Personliche Anti-Doxxing-Sicherheit: Daten von brasilianischen Data Brokers entfernen

Sie tippen Ihren Namen in Google und finden eine teilweise CPF, eine alte Adresse, die Telefonnummer Ihrer Mutter und das Hochzeitsfoto Ihrer Schwester, indexiert auf einer Genealogie-Seite. Das ist keine Paranoia, das ist der Standardzustand jedes Brasilianers uber 25 mit Online-Geschichte. Das Basilisk-Team behandelt Doxxing als Lieferkette: jeder Broker, jedes Serasa-Leak von 2021, jedes Facebook-Profil von 2009 ist ein Knoten im Graph. Alle zu kappen vermittelt eine falsche Kontrollillusion; die richtigen 12 Knoten zu kappen entfernt 90% des realen Risikos. Diese Anleitung ist das gleiche Runbook, das wir bei Klienten anwenden, die Ziel von Stalkern, verargerten Ex-Mitarbeitern oder Extremistengruppen sind.

Vor jeder Entfernung: OSINT gegen sich selbst betreiben. Starten Sie eine Wegwerf-VM, einen sauberen Browser ohne Logins und fuhren Sie strukturierte Abfragen aus: voller Name in Anfuhrungszeichen, Name + Stadt, Name + teilweise CPF, Telefon mit und ohne Landervorwahl, primare E-Mail und Aliase. Katalogisieren Sie alles in einer Tabelle mit Spalten URL, Broker, exponiertes Datum, Prioritat, Status. Tools wie Maltego CE, Spiderfoot und holehe automatisieren einen Teil davon; die Schritt-fur-Schritt-Anleitung steht in Ethisches OSINT: Den Eigenen Digitalen Fussabdruck mit Maltego und Spiderfoot Untersuchen. Ohne Inventar behandeln Sie Symptome und lassen die Wurzel. Erwarten Sie 40 bis 200 eindeutige Treffer, das ist normal.

In Brasilien dominieren Tudo Sobre Todos, Telelistas, ConsultasBrasil, Quem Sou Eu, Encontre uma Pessoa, Cadastros BR sowie Aggregatoren wie 4devs und Consulta CPF die erste Seite. Jeder hat einen anderen Opt-Out-Flow: Tudo Sobre Todos akzeptiert ein Formular mit Ausweisfoto; Telelistas verlangt die fur die Nummer registrierte E-Mail; ConsultasBrasil ignoriert Anfragen ohne explizite Erwahnung von LGPD Artikel 18. Standard-E-Mail-Vorlage: Betreff 'Loschungsantrag - LGPD Art. 18, V', Korper mit Zitat der spezifischen URL, 15-Tage-Frist und Hinweis auf ANPD-Beschwerde. Alles schriftlich, niemals anrufen. In 60% der Falle erfolgt die Loschung in 7 bis 20 Tagen.

Soziale Netzwerke sind der am meisten unterschatzte Vektor. Ihr Facebook von 2010 zeigt noch immer die Telefonnummer offentlich unter 'Info'; LinkedIn leakt Ihre exakte Stadt uber das Standortfeld; Instagram exponiert Geotags in alten Stories; Strava veroffentlicht Ihre tagliche Laufstrecke ab dem Wohnort. Auditieren Sie pro Plattform mit Checkliste: Profildatenschutz, Freundessichtbarkeit, alte Posts in Masse, verbundene Drittanbieter-Apps, aktive Sitzungen. Fur alte Fotos lassen Sie exiftool und mat2 laufen, bevor Sie etwas neu veroffentlichen; die Prozedur steht in Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern. Offentliche und private Identitaten in separate Konten zu trennen ist der nachste Schritt, detailliert in Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken.

Behordliche und gerichtliche Daten sind ein Sonderfall. Amtsblatter, TJSP-Verfahren, JusBrasil und Escavador reindexieren Urteile mit Ihrer CPF und Adresse. JusBrasil akzeptiert Deindexierungsantrage per Formular unter Berufung auf LGPD; Escavador verlangt Vollmacht oder formales Dokument. Fur ungerechtfertigt veroffentlichte versiegelte Verfahren ist der Weg eine direkte Petition an das Gericht. Protestregister und die Junta Comercial leaken Ihre Wohnadresse, wenn Sie MEI-Partner sind; andern Sie die registrierte Adresse vor der Firmengrundung auf einen Coworking-Space oder ein Postfach. Wenn Sie hochsichtbares Ziel sind Journalist, Aktivist, Fuhrungskraft verschiebt sich das Bedrohungsmodell vollstandig und die Anleitung in Personenschutz fuer Exponierte Ziele: Journalisten, Aktivisten und Fuehrungskraefte deckt die zusatzlichen Kontrollen ab.

Telefon und E-Mail verdienen chirurgische Behandlung. Provisionieren Sie eine VoIP-Nummer (Google Voice uber einen US-Verwandten oder internationale eSIM) fur offentliche Registrierungen und MEI-Papierkram; behalten Sie die echte Nummer nur fur Banking, kritische MFA und enge Familie. Fur E-Mail verwenden Sie SimpleLogin- oder addy.io-Aliase: ein Alias pro Dienst, brennbar unter Angriff. Migrieren Sie SMS-MFA zu Passkeys oder TOTP auf Hardware-Token gemass Passwoerter und MFA: Umstieg auf Passkeys ohne Recovery zu zerstoeren. Fur sensible Kommunikation mit Quellen oder Anwalten ist Signal mit Wegwerfnummer das Minimum; SimpleX ganz ohne Identifier ist ideal, siehe Kommunikations-OPSEC: Signal, SimpleX und Session Technisch Verglichen. Definieren Sie zuerst Ihr personliches Bedrohungsmodell gemass OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell, denn Protokoll ohne Modell ist Theater.

Schliesslich automatisieren Sie die Wartung. Broker veroffentlichen Daten alle 3 bis 6 Monate neu, wenn sie neue Dumps kaufen. Erstellen Sie einen monatlichen Cron, der Google-Abfragen wie site:tudosobretodos.com.br IHR_NAME und ahnliche ausfuhrt und Sie per E-Mail alarmiert, wenn etwas wieder auftaucht. Fuhren Sie ein versioniertes Dossier in einem privaten Git-Repo mit Screenshots, gesendeten E-Mails, Fristen und ANPD-Protokollnummern. Unter aktivem Doxxing: Kredit bei Serasa und Boa Vista einfrieren, elektronische Anzeige erstatten, Plattformen mit Eilantrag auf Entfernung benachrichtigen und Anwalt einschalten. Praktisches Fazit: blocken Sie nachsten Mittwoch 14-18 Uhr, fuhren Sie OSINT gegen sich selbst durch, feuern Sie die ersten 12 Prioritats-Opt-Outs ab und planen Sie eine Uberprufung in 60 Tagen. Privatsphare ist kein Zustand, sondern ein kontinuierlicher Prozess.