Caricamento player
In teoria, quasi tutti sanno che i dati personali – data di nascita, indirizzo di residenza, numero di telefono e così via – dovrebbero restare privati. Ci sono tanti modi in cui una persona malintenzionata potrebbe sfruttarli, dagli scherzi sgradevoli allo stalking, al furto d’identità o ai tentativi di estorsione. Molto spesso, però, ci si dimentica di applicare questa consapevolezza ai contenuti pubblicati sui social network: capita spesso di vedere persone pubblicare foto della loro auto in cui si legge bene la targa, oppure mettere in vendita un mobile su Facebook Marketplace pubblicando fin da subito informazioni sulla via in cui abitano. È ancora più frequente pubblicare una foto con gli amici o i parenti quando si festeggia il compleanno di qualcuno.
Il fatto che buona parte delle persone sia sui social network da più di un decennio, ovvero da molto prima che la privacy diventasse una preoccupazione più comune tra gli utenti, rende poi più difficile proteggere i propri dati. Anche le persone che pensano di avere dei profili del tutto anonimi e impossibili da ricondurre a un’identità nella vita reale potrebbero sottovalutare l’estensione del problema. Ce ne si accorge particolarmente bene guardando i video pubblicati su TikTok da @notkahnjunior, un account da 1,2 milioni di follower che dal 2022 si diverte a fare “doxxing consensuale”.
Normalmente, con “doxxing” si intende la pubblicazione intenzionale delle informazioni private di un individuo su internet con l’intento di umiliarlo, minacciarlo, intimidirlo o punirlo. Quello che fa @notkahnjunior, che si chiama Kristen Sotakoun, è diverso: le persone le scrivono per sfidarla a scoprire il giorno e l’anno in cui sono nati, partendo esclusivamente dalle informazioni che si possono trovare sul loro profilo TikTok. Lei poi usa Google, Instagram, Twitter e Facebook per riuscirci. Il punto è quello di utilizzare soltanto informazioni che potrebbe trovare chiunque con un po’ di inventiva, escludendo però eventuali registri anagrafici accessibili online o le funzionalità di “ricerca inversa” dei motori di ricerca, che permettono di trovare qualcuno online a partire da una sua foto.
Sotakoun ha cominciato a farlo per caso. «Ho visto un trend di TikTok in cui le persone mostravano foto o video di sé in risposta alla domanda “Dimmi che non dimostri gli anni che hai senza dirmi che non dimostri gli anni che hai”», ha raccontato. «E molti di loro chiaramente mentivano, per esempio c’era gente che diceva di avere 50 anni quando chiaramente ne aveva 25». A un certo punto un’utente ha detto di avere 21 anni benché ne dimostrasse qualcuno in più, e ha sfidato chiunque a indovinare quanti anni avesse veramente, se erano così sicuri che fosse più vecchia.
Sotakoun, che all’epoca aveva 30 follower su TikTok e faceva la cameriera in un locale di Chicago, rispose con un video in cui diceva di essere stata sul suo profilo Instagram, aver visto che un’amica l’aveva taggata in una foto di gruppo scattata a un evento di una confraternita universitaria, aver cercato un post che mostrasse l’età dell’amica in questione su Instagram e aver trovato una foto della sua patente, in cui nascondeva la data di compleanno ma non l’anno di nascita. L’amica aveva 30 anni, e le due frequentavano la stessa confraternita, quindi potevano avere soltanto un paio di anni di differenza al massimo: a partire da tutte queste informazioni, Sotakoun scommise che la donna aveva in realtà tra i 29 e i 31 anni.
Il video ottenne un’attenzione enorme: da allora, le persone non hanno mai smesso di sfidarla a scoprire il loro compleanno nei commenti. Lei solitamente accoglie un paio di sfide al giorno, e ci mette al massimo una mezz’ora a trovare la risposta, ma spesso una decina di minuti. Negli ultimi due anni i suoi video a tema “doxxing consensuale” sono diventati talmente popolari da permetterle di mantenersi economicamente con la sola creazione di contenuti e con qualche collaborazione con brand e aziende tech che si occupano di privacy.
I processi che segue sono effettivamente molto affascinanti da guardare. Una volta, per esempio, ha trovato la data di nascita di una persona che non aveva mai pubblicato un video e che aveva usato come foto profilo una versione di sé stessa con un filtro che la faceva assomigliare a un cartone animato. Ci è riuscita individuando un suo familiare tra le persone che seguiva su TikTok, cercandolo su Facebook e guardando tra i suoi parenti se qualcuno di loro aveva occhiali simili a quelli nella foto profilo. Poi ha confermato che fosse lei scavando tra i commenti che aveva lasciato in giro per TikTok – che si possono facilmente trovare con una ricerca su Google – e trovandone alcuni in cui diceva di fare l’ingegnera e di vivere in Florida. La sua data di nascita era sul profilo Facebook.
Ci sono decine di casi del genere: in quasi tutti, Sotakoun si appoggia sui profili di amici o parenti che hanno un approccio alla privacy meno attento. «Un sacco di gente mi lascia commenti in cui dice che non c’è modo di trovarli perché non hanno nessuna informazione su di sé o sul loro nome su TikTok. Ma quello che dimostro nei miei video è che sono i familiari a rendere vulnerabile l’anonimato di qualcuno più di qualsiasi altra cosa», spiega. «Potresti stare attento a qualsiasi aspetto della tua vita, ma niente fermerà la tua prozia dal pubblicare sul tuo profilo Facebook un post in cui dice di essere così orgogliosa di te per la tua laurea, o tua madre dal dire “buon compleanno, non ci credo che oggi ne fai 25”».
La maggior parte delle volte sceglie sfide che le sembrano particolarmente complesse o stimolanti: persone che non usano lo stesso nickname da nessun’altra parte, oppure che hanno il profilo inaccessibile agli utenti che non li seguono su TikTok, o ancora che non usano né il nome né il cognome reale nel loro nickname. Dice di riuscire a trovare il compleanno delle persone che la sfidano circa l’80 per cento delle volte: «se hanno un profilo privato, non hanno un’immagine profilo, il loro nome utente è composto da sole lettere e numeri a casaccio, è un vicolo cieco per chiunque, a meno che tu non voglia hackerare il loro account».
Sotakoun non ha nessun tipo di formazione di sicurezza informatica, anche se utilizza molti strumenti che appartengono alla cosiddetta Open Source Intelligence (OSINT), la disciplina dell’intelligence che si occupa della ricerca, raccolta e analisi di dati e di notizie d’interesse pubblico tratte da fonti aperte e pubbliche. Quando le chiedono perché lo fa risponde semplicemente che le piace risolvere i rompicapi, e che le sue amiche l’hanno sempre descritta come «l’FBI del gruppo» perché era capace di scoprire informazioni preziose sugli uomini conosciuti su Tinder prima che loro ci uscissero.
– Leggi anche: Il successo e i problemi dell’“OSINT”
Alcuni l’hanno accusata di insegnare a migliaia di persone come doxxare facilmente gli altri: Sotakoun ritiene piuttosto di fare il contrario, mostrando a tutti che avere una presenza sui social network vuol dire esporsi a intrusioni anche inaspettate alla propria privacy. Negli ultimi due anni, peraltro, diversi esperti di sicurezza informatica l’hanno ringraziata per il lavoro di divulgazione che fa, anche senza volerlo, con i suoi video, mostrando quanto possa essere facile per chiunque abbia un po’ di tempo e concentrazione trovare informazioni private online.
In molti video, Sotakoun ha anche collaborato con DeleteMe, un’azienda che rende più semplice eliminare le informazioni su di sé dai motori di ricerca. «Ci sono anche persone che mi scrivono per offrirmi lavori a contratto, per esempio produttori di programmi televisivi che mi hanno chiesto se potevo cercare le informazioni di contatto delle persone che vorrebbero intervistare. E ci sono anche persone che mi hanno detto “Ehi, ti darò 100 dollari se mi aiuti a trovare il mio ex marito per convincerlo a pagare le spese di mantenimento dei figli”», racconta. «Di solito rispondo loro dicendo che stanno sopravvalutando le mie capacità. Sono solo la tizia dei compleanni su TikTok».
– Leggi anche: Il problema dei tiktoker che riprendono i passanti senza il loro consenso