg het volledig verwijderen van accounts. Dit is een nogal radicale (of zelfs pessimistische) aanpak om doxing tegen te gaan, en we kunnen helpen dit te doen terwijl u toch belangrijke data behoudt.
Doxing vertegenwoordigt slechts een van de alomtegenwoordige aanvallen op online gegevens, maar dit is wel een methode die de potentie heeft om levens te ruïneren. We publiceren regelmatig nieuws en praktische informatie over doxing en hoe u zich beschermt.