Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky εξέτασε την ασφάλεια σε μεταχειρισμένες συσκευές.

Οι ερευνητές εξέτασαν εξονυχιστικά για δύο μήνες στα τέλη του 2020 από μεταχειρισμένους φορητούς υπολογιστές και κινητά, μέχρι μια γκάμα μέσων αποθήκευσης, όπως σκληρούς δίσκους και κάρτες μνήμης.

Ο στόχος τους ήταν να μάθουν τι ίχνη αφήνει πίσω του ο πωλητής των συσκευών και πώς ο αγοραστής μπορεί να κάνει τη συσκευή να συμπεριφέρεται σαν καινούρια.

«Μέχρι να συμβεί αυτό είναι ασφαλές να χρησιμοποιείτε τη νέα σας συσκευή;» αναρωτήθηκαν οι επικεφαλής της έρευνας.

Τα αποτελέσματα της έρευνας

Το ανησυχητικό είναι ότι η συντριπτική πλειονότητα των συσκευών που εξέτασαν οι ερευνητές περιείχε τουλάχιστον ορισμένα ίχνη δεδομένων – κυρίως προσωπικά αλλά και ορισμένα εταιρικά. Μάλιστα, περισσότερες από το 16% των συσκευών έδωσε στους ερευνητές άμεση και εύκολη πρόσβαση. Το 74% αποκάλυψε τα δεδομένα του όταν οι ερευνητές εφάρμοσαν μεθόδους file-carving.

Μόλις το 11% είχε σωστά διαγραμμένες πληροφορίες.

Τα δεδομένα που βρήκαν οι ερευνητές περιλάμβαναν όλως των ειδών τα στοιχεία: από αβλαβή ή φοβερά αποκαλυπτικά, ακόμη και επικίνδυνα:

  • ημερολογιακές καταχωρήσεις
  • σημειώσεις συσκέψεων
  • δεδομένα πρόσβασης σε πόρους της εταιρείας
  • εσωτερικά έγγραφα
  • προσωπικές φωτογραφίες
  • ιατρικές πληροφορίες
  • φορολογικά έγγραφα
  • τραπεζικά έγγραφα (μεταξύ των οποίων ένα πλήρες σύνολο δεδομένων ενός οικιακού τραπεζικού λογαριασμού, συμπεριλαμβανομένου του κωδικού πρόσβασης)
  • πρόσβαση σε δεδομένα σε κάθε είδους διαδικτυακές πλατφόρμες όπως τα μέσα κοινωνικής δικτύωσης και e-shops
  • προσωπική αλληλογραφία
  • πανεπιστημιακά έγγραφα

Επιπλέον, τονίζεται ότι τα προσωπικά δεδομένα δεν τείνουν να χάνουν αξία με την πάροδο του χρόνου – δεν μπορείτε απλά να περιμένετε πως δεν υπάρχει πλέον κίνδυνος και να αισθάνεστε ασφαλέστεροι μετά από κάποιο χρονικό διάστημα

Εκτός από τις άμεσα χρησιμοποιήσιμες πληροφορίες, όπως λίστες επαφών, φορολογικά έγγραφα και ιατρικά αρχεία (ή πρόσβαση σε αυτές μέσω αποθηκευμένων κωδικών πρόσβασης), οι ηλεκτρονικές συσκευές περιέχουν πληροφορίες που μπορούν να προκαλέσουν ζημιά και με πιο έμμεσο τρόπο.

Τι να προσέχουμε

Ο Marco Preuss, επικεφαλής της ομάδας έρευνας και ανάλυσης της Kaspersky για την Ευρώπη, συμβουλεύει τους πωλητές κινητών, υπολογιστών και άλλων συσκευών αποθήκευσης δεδομένων:

 «Τα εμπιστευτικά δεδομένα σε φορητούς υπολογιστές, tablet ή smartphones πρέπει γενικά να αποθηκεύονται πάντα κρυπτογραφημένα. Επειδή ακόμα και αν θέλετε να διατηρήσετε τη συσκευή, δηλαδή να τη χρησιμοποιήσετε μόνο για προσωπική χρήση, πρέπει πάντα να εξετάζετε την πιθανότητα απώλειας ή μη εξουσιοδοτημένης πρόσβασης.

Η πιθανή ζημία εάν τα προσωπικά δεδομένα πέσουν σε λάθος χέρια είναι τεράστια. Εκτός από την κλοπή ταυτότητας ή την πρόσβαση σε λογαριασμούς, θα ήταν επίσης δυνατός ο εκβιασμός ή ακόμη και η κοινωνική καταστροφή των αρχικών ιδιοκτητών. Επιπλέον, τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη διεξαγωγή επιθέσεων στον προηγούμενο ιδιοκτήτη της συσκευής, καθώς και στη στενή οικογένεια, τους φίλους ή τους κοντινούς του ανθρώπους».

Μόνο η διαγραφή των δεδομένων δεν φτάνει

Ο Christian Funk, επικεφαλής της ομάδας έρευνας και ανάλυσης DACH στην Kaspersky, αναφέρει σχετικά με την υποτιθέμενη διαγραφή δεδομένων, πριν την πώληση μιας συσκευής:

 «Μια ευρέως διαδεδομένη παρανόηση είναι ότι με την απλή διαγραφή δεδομένων ή τη μορφοποίηση ενός φορέα δεδομένων, όλα τα δεδομένα διαγράφονται από παντού μόνιμα. Εάν τα δεδομένα δεν διαγραφούν σωστά, η δουλειά των ερευνητών δεδομένων είναι εύκολη. Ακόμη και τα δωρεάν εργαλεία μπορούν να ανακτήσουν δεδομένα με ελάχιστη προσπάθεια.

Μόνο μια πλήρης επανεγγραφή των πραγματικών πληροφοριών σε έναν φορέα δεδομένων μπορεί να το διορθώσει αυτό. Ακόμη και τα απαρχαιωμένα μέσα δεν πρέπει να πωλούνται απρόσεκτα. Η κρισιμότητα των ευαίσθητων, προσωπικών δεδομένων σπάνια χάνει την αποτελεσματικότητά της με την πάροδο του χρόνου, ακόμη και αν η ίδια η συλλογή τοποθετείται βαθιά στο παρελθόν».

Όσοι έχουν σκοπό να πουλήσουν τέτοιου είδους συσκευή θα πρέπει να ξέρουν ότι τα δεδομένα που αφήνονται πίσω στα μέσα αποθήκευσης μπορούν να αποκαλύψουν όλο το ιστορικό του εξοπλισμού κατά τη στιγμή της χρήσης.