Τι ίχνη μπορεί να αφήνετε πίσω ως πωλητής και πώς μπορείτε να κάνετε τη συσκευή σας να συμπεριφέρεται σαν να ήταν ολοκαίνουργια ως αγοραστής;
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky εξέτασε την ασφάλεια σε μεταχειρισμένες συσκευές. Οι συσκευές, τις οποίες οι επικεφαλής των ερευνών, Marco Preuss και Christian Funk, εξέτασαν εξονυχιστικά για δύο μήνες στα τέλη του 2020, περιλάμβαναν μεταχειρισμένους φορητούς υπολογιστές και μια γκάμα μέσων αποθήκευσης, όπως σκληρούς δίσκους και κάρτες μνήμης.
Στόχος τους δεν ήταν να προσδιορίσουν τις διαφορές ανάλογα με τον τύπο της συσκευής, αλλά περισσότερο να εξετάσουν τα σχετικά δεδομένα — να μάθουν πώς τα ηλεκτρονικά δεδομένα σχετίζονται με τις πωλήσεις από άτομο σε άτομο ή άλλες δευτερεύουσες πωλήσεις. Ως πωλητής, τι ίχνη μπορεί να αφήνετε πίσω; Ως αγοραστής, πώς μπορείτε να κάνετε τη συσκευή σας να συμπεριφέρεται σαν να ήταν ολοκαίνουργια – και μέχρι να το κάνετε, είναι ασφαλές να χρησιμοποιείτε τη νέα σας συσκευή;
Ευρήματα
Η συντριπτική πλειονότητα των συσκευών που εξέτασαν οι ερευνητές περιείχε τουλάχιστον ορισμένα ίχνη δεδομένων – κυρίως προσωπικά αλλά και ορισμένα εταιρικά – και περισσότερο από το 16% των συσκευών έδωσε στους ερευνητές άμεση πρόσβαση. Ακόμα ένα 74% αποκάλυψε τα δεδομένα του όταν οι ερευνητές εφάρμοσαν μεθόδους file-carving. Μόνο ένα 11% είχε σωστά διαγραμμένες πληροφορίες.
Τα δεδομένα που βρήκαν οι Preuss και Funk περιλάμβαναν στοιχεία που θα μπορούσαν ενδεχομένως να είναι αβλαβή ή φοβερά αποκαλυπτικά, ακόμη και επικίνδυνα: ημερολογιακές καταχωρήσεις, σημειώσεις συσκέψεων, δεδομένα πρόσβασης σε πόρους της εταιρείας, εσωτερικά έγγραφα, προσωπικές φωτογραφίες, ιατρικές πληροφορίες, φορολογικά έγγραφα, τραπεζικά έγγραφα (μεταξύ των οποίων ένα πλήρες σύνολο δεδομένων ενός οικιακού τραπεζικού λογαριασμού, συμπεριλαμβανομένου του κωδικού πρόσβασης), πρόσβαση σε δεδομένα σε κάθε είδους διαδικτυακές πλατφόρμες όπως τα μέσα κοινωνικής δικτύωσης και e-shops, προσωπική αλληλογραφία, πανεπιστημιακά έγγραφα και πολλά άλλα. Επιπλέον, όπως επεσήμανε ο Funk, τα προσωπικά δεδομένα δεν τείνουν να χάνουν αξία με την πάροδο του χρόνου – δεν μπορείτε απλά να περιμένετε πως δεν υπάρχει πλέον κίνδυνος και να αισθάνεστε ασφαλέστεροι μετά από κάποιο χρονικό διάστημα (όχι ότι το αίσθημα ασφάλειας μειώνει πραγματικά τον κίνδυνο με οποιονδήποτε τρόπο).
Εκτός από τις άμεσα χρησιμοποιήσιμες πληροφορίες, όπως λίστες επαφών, φορολογικά έγγραφα και ιατρικά αρχεία (ή πρόσβαση σε αυτές μέσω αποθηκευμένων κωδικών πρόσβασης), οι ηλεκτρονικές συσκευές περιέχουν πληροφορίες που μπορούν να προκαλέσουν ζημιά από δεύτερο χέρι. Eξετάστε τον τρόπο με τον οποίο οι ψηφιακοί εγκληματίες εκμεταλλεύονται τις πληροφορίες που αντλούν από προφίλ και αναρτήσεις σε μέσα κοινωνικής δικτύωσης. Τα περιεχόμενα μιας ψηφιακής συσκευής παρέχουν πολύ περισσότερες πληροφορίες.
Είναι ασφαλές να πούμε ότι κανείς άλλος δεν μοιράζεται την ακριβή ανοχή σας για την ασφάλεια των ψηφιακών συσκευών. Μερικοί μπορεί τις ασφαλίσουν ακόμα περισσότερο από εσάς, αλλά αν αγοράζετε μεταχειρισμένα, δεν είναι απίθανο να λάβετε όχι μόνο τα δεδομένα κάποιου άλλου αλλά και ως μπόνους το κακόβουλο λογισμικό του. Από τις συσκευές που εξέτασαν οι Preuss και Funk, το 17% ενεργοποίησε τους συναγερμούς του σαρωτή ιών.
Prequel: Μια ευρύτερη μελέτη
Η έρευνα ξεκίνησε με μια μελέτη που ανέθεσε η Kaspersky στην Arlington Research, στην οποία συμμετείχαν αρκετές χιλιάδες ενήλικες καταναλωτές από το Ηνωμένο Βασίλειο, τη Γερμανία και την Αυστρία. Η αρχική μελέτη λειτούργησε ως ένα είδος επιβεβαίωσης, διαπιστώνοντας ότι οι online πωλήσεις μεταχειρισμένων συσκευών είναι πράγματι πολλές και μάλιστα μια αξιόπιστη πηγή διαρροών δεδομένων. Λιγότεροι από τους μισούς αγοραστές δεν βρήκαν φωτογραφίες, πορνογραφικό υλικό, στοιχεία επικοινωνίας, ευαίσθητα έγγραφα όπως διαβατήρια ή στοιχεία σύνδεσης στις συσκευές που είχαν αγοράσει.
Πωλητή, πρόσεχε
Παρόλο που περίπου το 10% των ερωτηθέντων της έρευνας είχαν λάβει συσκευές στις οποίες βρήκαν τις πληροφορίες του πωλητή, λίγοι ήταν αυτοί που θα αγνοούσαν, θα έσβηναν αμέσως ή θα ανέφεραν τα δεδομένα που βρέθηκαν στον αρχικό ιδιοκτήτη ή στις αρχές. Πέρα από το να ρίξουν μια ματιά (το οποίο το 74% των ερωτηθέντων δήλωσε ότι θα βρει έναν τρόπο να το κάνει), περισσότεροι από 1 στους 10 παραδέχτηκαν ότι θα πωλούσαν τα δεδομένα που βρήκαν αν πίστευαν ότι θα μπορούσαν να επωφεληθούν από αυτά.
Ο Marco Preuss, επικεφαλής της ομάδας έρευνας και ανάλυσης της Kaspersky για την Ευρώπη, συμβουλεύει τους πωλητές: «Τα εμπιστευτικά δεδομένα σε φορητούς υπολογιστές, tablet ή smartphones πρέπει γενικά να αποθηκεύονται πάντα κρυπτογραφημένα. Επειδή ακόμα και αν θέλετε να διατηρήσετε τη συσκευή, δηλαδή να τη χρησιμοποιήσετε μόνο για προσωπική χρήση, πρέπει πάντα να εξετάζετε την πιθανότητα απώλειας ή μη εξουσιοδοτημένης πρόσβασης. Η πιθανή ζημία εάν τα προσωπικά δεδομένα πέσουν σε λάθος χέρια είναι τεράστια. Εκτός από την κλοπή ταυτότητας ή την πρόσβαση σε λογαριασμούς, θα ήταν επίσης δυνατός ο εκβιασμός ή ακόμη και η κοινωνική καταστροφή των αρχικών ιδιοκτητών. Επιπλέον, τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη διεξαγωγή επιθέσεων στον προηγούμενο ιδιοκτήτη της συσκευής, καθώς και στη στενή οικογένεια, τους φίλους ή τους κοντινούς του ανθρώπους».
Ο Christian Funk, επικεφαλής της ομάδας έρευνας και ανάλυσης DACH στην Kaspersky, αναφέρει σχετικά με την υποτιθέμενη διαγραφή δεδομένων πριν από τη διάθεση μιας συσκευής προς πώληση: «Μια ευρέως διαδεδομένη παρανόηση είναι ότι με την απλή διαγραφή δεδομένων ή τη μορφοποίηση ενός φορέα δεδομένων, όλα τα δεδομένα διαγράφονται από παντού μόνιμα». Εξηγεί το πρόβλημα που προκύπτει και τι πρέπει να έχουν κατά νου οι χρήστες: «Εάν τα δεδομένα δεν διαγραφούν σωστά, η δουλειά των ερευνητών δεδομένων είναι εύκολη. Ακόμη και τα δωρεάν εργαλεία μπορούν να ανακτήσουν δεδομένα με ελάχιστη προσπάθεια. Μόνο μια πλήρης επανεγγραφή των πραγματικών πληροφοριών σε έναν φορέα δεδομένων μπορεί να το διορθώσει αυτό. Ακόμη και τα απαρχαιωμένα μέσα δεν πρέπει να πωλούνται απρόσεκτα. Η κρισιμότητα των ευαίσθητων, προσωπικών δεδομένων σπάνια χάνει την αποτελεσματικότητά της με την πάροδο του χρόνου, ακόμη και αν η ίδια η συλλογή τοποθετείται βαθιά στο παρελθόν».
Οι ιδιοκτήτες μεταχειρισμένου εξοπλισμού θα πρέπει να γνωρίζουν ότι τα δεδομένα που αφήνονται πίσω στα μέσα αποθήκευσης μπορούν, σε περίπτωση που αμφιβάλατε, να αποκαλύψουν όλο το ιστορικό του εξοπλισμού κατά τη στιγμή της χρήσης.
Για τους πωλητές
Ως πωλητής, η πρώτη σας προτεραιότητα είναι να αφαιρέσετε τις πληροφορίες σας από τη συσκευή που πουλάτε, ώστε να μπορείτε να τις διατηρήσετε ασφαλείς και ιδιωτικές. Ναι, είναι επίσης σημαντικό να βεβαιωθείτε ότι η συσκευή είναι ασφαλής, κάτι που ελπίζουμε να έχετε κάνει από την αρχή, αλλά το θέμα εδώ είναι να κρατήσετε τα δεδομένα σας ιδιωτικά.
- Δημιουργία εφεδρικών δεδομένων: Είτε πρόκειται για τηλέφωνο, υπολογιστή, κάρτα μνήμης ή άλλη μορφή χώρου αποθήκευσης, δημιουργήστε ασφαλή αντίγραφα ασφαλείας πριν τα διαγράψετε από τη συσκευή που πουλάτε.
- Αφαιρέστε τις κάρτες SIM και αποθήκευσης από τα τηλέφωνα. Διαγράψτε την eSIM εάν η συσκευή σας χρησιμοποιεί μία.
- Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων για τυχόν λογαριασμούς που το επιτρέπουν και, στη συνέχεια, αποσυνδεθείτε από κάθε υπηρεσία (τραπεζικές συναλλαγές, μηνύματα ηλεκτρονικού ταχυδρομείου, μέσα κοινωνικής δικτύωσης κ.λπ.) στη συσκευή που πουλάτε.
- Ανάλογα με τη συσκευή, εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων ή μορφοποιήστε τα μέσα αποθήκευσης.
- Λάβετε υπόψη ότι σε πολλές περιπτώσεις τα δεδομένα μπορεί να είναι ανακτήσιμα ακόμη και μετά από επαναφορά εργοστασιακών ρυθμίσεων ή το format πολυμέσων. Για να βεβαιωθείτε ότι δεν έχει απομείνει τίποτα στη συσκευή, πρέπει να λάβετε πρόσθετα μέτρα, τα οποία ποικίλλουν ανάλογα με τον τύπο, το μοντέλο και τη διαμόρφωση της συσκευής. Αναζητήστε πληροφορίες σχετικά με την ασφαλή διαγραφή όλων των δεδομένων.
Για αγοραστές
Οι συμβουλές μας για τους αγοραστές μεταχειρισμένων συσκευών μοιάζουν πολύ με τις συμβουλές μας για γενική ψηφιακή ιδιοκτησία, αλλά είναι λίγο πιο αυστηρές επειδή πρέπει να ξεκινήσουμε υποθέτοντας ότι μια μεταχειρισμένη συσκευή είναι ύποπτη. Καλύτερα ασφαλής παρά μετανιωμένος.
- Ανάλογα με τη συσκευή, εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων ή μορφοποιήστε τα μέσα αποθήκευσης.
- Εγκαταστήστε και ενεργοποιήστε αμέσως μια αξιόπιστη λύση ασφαλείας – εάν είναι δυνατόν, πριν ακόμη αγοράσετε τη συσκευή – για να αντισταθμίσετε τον κίνδυνο εμφάνισης κακόβουλου λογισμικού που υπάρχει ήδη σε μια συσκευή και εκτελέστε σάρωση πριν χρησιμοποιήσετε τη συσκευή για πρώτη φορά.