Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky εξέτασε την ασφάλεια σε μεταχειρισμένες συσκευές για δύο μήνες, στα τέλη του 2020, που περιλάμβαναν μεταχειρισμένους φορητούς υπολογιστές και μια γκάμα μέσων αποθήκευσης, όπως σκληρούς δίσκους και κάρτες μνήμης.
Στόχος δεν ήταν να προσδιορίσει τις διαφορές ανάλογα με τον τύπο της συσκευής, αλλά περισσότερο να εξετάσουν τα σχετικά δεδομένα — να μάθουν πώς τα ηλεκτρονικά δεδομένα σχετίζονται με τις πωλήσεις από άτομο σε άτομο ή άλλες δευτερεύουσες πωλήσεις.
Ως πωλητής, τι ίχνη μπορεί να αφήνει πίσω; Ως αγοραστής, πώς μπορεί να κάνει τη συσκευή του να συμπεριφέρεται σαν να ήταν ολοκαίνουργια – και μέχρι να το κάνει, είναι ασφαλές να χρησιμοποιεί τη νέα του συσκευή;
Τα ευρήματα
Η συντριπτική πλειονότητα των συσκευών που εξέτασαν οι ερευνητές της ομάδας περιείχε τουλάχιστον ορισμένα ίχνη δεδομένων – κυρίως προσωπικά αλλά και ορισμένα εταιρικά – και περισσότερο από το 16% των συσκευών έδωσε στους ερευνητές άμεση πρόσβαση.
Ακόμα ένα 74% αποκάλυψε τα δεδομένα του όταν οι ερευνητές εφάρμοσαν μεθόδους file-carving. Μόνο ένα 11% είχε σωστά διαγραμμένες τις πληροφορίες.
Τα δεδομένα που βρέθηκαν περιλάμβαναν στοιχεία που θα μπορούσαν ενδεχομένως να είναι αβλαβή ή ιδιαίτερα αποκαλυπτικά, ακόμη και επικίνδυνα: ημερολογιακές καταχωρήσεις, σημειώσεις συσκέψεων, δεδομένα πρόσβασης σε πόρους της εταιρείας, εσωτερικά έγγραφα, προσωπικές φωτογραφίες, ιατρικές πληροφορίες, φορολογικά έγγραφα, τραπεζικά έγγραφα (μεταξύ των οποίων ένα πλήρες σύνολο δεδομένων ενός οικιακού τραπεζικού λογαριασμού, συμπεριλαμβανομένου του κωδικού πρόσβασης), πρόσβαση σε δεδομένα σε κάθε είδους διαδικτυακές πλατφόρμες όπως τα μέσα κοινωνικής δικτύωσης και e-shops, προσωπική αλληλογραφία, πανεπιστημιακά έγγραφα και πολλά άλλα.
Εκτός από τις άμεσα χρησιμοποιήσιμες πληροφορίες, όπως λίστες επαφών, φορολογικά έγγραφα και ιατρικά αρχεία (ή πρόσβαση σε αυτές μέσω αποθηκευμένων κωδικών πρόσβασης), οι ηλεκτρονικές συσκευές περιέχουν πληροφορίες που μπορούν να προκαλέσουν ζημιά από δεύτερο χέρι.
Οι ερευνητές της ομάδας τονίζουν ότι αν αγοράζετε μεταχειρισμένα, δεν είναι απίθανο να λάβετε όχι μόνο τα δεδομένα κάποιου άλλου αλλά και ως… «bonus» το κακόβουλο λογισμικό του. Από τις συσκευές που εξετάστηκαν, το 17% ενεργοποίησε τους συναγερμούς του σαρωτή ιών.
Η έρευνα
Η έρευνα ξεκίνησε με μια μελέτη που ανέθεσε η Kaspersky στην Arlington Research, στην οποία συμμετείχαν αρκετές χιλιάδες ενήλικες καταναλωτές από το Ηνωμένο Βασίλειο, τη Γερμανία και την Αυστρία. Η αρχική μελέτη λειτούργησε ως ένα είδος επιβεβαίωσης, διαπιστώνοντας ότι οι online πωλήσεις μεταχειρισμένων συσκευών είναι πράγματι πολλές και μάλιστα μια αξιόπιστη πηγή διαρροών δεδομένων.
Λιγότεροι από τους μισούς αγοραστές δεν βρήκαν φωτογραφίες, πορνογραφικό υλικό, στοιχεία επικοινωνίας, ευαίσθητα έγγραφα όπως διαβατήρια ή στοιχεία σύνδεσης στις συσκευές που είχαν αγοράσει.
Πωλητή, πρόσεχε
Παρόλο που περίπου το 10% των ερωτηθέντων της έρευνας είχαν λάβει συσκευές στις οποίες βρήκαν τις πληροφορίες του πωλητή, λίγοι ήταν αυτοί που θα αγνοούσαν, θα έσβηναν αμέσως ή θα ανέφεραν τα δεδομένα που βρέθηκαν στον αρχικό ιδιοκτήτη ή στις αρχές.
Πέρα από το να ρίξουν μια ματιά (το οποίο το 74% των ερωτηθέντων δήλωσε ότι θα βρει έναν τρόπο να το κάνει), περισσότεροι από 1 στους 10 παραδέχτηκαν ότι θα πωλούσαν τα δεδομένα που βρήκαν αν πίστευαν ότι θα μπορούσαν να επωφεληθούν από αυτά.
Τί να προσέχουν οι πωλητές;
Ο Marco Preuss, επικεφαλής της ομάδας έρευνας και ανάλυσης της Kaspersky για την Ευρώπη, συμβουλεύει σχετικά τους πωλητές: «Τα εμπιστευτικά δεδομένα σε φορητούς υπολογιστές, tablet ή smartphones πρέπει γενικά να αποθηκεύονται πάντα κρυπτογραφημένα. Επειδή ακόμα και αν θέλετε να διατηρήσετε τη συσκευή, δηλαδή να τη χρησιμοποιήσετε μόνο για προσωπική χρήση, πρέπει πάντα να εξετάζετε την πιθανότητα απώλειας ή μη εξουσιοδοτημένης πρόσβασης.
Η πιθανή ζημία εάν τα προσωπικά δεδομένα πέσουν σε λάθος χέρια είναι τεράστια. Εκτός από την κλοπή ταυτότητας ή την πρόσβαση σε λογαριασμούς, θα ήταν επίσης δυνατός ο εκβιασμός ή ακόμη και η κοινωνική καταστροφή των αρχικών ιδιοκτητών. Επιπλέον, τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη διεξαγωγή επιθέσεων στον προηγούμενο ιδιοκτήτη της συσκευής, καθώς και στη στενή οικογένεια, τους φίλους ή τους κοντινούς του ανθρώπους».
Οι ιδιοκτήτες μεταχειρισμένου εξοπλισμού θα πρέπει να γνωρίζουν ότι τα δεδομένα που αφήνονται πίσω στα μέσα αποθήκευσης μπορούν, σε περίπτωση που αμφιβάλλατε, να αποκαλύψουν όλο το ιστορικό του εξοπλισμού κατά τη στιγμή της χρήσης.
Ως πωλητής, η πρώτη σας προτεραιότητα είναι να αφαιρέσετε τις πληροφορίες σας από τη συσκευή που πουλάτε, ώστε να μπορείτε να τις διατηρήσετε ασφαλείς και ιδιωτικές. Ναι, είναι επίσης σημαντικό να βεβαιωθείτε ότι η συσκευή είναι ασφαλής, κάτι που ελπίζουμε να έχετε κάνει από την αρχή, αλλά το θέμα εδώ είναι να κρατήσετε τα δεδομένα σας ιδιωτικά.
- Δημιουργία εφεδρικών δεδομένων: Είτε πρόκειται για τηλέφωνο, υπολογιστή, κάρτα μνήμης ή άλλη μορφή χώρου αποθήκευσης, δημιουργήστε ασφαλή αντίγραφα ασφαλείας πριν τα διαγράψετε από τη συσκευή που πουλάτε.
- Αφαιρέστε τις κάρτες SIM και αποθήκευσης από τα τηλέφωνα. Διαγράψτε την eSIM εάν η συσκευή σας χρησιμοποιεί μία.
- Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων για τυχόν λογαριασμούς που το επιτρέπουν και, στη συνέχεια, αποσυνδεθείτε από κάθε υπηρεσία (τραπεζικές συναλλαγές, μηνύματα ηλεκτρονικού ταχυδρομείου, μέσα κοινωνικής δικτύωσης κλπ.) στη συσκευή που πουλάτε.
- Ανάλογα με τη συσκευή, εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων ή μορφοποιήστε τα μέσα αποθήκευσης.
- Λάβετε υπόψη ότι σε πολλές περιπτώσεις τα δεδομένα μπορεί να είναι ανακτήσιμα ακόμη και μετά από επαναφορά εργοστασιακών ρυθμίσεων ή το format πολυμέσων. Για να βεβαιωθείτε ότι δεν έχει απομείνει τίποτα στη συσκευή, πρέπει να λάβετε πρόσθετα μέτρα, τα οποία ποικίλλουν ανάλογα με τον τύπο, το μοντέλο και τη διαμόρφωση της συσκευής. Αναζητήστε πληροφορίες σχετικά με την ασφαλή διαγραφή όλων των δεδομένων.
Τί να προσέχουν οι αγοραστές;
Ο Christian Funk, επικεφαλής της ομάδας έρευνας και ανάλυσης DACH στην Kaspersky, αναφέρει σχετικά με την υποτιθέμενη διαγραφή δεδομένων πριν από τη διάθεση μιας συσκευής προς πώληση:
«Μια ευρέως διαδεδομένη παρανόηση είναι ότι με την απλή διαγραφή δεδομένων ή τη μορφοποίηση ενός φορέα δεδομένων, όλα τα δεδομένα διαγράφονται από παντού μόνιμα».
Εξηγεί το πρόβλημα που προκύπτει και τι πρέπει να έχουν κατά νου οι χρήστες:
«Εάν τα δεδομένα δεν διαγραφούν σωστά, η δουλειά των ερευνητών δεδομένων είναι εύκολη. Ακόμη και τα δωρεάν εργαλεία μπορούν να ανακτήσουν δεδομένα με ελάχιστη προσπάθεια. Μόνο μια πλήρης επανεγγραφή των πραγματικών πληροφοριών σε έναν φορέα δεδομένων μπορεί να το διορθώσει αυτό. Ακόμη και τα απαρχαιωμένα μέσα δεν πρέπει να πωλούνται απρόσεκτα. Η κρισιμότητα των ευαίσθητων, προσωπικών δεδομένων σπάνια χάνει την αποτελεσματικότητά της με την πάροδο του χρόνου, ακόμη και αν η ίδια η συλλογή τοποθετείται βαθιά στο παρελθόν».
Οι συμβουλές για τους αγοραστές μεταχειρισμένων συσκευών μοιάζουν πολύ με τις συμβουλές για γενική ψηφιακή ιδιοκτησία, αλλά είναι λίγο πιο αυστηρές επειδή πρέπει να ξεκινήσουμε υποθέτοντας ότι μια μεταχειρισμένη συσκευή είναι ύποπτη. Καλύτερα ασφαλής παρά μετανιωμένος.
- Ανάλογα με τη συσκευή, εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων ή μορφοποιήστε τα μέσα αποθήκευσης.
- Εγκαταστήστε και ενεργοποιήστε αμέσως μια αξιόπιστη λύση ασφαλείας – εάν είναι δυνατόν, πριν ακόμη αγοράσετε τη συσκευή – για να αντισταθμίσετε τον κίνδυνο εμφάνισης κακόβουλου λογισμικού που υπάρχει ήδη σε μια συσκευή και εκτελέστε σάρωση πριν χρησιμοποιήσετε τη συσκευή για πρώτη φορά.
