Jakarta - Doxing—praktik mengungkap data pribadi ke publik—kian marak di Indonesia. Pelaku memanfaatkan celah kecil: foto profil, komentar lama, hingga metadata file. Dampaknya tidak main‑main: intimidasi, pemerasan, bahkan serangan fisik. Artikel ini mengurai tujuh trik utama doxer, kisah korban, dan langkah pencegahan, disusun dengan pendekatan piramida terbalik agar fakta krusial tersaji di awal namun tetap mengalir seperti esai.
1. “Google‑dorking”: Mesin Pencari Sebagai Senjata
Di tangan doxer, Google berubah menjadi radar presisi. Teknik Google‑dorking memanfaatkan operator pencarian canggih—filetype:pdf atau inurl:/wp-content/uploads/—untuk membongkar dokumen yang tak sengaja terindeks. “Hanya butuh ketelitian lima menit buat menemukan slip gaji pegawai swasta,” kata peneliti keamanan siber Alfons Tanujaya. Slip itu kerap dipakai sebagai bukti palsu pinjaman online, memicu teror penagihan ke korban.
“Semua yang terbuka di internet ibarat pintu kaca bening—siapapun bisa mengintip,” ujar Alfons dalam webinar APJII, 3 Maret 2025.
2. OSINT Media Sosial: Puzzle Foto, Lokasi, dan Emoji
Open‑Source Intelligence (OSINT) di Facebook, Instagram, hingga TikTok memudahkan pelaku menata potongan puzzle. Satu foto kopi di kafe—lengkap dengan geotag—cukup untuk menebak rute harian. Penelusuran komentar lama menggali nama hewan peliharaan—jawaban favorit “pertanyaan keamanan” bank. Tanpa disadari, pengguna mencicil identitasnya sendiri di ranah publik.
3. Metadata EXIF: Koordinat Tersembunyi di Balik Selfie
Setiap foto dari ponsel pintar menyimpan EXIF—tanggal, tipe perangkat, hingga koordinat GPS. “Lokasi rumah bisa terbaca jelas hanya lewat satu selfie di kamar,” ungkap pakar forensik digital Ruby Alamsyah. Meski platform besar kini mereduksi metadata, salinan yang diunggah ke forum atau transfer peer‑to‑peer tetap mentah: ladang emas bagi doxer.
4. Phishing “Seolah‑Olah” Layanan Resmi
Email bertajuk “Verifikasi Dua Langkah” kerap menggiring korban ke laman login palsu. Jika kredensial tercuri, doxer menyisir cloud mencari KTP digital, pola tanda tangan, atau kontak sensitif. Taktik semakin canggih berkat AI voice cloning: panggilan telepon menirukan suara HRD perusahaan, meminta kode OTP “untuk pembaruan payroll”.
5. Data Breach & Combo List: Satu Kebocoran, Seribu Pintu
Kebocoran Tokopedia (2020) dan BPJS Kesehatan (2021) masih bergema. Database berisi email, NIK, dan alamat tersebar di forum gelap. Doxer mencocokkan (“credential‑stuffing”) dengan akun media sosial; begitu kata sandi serupa ditemukan, lingkar privasi korban runtuh. Layanan HaveIBeenPwned mencatat 12,4 miliar kredensial bocor global per April 2025—angka yang terus menanjak.
6. Social Engineering ke Customer Service
Tidak semua peretasan bersandar pada kode. Doxer kerap menelpon kantor kurir, pura‑pura menjadi konsumen gusar: “Paket saya tertukar, bisa sebutkan alamat penerima?” Celah empati manusia mematahkan lapis autentikasi. Kasus paling fatal terjadi 2024: seorang jurnalis investigasi di Surabaya dilacak pelaku karena CS ojek daring membocorkan nomor ponsel.
7. “Reverse Image Search” & Face Recognition
Foto profil yang tampak polos dapat dipetakan ke belasan situs lain via reverse image. Dengan layanan pengenalan wajah komersial, doxer menautkan identitas korban ke CCTV publik, memetakan aktivitas harian. Di Rusia, layanan FindFace sempat menuai kontroversi karena membantu stalker mengejar selebgram hanya dari potret jalanan.
Dampak Riil: Dari Teror Spam hingga “Swatting”
Swatting—laporan palsu ke polisi yang berujung penggerebekan bersenjata—mulai merembet ke Asia. Januari 2025, gamer Jakarta berusia 19 tahun nyaris ditembak karena alamatnya bocor usai debat panas di Twitch. Ia kini menjalani terapi trauma. “Hidup saya berubah total hanya dalam hitungan jam,” tuturnya.
Mengapa Hukum Kerap Tertinggal?
UU ITE Pasal 26 menjamin hak privasi, sedangkan UU 27/2022 tentang Pelindungan Data Pribadi (PDP) mengancam denda hingga Rp6 miliar. Namun, pembuktian “niat jahat” pelaku sulit. Doxing kerap terjadi lintas negara; yurisdiksi terpecah. Pakar hukum siber, Anita Afriani, menilai penegak hukum “masih gagap digital” sehingga proses pelacakan lambat, bukti lekas hilang.
Langkah Pencegahan Praktis
- Audit Jejak Digital Tahunan – Hapus posting lama yang mengandung nomor telepon atau alamat.
- Redaksi Metadata – Gunakan aplikasi ExifCleaner sebelum mengunggah foto.
- Pisahkan Identitas Online – Pakai email dan nomor alias untuk pendaftaran publik.
- Aktifkan 2FA & Password Manager – Hindari daur ulang kata sandi.
- Waspada Phishing Suara – Verifikasi ulang lewat kanal resmi tertulis.
- Pantau Kebocoran – Daftarkan email di HaveIBeenPwned untuk notifikasi real‑time.
- Edukasi Keluarga & Rekan Kerja – Karena doxer sering menyerang “mata rantai terlemah”.
Pada akhirnya, doxing memanfaatkan dua hal: kelengahan pengguna dan kerentanan sistem. Teknologi akan terus berubah, tetapi prinsip privasi tetap sama—kendalikan informasi sebelum orang lain mengendalikannya. Seperti kata pakar keamanan Bruce Schneier, “Security is a process, not a product.” Dalam proses itu, kewaspadaan harian kita adalah pertahanan terdepan.
(*)
