Sejak awal tahun 1990-an, orang telah menggunakan doxing sebagai cara beracun untuk melakukan balas dendam digital—menghilangkan anonimitas seseorang dengan mengungkap identitas mereka secara daring. Tetapi dalam beberapa tahun terakhir, praktik beracun ini telah mengambil napas baru, dengan orang-orang menjadi korban doxing dan diperas untuk cryptocurrency dan, dalam kasus yang paling ekstrim, berpotensi menghadapi kekerasan fisik.
Selama setahun terakhir, peneliti keamanan Jacob Larsen—yang merupakan korban doxing sekitar sepuluh tahun yang lalu ketika seseorang mencoba memerasnya untuk akun game—telah memantau kelompok-kelompok doxing, mengamati teknik yang digunakan untuk mengungkap orang, dan mewawancarai anggota-anggota terkemuka dari komunitas doxing. Aksi doxing telah menghasilkan penghasilan “jauh lebih dari enam angka setiap tahun,” dan metodenya termasuk membuat permintaan palsu kepada penegak hukum untuk mendapatkan data orang, menurut wawancara Larsen.
“Sasaran utama doxing, terutama ketika melibatkan komponen ekstorsi fisik, adalah untuk keuangan,” kata Larsen, yang memimpin tim keamanan ofensif di perusahaan keamanan cyber CyberCX tetapi melakukan penelitian doxing atas perorangan dengan dukungan perusahaan.
Selama beberapa sesi obrolan online pada bulan Agustus dan September tahun lalu, Larsen mewawancarai dua anggota komunitas doxing: “Ego” dan “Reiko.” Meskipun identitas mereka di dunia nyata tidak diketahui oleh publik, Ego diyakini telah menjadi anggota dari kelompok doxing lima orang yang dikenal sebagai ViLe, dan Reiko tahun lalu bertindak sebagai administrator situs web doxing publik terbesar, Doxbin, serta terlibat dalam kelompok lainnya. (Dua anggota ViLe lainnya mengaku bersalah atas hacking dan pencurian identitas pada bulan Juni.) Larsen mengatakan bahwa baik Ego maupun Reiko telah menghapus akun media sosial mereka sejak berbicara dengan dia, sehingga tidak memungkinkan bagi WIRED untuk berbicara dengan mereka secara independen.
Orang dapat menjadi korban doxing karena berbagai alasan—dari pelecehan dalam permainan daring, hingga menghasut kekerasan politik. Doxing dapat “mencemarkan, merugikan, dan mengurangi otonomi informasional” individu yang ditargetkan, kata Bree Anderson, seorang kriminolog digital di Universitas Deakin di Australia yang telah meneliti subjek tersebut bersama rekan-rekannya. Ada “kerugian orde pertama” langsung, seperti risiko terhadap keselamatan pribadi, dan “kerugian orde kedua” jangka panjang, termasuk kecemasan seputar pengungkapan informasi di masa depan, kata Anderson.
Penelitian Larsen sebagian besar difokuskan pada mereka yang melakukan doxing untuk keuntungan. Doxbin merupakan bagian sentral dari banyak upaya doxing, dengan situs web tersebut menyimpan lebih dari 176.000 doxing publik dan pribadi, yang dapat berisi nama, rincian media sosial, nomor Social Security, alamat rumah, tempat kerja, dan rincian serupa yang dimiliki oleh anggota keluarga orang. Larsen mengatakan bahwa ia yakin sebagian besar doxing di Doxbin dipicu oleh aktivitas ekstorsi, meskipun ada motivasi lain dan doxing untuk ketenaran. Setelah informasi diunggah, Doxbin tidak akan menghapusnya kecuali melanggar ketentuan layanan situs web tersebut.
“Tanggung jawab Anda untuk menjaga privasi Anda di internet,” kata Reiko dalam salah satu percakapan dengan Larsen, yang telah mempublikasikan transkripnya. Ego menambahkan: “Tanggung jawab pengguna untuk menjaga keamanan online mereka, tetapi mari kita jujur, tidak peduli seberapa hati-hati Anda, seseorang mungkin tetap melacak Anda.”
Menjadi sepenuhnya anonim secara daring hampir tidak mungkin—dan banyak orang tidak mencoba, sering menggunakan nama asli dan rincian pribadi dalam akun daring dan berbagi informasi di media sosial. Taktik doxing untuk mengumpulkan rincian orang, beberapa di antaranya dijelaskan dalam tuduhan terhadap anggota ViLe, dapat mencakup penggunaan ulang sandi umum untuk mengakses akun, mengakses basis data publik dan pribadi, dan rekayasa sosial untuk meluncurkan serangan pertukaran SIM. Ada juga metode yang lebih jahat.
Permintaan data darurat (EDR) juga dapat disalahgunakan, kata Larsen. EDR memungkinkan petugas penegak hukum untuk meminta nama dan rincian kontak orang dari perusahaan teknologi tanpa perintah pengadilan karena mereka percaya mungkin ada bahaya atau risiko bagi nyawa orang. Permintaan ini diajukan langsung ke platform teknologi, sering melalui portal online tertentu, dan umumnya harus berasal dari alamat email resmi penegak hukum atau pemerintah.