Sådan fandt vi manden bag MrDeepFakes

Indsigt 7. maj 2025  -  4 min læsetid
Tjekdet
I samarbejde med tre andre medier - Politiken, Bellingcat og CBC - har TjekDet opsporet manden bag verdens største hjemmeside for deepfake-porno, MrDeepFakes.  Foto: Nathalie Damgaard Frisch (grafik)
Skrevet af: Daniel Greneaa Hansen Zakaria Hameed

TjekDet kan nu afsløre, at den 36-årige canadier David Do er en nøglefigur bag den kontroversielle pornohjemmeside MrDeepFakes, hvor kendte kvinder - heriblandt flere danskere - bliver manipuleret ind i seksuel sammenhæng.

Men hvordan er det lykkedes at identificere David Do, der har været villig til at gå langt for at skjule sin identitet? Det kan du blive klogere på i denne artikel.

Tag en dyb indånding - det bliver en smule teknisk.

Tilmeld dig TjekDets nyhedsbrev

OSINT

Afsløringen sker på baggrund af et omfattende digitalt detektivarbejde - også kendt som OSINT - der går ud på at undersøge offentligt tilgængelige kilder såsom sociale medier, offentlige registre og kort. Men også datalæk, som for de fleste ikke er umiddelbart tilgængelige, men som kan findes på nettet.

Arbejdet er udført i et samarbejde mellem Politiken, det anerkendte undersøgende medie Bellingcat og Canadian Broadcasting Corporation (CBC), der er en canadisk pendant til Danmarks Radio.

Det begynder med brugernavnet ‘dpfks’, som ifølge kildekoder på MrDeepFakes’ hjemmeside er den første bruger på sitet. Samtidig har dpfks et ‘Staff’-stempel på sin bruger, der viser, at han er en del af MrDeepFakes’ ledelse. Der findes kun én anden bruger med stemplet, og den profil blev først oprettet et år efter MrDeepFakes åbnede.

Det er desuden også brugeren dpfks, der står bag de regler, andre brugere på forummet skal følge.

 

På MrDeepFakes.com er beskrevet en række regler for, hvem det er tilladt at lave deepfake-videoer af. På hjemmesiden kan vi se, at reglerne er skrevet af brugeren med brugernavnet dpfks, der også ifølge kildekoden er den første bruger på sitet.

Ved at søge på dpfks i forskellige datalæk kan vi knytte brugernavnet til flere mailadresser. Datalæk er informationer fra typisk virksomheder eller myndigheder, som på et tidspunkt er blevet hacket, og hvis data er lagt tilgængelige på internettet. Data kan for eksempel være mailadresser og passwords fra brugere af forskellige tjenester.

Én af de mailadresser skiller sig ud: dpfkscom@gmail.com. 

Gennem opslag på MrDeepFakes’ forum ved vi nemlig, at mrdeepfakes.com tidligere gik under navnet dpfks.com. Dermed er navnet på mailadressen - dpfkscom - og MrDeepFakes’ tidligere navn dpfks.com identisk. Indtil for nyligt blev man også viderestillet til mrdeepfakes.com, når man klikkede ind på dpfks.com.

Der er altså meget, der tyder på, at e-mailadressen dpfkscom@gmail.com og domænet dpfks.com - og dermed også mrdeepfakes.com - er forbundet. Derfor bruger vi værktøjet osint.industries til at finde flere informationer om mailen.

Her gør vi et interessant fund, der styrker hypotesen om, at dpfkscom@gmail.com er knyttet til MrDeepFakes. 

Vi kan se, at der fra mailadressen er blevet oprettet brugeren Amanda Deep på blog-sitet Medium. Amanda Deep har i marts 2018 - kort efter MrDeepFakes.com blev lanceret - offentliggjort et indlæg med titlen “Deep Fakes: Potential Uses Beyond Porn,” der handler om brugen af deepfake-teknologien i andre sammenhænge end porno. Amanda Deep bruger i øvrigt det samme profilbillede på Medium som brugeren dpfks på MrDeepFakes’ forum dengang.

Når vi søger efter dpfkscom@gmail.com i datalæk, finder vi ud af, at mailen er blevet brugt til at oprette en bruger på pornosiden Heavy-R med navnet dpfkscom, der på sin profilside linker til hjemmesiden dkfps.com, som vi altså ved senere bliver til mrdeepfakes.com.

Tjekdet

Afsløring: Her er manden bag verdens største hjemmeside for deepfake-porno

David Do dukker op

Med bestyrket mistanke om, at dpfkscom@gmail.com har forbindelse til MrDeepFakes, søger vi nu på mailen i forskellige datalæk. Her kan vi se, at mailadressen er blevet brugt til at oprette brugere på forskellige hjemmesider med det særegne alias ‘AznRico’, 

Navnet er en sammentrækning af ‘Azn’, der er en forkortelse af Asian, og ‘Rico’, der direkte oversat betyder rig på spansk, men som af og til også kan oversættes til 'sexet'. 

Det er dét brugernavn, der for første gang retter vores opmærksomhed mod David Do. 

Når vi søger på brugernavnet AznRico i datalæk, kan vi nemlig se, at der foruden dpfkscom@gmail.com også er en hotmail, der flere gange er blevet brugt til at oprette brugere med aliasset.

Og her er vi heldige. Hotmail-adressen indeholder David Dos fulde navn. Det viser, at AznRico-brugere er blevet oprettet fra både dpfkscom@gmail.com og David Dos personlige hotmail.

 

I datalæk finder vi brugernavnet AznRico oprettet fra både mailadressen dpfkscom@gmail.com og David Dos personlige mailadresse, hvori hans fulde navn fremgår. TjekDet har valgt at sløre de tre første tegn i mailadressen (Foto: Skærmbilleder).

Det kunne være et tilfældigt sammenfald, at både dpfkscom@gmail.com og David Dos personlige hotmail har oprettet AznRico-brugere, men datalæk viser også, at både David Dos personlige mail og dpfkscom@gmail.com flere gange har anvendt det præcis samme kodeord.

Kodeordet består af en lang række tal og store og små bogstaver i tilsyneladende tilfældig rækkefølge, og er dermed så unikt, at det er usandsynligt, at det skulle bruges af to vidt forskellige personer. 

Det er altså med stor sikkerhed David Do, der står bag mailen dpfkscom@gmail.com, men vi mangler fortsat at knytte mailen - og dermed David Do - endegyldigt til MrDeepFakes’ hjemmeside.

Den sidste forbindelse

Forbindelsen finder vi i kildekoderne af arkiverede versioner af MrDeepFakes fra 2019. Her kan vi se, at dpfkscom@gmail.com var oplistet som mrdeepfakes.com’s kontaktmail. Det betyder, at når brugere har skrevet en mail til hjemmesiden, endte den via dpfkscom@gmail.com hos David Do.

Det er også gennem informationer fra datalæk, at vi kan dokumentere, at det er David Do, der står bag de profiler, der har skrevet på forskellige forummer om, hvordan man opretter skuffeselskaber og hvor mange penge, han har tjent. 

Foruden sammenfald mellem adgangskoder, brugernavne og mail-adresser, viser ip-adresser fra datalæk også, at både xinoa.net - en ulovlig fildelingshjemmeside, som David Do tidligere stiftede - og dpfkscom@gmail.com er blevet betjent fra geografiske områder, hvor David Do har befundet sig på de pågældende tidspunkter.

Da han var indskrevet på University of Waterloo og drev hjemmesiden xinoa.net, fører en lækket ip-adresse netop til University of Waterloo. Senere viser lækkede data, at brugere oprettet af dpfkscom@gmail og hans personlige mail flere gange er blevet betjent fra Toronto, hvor han i dag er bosat. 

Eksempelvis er brugeren dpfks på pornosiden Heavy-R - som er oprettet via mailadressen dpfkscom@gmail.com - tilknyttet en ip-adresse i den canadiske storby.

Hvis du vil læse mere om, hvad vi med vores research kom frem til, kan du læse artiklen om manden bag MrDeepFakes her. Du kan også læse mere om, hvordan hjemmesiden har medvirket til at fremme deepfake-teknologien generelt og om en dansk forbindelse i artikelseriens første artikel her.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her. Du kan også tilmelde dig TjekDet's gratis nyhedsbrev, hvor vi tipper dig om vores seneste faktatjek - direkte i din mailindbakke. Tilmeld dig nyhedsbrevet her.

Opdateret 8. maj 2025

Vil du vide mere?

Redaktionen anbefaler

Tjekdet

Kendte kvinder misbruges i porno-deepfakes

Tjekdet

Unge i 20'erne står bag omfattende spoofing-svindel

Tjekdet

Mailadresser og passwords fra danske myndigheder flyder på internettet

Tjekdet

Almindelige danskere bruges til at hvidvaske penge fra Nigeriabreve

Tjekdet

Afsløring: Hør hvordan danske kriminelle ringer til over 9.000 danskere og svindler dem for millioner

Tjekdet

Falske pas, fabrikerede pengesedler og klonede kreditkort sælges af kriminelle på Telegram