Doxxing คือ?
Doxxing (หรือ Doxing) คือการเปิดเผยข้อมูลส่วนบุคคลบนอินเทอร์เน็ตที่ไม่ได้รับอนุญาตจาก “เจ้าของข้อมูลฯ” ซึ่งในบทความนี้ผู้เขียนจะเรียก “เจ้าของข้อมูลฯ” ที่ถูกทำการ Doxxing (Doxxed) ว่า “เหยื่อ”
คำว่า Doxxing มาจากคำสแลงว่า “Dropping Dox” ซึ่ง “Dox” แปลงมาจาก “Docs” เป็นคำย่อของ Documents อีกที โดยคำนี้พบเห็นจากกลุ่ม Hacker นิรนามยุค 90 เป็นครั้งแรก
จาก “ข้อมูลส่วนบุคคลบนอินเตอร์เน็ต” นำไปใช้เป็นอาวุธเพื่อทำร้ายบุคคล ?
กล่าวได้ว่าในปัจจุบันมีข้อมูลส่วนบุคคลอยู่บนอินเทอร์เน็ตอย่างมหาศาล บ่อยครั้งที่ถูกนำไปใช้เป็นเครื่องมือจากผู้ไม่ประสงค์ดี หมายความว่าใครก็ตามที่มีเวลา มีแรงจูงใจ และความสนใจก็สามารถเปลี่ยนข้อมูลนั้นไปใช้ในการ Doxxing ได้ โดยเจตนาปกติของการ Doxxing นั้นมักจะใช้เพื่อจะลงโทษ ข่มขู่ หรือทำให้เหยื่อผู้นั้นเสื่อมเสียเกียรติ
แรงจูงใจในการ Doxxing นั้นอาจจะต่างกันออกไป บ้างก็รู้สึกว่าพวกเขาถูกคุกคาม หรือความคิดคิดเห็นไม่ตรงกันบางอย่างจนอาจเป็นผลให้พวกเขาต้องการแก้แค้นหรืออะไรบางอย่าง จนนำไปสู่การกลั่นแกล้ง คุกคาม และทำความเสียหายประการอื่นต่อเหยื่อ ซึ่งความเสียหายนั้นอาจจะบานปลายจากแค่บนอินเทอร์เน็ตไปสู่ชีวิตจริงได้
โดยการเปิดเผยข้อมูลส่วนบุคคลนั้นครอบคลุมถึง:
- ที่อยู่บ้าน
- รายละเอียดที่ทำงาน
- เบอร์โทรศัพท์ส่วนตัว
- หมายเลขบัตรประชาชน
- ข้อมูลบัญชีธนาคารหรือบัตรเครดิต
- ประวัติการแชท
- รูปภาพส่วนตัว
- ประวัติส่วนตัวอื่น ๆ
โดยวิธีการ Doxxing นั้นมีมากมายหลายวิธี เพื่อให้เห็นภาพผู้เขียนขอยกตัวอย่าง เช่น
การสะกดรอยชื่อผู้ใช้งาน
หลายคนใช้ชื่อผู้ใช้งานเดียวกันในการบริการบนอินเตอร์เน็ตหลากหลายประเภท ทำให้ผู้ไม่ประสงค์ดีนั้นรวบรวมข้อมูลว่าเหยื่อสนใจอะไรบ้าง หรือลักษณะการใช้อินเตอร์เน็ตของเหยื่อนั้นเป็นอย่างไร
การสืบค้นชื่อเจ้าของโดเมนผ่านบริการ WHOIS
ใครก็ตามที่เป็นเจ้าของชื่อโดเมนมักจะมีข้อมูลเขาบันทึกไว้ สมมุติว่าบุคคลที่ซื้อชื่อโดเมนไม่ได้ปิดบังข้อมูลส่วนตัวตอนที่ลงทะเบียนไว้ที่ซื้อ ก็อาจจะพบข้อมูลระบุตัวตนส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และที่อยู่อีเมล จากบริการ WHOIS
การแอบตามบนโซเชียลมีเดีย
ถ้าโซเชียลมีเดียของบุคคลนั้นลงข้อมูลที่จริง แล้วเปิดเป็นสาธารณะ ใคร ๆ ก็สามารถค้นพบข้อมูลเกี่ยวกับคุณได้ จนสามารถสืบหาตำแหน่งที่ตั้ง ที่ทำงาน เพื่อน รูปภาพ ความชอบและความไม่ชอบของคุณ สถานที่ที่คุณเคยไป ชื่อสมาชิกครอบครัวคุณ ชื่อสัตว์เลี้ยงคุณ และอื่น ๆ ด้วยการใช้ข้อมูลเหล่านี้อาจจะทำให้ผู้ไม่ประสงค์ดีนั้นคาดเดาคำตอบของคำถามรักษาความปลอดภัยคุณได้จนยึดบัญชีผู้ใช้งานนั้นได้ในที่สุด
ฟิชชิง (Phishing)
ถ้าบุคคลใช้บัญชีอีเมลที่ไม่ปลอดภัยหรือตกเป็นเหยื่อของกลโกงฟิชชิง ก็อาจจะได้ข้อมูลสำคัญของบุคคลนั้นได้เช่นกัน
การดักจับข้อมูลในเครือข่าย (Packet Sniffing)
การดักจับข้อมูลในเครือข่ายบางครั้งอาจจะถูกใช้เกี่ยวข้องกับการ Doxxing โดยที่ผู้ไม่ประสงค์ดีนั้นดักจับข้อมูลอินเทอร์เน็ตของคุณเพื่อมองหาความลับทุกอย่างของบุคคลนั้น เช่น รหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลบัญชีธนาคารไปจนถึงข้อมูลสำคัญอื่น ๆ
ทีนี้ก็จะเห็นตัวอย่างในการรวบรวมและการได้มาซึ่งข้อมูลเพื่อการ Doxxing แล้ว ซึ่งวิธีการจากตัวอย่างนี้ก็เป็นเพียงแค่วิธีการที่ใช้ที่ใช้ในการ Doxxing คร่าว ๆ เท่านั้น แม้ว่าข้อมูลฯ นั้นจะหาไม่ได้บนอินเทอร์ก็อาจจะมีอีกหลากหลายวิธีการที่ผู้ไม่ประสงค์ดีสามารถรวบรวมข้อมูลฯ เหล่านั้นได้
ซึ่งสถานการณ์หรือการ Doxxing นั้น มักจะอยู่ภายในสามประเภทนี้:
- การปล่อยข้อมูลส่วนบุคคลเพื่อใช้ระบุตัวตนของเหยื่อ
- การเปิดเผยข้อมูลที่น่าอับอายหรือเป็นความลับที่น่าอับอายของเหยื่อ
- การปล่อยข้อมูลส่วนบุคคลที่สามารถทำความเสียหายต่อชื่อเสียงทั้งของบุคคลนั้นและของผู้เกี่ยวข้องในชีวิตส่วนตัวหรืออาชีพการงาน
ในอีกรูปแบบก็มีผู้ไม่ประสงค์ดีหรือผู้ที่ทำผิดกฎหมายบนอินเทอร์เน็ตเองก็กลัวผู้อื่นจะล่วงรู้ข้อมูลของพวกเขาเช่นกัน ยกตัวอย่างการประกาศเงินรางวัล (Bug Bounty) ของกลุ่มผู้ไม่ประสงค์ดี โดยเขาประกาศจะจ่ายให้เป็นจำนวน 1,000,000 USD เลยทีเดียว หากล่วงรู้ข้อมูลจนสามารถติดตามตัวตนที่แท้จริงของพวกเขาได้
อีกเรื่องราวเป็นสารคดีที่มีชื่อว่า “Cyber hell: Exposing an Internet Horror” ซึ่งเป็นเรื่องราวเกี่ยวกับภัยคุกคามบนอินเทอร์เน็ตที่ผู้ไม่ประสงค์ดีใช้การ Doxxing นี้ร่วมด้วย โดยนำข้อมูลของเหยื่อไปใชข่มขู่เหยื่อ รวมถึงการกลั่นแกล้งเหยื่อ จนก่อให้เกิดความอันตรายในชีวิตจริงของเหยื่อในที่สุด
แล้ว Doxxing ผิดกฎหมายหรือไม่?
Doxxing ในตัวมันเองนั้นไม่ผิดกฎหมาย เพราะไม่มีกฎหมายควบคุมการ Doxxing โดยตรง แต่อาจจะถูกฟ้องด้วยข้อหาอื่น ๆ อย่างเช่น การคุกคาม โจรกรรมข้อมูลส่วนตัว หรือการยั่วยุให้เกิดความรุนแรง ขึ้นอยู่กับรายละเอียดของคดีนั้น ๆ ตามกฎหมายในแต่ละประเทศนั้นอีกที
เมื่อไม่นานมานี้ รัฐบาลทั่วโลกได้เริ่มออกหรือเสนอกฎหมายต่อต้าน Doxxing ในรัฐเคนทักกีของสหรัฐอเมริกาและฮ่องกงก็มีการออกกฎหมายต่อต้าน Doxxing ในปี 2021
ส่งท้าย
ถ้าเราอยากตรวจสอบข้อมูลของเราเองที่อยู่บนอินเทอร์เน็ตในเบื้องต้นนั้น เราจะสามารถหาอย่างไรได้บ้าง ? ในบทความนี้ผู้เขียนขอแนะนำเครื่องมือ OSINT (Open Source Intelligence) ซึ่งเป็นเครื่องมือที่ทางผู้ให้บริการ OSINT เองนั้นได้รวบรวมข้อมูลต่าง ๆ บนอินเทอร์ที่เปิดเป็นสาธารณะแล้วเปิดให้เราสามารถไปใช้หาข้อมูลได้ และก็มีผู้ที่รวบรวมแหล่งผู้ให้บริการ OSINT นั้นมาอยู่ในเว็บไซต์เดียวเพื่อให้ผู้ใช้ได้ค้นหากันได้ง่ายขึ้น ยกตัวอย่างเช่น
เว็บไซต์ https://osintframework.com/ (OSINT Framework) ที่เราสามารถค้นหาบัญชีผู้ใช้งาน อีเมล โซเชียลมีเดีย จากแหล่งต่าง ๆ ได้อีกมากมาย
เพียงเท่านั้นเราก็สามารถทำการ Doxxing ได้แล้ว และย้ำอีกครั้งว่าวิธีการจากตัวอย่างนี้เป็นวิธีการที่ใช้กันคร่าว ๆ เท่านั้น
จุดประสงค์ของบทความนี้เพื่อให้ผู้อ่านได้ตระหนักถึงภัยคุกคามในอีกรูปแบบบนอินเตอร์เน็ตหรือโลกไซเบอร์เท่านั้น จะเห็นว่าการ Doxxing นี้ไม่จำเป็นต้องใช้ทักษะทางเทคนิคขั้นสูงแต่อย่างใด ในอีกทางนั้นถ้าเรานำไปใช้ในจุดประสงค์ที่ดีมันก็จะช่วยให้เราเองทราบข้อมูลที่เราควรปกป้องหรือป้องกันก่อนที่ผู้ไม่ประสงค์ดีทั้งหลายนำข้อมูลนั้นไปใช้ได้
และถ้าหากใครอยากอ่านบทความที่เกี่ยวข้อมูลส่วนบุคคล และแนวทางการปกป้องข้อมูลส่วนบุคคล ผู้เขียนก็มีบทความแนะนำโดยสามารถอ่านเพิ่มเติมได้ที่
- ผลกระทบจากปัญญาประดิษฐ์ต่อ Cybersecurity and Privacy
- แนวทางในการป้องกันตนเองจากเหตุการณ์ข้อมูลรั่วไหล
- Data Breach
- อำนาจที่ใช้ในการเก็บข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล มีสิทธิอย่างไร
- ข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวคืออะไรและเกี่ยวข้องกับใครบ้าง
- ทำไมข้อมูลสารสนเทศจึงสำคัญและมีความต้องการมากขึ้น
อ้างอิง
- https://www.kaspersky.com/resource-center/definitions/what-is-doxing
- https://en.wikipedia.org/wiki/Doxing
- https://www.uscybersecurity.net/doxing/
- https://datafarm-cybersecurity.medium.com/%E0%B8%AA%E0%B8%B2%E0%B8%A3%E0%B8%9A%E0%B8%B1%E0%B8%8D%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1-datafarm-awesome-update-11-october-2023-2e6763b4a047#_Personal_Data_Protection_1
- https://www.netflix.com/title/81354041 (Cyber hell: Exposing an Internet Horror)
