Doxxing: Mini guia para prevenção e redução de danos

No Brasil jornalistas críticos ao governo tem sido vítimas de exposição de dados pessoais em redes sociais. Esse método de ataque que tem atingido também ativistas e pessoas defensoras de direitos humanos é conhecido como doxxing ou doxing. Doxxing é a prática de pesquisar, coletar e divulgar publicamente na internet dados privados e informações públicas de uma pessoa ou organização como uma forma de intimidação e/ou exposição. Muitas vezes a exposição dos dados é acompanhada de ameaças de violência, campanhas de desinformação e difamação.

Se não há privacidade por padrão nas redes sociais, é necessário adotar a segurança operacional e digital para se proteger. A equipe de segurança digital do New York Times produziu um guia sobre doxxing com checklists que ajudará você a se proteger online.

Inspirado neste guia e, em outros recursos, segue o Doxxing - mini guia para prevenção e redução de danos. O guia está dividido em quatro partes: informações sensíveis, prevenção, durante o doxxing e referências.

Quais informações são sensíveis?

Essas são algumas informações que um atacante está procurando sobre você:

• Nome completo
• Número(s) de telefone
• Perfis em redes sociais
• Números de documentos de identificação (RG, CPF, Passaporte, CNPJ)
• Grafo social: quem são seus/suas amigos/as e colegas de trabalho
• Endereço residencial
• Endereço(s) residencial(is) antigo(s)
• Endereço(s) de email
• Cidade de nascimento
• Nomes e membros da sua família
• Data de nascimento
• Local de trabalho
• Fotos pessoais e informações comprometedoras
• Afiliação política / religiosa

Ao ler a lista acima você deve ter reparado o quão difícil é evitar que certos dados sejam públicos, porém, é necessário torná-los o mais difícil de se obter.

Prevenção

O objetivo da prevenção é reduzir a sua superfície de ataque, isto é, eliminar ou limitar a quantidade de informações pessoais suas que estão públicas.

1. No DuckDuckGo, Google e outras ferramentas de pesquisa: procure o seu nome completo e partes do seu nome, seu(s) email(s), e outros dados descritos na seção anterior. Procure saber quais sites possuem informações sobre você. Repita o processo acima buscando o seu nome de usuário/a em redes sociais: Facebook, Instagram, Twitter, Linkedin. Há algumas formas de solicitar a retirada dos seus dados online através de formulários de remoção: do Google, Facebook e Twitter.

2. Ao longo dos anos em nossa vida online, nós deixamos uma série de informações pessoais sobre nós. Como há uma tendência de criar redes sociais com o mesmo nome de usuário/a ou número de telefone, é muito fácil para um/a atacante coletar essas informações. Portanto, conecte-se em redes sociais e sites que você não utiliza mais e remova o seu/sua usuário/a. Se não for possível remover completamente o/a usuário/a, remova as informações pessoais.

3. Nas redes sociais verifique o que os seus/suas amigos/as compartilham sobre você. Marcar as pessoas em fotos pode ser uma lembrança afetiva, porém, na mão de um doxxer pode ser mais uma munição. No Twitter, Facebook e Instagram desabilite a opção de que outras pessoas possam te marcar. Veja no item 8 como fazer isso.
4. Regra básica: jamais compartilhe os documentos com o seu RG e/ou CPF publicamente em redes sociais.
5. O seu site ou blog está registrado com o seu nome pessoal? Para ofuscar o/a proprietário/a do domínio utilize serviços de privacidade, por exemplo, Njalla.
6. Cuidado ao compartilhar fotos nas redes sociais. Há uma série de metadados que são transmitidos como: modelo da câmera e do dispositivo, geolocalização, data. Essas pequenas informações podem ser agrupadas para revelar a sua localização e gerar um mapa da onde você frequenta ou vive.
7. Siga e use as dicas do autodefesa digital para diminuir o seu rastro: use Signal ao invés de WhatsApp, use o Navegador Tor para navegar na internet, habilite autenticação em dois passos, use senhas longas e exclusivas para cada serviço online com um gerenciador de senhas.
8. Revise todas as permissões das suas redes sociais usando o checklist do New York Times.

Permissões do Facebook

1. Configure uma senha forte e única:

Aonde? Configurações e privacidade > Configurações > Segurança e Login > Login

2. Ative autenticação em dois passos:

Aonde? Configurações e privacidade > Configurações > Segurança e Login > Autenticação de dois fatores > Usar autenticação de dois fatores

Opções: Selecione um método de segurança e Mensagem de texto (SMS)

Escolha a opção Autenticação por App.

3. Ligue os alertas de login:

Aonde? Configurações e privacidade > Configurações > Segurança e Login > Configurações de segurança extra

4. Reveja os últimos lugares que você se conectou e revogue as sessões:

Aonde? Configurações e privacidade > Configurações > Segurança e Login > Onde você se conectou

5. Oculte a sua lista pública de amigos/as:

Aonde? Configurações e privacidade > Configurações > Privacidade > Como as pessoas encontram você e entram em contato

6. Edite quem pode ver o seu perfil usando seu email ou número de telefone:

Aonde? Configurações e privacidade > Configurações > Privacidade > Como as pessoas encontram você e entram em contato

7. Desabilite que mecanismos de pesquisa possam encontrar o seu perfil:

Aonde? Configurações e privacidade > Configurações > Privacidade > Como as pessoas encontram você e entram em contato

8. Revise quem pode interagir e publicar na sua timeline:

Aonde? Configurações e privacidade > Configurações > Linha do tempo e marcações > Linha do tempo

9. Revise quem pode marcar a sua conta em publicações e fotos:

Aonde? Configurações e privacidade > Configurações > Linha do tempo e marcações > Marcações

10. Revise quais apps e sites tem acesso a sua conta:

Aonde? Configurações e privacidade > Configurações > Aplicativos e sites

11. Revise as atividades off-Facebook

Aonde? Configurações e privacidade > Configurações > Suas informações no Facebook > Atividade fora do Facebook

Instagram

No App:

1. Configure uma senha forte e única:

Aonde? No seu perfil selecione: Configurações > Segurança > Senha

2. Ative autenticação em dois passos:

Aonde? No seu perfi selecione: Configurações > Segurança > Autenticação em dois fatores

Opções: 😐 SMS ou 😀 Aplicativo de App

3. Revise aonde você esteve conectado e revogue as sessões:

Aonde? No seu perfil selecione: Configurações > Segurança > Atividade de Login. Para desconetar clique nos 3 pontos.

4. Remova contatos e desabilite a sincronia de contatos:

Aonde? No seu perfil selecione: Configurações > Conta > Sincronização de contatos

5. Configure a sua conta para ficar privada:

Aonde? No seu perfil selecione: Configurações > Privacidade > Privacidade da conta

As seguintes configurações não estão disponíveis no App. Faça login em instagram.com no seu computador ou no navegador do seu telefone.

6. Revogue aplicações não autorizadas que estão vinculadas na sua conta

Aonde? Clique no ícone do seu perfil no canto superior direito: Editar Perfil > Aplicativos e sites.

7. Desabilitar sugestões de contas

Aonde? Clique no canto superior direito: Editar Perfil > Sugestão de contas similares

Twitter

1. Configure uma senha forte e única:

Aonde? Mais > Configurações e privacidade > Conta > Senha

2. Habilite dois fatores de autenticação

Aonde? Mais > Segurança e privacidade > Conta > Segurança > Autenticação em duas etapas > Verificar solicitações de acesso

3. Revise aonde você está conectado/a e revogue as sessões

Aonde? Mais > Configurações e privacidade > Conta > Aplicativos e sessões

4. Revogue aplicações não autorizadas que estejam conectadas na sua conta

Aonde? Mais > Configurações e privacidade > Conta > Aplicativos e sessões

5. Ative a proteção contra a mudança de senha

Aonde? Mais > Configurações e privacidade > Conta > Segurança > Proteção de senha adicional

6. Edite quem pode descobrir o seu perfil pelo seu email ou número de telefone

Aonde? Mais > Configurações e privacidade > Privacidade e segurança > Visibilidade e contatos

7. Desabilite a informação de localização nos Tweets

Aonde? Mais > Configurações e privacidade > Privacidade e segurança > Informação de localização

8. Desabilite a marcação de fotos

Aonde? Mais > Configurações e privacidade > Privacidade e segurança > Marcação de fotos

Fonte: Social Media Security & Privacy Checklists Tradução: Ju Rosa

Doxxing

Se você não tomou nenhuma das medidas anteriormente, é possível adotar agora uma política de redução de danos.

1. Torne as suas redes sociais privadas afim de reduzir os ataques online. Se possível, mude a sua imagem de perfil caso ela esteja sendo utilizada. Siga todos os passos da Seção de prevenção, em especial o passo 8.
2. Se o seu/sua atacante também divulgou o seu número de celular e WhatsApp, não apague as mensagens recebidas, elas poderão ser usadas posteriormente num possível processo judicial, se você desejar ir por esse caminho.
3. Também é possível que um/a atacante tente se passar por alguém conhecido/a através de perfis falsos. Nesse período tome cuidado com novas soliticações de amizades e mensagens de números de celulares desconhecidos. Se está em dúvida, marque uma conversa por voz usando o Jitsi. Lembre-se de não fornecer informações sensíveis.
4. Procure apoio e solidariedade do seu grupo de afinidade por meios seguros e privados. Crie um grupo no Signal somente com as pessoas de confiança e avise o que está acontecendo. Se não é apenas você que está sofrendo esse doxxing, mas sim, todos os membros da sua organização, faça uma video chamada por um meio seguro, por exemplo, o Jitsi e organize uma estratégia coletiva como usar um mesmo documento online para reportar os ataques.
5. Se você não possui um/a advogado/a, solicite apoio a seu grupo de afinidade. Converse com um/a advogado/a por um meio seguro -- Signal -- e inicie um processo jurídico de documentação dos ataques.
6. Peça aos seus familiares e amigos para verificarem se não há informações pessoais suas que eles ainda estejam compartilhando em suas redes sociais. Você também poderá encontrar essas informações realizando o passo 1 em Prevenção.
7. Dependendo da situação se você acredita que a sua integridade física está sob risco, por exemplo, com a publicação do seu endereço residencial, você pode pedir hospedagem solidária para algum/a amigo/a ou familiar. É importante não ficar fisicamente sozinho/a e manter contato regular com alguma pessoa próxima por meio seguro.
8. No trabalho converse com seus/suas colegas mais próximos/as sobre o que está acontecendo. Não deixe que as pessoas saibam através da fofoca.
9. Siga e use as dicas do autodefesa digital para diminuir o seu rastro: use Signal ao invés de WhatsApp, use o Navegador Tor para navegar na internet e tenha senhas longas e exclusivas para cada serviço online, utilize um gerenciador de senhas.
10. Uma das consequências do doxxing é a desestabilização emocional que isso provoca. Neste período, após seguir as medidas de segurança básicas, procure ajuda profissional para conversar e se sentir num espaço seguro.
11. Após o período crítico passar, avalie se retomar o uso das suas redes sociais online é seguro ou se é necessário criar novas identidades online com pseudônimos.

Referências

Há muitos outros guias online que podem ajudar a prevenir ou lutar contra o doxxing.

• Access Now - self-doxing
• EqualityLabs - Anti-doxing guide for activists facing attacks from the alt-right
• Eva Galperin - O que fazer se você for exposta
• Gender and Tech Resources