Doxxing – co to jest i jak się przed nim chronić

Dłonie piszące na klawiaturze laptopa

Doxxing zaczyna się niewinnie: jedno zdjęcie z geotagiem, ten sam nick co na innym forum, adres z ogłoszenia sprzed lat. Ktoś składa te okruchy w całość i nagle zna twój adres, miejsce pracy i numer telefonu. W polskim prawie nie ma osobnego przestępstwa „doxxing”, ale to nie znaczy, że jest bezkarny, bo ściga się go z kilku różnych paragrafów, z karami do 8 lat więzienia.

W skrócie: doxxing (pisany też doxing) to zbieranie i publiczne ujawnianie prywatnych danych osobowych, takich jak adres, telefon czy miejsce pracy, bez zgody ofiary, zwykle w celu nękania lub zastraszenia. Napastnicy korzystają z białego wywiadu (OSINT), mediów społecznościowych, wycieków danych i geotagów w zdjęciach. W Polsce doxxing nie jest osobnym przestępstwem, ale bywa karany z art. 190a Kodeksu karnego (nękanie, kradzież tożsamości, od 6 miesięcy do 8 lat) oraz art. 107 ustawy o ochronie danych. Najlepszą obroną jest ograniczenie śladów w sieci, silne hasła z 2FA i regularny audyt własnych danych.

Doxxing – co to jest

Doxxing to zbieranie, łączenie i publiczne ujawnianie prywatnych danych osobowych konkretnej osoby bez jej zgody, najczęściej w internecie. Celem zwykle nie jest samo zdobycie informacji, lecz nękanie, zastraszenie, upokorzenie lub zaszkodzenie ofierze. Bywa klasyfikowany jako forma cyberprzemocy.

Nazwa pochodzi od angielskiego skrótu „docs”, czyli dokumenty, i wyrażenia „dropping dox”, oznaczającego zrzucanie dokumentów o ofierze do sieci. W polskich tekstach spotkasz dwa zapisy, doxxing i doxing, i oba są poprawne. Istotą zjawiska jest łączenie okruchów informacji: pojedyncza dana wydaje się niegroźna, ale zestawiona z innymi pozwala ustalić tożsamość, adres i zwyczaje ofiary. Ujawniane bywają imię i nazwisko, adres, numer telefonu, miejsce pracy, szkoła dziecka, a czasem dane rodziny czy informacje o zdrowiu.

Jak działa doxxing

Podstawowym narzędziem napastnika jest OSINT, czyli biały wywiad, polegający na pozyskiwaniu danych z legalnych, publicznie dostępnych źródeł. Doxer nie musi włamywać się do żadnego systemu, bo wystarczy mu cierpliwe zbieranie i zestawianie tego, co już jest w sieci.

Metoda Co ujawnia
Media społecznościowe data urodzenia, miejsce pracy, szkoła, relacje, oznaczone lokalizacje
Ten sam nick na wielu platformach powiązanie kont z Reddita, GitHuba, Discorda czy gier
Brokerzy danych i wyszukiwanie wsteczne gotowe profile z adresem, telefonem i powiązaniami
Wycieki danych hasła, PESEL, adresy z baz z darknetu
Metadane zdjęć (EXIF, geotagi) dokładna lokalizacja wykonania zdjęcia

Do tego dochodzą rejestry publiczne, stare ogłoszenia oraz phishing i socjotechnika, gdy dane wyłudza się wprost od ofiary. Motywy bywają różne: zemsta, hejt, haktywizm, szantaż czy internetowy pręgierz. Najgroźniejszym rozwinięciem jest swatting, czyli fałszywe zgłoszenie na numer alarmowy, które ściąga uzbrojone służby pod adres ofiary.

Skutki doxxingu

Skutki bywają dotkliwe i wykraczają daleko poza sam dyskomfort. Ofiara mierzy się z falą nękania, groźbami, a niekiedy realną przemocą, do tego dochodzi ryzyko utraty pracy, kradzieży tożsamości i strat finansowych. Ujawnienie danych typu PESEL czy numer dowodu otwiera drogę do wyłudzeń.

Najtragiczniejsze są przypadki swattingu. W 2017 roku w amerykańskim Wichita fałszywe zgłoszenie doprowadziło do śmierci niewinnej osoby, a sprawca został skazany na 20 lat więzienia. Nie wolno też lekceważyć skutków psychicznych: chroniczny stres, lęk, problemy ze snem i utrata poczucia bezpieczeństwa potrafią ciągnąć się miesiącami.

Czy doxxing jest karalny w Polsce

W polskim prawie nie istnieje osobne przestępstwo nazwane doxxingiem, ale czyn jest ścigany na podstawie kilku przepisów, zależnie od okoliczności. Kluczowy jest art. 190a Kodeksu karnego: za uporczywe nękanie oraz za podszywanie się pod inną osobę z wykorzystaniem jej danych grozi kara od 6 miesięcy do 8 lat pozbawienia wolności.

  • Art. 190a § 1 KK – uporczywe nękanie (stalking), od 6 miesięcy do 8 lat.
  • Art. 190a § 2 KK – kradzież tożsamości, podszywanie się z użyciem danych, od 6 miesięcy do 8 lat.
  • Art. 107 ustawy o ochronie danych – bezprawne przetwarzanie danych, do 2 lat, a przy danych wrażliwych do 3 lat.
  • Art. 224a KK – fałszywe zgłoszenie alarmowe, czyli swatting, od 6 miesięcy do 8 lat.
  • Art. 190, 212 i 216 KK – groźba karalna, zniesławienie i zniewaga, gdy towarzyszą ujawnieniu.

Ściganie nękania i kradzieży tożsamości z art. 190a następuje na wniosek pokrzywdzonego. Niezależnie od drogi karnej ofiara może dochodzić roszczeń cywilnych z tytułu naruszenia dóbr osobistych na podstawie art. 23 i 24 Kodeksu cywilnego, żądając usunięcia skutków, przeprosin i zadośćuczynienia.

Jak się chronić przed doxxingiem

Najskuteczniejsza obrona to ograniczenie tego, co napastnik w ogóle może znaleźć. Publikuj o sobie wyłącznie niezbędne informacje, ustaw profile w mediach społecznościowych na prywatne i regularnie wyszukuj własne imię i nazwisko, żeby sprawdzić, co jest publicznie dostępne. Ten ostatni nawyk, zwany self-doxxingiem, pozwala wykryć wycieki, zanim zrobi to ktoś inny.

Reszta to higiena bezpieczeństwa. Używaj silnych, unikalnych haseł i menedżera haseł, wszędzie włącz uwierzytelnianie dwuskładnikowe, o którym piszę w tekście o kluczach U2F. Stosuj osobne adresy e-mail i pseudonimy do różnych aktywności, nie używaj tego samego nicka wszędzie, usuwaj geotagi ze zdjęć przed publikacją i zachowaj czujność wobec prób wyłudzenia danych, co przybliżam w artykule o spear phishingu.

Co robić, gdy padniesz ofiarą

Jeśli twoje dane trafiły do sieci, działaj szybko i po kolei. Najpierw zabezpiecz dowody, czyli zrzuty ekranu, linki i daty, bo będą potrzebne przy zgłoszeniu i ewentualnej sprawie sądowej. Potem zgłoś treść platformie i zażądaj jej usunięcia.

Kolejne kroki zależą od skali. Incydent zgłoś do CERT Polska przez formularz na incydent.cert.pl, a przy groźbach lub nękaniu zawiadom policję lub prokuraturę. Zastrzeż numer PESEL, na przykład w aplikacji mObywatel, żeby ograniczyć ryzyko wyłudzeń bankowych, zmień hasła w serwisach objętych wyciekiem i włącz 2FA. Na podstawie RODO możesz też żądać usunięcia danych z wyszukiwarki i od administratorów stron, a w poważniejszych sprawach rozważyć drogę cywilną.

Najczęstsze pytania o doxxing

Co to jest doxxing?

Doxxing to zbieranie i publiczne ujawnianie prywatnych danych osobowych konkretnej osoby, takich jak adres, numer telefonu czy miejsce pracy, bez jej zgody i zwykle w celu nękania lub zastraszenia. Istotą zjawiska jest łączenie rozproszonych okruchów informacji w całość pozwalającą ustalić tożsamość i lokalizację ofiary. Bywa uznawany za formę cyberprzemocy i często poprzedza dalsze ataki, jak swatting.

Skąd pochodzi nazwa „doxing”?

Nazwa pochodzi od angielskiego skrótu „docs”, czyli dokumenty, i wyrażenia „dropping dox”, które oznacza zrzucanie dokumentów o ofierze do sieci. W polskich tekstach funkcjonują dwa zapisy, doxxing i doxing, i oba są poprawne. Powstał też spolszczony czasownik doxxować, czyli dokonywać doxxingu wobec kogoś.

Czy doxxing jest karalny w Polsce?

W polskim prawie nie ma osobnego przestępstwa nazwanego doxxingiem, ale czyn jest ścigany z kilku przepisów. Najważniejszy to art. 190a Kodeksu karnego, obejmujący uporczywe nękanie i kradzież tożsamości, zagrożony karą od 6 miesięcy do 8 lat. Zastosowanie ma też art. 107 ustawy o ochronie danych, czyli bezprawne przetwarzanie danych, do 2 lat, oraz przepisy o groźbach, zniesławieniu i swattingu.

Jak się bronić przed doxingiem?

Ogranicz dane, które publikujesz o sobie, ustaw profile w mediach społecznościowych na prywatne i regularnie sprawdzaj, co da się o tobie znaleźć w wyszukiwarkach. Używaj silnych, unikalnych haseł i menedżera haseł oraz włącz uwierzytelnianie dwuskładnikowe. Stosuj osobne adresy e-mail i pseudonimy, nie używaj tego samego nicka wszędzie, usuwaj geotagi ze zdjęć i uważaj na próby wyłudzenia danych przez phishing.

Czym różni się doxing od swattingu?

Doxing to ujawnienie prywatnych danych osoby, natomiast swatting to fałszywe zgłoszenie na numer alarmowy, które ściąga uzbrojone służby pod adres ofiary. Swatting często korzysta z danych zdobytych właśnie przez doxing, zwłaszcza adresu. To jego najgroźniejsze rozwinięcie, bo prowadzi do realnej interwencji służb i zagrożenia życia. W Polsce swatting jest karany z art. 224a Kodeksu karnego, od 6 miesięcy do 8 lat.

Co zrobić, gdy padłeś ofiarą doxxingu?

Najpierw zabezpiecz dowody, czyli zrzuty ekranu, linki i daty, a następnie zgłoś treść platformie i zażądaj jej usunięcia. Incydent zgłoś do CERT Polska przez formularz na incydent.cert.pl, a przy groźbach zawiadom policję lub prokuraturę. Zastrzeż numer PESEL w aplikacji mObywatel, zmień hasła i włącz 2FA. Na podstawie RODO możesz też żądać usunięcia danych z wyszukiwarki oraz od administratorów stron.

Kto pada ofiarą doxxingu?

Ofiarą może paść każdy, zarówno osoby publiczne, jak dziennikarze, aktywiści, politycy czy influencerzy, jak i zwykli użytkownicy internetu, którzy weszli w konflikt online. Coraz częściej celem stają się też pracownicy firm, gdy napastnik chce zaszkodzić całej organizacji. Właśnie dlatego ograniczanie własnych śladów w sieci i podstawowa higiena bezpieczeństwa są ważne niezależnie od tego, czym się zajmujesz.

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas