Доксинг: как личные данные попадают в открытый доступ и чем это опасно

От бытовых конфликтов до утечек миллионов записей: разбираем, как персональные данные становятся инструментом давления и обмана

доксинг

За 2025 год объемы утечки данных россиян дошли до 767 млн строк, что почти на 68% больше, чем годом раньше. Мошенники изобретательно используют личную информацию граждан — есть примеры и подросткового вымогательства, и шантажа через «пробив» в мессенджерах. В этих случаях речь идет о доксинге. В статье объяснили, что это такое, рассказали о видах доксинга и узнали у экспертов, как от него защититься.

Доксинг: что это такое простыми словами

Доксинг — это целенаправленный сбор и публикация личной информации о человеке без его согласия и с задачей навредить. В открытый доступ выкладывают адрес, номер телефона, место работы, паспортные данные, переписки, фото. В результате человек лишается анонимности, а иногда и безопасности. Чаще всего данные публикуют ради мести, шантажа, травли или просто ради забавы. 

Термин «доксинг» появился в хакерской субкультуре начала 1990-х. Изначально он звучал как dropping docs ― «скинуть документы», затем сократился до доксинга. Хакеры-преступники того времени хотели нарушить чужую анонимность, открыть человека для травли или привлечь к нему внимание полиции: тогда даже раскрытие настоящего имени оппонента работало как мощное оружие в споре.

Со временем доксинг перерос внутренние разборки и трансформировался в попытки использовать личные данные для публичного осуждения любого человека. К началу 2000-х он окончательно оформился как инструмент унижения, мести и самосуда, а за последние десятилетия превратился в полноценную тактику онлайн-травли.

Жертвами доксинга становились и журналисты, политики, публичные личности, и обычные люди по всему миру. Например, в таких ситуациях:

The Fappening. Осенью 2014 года в сеть утекли интимные фото десятков знаменитостей, включая Ким Кардашьян. Причина — взлом аккаунтов iCloud. Хакеры использовали фишинг, выдавали себя за сотрудников техподдержки Apple и выманивали пароли у жертв. Позже ФБР арестовало нескольких фигурантов, но фотографии еще долго гуляли по интернету.

Ashley Madison. В июле 2015 года хакеры из группы Impact Team взломали сайт для тайных знакомств Ashley Madison, где общались больше 37 млн пользователей. Злоумышленники требовали закрыть аморальный сервис, а после игнора выложили в открытый доступ имена, адреса, телефоны и данные кредитных карт клиентов. И 15 000 почтовых адресов в доменах .mil и .gov, в том числе сотрудников Пентагона. Утечка привела к волне шантажа, разводам и нескольким самоубийствам.

Ситуация в России тоже не радужная. Так, в 2025 году было несколько инцидентов с участием тинейджеров. Например, в городе Выкса подростки собирали досье на сверстников, выкладывали на специализированной платформе и вымогали деньги. Ситуация дошла до того, что на нее пришлось реагировать лично главе Следственного комитета Александру Бастрыкину. А в Самарской области осенью 2025 года даже вышло официальное предупреждение от МВД о том, что в регионе зафиксирован рост угрозы доксинга, и гражданам советуют быть осторожнее.

Комментарий эксперта

Для доксинга не обязательно, чтобы информация была «секретной» в бытовом смысле. Даже данные, которые кто-то нашел в открытых источниках, могут стать незаконно использованными, если их целенаправленно собирают, систематизируют и публикуют для травли, шантажа или давления на человека.

В российской практике элементы доксинга нередко проявляются не только в прямых угрозах или публикации адресов и телефонов, но и в массовом распространении фотографий и информации из личных социальных сетей с целью публичной травли человека.

Один из наиболее известных примеров — ситуации с учителями, которых подвергали общественному давлению или даже увольняли после публикации личных фотографий в купальниках, на отдыхе или в частной обстановке.

Именно на фоне таких историй в России появился флешмоб #УчителяТожеЛюди, в рамках которого педагоги массово публиковали свои фотографии в поддержку права на частную жизнь вне работы.

С юридической точки зрения подобные случаи находятся на стыке права на неприкосновенность частной жизни, защиты персональных данных и трудовых отношений. Сам факт публикации человеком фотографии в личном аккаунте еще не означает, что третьи лица вправе использовать эти материалы для травли, распространения по пабликам или давления на работодателя.

В чем опасность разных видов доксинга

Доксинг не сводится к одной схеме: мотивы, методы сбора информации и цели отличаются в зависимости от вида. Понимание особенностей помогает выстроить защиту и закрыть именно ту уязвимость, по которой бьют или могут бить доксеры.

Исследователь в области компьютерной этики, голландский профессор Дэвид Дуглас в 2016 году в работе о киберугрозах выделил три вида доксинга в зависимости от конечной цели атакующего. Его схема классифицирует не только методы, но и логику действий доксеров.

Цель Риски Типичные последствия
Деанонимизирующий доксинг
Связать виртуальную личность с реальным человеком Потеря анонимности, онлайн- и офлайн-преследование Травля и угрозы в мессенджерах, сталкинг (преследование в реальной жизни)
Таргетирующий доксинг
Создать детальное досье для атаки Репутационные потери, шантаж, потеря работы, мошенничество Публикация личных фото / видео, вымогательство денег, развод на деньги
Делегитимизирующий доксинг
Очернить человека в глазах окружающих, разрушить репутацию Социальная изоляция, потеря доверия коллег и близких Исключение из сообщества, увольнение, разрыв отношений

А еще доксинг классифицируют как бытовой, коммерческий и политизированный ― разберем эти типы подробнее.

Бытовой доксинг ― массовый и импульсивный тип. Доксер здесь вооружен не хакерскими навыками, а эмоциями. Его арсенал — открытые страницы в соцсетях, активность в мессенджерах и утечки баз данных. Чаще всего такой доксинг проявляется как форма мести или кибербуллинга. Злоумышленник через интернет собирает ФИО, адрес, место работы или учебы, высказывания, которые можно повернуть против человека, фото — и публикует это, призывая к травле. В зоне риска участники конфликтов в соцсетях и онлайн-играх, бывшие супруги, соседи по лестничной клетке, коллеги.

Так, в Краснодаре помощь животным переросла в информационную войну. Зоозащитница Светлана полтора года назад проснулась «звездой» сайтов женщин с пониженной социальной ответственностью — кто-то выложил анкету с ее фото и номером телефона.

Фейковое объявление от лица реально существующей женщины-зооволонтера
Такая анкета появилась на сайте интимных услуг. Источник

Женщине звонили в любое время суток с запросами на интим-услуги. О Светлане распространяли слухи, что она дома устроила притон детской проституции. Ей пришлось объясняться перед следователями, доказывать свою невиновность, показывать квартиру. Дело возбуждать не стали за отсутствием доказательств и состава преступления, но доксеры распространили в сети фейки, что женщину все-таки осудили за «вовлечение детей в интим-индустрию».

Чуть позже подставные аккаунты опубликовали информацию о том, что Светлана умерла. О своей «смерти» женщина узнала от родственников.

Корпоративный доксинг. Настоящая охота на бизнес с целью не просто испортить настроение владельцу или напугать его, а нанести финансовый ущерб: украсть деньги, базу клиентов или интеллектуальную собственность. Для этого доксеры применяют методы взлома деловой почты (BEC-атаки), после чего выдают себя за коллег жертвы, чтобы выведать конфиденциальную информацию. Данные для таких манипуляций собираются из открытых профилей сотрудников на сайтах компаний и в профессиональных соцсетях.

Пример — масштабная утечка из Trello. В апреле 2021 года аналитики команды Infosecurity обнаружили в открытом доступе корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний. Генеральный директор Infosecurity отметил, что утечка стала «беспрецедентной по своему масштабу» и произошла «не вследствие хакерской атаки, а в результате невнимательности или небрежности бизнеса».

В то время (с 2022 года Trello ушел с рынка России) этот сервис для управления внутренними проектами использовали многие российские компании. На досках сотрудники размещали списки клиентов, сканы паспортов, договоры, документацию об участии в тендерах, учетные данные от корпоративных аккаунтов и пароли от разных сервисов. Весь этот массив данных оказался в публичном доступе.

Точной информации о том, какие потери понес российский бизнес, нет — можно только догадываться, что он исчислялся миллионами, в том числе за счет штрафов. Крупные штрафы грозят компаниям за утечку персональных данных по ч. 14 ст. 13.11 КоАП РФ — до 15 млн ₽.

Политизированный доксинг. Масштабный вид доксинга с серьезными последствиями. Здесь могут быть задействованы не только отдельные мошенники, но и целые структуры с доступом к большим массивам данных. В зоне риска публичные личности и те, кто вовлечен в политическую или общественную деятельность. Задача доксинга — уничтожить репутацию, деморализовать оппонента и вывести из игры.

Так, в августе 2025 года Telegram заблокировал хакерский канал Black Mirror, который публиковал переписки и личные файлы российских чиновников и бизнесменов.

Канал был забанен за доксинг и вымогательство
В официальном сообщении говорилось о блокировке за доксинг и вымогательство

Это яркая иллюстрация того, как доксинг превращается в инструмент войны компроматов. А нейросети делают политизированный доксинг еще опаснее, ведь с помощью искусственного интеллекта можно делать дипфейки высокого качества, монтировать видео, подделывать документы и даже видеозаписи. Установить истину становится сложно, а репутация может быть уничтожена за час.

Но понимание типа атаки — уже шаг к защите от доксинга. Против бытовой мести поможет смена настроек приватности в социальных сетях. Против корпоративного шпионажа нужны обучение сотрудников и аудит цифровой гигиены. А для защиты от политизированного доксинга — готовый юридический план на случай информационных ЧП и помощь специалистов в сфере информбезопасности.

Где доксеры берут информацию

Современному доксеру больше не нужно быть хакером. Информации в интернете настолько много, что на потенциальную жертву можно составить цифровой портрет, не прибегая к взломам аккаунтов и сервисов. К основным каналам, по которым данные утекают к доксерам, относятся корпоративные базы и открытые источники, например, социальные сети и мессенджеры. Но не только.

Утечки корпоративных баз. С 2022 года объем утекших данных в России заметно вырос. При этом государственные организации дали 73% всех утечек за январь-сентябрь 2025 года, сектор торговли — еще 19%. Причины в целом понятны, ведь чем больше данных хранит компания, тем выше соблазн для хакеров и тем сложнее обеспечить безопасность информации.

Конкретный пример — взлом базы лаборатории KDL летом 2023 года. Хакеры выложили файл, который содержал 128 000 записей об обращениях клиентов. В открытый доступ попали имена, телефоны, email-адреса, даты рождения и тексты обращений в поддержку с сентября 2021 по март 2023.

Боты в мессенджерах. Для публикации утекших баз есть два пути: открытые форумы и даркнет-площадки либо закрытая продажа операторам специализированных ботов в мессенджерах. Последний вариант оказался выгоднее, и сейчас черный рынок утечек практически исчез. А вот ботов «пробива» много. 

На практике «пробив» в таком нелегальном боте — это автоматический поиск по номеру телефона, email, никнейму, СНИЛС или IP-адресу. Достаточно ввести исходные данные, и бот выдает паспорт, адреса, долги, кредитную историю и родственников. Часть ботов работает по схеме freemium — базовый поиск бесплатно, развернутое досье за деньги. Другие работают только по платной подписке. С ботами-пробивщиками борются, в том числе и администрация мессенджеров, но вместо забаненных быстро появляются новые.

Социальная инженерия и фишинг. Доксеры не всегда ищут и покупают готовую базу или идут к ботам-пробивщикам, которым тоже надо платить. Часто проще заставить жертву раскрыть данные самостоятельно. Это называется социальной инженерией — психологическим «взломом» человека вместо взлома серверов или аккаунтов. 42% компаний подтверждают, что для их сотрудников фишинг и социальная инженерия стали основной угрозой. В ход идут поддельные письма от банков и госорганов, фальшивые сайты для ввода паролей и промокоды с приманкой в виде больших скидок или приятных призов. 

Схема может выглядеть так: жертва получает письмо о выигрыше, штрафе или важном обновлении, например, Госуслуг. Ссылка ведет на точную копию настоящего сайта. Человек вводит логин, пароль, телефон, а иногда и паспортные данные или СНИЛС, как в случае с Госуслугами — и передает их злоумышленникам. В особо продвинутых случаях атака включает еще и доставку вредоносного ПО, которое перехватывает все данные из браузера и мессенджеров.

WHOIS и регистраторы. Для владельцев сайтов есть отдельная брешь — открытый сервис WHOIS. Если доменное имя регистрируется на физическое лицо, то человек указывает при регистрации имя, физический адрес, телефон и email, которые становятся доступными всем желающим. Например, в 2025 году злоумышленники отслеживали домены с истекающим сроком регистрации, находили через WHOIS контакты администраторов и рассылали поддельные письма от имени регистраторов с требованием оплатить продление — платеж уходил прямо на счет мошенников. Это не доксинг, но тоже малоприятная ситуация. Да и использовать данные для буллинга владельца домена злоумышленникам ничто не мешает.  

Продажа баз данных инсайдерами. Большой объем данных утекает через сотрудников, у которых есть легальный доступ к базам. Цена вопроса — от нескольких сотен рублей за запись до миллионов за массивы.

В 2025 году в Уфе двоих сотрудников УФНС обвинили в получении взяток и разглашении налоговой тайны. Один из них с марта 2024 года по февраль 2025 сливал конфиденциальную информацию о финансах предпринимателей и компаний и получил за это минимум 7,7 млн ₽.

В бизнесе схема та же. В Перми бывшего директора по продажам банка заподозрили в продаже данных о клиентах, оставлявших лизинговые заявки. После утечки клиентам поступали навязчивые звонки от кредитных брокеров. В Краснодаре сотрудник телеком-компании несколько месяцев продавал посторонним людям персональные данные клиентов. Это обходилось «покупателям» всего от 300 до 500 ₽ за данные одного человека.

Открытые источники — соцсети, форумы и поисковики. Многие данные можно получить, ничего не взламывая и без сложных схем. Достаточно открыть ВКонтакте, Telegram-канал, канал на Дзене или ветку на форуме. Злоумышленники активно используют информацию, которую люди публикуют сами: фамилия, имя, отчество, дата рождения, геолокация отпуска, фото на фоне рабочего стола с открытыми документами, публичные поздравления с днем рождения, ссылки на профессиональные соцсети. 

Доксер собирает это вручную или доверяет сбор краулерам — поисковым роботам, которые индексируют тысячи страниц и заносят данные в автоматические базы. Такой доксер не хакер, а хороший аналитик, который использует свои знания и навыки во вред окружающим. Плюс он может подключать нейросети, которые делают анализ соцсетей и форумов автоматическим и масштабируемым. Так что аккуратность пользователей в сети становится необходимостью.

Комментарий эксперта

Жертвой доксинга может стать любой человек, который игнорирует знания о цифровой гигиене или слишком сильно доверяет окружающим. Доксинг — это не хулиганство в интернете, это предпосылка к созданию условий для вмешательства в личную жизнь другого человека с корыстной или иной заинтересованностью (например, местью).

И если государство в настоящее время взялось за ужесточение наказания за нарушения в области персональных данных, то многие люди попросту занимаются «самосливом» либо вольготно трактуют и сами не исполняют законодательство. Хотя предотвратить доксинг проще, чем залатать дыры после слива.

Что делать? Задайте себе простые вопросы:

  • Сколько раз я сам отправлял сканы или фотографии своих документов сторонним лицам, друзьям или родственникам?
  • Во всех ли людях, с которыми у меня сейчас хорошие отношения, я уверен? А не смогут ли они в будущем использовать мои документы мне во вред?

Но давайте сразу расставим точки над i. Не надо все свое окружение подозревать в заговорах и преступлениях. На то они и персональные данные, что ответственность лежит на вас персонально. Самые простые и базовые инструменты для предотвращения доксинга: ограничить доступ сторонних лиц, сегментировать профили, не хранить критически важные документы в облаке (да, это неудобно, но зато безопасно).

Что касается малого бизнеса, то здесь очень важно процессуально обеспечить корпоративную и информационную безопасность. Утвердить внутренние регламенты, назначить ответственных. Должна быть работа на упреждение и профилактику ― прежде всего надо определить круг лиц с допуском к тем или иным документам, информации.

Для раскрытия и документирования противоправных действий злоумышленников рекомендуем обращаться к профессионалам и в компетентные органы, а не заниматься «саморасследованием» и «самосудом». Потому что это будет уже нарушение закона с вашей стороны.

Как понять, что ваши данные уже утекли

МВД рекомендует проверять себя на утечку данных самостоятельно. Для этого подходят как простые методы типа проверки своего имени в поисковиках, так и более сложные варианты. Начать стоит с банального поиска в Яндексе или Google. Вбейте в строку свое полное имя, адрес электронной почты, старые никнеймы и мобильные номера. Если данные уже уплыли, поисковик часто выдает прямые ссылки на файлы, размещенные на форумах или в облачных хранилищах.

Чтобы копать глубже, используйте специальные операторы поиска ― они помогают отсеять лишнее и найти то, что обычно может быть скрыто от глаз пользователя.

Вот несколько эффективных поисковых запросов с примерами:

Поиск в файловых хранилищах. Если ваши документы когда-либо загружались в онлайн-диски вроде Яндекс Диска, они могут остаться там навсегда. Чтобы найти их, используйте команды: site:disk.yandex.ru "Иванов Иван", site:drive.google.com "Иванов Иван".

Поиск по электронной почте. Эффективный способ узнать, где засветился ваш ящик. Набирайте с уточняющими операторами: "ivanov.i@example.com", site:disk.yandex.ru "ivanov.i@example.com".

Поиск по номеру телефона. Обязательно ставьте кавычки, иначе вместо результата получите тонну информационного мусора: "+7 999 123-45-67", "8 999 123-45-67", "999 123-45-67".

Поиск по файлам. Оператор filetype ищет документы конкретного формата. Это полезно, если вы подозреваете, что кто-то выложил скан вашего паспорта, паспортные данные в таблице xls или договор в формате doc или docx. Например: "Иванов Иван" filetype:pdf или паспортные данные частично: "серия" "номер" filetype:xls".

Если ручной поиск кажется трудоемким, можно использовать автоматизированные сервисы, но главное правило — никогда не вводите свои данные в сомнительные боты или на незнакомые сайты. Иначе вместо поиска утечек вы рискуете подарить данные мошенникам.

Вот список проверенных и безопасных инструментов:

  • Государственный портал НКЦКИ. Если «пробив» есть, сервис подскажет, какой именно ресурс был скомпрометирован. 
  • МТС. Оператор встроил функции проверки в свои сервисы. Он предлагает мониторинг утечек для абонентов с помощью Membrana — сервис автоматически сканирует большой массив доступных данных.
  • «Ростелеком» через личный кабинет позволяет проверить до пяти номеров или email на предмет их компрометации.
  • В приложениях Kaspersky есть встроенная функция проверки учетных записей, связанных с вашим номером телефона.
  • Бесплатный сервис компании Angara Security — Angara Echo. Позволяет проверить почту в базах утечек. Есть лимит до 100 запросов в сутки.

Такие несложные действия не требуют ни денег, ни специальных знаний, но помогают вовремя обнаружить угрозу. Нашли свои данные на каком-то форуме или в открытом документе? Пора менять пароли, подключать двухфакторную аутентификацию и проверять все аккаунты.

Как усложнить жизнь доксерам и защититься от них

Государство пытается бороться с доксингом, но пользователю важно и самому проявлять осторожность. Полностью стереть цифровой след невозможно — но защититься от большинства угроз и сильно усложнить жизнь доксерам можно. Вот шаги, которые стоит сделать уже сегодня.

Разделяйте почтовые адреса и старайтесь не светить основной адрес

Для важных сервисов (банки, Госуслуги) заведите отдельный email и никогда не используйте его для сомнительных регистраций. Для социальных сетей и мессенджеров лучше иметь отдельную «социальную» почту. Для разовых или не слишком важных сайтов — отдельную «мусорную» почту, к которой не привязаны данные паспорта и платежные карты. Это базовое правило жизни в интернете — так компрометация мусорного ящика не потянет за собой потерю контроля над финансами и серьезные проблемы.

‍Везде используйте разные пароли и храните их в менеджере

Один и тот же пароль на всех сайтах — лучший подарок доксеру. Утек пароль от форума по вязанию крючком, и злоумышленник уже пробует его в вашем банке, почте и Telegram. Чтобы этого не случилось, придумывайте разные пароли для разных сайтов и храните в менеджере паролей ― фактически это аналог сейфа. 

Примеры менеджеров, которые можно установить на телефон: Bitwarden с открытым кодом и базовой бесплатной версией или 1Password с тарифом от 289 ₽ в месяц. Оба хранят информацию в зашифрованном виде. Эти варианты надежнее, чем держать пароли в заметках телефона.

‍Включите двухфакторную аутентификацию (2FA) везде, где можно

Даже если доксер украл ваш пароль, без второго фактора войти в аккаунт не получится. Кроме пароля понадобится, как минимум, подтверждающая SMS или одноразовый уникальный код, которые генерируют приложения для двухфакторной аутентификации в разных сервисах. Опытные и дотошные хакеры, вероятно, смогут взломать и такой вариант, но это будет сложнее, дольше и дороже.

‍Настройте приватность в соцсетях

ВКонтакте и Telegram — пожалуй, главные источники данных для бытовых доксеров. Чтобы защититься, закройте профили от посторонних, скройте номер телефона и отключите возможность находить вас по этому номеру.

ВКонтакте. Скрыть номер можно в разделе «Редактировать профиль» → «Контакты», где выбирается, кто из друзей будет видеть ваш номер.

Как настроить приватность во ВКонтакте
«Редактировать профиль» → «Контакты» → «Номер телефона» → «Кто может видеть»

Telegram. Выберите «Настройки» → «Конфиденциальность» → «Номер телефона» → «Кто может видеть» → «Никто».

Как настроить приватность в Telegram
Заодно можно настроить, чтобы никто не видел время, когда вы посещали Telegram, пересылки ваших сообщений и даже фотографии в профиле

‍Проверьте, какие приложения имеют доступ к вашим аккаунтам, и отзовите старые доступы

За годы использования Google и Яндекс-аккаунтов к ним наверняка подключено множество приложений и сервисов, которые вы, возможно, давно не используете. Каждый из них — потенциальная дверь для злоумышленников. Проверить и отозвать ненужные доступы в Google-аккаунте можно через «Управление аккаунтом» → «Безопасность» → «Сторонние приложения с доступом к аккаунту», а в аккаунте Яндекса в разделе «Паспорт» → «Управление приложениями».

‍Заведите отдельный телефон для важных переговоров

Радикальный, но надежный способ. Кнопочный телефон без камеры, интернета и доступа к приложениям идеально подходит для общения с банками, государственными органами и важными контрагентами.

Это работает, потому что доксеры и мошенники чаще всего атакуют через утекшие базы данных операторов, где фигурируют «засвеченные» номера телефонов. Телефон, номер которого не регистрировался в соцсетях, мессенджерах и интернет-магазинах, практически не имеет цифрового следа. Все больше россиян, включая IT-специалистов и предпринимателей, возвращаются к кнопочным телефонам именно с целью защиты своих данных.

Пример товарной карточки кнопочного телефона на маркетплейсе
На маркетплейсах появились кнопочные телефоны, в карточках которых как преимущества указано «без камеры», «без интернета»

Регулярно проверяйте себя на утечки

Раз в три–шесть месяцев заходите на сервисы проверки, ищите себя через поиск, в том числе со встроенным AI-ассистентом, или используйте встроенный мониторинг утечек от операторов связи. Если обнаружили свой номер или почту в слитой базе — меняйте пароли везде, где использовали эти учетные данные, и включайте двухфакторную аутентификацию.

Комментарий эксперта

Полностью защититься от доксинга сегодня практически невозможно. Проблема в том, что персональные данные перестают быть только нашей зоной контроля в момент, когда мы передаем их внешнему сервису: интернет-магазину, службе доставки, банку или любой форме регистрации.

Пользователь видит простое поле «Оставьте телефон и email», но дальше начинается длинная цепочка хранения и обработки данных. Компания может быть взломана, данные могут оказаться у подрядчика, в CRM, таблицах, резервных копиях, у колл-центра или маркетингового агентства. Их может выгрузить сотрудник, потерять подрядчик или использовать сама компания не так аккуратно, как ожидает пользователь. Поэтому честнее говорить не о полной защите от доксинга, а о снижении последствий.

Главный принцип цифровой гигиены — разделять важные и неважные цифровые контуры. Номер телефона и почта, которые используются для банков, Госуслуг и других важных сервисов не должны совпадать с контактами, которые человек оставляет в доставках, маркетплейсах, бонусных программах, формах регистрации на вебинары, публичных соцсетях или на сайтах с разовыми услугами.

Самая опасная ситуация — когда один и тот же телефон, email и никнейм используются везде. Тогда утечка из незначимого сервиса становится ключом к сборке полноценного профиля: где человек работает, какими сервисами пользуется, с кем связан, через какие каналы с ним можно контактировать и какие сценарии давления могут сработать.

Для публичных людей это особенно актуально. Личный бренд сам по себе не проблема, но он увеличивает цифровой след. Публичным может быть экспертный образ, но не личная инфраструктура: банковский номер, почта, домашний адрес, семейные контакты и бытовые сервисы должны жить отдельно от публичной активности.

Осознанность к мошенничеству тоже важна, но это уже не способ предотвратить доксинг, а защита от его последствий. Доксинг дает злоумышленнику контекст: имя, место работы, должность, знакомые сервисы, связи, привычный стиль общения. На основе этих данных проще сделать убедительное письмо, звонок «из поддержки», сообщение «от коллеги» или фейковый рабочий чат. Поэтому любые срочные просьбы перейти по ссылке, назвать код, подтвердить операцию или перевести деньги нужно проверять через официальный канал связи, а не по номеру или ссылке из сообщения.

Никита Полосухин
Никита Полосухин

Ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC

Воспользуйтесь правом на забвение

Если при поиске по ФИО или телефону вы нашли ссылки на недостоверную, устаревшую  информацию или данные, которые распространили с нарушением закона, можно и нужно воспользоваться правом на забвение. Оно закреплено в ст. 10.3 ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Чтобы эти данные о вас удалили, нужно подать заявку в поисковые системы. Вот прямые ссылки на формы: Яндекс, Google.  

В заявлении нужно указать ссылки на страницы и объяснить, почему информация недостоверная или устаревшая. У оператора есть десять дней на ответ. Если поисковик отказывается удалять информацию, а вы уверены в своей правоте, можно обжаловать его решение, обратившись в Роскомнадзор. Суд может обязать оператора удалить информацию. 

Как работает российское законодательство в отношении доксинга

В УК РФ нет отдельной статьи с наказанием за доксинг, и само это понятие не зафиксировано. Но это не значит, что доксер останется безнаказанным, потому что его действия попадают сразу под несколько статей.

Ст. 137 УК РФ «Нарушение неприкосновенности частной жизни». Незаконный сбор или распространение сведений о частной жизни лица без его согласия — от штрафа до 200 000 ₽ до лишения свободы на срок до двух лет. А если преступление совершено с использованием служебного положения или публично, то наказанием будет до четырех лет лишения свободы и лишение права занимать определенные должности на срок до пяти лет.

Например, опубликовать в соцсетях чужое фото или личные данные без согласия человека — уже состав преступления по ст. 137, если на снимке запечатлена частная жизнь, а не профессиональная деятельность. То есть выложить видео с корпоратива, где коллега неудачно пошутил, — одно. А опубликовать скриншот его личной переписки в соцсетях или фото из ванной — совсем другое. За второе вполне реально получить уголовное наказание.

Комментарий эксперта

Для уголовного дела по ст. 137 УК РФ обычно нужно показать, что распространенные сведения действительно относятся к частной жизни человека, составляли личную или семейную тайну и были опубликованы без согласия.

При этом российские суды постепенно начинают шире трактовать понятие «частной жизни». Туда могут входить не только интимные фотографии или переписки, но и домашний адрес, сведения о семье, номер телефона, маршруты передвижения, место работы и иная информация, которая позволяет идентифицировать человека и создает риск преследования или травли.

Один из наиболее известных российских кейсов — история Романа Анина. В 2021 году его допросили по делу о нарушении неприкосновенности частной жизни, связанному с публикацией материала о бывшей жене главы «Роснефти». Речь шла именно о квалификации по ч. 2 ст. 137 УК РФ, то есть с использованием служебного положения. 

Этот кейс часто цитируют как пример того, что в России вопросы, похожие на доксинг, правоохранители нередко рассматривают через ст. 137 УК РФ, даже если термин «доксинг» в законе не используется.

Ст. 163 УК РФ «Вымогательство». Если доксер требует деньги за то, чтобы не публиковать ваши данные, — это вымогательство. Ст. 163 УК РФ предусматривает за шантаж с угрозой распространения позорящих сведений до четырех лет лишения свободы. Причем, неважно, заплатили вы или нет — чтобы попасть под «уголовку», доксеру достаточно просто сказать «Заплати мне 50 000 ₽, иначе твои фото улетят всем топам вашей компании».

Ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». Если данные украли через взлом или фишинг — добавляется ст. 272 УК РФ. Наказанием по этой статье может быть лишение свободы на срок до двух лет.

Ст. 119 УК РФ «Угроза убийством или причинением тяжкого вреда здоровью». Работает в случае, если шантажист угрожает убийством или избиением. Наказание по статье — реальный срок до двух лет.

А еще доксинг практически всегда пересекается с ФЗ «О персональных данных» № 152-ФЗ. Любой сбор и распространение чужой личной информации без согласия — это нарушение закона, и, если информацию собрали не для бытовых нужд, нарушитель автоматически становится оператором персональных данных со всеми вытекающими обязательствами и последствиями в виде административного или даже уголовного наказания.

В целом по этому вопросу есть тенденция ужесточения законодательства. Так, глава Лиги безопасного интернета Екатерина Мизулина предлагает разработать отдельный закон против доксинга, так как считает, что текущее законодательство недостаточно защищает жертв — особенно несовершеннолетних. По ее словам, только за последний год к ней обратились пять семей, чьи дети пострадали от таких атак.

Как действовать, если вы нашли свои данные в открытом доступе

Зафиксируйте факт распространения: сделайте скриншоты страниц, сохраните ссылки. Лучше обратиться к нотариусу для составления протокола осмотра интернет-страницы — тогда при уничтожении данных доксером у вас останутся доказательства для суда.

Напишите заявление в полицию или Следственный комитет — эти преступления относятся к их подследственности.

Приложите к заявлению скриншоты и ссылки. Решение по такому заявлению должно быть принято в течение месяца. Если отказали — обжалуйте отказ в прокуратуре или суде.

Комментарий эксперта

Российская практика пока в основном рассматривает доксинг как разновидность нарушения неприкосновенности частной жизни или незаконного распространения персональных данных, тогда как в ряде зарубежных стран подход становится заметно жестче. 

В США в 2026 году прокуратура Северной Каролины сообщила о признании вины мужчиной, который опубликовал домашний адрес судьи Верховного суда США. Ему вменили отдельное федеральное «doxing»-обвинение, а максимальное наказание по нему составляет пять лет лишения свободы.

Это важный контраст: в американской системе в некоторых ситуациях доксинг уже получает более прямую процессуальную форму, чем в России, где чаще приходится «собирать» состав из нескольких статей.

В Европе подход тоже постепенно ужесточается, но акцент чаще делается не на уголовном преследовании как таковом, а на защите персональных данных и быстром удалении информации. Например, в странах ЕС доксинг нередко рассматривается через нарушение GDPR — нормативного акта Евросоюза, который определяет правила сбора, обработки, хранения и распространения персональных данных. Особенно если публикация данных связана с их незаконным сбором или обработкой.

Это позволяет жертве быстрее добиваться удаления контента и крупных штрафов для платформ или операторов данных.

Российская система в последние годы тоже движется в сторону усиления защиты персональных данных. Появляются более высокие штрафы за утечки, усиливается внимание Роскомнадзора к незаконному распространению информации о гражданах, а суды все чаще признают публикацию персональных данных в интернете вмешательством в частную жизнь даже тогда, когда часть информации ранее уже находилась в открытом доступе.

Помните, что ваши данные уже есть в сети. Старые базы, взломанные форумы, утекшие файлы на Яндекс и Google Дисках — все это уже не отмотать назад. Но это не повод забиться в угол и бояться каждого звонка с незнакомого номера, а причина перестать быть удобной мишенью. Защищаться, соблюдать цифровую гигиену и не оставлять безнаказанными людей, которые стремятся испортить вам жизнь с помощью цифровой информации.

Комментарий эксперта

Если доксинг уже произошел, первая задача — не пытаться вернуть данные. Чаще всего это невозможно. Нужно быстро снизить ущерб: зафиксировать публикации, ссылки, скриншоты, даты, аккаунты и угрозы.

Не репостить ссылку публично, понять, какие именно данные раскрыты. Защитить почту, мессенджеры, Госуслуги, банки и другие ключевые аккаунты. Сменить пароли, выйти из лишних сессий, включить двухфакторную аутентификацию.

Если раскрыты паспортные данные или финансовая информация, стоит связаться с банками, снизить лимиты, проверить кредитную историю и установить самозапрет на кредиты и займы. Если раскрыты адрес, место работы или данные родственников, важно предупредить близких, коллег и работодателя: возможны звонки, сообщения или просьбы от имени пострадавшего, любые срочные запросы нужно проверять напрямую.

Для публичного человека к этому добавляется репутационный контур. Не каждый инцидент требует громкого заявления: иногда публичный пост только расширяет охват утечки. Но если данные уже активно распространяются, лучше дать короткую спокойную позицию: подтвердить факт инцидента без деталей, попросить не пересылать материалы, предупредить о возможных мошеннических сообщениях и обозначить официальный канал связи.

Главное — не спорить с атакующим, не платить шантажистам и не действовать в панике. Доксинг нельзя всегда предотвратить, но можно сделать так, чтобы утечка из одного сервиса не открывала доступ ко всей цифровой жизни человека и не превращалась в кражу денег, захват аккаунтов или давление на человека, его репутацию, семью, работу.

Никита Полосухин
Никита Полосухин

Ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC

«Честно» — рассылка о том, что волнует и бесит

Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.

Наш юрист будет ругаться, если вы не примете :(
Нажимая «Подписаться», я принимаю Правила использования и подтверждаю, что ознакомлен с Политикой обработки персональных данных.
🔮 Создать письмо