Doxing explicado
Doxing, ou doxxing, como às vezes é escrito, é o ato de revelar informações de identificação sobre alguém online. Essas informações são então divulgadas ao público, tudo sem a permissão da vítima. Antes normalmente reservado para hackers, o doxing agora é uma ameaça generalizada à segurança cibernética.
Tornou-se insidioso com a ascensão das mídias sociais e as informações que os usuários compartilham nessas plataformas. Se você já se perguntou como o doxing começou, se é legal e como se proteger do doxing, você encontrará as respostas aqui.
O conceito de doxing como o conhecemos atualmente surgiu pela primeira vez na década de 1990, quando o anonimato era considerado sagrado. As disputas entre hackers rivais às vezes levavam um a decidir "soltar documentos" em outro, que anteriormente era conhecido apenas como um nome de usuário ou alias. "Docs" tornou-se "dox" e, eventualmente, tornou-se um verbo por si só.
Os motivos por trás do doxing variam. Normalmente, as informações pessoais são reveladas intencionalmente com o intuito de punir, intimidar ou humilhar a vítima em questão. Às vezes, os doxers também veem suas ações para corrigir erros percebidos, levar alguém à justiça aos olhos do público ou revelar uma agenda que anteriormente não foi divulgada publicamente.
O que significa aplicar o doxing em alguém?
Embora o doxing seja frequentemente usado como uma ferramenta em guerras culturais online, a definição do termo se expandiu. No entanto, a aplicação do termo a hackers tornou-se um pouco menos relevante hoje, com muitos usuários usando seus nomes reais nas mídias sociais e em outros espaços online.
Agora, doxing refere-se à exposição online das informações pessoais de alguém, geralmente para aumentar os ataques a alvos, movendo seu conflito offline para o mundo real. Isso é feito revelando algumas das informações pessoais do alvo, como:
- Endereços residenciais
- Dados do local de trabalho
- Números de telefone pessoais
- Números do Seguro Social
- Conta bancária ou informações de cartão de crédito
- Correspondência privada
- Antecedentes criminais
- Fotos pessoais
- Detalhes pessoais constrangedores
Os ataques de doxing podem variar desde os triviais, como inscrições falsas por e-mail, até os muito mais perigosos, como assediar a família ou o empregador de uma pessoa, roubo de identidade, ameaças ou outras formas de cyberbullying , e até mesmo assédio pessoal.
Doxagem nas redes sociais
Com o uso generalizado de plataformas como Instagram, Facebook e TikTok, o doxing de mídia social – onde informações pessoais são compartilhadas em plataformas de mídia social – é uma preocupação particular. Muitos usuários acidentalmente compartilham dados confidenciais nesses sites que podem ser usados posteriormente contra eles.
O doxing de mídia social é especialmente relevante em casos de pornografia de vingança, onde alguém compartilha fotos íntimas embaraçosas de seu parceiro atual ou anterior sem seu consentimento.
Inúmeras celebridades, políticos, jornalistas e outras figuras públicas foram sujeitas a diferentes formas de doxing de mídia social, resultando em serem assediadas por multidões online, temendo por sua segurança e – em casos extremos – recebendo ameaças de morte. Em particular, várias figuras públicas foram assediadas nas mídias sociais por suas opiniões políticas, relacionamentos e até peso.
Existem até exemplos de doxing que têm como alvo executivos proeminentes da empresa. Por exemplo, quando a Gillette da Proctor & Gamble lançou seu anúncio “We Believe”, que alegava ter como alvo a masculinidade tóxica , o perfil do LinkedIn do Chief Brand Officer Marc Pritchard foi compartilhado no 4chan – com o pôster chamando outras pessoas para enviar mensagens de raiva para ele.
Anonimato e doxing
O doxing ficou ainda mais fácil devido à facilidade com que os usuários são anônimos on-line. Qualquer pessoa pode disfarçar informações de identificação, como nome, idade, localização e uso de dados. Há muitas maneiras de fazer isso, desde a configuração de perfis falsos e endereços de e-mail do gravador, usando VPNs ou até mesmo usando software, navegadores e plataformas criptografados .
Esse anonimato pode fazer com que os invasores se sintam desinibidos pelos costumes sociais usuais, dando-lhes a confiança necessária para lançar ataques de doxing sem medo de descoberta ou represália.
Para o alvo, o anonimato pode proibir a denúncia e causar medo real. Os doxers também podem se passar por outros indivíduos ou empresas em seus ataques de doxing, dando à situação uma camada adicional de complexidade.
Como funciona a doxagem?
Na era do big data, há um vasto oceano de informações pessoais disponíveis na Internet, e os usuários geralmente têm menos controle sobre elas do que acreditam. Isso significa que qualquer pessoa com tempo, motivação e interesse em fazê-lo pode tornar esses dados uma arma.
Ao seguir migalhas de pão — pequenos pedaços de informação sobre alguém — espalhados pela Internet, os doxers podem construir uma imagem que leva a descobrir a pessoa real por trás de um alias. Os doxers também podem comprar e vender informações pessoais na dark web .
Alguns dos métodos mais comuns usados para doxar pessoas são descritos abaixo:
Rastreamento de nome de usuário
Muitas pessoas usam o mesmo nome de usuário em uma ampla variedade de serviços digitais. Isso permite que os doxers em potencial construam uma imagem dos interesses do alvo e como eles passam seu tempo na Internet. Embora muitos hackers usem isso para golpes de engenharia social, ele também pode ser usado para doxing e swatting.
Executando pesquisas de domínio
Todos os proprietários de nomes de domínio têm suas informações armazenadas em um registro que está disponível publicamente por meio de uma pesquisa WHOIS . Se o proprietário do nome de domínio não optar por ocultar suas informações privadas, suas informações de identificação pessoal estarão disponíveis on-line para qualquer pessoa encontrar.
Phishing
Se alguém usar uma conta de e-mail insegura ou for vítima de um golpe de phishing , um hacker poderá descobrir e-mails confidenciais e publicá-los on-line.
Stalking em redes sociais
O doxing de mídia social tornou-se uma preocupação crescente à medida que mais usuários se envolvem com essas plataformas. Os usuários que deixam suas contas de mídia social públicas – ou não as protegem com as inúmeras opções de privacidade disponíveis – deixam suas informações pessoais vulneráveis.
Acessar registros do governo
Uma quantidade surpreendente de informações pode ser descoberta a partir de sites governamentais. Com alguma investigação, os doxers e hackers podem roubar informações de bancos de dados governamentais de licenças comerciais, registros de condados, licenças de casamento, registros do DMV e registros de eleitores.
Rastreamento de endereços IP
Os doxers podem usar vários métodos para descobrir endereços IP, que estão vinculados à localização física dos usuários. Depois de descobrir um endereço IP, eles podem usar truques de engenharia social no provedor de serviços de Internet (ISP) do alvo para descobrir mais informações sobre eles.
Pesquisa inversa de número de telefone celular
Uma vez que os hackers sabem o número do celular de alguém, eles podem facilmente descobrir mais sobre a pessoa. Os serviços de pesquisa reversa de telefone permitem que você digite um número de telefone celular para identificar quem é o proprietário do número. Com o serviço de "Quem me Ligou?" da Kaspersky você pode consultar diversas informações sobre o proprietário do número.
Packet sniffing (detecção de pacote)
Algumas vezes, o termo packet sniffing (detecção de pacote) é usado em associação ao doxing. Isso se refere a situações em que os doxers interceptam os dados da Internet de um alvo para procurar informações pessoais confidenciais. Os criminosos fazem isso conectando-se a uma rede on-line, violando suas medidas de segurança e, por fim, capturando o fluxo de dados dentro e fora da rede. Usar uma rede privada virtual (VPN) segura é uma boa maneira de os usuários se protegerem desse tipo de atividade.
Uso de data brokers
Os corretores de dados coletam informações pessoais de registros disponíveis publicamente e, em seguida, vendem essas informações para obter lucro. Muitos vendem suas informações para anunciantes, mas vários sites de pesquisa de pessoas oferecem registros abrangentes sobre indivíduos. Tudo o que um doxer precisa fazer é pagar uma pequena taxa para obter essas informações.
Pare o Doxing antes de começar. Proteja suas informações e fique seguro online.
O doxing é uma ameaça crescente – proteja-se contra a exposição de seus dados pessoais e proteja sua privacidade hoje.
Experimente o Premium gratuitamenteExemplos famosos de doxing
As situações de doxxing mais comuns tendem a se enquadrar em três categorias:
- Liberar online as informações de identificação pessoal e privadas de um indivíduo
- Revelar informações anteriormente desconhecidas de uma pessoa privada on-line
- A divulgação on-line de informações sobre uma pessoa particular pode prejudicar sua reputação e a de seus associados pessoais e/ou profissionais.
Alguns exemplos de doxing mais famosos e comumente citados incluem:
Ashley Madison
Ashley Madison é um site de namoro on-line que atende a pessoas interessadas em namorar fora de relacionamentos e casamentos comprometidos. Em 2015, um grupo de hackers roubou dados de usuários do site e fez exigências ao gerenciamento por trás do Ashley Madison. Quando essas demandas não foram atendidas, o grupo divulgou os dados confidenciais do usuário que havia adquirido, doxando milhões de pessoas no processo.
Cecil o Leão
Em julho de 2015, um dentista de Minnesota caçou e matou ilegalmente um leão chamado Cecil, que vivia em uma reserva de caça protegida no Zimbábue. Em meio ao clamor público pelo assassinato, algumas das informações de identificação do dentista foram divulgadas, resultando em ainda mais informações pessoais postadas publicamente on-line por pessoas que ficaram chateadas com suas ações e queriam vê-lo punido publicamente.
Atentado à Maratona de Boston
Durante a busca pelos autores do atentado à Maratona de Boston em abril de 2013, milhares de usuários na comunidade do Reddit vasculharam coletivamente notícias e informações sobre o evento e a investigação subsequente. O objetivo deles era fornecer informações à polícia para que pudesse usá-las e assim fazer justiça. Em vez disso, pessoas inocentes que não estavam envolvidas nos crimes foram expostas, resultando em uma caça às bruxas equivocada.
Proprietários de Tesla
Em março de 2025 , vários proprietários e concessionárias da Tesla confirmaram que um mapa on-line havia publicado seus dados pessoais, incluindo nomes, endereços residenciais e números de telefone. Os espectadores do mapa foram encorajados a vandalizar Teslas - um centro de serviço Tesla em Las Vegas foi atacado por alguém empunhando uma arma e coquetel Molotov. O doxxing foi uma tentativa de provocar uma reação contra Elon Musk.
O doxing é ilegal?
O doxing pode arruinar vidas, expondo indivíduos alvo e suas famílias ao assédio online e no mundo real ou arruinando suas reputações. No entanto, o doxing tende a não ser ilegal se as informações expostas forem de domínio público e tiverem sido obtidas usando métodos legais – embora também dependa das informações específicas reveladas.
Por exemplo, revelar o nome real de alguém não é tão grave como revelar seu endereço residencial ou número de telefone. No entanto, nos EUA, aplicar esse golpe contra um funcionário público se enquadra dentro das leis federais de conspiração e é visto como uma ofensa nacional. Independentemente da lei, o doxing viola os termos de serviço de muitos sites e, portanto, podem resultar em punição.
As leis em torno do doxing estão em constante evolução e nem sempre são claras. Por exemplo, na Escócia , não há leis que proíbam explicitamente o doxing, mas nos casos em que o doxing é visto como comportamento abusivo, perseguição ou uso impróprio de redes públicas de comunicações eletrônicas, por exemplo, pode ser considerado uma ofensa criminal.
A Austrália também está introduzindo leis de doxing direcionadas que podem incluir pena de prisão, mas podem incluir isenções para o jornalismo de interesse público e outras situações específicas.
Também é importante distinguir entre doxing e swatting. Embora ambos envolvam informações pessoais de uma pessoa, eles são diferentes. No doxing, o invasor geralmente obtém as informações pessoais do alvo do domínio público e as expõe on-line. No entanto, no golpe, as informações pessoais do alvo podem ser obtidas de várias fontes e usadas para enviar serviços de emergência ao local do alvo sob falsos pretextos. O golpe é ilegal na maioria das jurisdições e muitas vezes acarreta uma pena de prisão ou multas.
Como se proteger do doxing?
Quase qualquer um pode ser uma vítima de doxing. Se você já postou em um fórum online, usou um site de mídia social, assinou uma petição online ou comprou uma propriedade, suas informações estão disponíveis publicamente.
Essas proteções podem ajudar os usuários a se perguntarem como evitar a doxing.
Proteja seu endereço IP com uma VPN
Uma VPN oferece excelente proteção contra a exposição de endereços IP, criptografando o tráfego e mantendo os usuários anônimos. O Kaspersky VPN Secure Connection protege você contra riscos de Wi-Fi público , mantém suas comunicações privadas e garante que você não esteja exposto a phishing, malware , vírus e outras ameaças cibernéticas.
Pratique a boa segurança cibernética
Softwares antivírus e de detecção de malware, como o Kaspersky Premium, podem impedir que os doxers roubem informações por meio de aplicativos maliciosos. Apenas certifique-se de manter todos os softwares atualizados.
Use senhas fortes
Uma senha forte normalmente inclui uma combinação de letras maiúsculas e minúsculas, além de números e símbolos. Evite usar a mesma senha para várias contas e certifique-se de alterá-las regularmente. Um gerenciador de senhas pode ajudar.
Use nomes de usuário separados para plataformas diferentes
Se você estiver usando fóruns on-line como Reddit, 4Chan e Discord, certifique-se de usar nomes de usuário e senhas diferentes para cada serviço. Quando você usa os mesmos, os criminosos podem pesquisar seus comentários em diferentes plataformas e usar essas informações para compilar uma imagem detalhada de você.
Crie contas de e-mail separadas para fins separados
Considere manter contas de e-mail separadas para fins diferentes - profissional, pessoal e spam. Seu endereço de e-mail pessoal pode ser reservado para correspondência privada com amigos próximos, familiares e outros contatos confiáveis e não deve ser listado publicamente.
Seu e-mail de spam pode ser usado para se inscrever em contas, serviços e promoções. Isso pode aparecer publicamente em algumas situações, mas tente limitar isso o máximo possível. Por fim, seu endereço de e-mail profissional pode ser listado publicamente.
Revise e maximize suas configurações de privacidade em mídias sociais
Revise as configurações de privacidade em seus perfis de rede social e certifique-se de que você esteja confortável com o volume de informações que estão sendo compartilhadas e com quem. Por exemplo, no Instagram, é possível tornar seu perfil completamente privado para que somente as pessoas que você permite seguir possam ver suas postagens, histórias e seguidores na grade.
As configurações de privacidade do Facebook são ainda mais sutis. Por exemplo, você pode escolher configurações específicas para endereços de e-mail, números de telefone, locais, fotos, publicações e amigos.
É possível ocultar completamente endereços de e-mail e números de telefone e definir diferentes níveis de configurações – visíveis para amigos, amigos de amigos ou o público – para os outros detalhes. Para ativar e revisar as configurações de privacidade, basta navegar até a seção de configurações da conta de cada plataforma de mídia social.
Use autenticação multifator
Ativar autenticações multifatoriais ou biométricas sempre que possível é outra maneira recomendada por especialistas de evitar a doxing. Ativar esses recursos de segurança significa que você — e qualquer outra pessoa que tente acessar sua conta — precisará de pelo menos duas peças de identificação para fazer login em seu site.
Excluir perfis obsoletos
Embora sites como MySpace e Orkut possam estar fora de moda, os perfis que foram criados há mais de uma década ainda são visíveis e acessíveis publicamente. Tente excluir perfis obsoletos.
Fique alerta para e-mails de phishing
Os Doxers podem usar golpes de phishing para induzir alvos em potencial a divulgar detalhes pessoais. Eles geralmente se passam por organizações legítimas, portanto, tenha cuidado sempre que receber uma mensagem que supostamente vem de um banco ou empresa de cartão de crédito, ou mesmo de uma empresa de comércio eletrônico popular, e solicita suas informações pessoais.
Ocultar informações de registro de domínio do WHOIS
O WHOIS é um banco de dados público de todos os nomes de domínio registrados na Web que inclui detalhes pessoais dos proprietários do domínio. Certifique-se de ocultar seus detalhes para que os doxers não possam encontrá-los no banco de dados.
Peça ao Google para remover informações
Se suas informações pessoais aparecerem nos resultados de pesquisa do Google, os indivíduos podem solicitar sua remoção do mecanismo de pesquisa. O Google torna esse processo direto por meio de um formulário on-line.
Remova seus dados
A remoção de suas informações dos sites do corretor de dados é outro método útil para evitar a doxing. No entanto, pode ser trabalhoso se você quiser fazê-lo sozinho sem incorrer em custos. Se você tiver tempo limitado, comece com os três principais atacadistas: Epsilon, Oracle e Acxiom.
Você precisará verificar regularmente esses bancos de dados porque suas informações podem ser republicadas mesmo depois de removidas. Você também pode pagar por um serviço como DeleteMe, PrivacyDuck ou Reputation Defender para fazer isso por você.
Desconfie de questionários online e permissões de aplicativos
Os questionários on-line podem parecer inofensivos, mas geralmente são fontes ricas de informações pessoais.
Como muitos questionários solicitam permissão para ver suas informações de mídia social ou seu endereço de e-mail antes de mostrar os resultados do questionário, eles podem associar facilmente essas informações à sua identidade real. É melhor evitá-los.
Os aplicativos móveis também são fontes de dados pessoais, e muitos solicitam permissões de acesso que não são necessárias para suas operações. Sempre verifique a legitimidade de um aplicativo antes de usá-lo e baixe-o de lojas oficiais.
Evite divulgar certos tipos de informações
Sempre que possível, evite divulgar certas informações publicamente, como número do CPF, endereço residencial, número da carteira de motorista e qualquer informação relacionada a contas bancárias ou números de cartão de crédito.
Repare o quão fácil é atacar você
A melhor defesa é tornar mais difícil para os abusadores rastrearem suas informações privadas. Você pode descobrir como é fácil se doxar:
- Pesquisando no Google
- Realizar uma pesquisa reversa de imagens
- Auditoria de seus perfis de mídia social, incluindo configurações de privacidade
- Verificar se alguma de suas contas de e-mail fez parte de uma violação de dados significativa usando um site como Haveibeenpwned.com
- Verificar currículos, biografias e sites pessoais para ver quais informações pessoais sua presença profissional transmite
Configurar alertas do Google
Configure alertas do Google para seu nome completo, número de telefone, endereço residencial ou outros dados particulares com os quais você esteja preocupado, para saber se eles aparecem on-line de repente. Pode significar que você foi doxed.
Evite dar aos hackers um motivo para atacar você
Tenha cuidado com o que você publica online e nunca compartilhe informações confidenciais em fóruns, quadros de mensagens ou sites de mídia social. As pessoas podem acreditar que criar identidades anônimas lhes dá a chance de expressar as opiniões que quiserem, não importa quão controversas, sem chance de serem rastreadas.
O que fazer se você tiver sido doxado
Entender o que é doxing e como evitar a doxing é fácil, mas o que você deve fazer se isso acontecer com você? A resposta mais comum ao passar pelo doxing é o medo, se não o pânico total. Ele foi intencionalmente criado para violar seu senso de segurança e causar em você pânico, cancelamento ou desligamento.
Se você se tornar uma vítima de doxing, aqui estão alguns passos que você pode tomar:
Denunciar
É importante denunciar a doxing à plataforma na qual as informações pessoais foram publicadas. Para aqueles que se perguntam como denunciar a doxing, veja como ela funciona. Pesquise os termos de serviço da plataforma relevante ou as diretrizes da comunidade para determinar o processo de denúncia e siga-o.
Ao preencher um formulário, salve-o para o futuro. Muitas vezes, você precisará preencher detalhes como informações de sua conta, detalhes de contato, conta do doxador e detalhes do doxing.
A maioria das plataformas de mídia social e sites da comunidade têm seus próprios formulários on-line e procedimentos de denúncia. Em muitos casos, é um processo direto. No entanto, o Facebook e o Instagram têm formas diferentes de denunciar formas específicas de assédio ou doxing.
Na maioria dessas plataformas, o doxing vai contra seus Termos e Serviços, então eles geralmente agem, como suspender a conta do doxador ou fazê-lo remover a postagem.
Para saber mais ou enviar uma denúncia, aqui estão os links para alguns dos sites mais comuns:
Solicitar remoção de informações
Você também pode querer remover do domínio público as informações que foram usadas no ataque de doxing. Por exemplo, se seus dados foram retirados de um banco de dados público ou governamental, a Lei Geral de Proteção de Dados Pessoais (LGPD) garante aos titulares de dados o direito de solicitar a exclusão dessas informações.
Esse direito está previsto no Artigo 18 da LGPD, conhecido como direito à eliminação de dados pessoais tratados com o consentimento do titular. Para isso, você pode entrar em contato diretamente com o controlador dos dados — que pode ser um órgão público ou uma empresa — solicitando a remoção com base na LGPD.
É comum que seja necessário fornecer documentação, como prova de identidade, para validar a solicitação. Além disso, serviços de hospedagem de sites no Brasil geralmente permitem que os proprietários de domínios mantenham seus dados privados por meio de serviços de proteção WHOIS.
Vale lembrar que, em caso de negativa ou omissão por parte do controlador, você pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD).
Envolva a aplicação da lei
Em algumas situações, não é suficiente relatar um ataque de doxing à plataforma em que ocorreu. Se o ataque for grave ou se tornar fisicamente ameaçador, é melhor procurar as autoridades locais.
Qualquer informação que identifique seu endereço residencial ou dados financeiros deve ser tratada como máxima prioridade, especialmente se vierem com ameaças críveis.
Cada jurisdição tratará isso de forma diferente, dependendo exatamente do que o ataque envolve. A maioria das jurisdições terá suas próprias formas de lidar com o doxing, dependendo se constitui assédio, abuso, violência ou alguma outra violação legal.
Para fazer uma denúncia, você pode simplesmente entrar ou ligar para a delegacia de polícia mais próxima. Você também pode optar por denunciar o ataque de doxing aos canais governamentais apropriados. Confira mais detalhes em nosso artigo sobre cibercrime.
Procure aconselhamento jurídico
Para entender quais caminhos legais podem estar disponíveis em sua situação, é melhor procurar aconselhamento de um advogado. Se você ainda não tiver um advogado, poderá solicitar uma boa recomendação à sua rede ou encontrar uma oferta de assistência jurídica local gratuita.
Muitas escolas, universidades e grandes empresas também terão serviços jurídicos que podem ajudar. Você precisará ser capaz de descrever e provar o contexto completo do ataque de doxing, incluindo quem é o invasor e o que o doxing envolveu – é aqui que a documentação será útil.
Documente tudo
Tome medidas para garantir que você possa provar vários aspectos de um ataque de doxing. Isso pode incluir fazer capturas de tela ou baixar páginas nas quais suas informações foram publicadas ou mostrar o identificador do invasor, mas pode incluir a preservação de e-mails, mensagens de voz, mensagens de texto ou postagens de mídia social relacionadas ao ataque.
Na medida do possível, tente garantir que as datas, horas e URLs estejam visíveis em qualquer comunicação. Todas essas evidências são essenciais para sua própria referência, mas também podem ajudar as autoridades policiais a investigar o incidente ou ser usadas como evidência para uma ação legal.
Proteja suas contas financeiras
Se os doxers publicaram seus números de conta bancária ou cartão de crédito, informe isso imediatamente à(s) sua(s) instituição(ões) financeira(s). Provavelmente, seu provedor de cartão de crédito cancelará seu cartão e enviará um novo a você. Você também precisará mudar a senha da sua conta bancária na Internet e do cartão de crédito.
Bloqueie suas contas
Altere suas senhas, use um gerenciador de senhas , ative a autenticação multifator sempre que possível e reforce suas configurações de privacidade em todas as contas que você usa.
Peça suporte
Doxxing pode ser emocionalmente desgastante. Peça para alguém em que você confia para ajudar você a passar pelo problema, para não ter que lidar com ele sozinho. Você também pode procurar ajuda profissional, como linhas de suporte locais ou terapeutas. Muitas universidades e organizações também oferecem apoio ou referências de saúde mental.
O Doxxing é um problema sério, possibilitado pelo fácil acesso a informações pessoais online. Manter-se seguro on-line nem sempre é fácil, mas seguir as práticas recomendadas de segurança cibernética pode ajudar. Recomendamos usar o Kaspersky Premium , que protege contra vírus em seu PC, protege e armazena suas senhas e documentos particulares e criptografa os dados que você envia e recebe online com uma VPN.
Artigos e links relacionados:
Como os pais podem lidar com os perigos do doxxing
Manter-se seguro nas redes sociais
Um guia abrangente para o treinamento de segurança cibernética
Produtos e serviços relacionados:
