Doxing (inna pisownia: doxxing) to nieetyczny proceder, który polega na pozyskiwaniu i ujawnianiu w przestrzeni cyfrowej danych powiązanych z konkretną osobą fizyczną lub organizacją. O doxingu mówimy w sytuacji, gdy celowo ujawnione zostają między innymi takie dane, jak:

• imię, nazwisko,


• adresy: domowe, miejsca pracy itp.,


• adresy e-mail,


• numery telefonów,


• krępujące szczegóły z życia prywatnego,


• prywatna korespondencja lub zdjęcia.

Nierzadko sprawcy doxingu ujawniają również dane dotyczące najbliższych osób swojej ofiary, a nawet ich firm oraz pracodawców. Doxing może prowadzić do wielu niebezpiecznych sytuacji, takich jak nękanie, stalking, hejt internetowy, a nawet realne ataki hakerskie – na przykład na prywatne aplikacje czy konta w celu kradzieży tożsamości lub przejęcia środków finansowych.

Ofiarami doxingu szczególnie często padają osoby publiczne, które nierzadko są przy tej okazji szantażowane. Stosujący doxing obiecują wówczas niepublikowanie wrażliwych danych w zamian za okup. Podłożem doxingu są często spory poglądowe.

Choć częściej słyszy się o osobach prywatnych padających ofiarami doxingu, to zjawisko może być tak samo niebezpieczne dla firm. W organizacjach wiele informacji jest ściśle chronionych, a ich ujawnienie może stanowić poważne przestępstwo. W przypadku firm doxingiem możemy określić celowe publikowane personaliów pracowników, partnerów biznesowych czy członków zarządu i szczegółów ich życia prywatnego w celu kompromitacji firmy.

Zjawisko dotyka także tajemnic firmowych, receptur produktów, danych patentowych, strategii, niepodawanych jawnie wyników finansowych i wielu innych obszarów prowadzenia działalności, w tym tych technicznych. Chodzić może tu o szczegóły infrastruktury technicznej, stosowane zabezpieczenia, polityki bezpieczeństwa i procedury.

Na pytanie, czy doxing jest karalny, odpowiedź jest pozytywna, gdyż publikowanie chronionych prawnie danych jest karalne. Również wykorzystanie publicznie dostępnych danych do celów takich, jak nękanie lub wyrządzanie szkody majątkowej czy wywoływanie poczucia, podlega karze zgodnie m.in. z art. 190a Kodeksu Karnego. Osoba, która stosując doxing, zaszkodzi firmie (finansowo, wizerunkowo lub w inny sposób), może więc zostać pociągnięta do odpowiedzialności.

Niesamowicie szybki rozwój technologii cyfrowych i mediów społecznościowych sprawia, że wielu użytkowników oraz wiele firm nie do końca panuje nad udostępnianymi w sieci informacjami na swój temat. Nierzadko zdarza się, że nie jesteśmy nawet świadomi, jak wiele wrażliwych danych sprawny oszust jest w stanie pozyskać w całkowicie legalny sposób. Tak zwany biały wywiad jest wykorzystywany zarówno przez oszustów, jak i rekruterów oraz potencjalnych partnerów biznesowych.

Przykładów nie trzeba daleko szukać. Za pomocą rejestru WHOIS można bez problemu dowiedzieć się, kto konkretnie zarejestrował niemal dowolną domenę internetową (pod warunkiem że ta informacja nie została zastrzeżona podczas rejestracji). Krajowy Rejestr Długów dostarcza informacji o tym, czy firma nie ma poważnych kłopotów finansowych (a upublicznienie takich danych może być dla organizacji bardzo obciążające wizerunkowo). Centralna Ewidencja Działalności Gospodarczych pozwala bez skrępowania poznać adres prowadzenia działalności, co w przypadku wielu firm jednoosobowych oraz osób samozatrudnionych jest adresem domowym.

Nawet zdjęcia publikowane na firmowym profilu na platformach społecznościowych dostarczają wprawnemu oszustowi wiele informacji, które może wykorzystać do niecnych celów. Aktywnie prowadzony firmowy lub prywatny profil na platformie LinkedIn jest szansą na nawiązanie nowych znajomości i poprawę swojej pozycji w branży, jednak może on także dostarczyć potencjalnemu hakerowi wielu cennych danych. Mowa m.in. o nazwiskach współpracowników, szczegółach z działalności firmy, osiągnięciach w danej dziedzinie czy aktualnej lokalizacji pracowników. Wszystkie, te na pozór niegroźne dane, mogą posłużyć do kradzieży tożsamości czy prób wyłudzenia innych informacji. W związku z tym, tak istotne jest, by zawsze stosować zasadę ograniczonego zaufania i przestrzegać podstawowych zasad cyberbezpieczeństwa.

Dane pozyskiwane są w nielegalny sposób, często przy użyciu tak zwanych metod socjotechnicznych, do których zaliczamy między innymi phishing. Wykradzione za pomocą fałszywych formularzy rejestracyjnych, czy złośliwego oprogramowania przesyłanego w SPAM-ie, dane mogą być bardzo cennym łupem hakerów. Ważne jest więc stosowanie najlepszych zabezpieczeń, chronienie poczty internetowej, regularna zmiana haseł, stosowanie uwierzytelniania dwuskładnikowego i inne podstawowe zasady cyberbezpieczeństwa, które opisaliśmy w dedykowanym artykule.

Kadra kierownicza powinna stale rozwijać w personelu świadomość zagrożeń, które czyhają na każdym kroku. Pomóc mogą w tym szkolenia z tzw. security awareness, które uświadamiają, jak nieodpowiedzialna działalność w sieci może zaszkodzić firmie oraz osobom fizycznym.