Desde o início dos anos 1990, as pessoas têm usado o doxing como uma forma tóxica de vingança digital — tirando o anonimato de alguém ao desmascarar sua identidade online. Mas, nos últimos anos, a prática venenosa ganhou vida nova, com pessoas sendo doxadas e extorquidas por criptomoeda e, nos casos mais extremos, potencialmente enfrentando violência física.
No ano passado, o pesquisador de segurança Jacob Larsen — que foi vítima de doxing há cerca de uma década quando alguém tentou extorquir uma conta de jogo — tem monitorado grupos de doxing, observando as técnicas usadas para desmascarar pessoas e entrevistando membros proeminentes da comunidade de doxing. As ações de doxing levaram a rendas de “bem mais de seis dígitos anualmente”, e os métodos incluem fazer solicitações falsas de aplicação da lei para obter dados das pessoas, de acordo com as entrevistas de Larsen.
“O principal alvo do doxing, principalmente quando envolve um componente de extorsão física, é o financiamento”, diz Larsen, que lidera uma equipe de segurança ofensiva na empresa de segurança cibernética CyberCX, mas conduziu a pesquisa sobre doxing em caráter pessoal com o apoio da empresa.
Em várias sessões de bate-papo on-line em agosto e setembro, Larsen entrevistou dois membros da comunidade de doxing: “Ego” e “Reiko”. Embora nenhuma de suas identidades off-line seja publicamente conhecida, acredita-se que Ego tenha sido membro do grupo de doxing de cinco pessoas conhecido como ViLe, e Reiko atuou como administradora do maior site público de doxing, Doxbin, no ano passado, além de estar envolvida em outros grupos. (Dois outros membros do ViLe declarou-se culpado de pirataria e roubo de identidade (em junho.) Larsen diz que tanto Ego quanto Reiko excluíram suas contas de mídia social depois de falar com ele, tornando impossível para a WIRED falar com eles de forma independente.
As pessoas podem ser vítimas de doxing por uma série de razões — desde assédio em jogos online até incitação à violência política. O doxing pode “humilhar, prejudicar e reduzir a autonomia informacional” de indivíduos visados, diz Bree Anderson, uma criminologista digital da Deakin University na Austrália que pesquisou o assunto com colegas. Há danos diretos de “primeira ordem”, como riscos à segurança pessoal, e danos de “segunda ordem” de longo prazo, incluindo ansiedade em torno de futuras divulgações de informações, diz Anderson.
A pesquisa de Larsen se concentrou principalmente naqueles que praticam doxing por lucro. O Doxbin é central para muitos esforços de doxing, com o site hospedando mais de 176.000 doxing públicos e privados, que podem conter nomes, detalhes de mídia social, números de previdência social, endereços residenciais, locais de trabalho e detalhes semelhantes pertencentes a familiares das pessoas. Larsen diz que acredita que a maior parte do doxing no Doxbin é motivada por atividades de extorsão, embora possa haver outras motivações e doxing por notoriedade. Uma vez que as informações são carregadas, o Doxbin não as removerá, a menos que viole os termos de serviço do site.
“É sua responsabilidade manter sua privacidade na internet”, disse Reiko em uma das conversas com Larsen, que tem publicou as transcrições. Ego acrescentou: “É responsabilidade dos usuários manter sua segurança online rigorosa, mas sejamos realistas, não importa o quão cuidadoso você seja, alguém ainda pode rastreá-lo.”
Representando a polícia, a violência como serviço
Ser totalmente anônimo online é quase impossível — e muitas pessoas não tentam, muitas vezes usando seus nomes reais e detalhes pessoais em contas online e compartilhando informações nas mídias sociais. Táticas de doxing para coletar detalhes das pessoas, algumas das quais foram detalhadas em encargos contra membros do ViLepode incluir reutilização de senhas comuns para acessar contas, acessar bancos de dados públicos e privados e engenharia social para lançar ataques de troca de SIM. Também há métodos mais nefastos.
Solicitações de dados de emergência (EDR) também podem ser abusadas, diz Larsen. EDRs permitir que agentes da lei peçam nomes e detalhes de contato de pessoas a empresas de tecnologia sem nenhuma ordem judicial, pois acreditam que pode haver perigo ou riscos à vida das pessoas. Essas solicitações são feitas diretamente a plataformas de tecnologia, geralmente por meio de portais online específicos, e, em geral, precisam vir de endereços de e-mail oficiais da polícia ou do governo.