Så används din digitala skugga mot dig utan att du vet om det
Du har förmodligen aldrig sökt på ditt eget namn och funderat på vad som faktiskt dyker upp. Eller kollat vilka databaser som läckt dina uppgifter, vilka appar som sålt din platshistorik eller vilka bilder av dig som indexerats utan din vetskap. Den samlade bilden av allt du lämnat efter dig på nätet kallas ibland för din digitala skugga. Till skillnad från ditt digitala fotavtryck, det du medvetet postar och delar, är skuggan det du inte visste att du lämnade. Och den används aktivt, av cyberkriminella, datamäklare och annonsörer, på sätt de flesta aldrig föreställt sig.
Vad din digitala skugga faktiskt innehåller – och var den kommer ifrån
De flesta tänker på sin digitala närvaro som det de aktivt publicerar: inlägg på sociala medier, bilder, kommentarer och profiler. Men den digitala skuggan är något annat. Den består av data som skapas om dig, inte av dig, och den växer konstant utan att du behöver göra någonting alls.
Data du aldrig visste att du lämnade
Varje gång du besöker en webbplats lämnar din webbläsare spår i form av IP-adress, enhetstyp, skärmupplösning, språkinställning och hur länge du stannade på sidan. Varje app du installerar begär ofta tillstånd till kontakter, mikrofon, kamera och platsdata, och en stor andel av dem delar den informationen med tredje part. Varje köp du gör med kort registreras och lagras, och transaktionsmönster säljs vidare till analysföretag.
Det handlar inte om paranoia. Det är den affärsmodell som driver en stor del av den digitala ekonomin. Data om beteende, rörelsemönster och preferenser är en handelsvara, och du är både producenten och produkten.
Dataintrång och läckor du kanske inte känner till
En annan stor källa till den digitala skuggan är dataintrång. Företag och tjänster du en gång registrerat dig hos har läckt användardata vid upprepade tillfällen under de senaste åren. E-postadresser, lösenord, telefonnummer, hemadresser och i vissa fall betalningsinformation hamnar i databaser som cirkulerar på kriminella forum och mörkwebben.
Det uppskattade antalet exponerade konton globalt är i miljarder, och en stor andel av dessa konton tillhör människor som aldrig fick någon notis om att deras uppgifter läckte. Många av de tjänster som drabbades finns inte längre kvar, men datan de läckte lever vidare.
Vad skuggan faktiskt kan innehålla om dig
Den samlade digitala skuggan för en genomsnittlig internetanvändare kan innehålla betydligt mer än de flesta anar. Några av de vanligaste kategorierna av data som finns tillgängliga om dig utan din direkta vetskap är dessa:
- Gamla e-postadresser och lösenord från tjänster du slutat använda för år sedan
- Platshistorik från appar och mobiloperatörer som visar dina rörelsemönster över tid
- Bilder på dig taggade av andra på plattformar du kanske inte ens har ett konto på
- Köphistorik och konsumtionsmönster sålda av lojalitetsprogram och kortföretag
- Offentliga register som folkbokföring, fastighetsregister och bolagsuppgifter indexerade och samlade av datamäklare
Kombinationen av dessa datapunkter skapar en profil som är mer detaljerad och personlig än vad de flesta är bekväma med att veta existerar. Och den finns tillgänglig för den som vet var den ska leta.
Så används din data mot dig av kriminella och datamäklare
Att data samlas in är en sak. Vad den sedan används till är en annan. Den digitala skuggan är inte bara ett integritetsproblem i abstrakt bemärkelse. Den används aktivt och konkret, både av legitima aktörer med tveksam etik och av kriminella med tydliga syften.
Datamäklare – en industri de flesta aldrig hört talas om
Datamäklare är företag vars affärsmodell bygger på att samla in, bearbeta och sälja persondata. De köper information från appar, webbplatser, offentliga register och andra datamäklare, kombinerar den till detaljerade profiler och säljer den vidare till annonsörer, försäkringsbolag, arbetsgivare och vem som helst som är beredd att betala.
Det är en industri som omsätter hundratals miljarder kronor globalt per år och som verkar nästan helt utan insyn. I Sverige och EU ger GDPR vissa rättigheter att begära ut och radera data, men att faktiskt utöva de rättigheterna kräver tid, kunskap och uthållighet som de flesta saknar.
Det som gör datamäklarna särskilt problematiska ur ett säkerhetsperspektiv är att de aggregerar data på ett sätt som gör enskilda uppgifter mycket mer känsliga. Din hemadress är offentlig. Din arbetsplats är offentlig. Ditt köpmönster är inte offentligt men kan köpas. Kombinerat med bilder, sociala kontakter och rörelsemönster skapar de en profil som en cyberkriminell kan använda direkt.
Hur kriminella använder din digitala skugga
Cyberkriminella använder läckt och köpt data på flera sätt som blivit allt mer sofistikerade. Det enklaste är credential stuffing: automatiserade system testar läckta användarnamn och lösenord mot hundratals tjänster i hopp om att du återanvänder samma inloggning på flera ställen. Statistiskt sett fungerar det förvånansvärt ofta.
Mer avancerade attacker använder din digitala skugga för att skräddarsy bedrägerier och manipulationsförsök på ett sätt som gör dem svåra att avslöja:
- Spear phishing där angriparen nämner din arbetsgivare, chef eller senaste köp för att verka trovärdig
- Telefonbedrägerier där den som ringer känner till ditt namn, adress och ibland de fyra sista siffrorna i ditt personnummer
- Identitetsstöld där tillräckligt med data kombineras för att öppna krediter, teckna abonnemang eller ansöka om lån i ditt namn
- SIM-swapping där angriparen med hjälp av persondata övertalar din mobiloperatör att flytta ditt nummer till ett nytt SIM-kort
- Utpressning baserad på privat information hämtad från läckta databaser eller sociala medier
Legitima aktörer med tveksamma metoder
Det är inte bara kriminella som utnyttjar den digitala skuggan. Försäkringsbolag i flera länder använder sociala medieprofiler och beteendedata för att bedöma risker. Arbetsgivare bakgrundskontrollerar kandidater via datamäklare. Kreditinstitut använder köpbeteende som del av kreditbedömningar. Allt detta sker utan att du nödvändigtvis informeras om det eller ges möjlighet att korrigera felaktig information.
Så spårar du din digitala skugga och minskar den steg för steg
Det går inte att helt radera sin digitala skugga. Men det går att kartlägga den, minska den och göra den betydligt svårare att använda mot dig. Det kräver inga tekniska förkunskaper, bara ett systematiskt tillvägagångssätt och lite tid.
Börja med att ta reda på vad som finns
Det första steget är att skaffa sig en bild av vad som faktiskt finns tillgängligt. Sök på ditt fullständiga namn, din e-postadress och ditt telefonnummer i flera sökmotorer. Notera vad som dyker upp, på vilka sidor och i vilket sammanhang.
Kontrollera sedan om dina uppgifter förekommer i kända databaser med läckt data. Tjänster som Have I Been Pwned låter dig söka på din e-postadress och se vilka dataintrång den dykt upp i. Det är ofta en ögonöppnande upplevelse för de flesta som aldrig gjort det förut.
Begär borttagning och begränsa nya spår
När du vet vad som finns kan du börja agera. Datamäklare är enligt GDPR skyldiga att radera dina uppgifter om du begär det, men du måste kontakta dem individuellt. Det finns tjänster som hjälper till med den processen mot en avgift, men det går också att göra manuellt om du har tålamod.
Parallellt bör du minska mängden ny data som skapas om dig. Några av de mest effektiva åtgärderna är dessa:
- Gå igenom appbehörigheter på din telefon och återkalla tillgång till plats, kontakter och mikrofon för appar som inte behöver det
- Använd en separat e-postadress för registreringar du inte litar på, för att hålla din primära adress borta från datamäklares databaser
- Aktivera tvåfaktorsautentisering på alla viktiga konton för att göra läckta lösenord värdelösa för angripare
- Rensa gamla konton på tjänster du inte längre använder, eftersom de annars fortsätter existera som sovande datakällor
- Använd en lösenordshanterare för att skapa unika lösenord per tjänst och eliminera risken för credential stuffing
Gör det till en regelbunden vana
Digital hygien är inte ett engångsprojekt utan något som behöver underhållas. Nya tjänster samlar in data, nya läckor inträffar och datamäklare köper löpande uppdaterad information. Att göra en enkel genomgång av sina konton, lösenord och appbehörigheter en gång per år är ett rimligt minimum för den som vill hålla sin digitala skugga under kontroll.
Den digitala skuggan försvinner aldrig helt. Men med rätt åtgärder kan du göra den betydligt svårare att hitta, svårare att tolka och svårare att använda mot dig.
