Doxxing Nedir, Nasıl Korunursunuz?

1. Doxxing nedir, ne anlama gelir?

“Doxxing” (ayrıca doxing) terimi, bir kişi hakkındaki özel bilgilerin internette yayınlanması anlamına gelir. İngilizce olan bu fiil esasen “documents” kelimesinden türetilmiştir.^[1] Bu saldırıyı gerçekleştirenlere ise “Doxxer” denir. Bir kişinin gerçek adının, adresinin, mesleğinin veya diğer kişisel verilerinin rızası olmadan yayınlandığı bir çevrimiçi taciz şeklidir. Bu terim aynı zamanda anonim bir kullanıcı adının arkasındaki gerçek kişinin kimliğinin ortaya çıkarılması ve çeşitli motivasyonlarla internette ifşa edilmesi anlamına da gelebilir.

Burada kilit nokta, kişisel verilerin elde edim, yayım ve dağıtımında kişinin rızasının hiçbir şekilde bulunmamasıdır.

2. Doxxing saldırısı nasıl gerçekleşir?

Saldırganlar böyle bir saldırıyı, hedeflenen kişi veya kişi grubu hakkında internete dağılmış bilgi kırıntılarını bir araya getirerek ve eşleştirerek gerçekleştirir. Kamuya açık ve erişilebilir olan bilgilerin toplanıp analiz edilmesinin yanı sıra veri ihlalleri sonucu yasadışı biçimde elde edilmiş olan veritabanlarının taranması şeklinde de bu saldırının gerçekleştirilmesi mümkün olabilir.

Bu bilgi kırıntıları isim ve soyismin herhangi arama motorunda araştırılması ile ortaya çıkabileceği gibi aşağıdaki yöntemlerle de elde edilebilir:

• Kullanıcı adları
  • Birçok kişi çeşitli platformlarda aynı kullanıcı adını kullanır. Bu durum otomatize edilmiş OSINT araçları ile hedef kişinin diğer platformdaki hesaplarının tespit edilmesini kolaylaştırmaktadır.
• WHOIS alan adı araması
  • Bir alan adının sahibi eğer satın alım sırasında bilgilerini gizlemediyse, basit bir WHOIS sorgusu ile alan adı sahibinin isim, soyisim, cep telefonu numarası, açık adres gibi bilgileri sorguyu yapan kişi tarafından elde edilebilir.
• Oltalama (Phishing) e-postaları
  • Bilinen kurum ve kuruluşlar tarafından gönderilmiş gibi görünen bu e-postalar her ne kadar hedef ayırt etmeksizin rastgele gönderilebilse de, bir doxxing saldırısı gerçekleştirmek için hedefe yönelik biçimde de tasarlanıp özelleştirilebilir.
• Kimlik hırsızlığı
  • Saldırganlar iş yerinizden veya okul arkadaşlarınızdan birisiymiş gibi davranarak sizinle iletişim kurabilir ve hakkınızda bilgi toplayabilir.

3. Doxxing saldırısının motivasyonları nelerdir?

Doxxing, mağduru küçük düşürmek, siber zorbalık yapmak, taciz etmek veya başka bir şekilde zarar vermek amacıyla yapılabilir. Misilleme ve intikam güdüsü veya ideolojik fikir ayrılıklarından doğan motivasyonlar da bulunabilir. Kimi zaman hedeflenen kişinin adalete teslim edilmesi veya “hak ettiğini bulması” gibi amaç ve saikler de gözlemlenmektedir.

4. Kimler bir doxxing saldırısının hedefi olabilir?

Açıkçası herkes doxxing’in bir hedefi olabilir ancak başlıca potansiyel doxxing mağdurlarını şu şekilde sıralayabiliriz:

• Sosyal medya kullanıcıları ile çevrimiçi topluluk üyeleri
  • Bu tarz platformlarda fikir alışverişinde bulunan kişilerin çevrimiçi düşmanlıklar ve kişisel anlaşmazlıkların bir tarafı olması oldukça olasıdır.
• Siyasetçiler, aktivistler, gazeteciler, ünlüler, topluma mâl olmuşlar
  • Bu kişiler hem daha ön planda olduklarından hem de faaliyetleri veya görüşleri bazı kişi veya gruplarla çatışabileceğinden olası bir doxxing saldırısnın hedefi hâline gelebilirler.
• İş insanları ile şirket yöneticileri
  • Şirketler, ticari rekabetin bir parçası olduklarından bu şirketlerle ilişkilendirilen yöneticiler ve çalışanlar da hedef olabilirler.

5. Doxxing’in sonuçları ve doğan zararlar

Bir kişinin kişisel bilgileri ifşa edildiğinde, bu kişi hedef haline gelecektir.

Doxxing saldırıları; kişinin adına verilen çevrimiçi siparişler gibi nispeten daha zararsız sonuçlardan mağdurun aile fertlerinin ve işverenin taciz edilmesi, sokakta fiziksel olarak takip ve rahatsız edilmesi, kimlik hırsızlığı, tehdit, hatta sahte ihbarlar ile ikametlerinin polis tarafından baskına uğraması, cinsel istismar gibi oldukça çeşitli ve bir o kadar da zararlı neticeler doğurabilir.

Doxxing saldırısı sonucu mağdurlar hem çevrimdışı hem de çevrimiçi ortamlardan uzaklaşmaya başlayabilir. İfşaatin içeriği ve mağdurda yarattığı etkiye göre değişen şiddetlerde PTSD (travma sonrası stres bozukluğu) görülebileceği gibi; mağdurun profesyonel ve akademik çevresinde değişiklik yapma eğilimi, sosyal ortamlardan uzaklaşma ve sosyal medya hesaplarının kapatılması gibi davranışlar izlenebilir. Hatta dahası, mağdurun hayatını sonlandırması gibi vahim bir netice bile meydana gelebilir.

6. Doxxing saldırısının mağduru olarak yapabilecekleriniz ve saldırının hukukî yönü 

Öncelikle saldırıya dair delilleri kaydetmek ve verilerinizi barındıran dijital platformu saldırı hakkında bilgilendirmek atlanılmaması gereken bir adımdır. Zira başta Instagram^[2], X^[3], Facebook^[4] vb. sosyal medya devleri olmak üzere birçok dijital platformun hizmet şartları, doxxingi yasaklamaktadır. Ek olarak arama motorları da istenmeyen içeriklerin arama sonuçlarından çıkarılmasına olanak tanıyabilmektedir.

Ayrıca Doxxing saldırısı; somut olayın unsurlarına bağlı olarak Türk mevzuatına göre hem cezaî hem de hukukî yaptırımlara tabi olabilir.

Bu doğrultuda cezaî açıdan Türk Ceza Kanunu m. 134, Özel hayatın gizliliğini ihlâl suçu;   m. 135, Kişisel verilerin kaydedilmesi suçu; m. 136, (Kişisel) verileri hukuka aykırı olarak verme veya ele geçirme suçu^[5] gündeme gelebileceği gibi hukukî açıdan ise maddî ve manevî tazminat taleplerinin söz konusu olabileceği belirtilmelidir. Son olarak bir doxxing saldırısı, Kişisel Verilerin Korunması Kanunu’na^[6] göre de hukuka aykırıdır.

Dolayısıyla eğer siz de bir doxxing saldırısının hedefi ve mağduruysanız, hem Cumhuriyet Başsavcılıklarına suç duyurusunda bulunmak hem de hukukî menfaatlerinizi korumak adına yasal danışmanlık almanız gerektiğini hatırlatırız.

Böylelikle hem yaşanan olayın etkisini sınırlandırmak, hem aktif saldırının durmasını sağlamak hem de saldırganın başka kurbanları hedef almasını güçleştirmek mümkün olabilecektir.

7. Doxxing’e karşı alınabilecek kişisel gizlilik ve güvenlik önlemleri

• Güçlü şifreler kullanın
  • Uzun ve karmaşık şifreler kullanmayı ihmâl etmeyin. Kolaylıkla tahmin edilebilir şifreler kullanmaktan veya her platformda aynı şifreyi kullanmaktan kesinlikle kaçının.
• Çift faktörlü kimlik doğrulama (2FA) kullanın
  • Hesaplarınıza erişim için yalnızca şifre kullanmak yerine, buna ek güvenlik önlemlerini aktif hâle getirin. Böylelikle ek bir güvenlik katmanı oluşturmuş ve dijital güvenliğinizi güçlendirmiş olacaksınız.
• Paylaştığınız kişisel bilgilerinizi sınırlandırın
  • Başta sosyal medya platformları olmak üzere internet ortamında kişisel bilgilerinizi paylaşırken dikkatli olun. Özellikle adres, telefon numarası, kimlik bilgileri gibi hassas unsurları gizli tutun.
• Çevrimiçi platformlardaki gizlilik ayarlarını gözden geçirin
  • Kişisel bilgilerinize yalnızca sınırlı ve sizin kontrolünüzde olan bir çevre tarafından erişilebildiğinden emin olun. Arama motorlarının endekslemesinin önüne geçmeye çalışın, mümkünse profillerinizin “herkese açık” biçimde olmamasına çaba gösterin.
• Şüpheli içeriklere dikkat edin
  • Kaynağını bilmediğiniz e-posta ve bağlantılara tıklamaktan imtina edin. İçeriğini şüpheli bulduğunuz e-posta ve mesajları öncelikle teyit etmeyi unutmayın.

8. Sonuç

Değişen ve gelişen internet ortamı birçok fırsat sunduğu gibi bir o kadar tehlikeyi de beraberinde getiriyor. Doxxing, bu tehlikelerden yalnızca biri.

Kişisel verilerimizi tüzel kişiliklerle paylaşırken, sosyal medya platformlarında varlık gösterirken ve her durumda çevrimiçi ayak izi bırakırken tehlikelerin farkında, sahip olduğumuz haklar konusunda ise bilinçli olmalıyız.

Verini Koru Ekibi olarak farkındalık oluşturmak adına sürekli çalışıyoruz.

Öğrenin, farkında olun, koruyun!
Mahremiyet her şeydir!

Bu yazı Verini Koru gönüllüsü Mert Kaptan tarafından hazırlanarak, 03.10.2023 tarihinde sitemizde yayınlanmıştır.

Kaynaklar:

[1] Garber, M. (2014, 6 Mart). Doxing: An Etymology. The Atlantic. 30 Eylül 2023 tarihinde https://www.theatlantic.com/technology/archive/2014/03/doxing-an-etymology/284283/ adresinden erişildi.

 [2] Exposed Private Information | Instagram Help Center. (n.d.). Facebook. 30 Eylül 2023 tarihinde https://www.facebook.com/help/instagram/122717417885747 adresinden erişildi.

[3] X’s private information policy and doxxing | X Help. (n.d.). Twitter Help Center. 30 Eylül 2023 tarihinde https://help.twitter.com/en/rules-and-policies/personal-information adresinden erişildi.

[4] Privacy Violations | Transparency Center. (n.d.). Transparency Center. 30 Eylül 2023 tarihinde https://transparency.fb.com/en-gb/policies/community-standards/privacy-violations-image-privacy-rights/ adresinden erişildi.

[5] 5237 sayılı TÜRK CEZA KANUNU. (2004, 26 Eylül). Mevzuat. 30 Eylül 2023 tarihinde https://www.mevzuat.gov.tr/mevzuatmetin/1.5.5237.pdf adresinden erişildi.

[6] 6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU. (2016, 24 Mart). Mevzuat. 30 Eylül 2023 tarihinde https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf adresinden erişildi.