Używane komputery to kopalnia wrażliwych danych. Mało kto porządnie czyści dysk

Użytkownicy rzadko podejmują kroki zapobiegające odzyskiwaniu danych z używanego sprzętu elektronicznego. Intuicyjnie każdy to czuje, ale Josh Frantz z firmy Rapid7 zbadał skalę zjawiska. Analityk przez pół roku zbierał używane komputery, same dyski twarde i telefony komórkowe, przy czym ograniczył się jedynie do wizyt w lombardach w okolicy swojego miejsca zamieszkania w stanie Wisconsin. Ilość wrażliwych danych, jakie na nich znalazł, przerosła oczekiwania.

Materiał do badań zawierał 41 komputerów stacjonarnych i przenośnych, 27 kart pamięci, 11 dysków i 6 telefonów. Na urządzeniach udało mu się znaleźć całkiem sporo danych, pozostawionych przez byłych właścicieli urządzeń. Były to nie tylko ich „zwykłe” pliki, zdjęcia z wakacji czy prywatna korespondencja. Sporo danych to dane osobowe i płatnicze, na podstawie których mógłby ukraść czyjąś tożsamość.

Za pomocą narzędzia do rozpoznawania tekstu Frantz przeszukał zawartość kupionych magazynów danych w poszukiwaniu takich informacji jak daty urodzenia, numery kart kredytowych, amerykańskie numery ubezpieczenia społecznego (Social Security) i tym podobne. Znalazł ich całkiem sporo. Z elektronicznego złomu wydobył między innymi:

• 41 numerów ubezpieczenia,
• 50 dat urodzenia,
• 611 kont e-mail,
• 19 numerów kart kredytowych,
• 2 numery paszportu,
• 6 numerów prawa jazdy

Do tego trzeba dorzucić jeszcze jakieś 3,5 tysiąca dokumentów, 200 tysięcy zdjęć i 150 tysięcy wiadomości e-mail.

Na cały sprzęt analityk wydał niecałe 600 dolarów w 31 komisach i lombardach. Tylko dwa z kupionych urządzeń były prawidłowo wyczyszczone – dysk twardy marki Hitachi i laptop Della.

Trudno powiedzieć, ile Frantz mógłby zarobić na uzyskanych danych. Sprzedaż samych danych na giełdzie w darknecie nie byłaby raczej opłacalna i 600 dolarów by się nie zwróciło. Możliwe, że zarobiłby więcej, gdyby przejrzał dokładnie odnalezione zdjęcia i dokumenty – być może w nich znalazłby jakieś cenne informacje albo chociaż materiał do szantażu.

To tłumaczy, dlaczego cyberprzestępcy nie jeżdżą po sklepach z używanym sprzętem i nie przeczesują zdobytych dysków w poszukiwaniu danych osobowych. Obecnie wycieki i sprzedaż danych są tak powszechne, że nawet numer ubezpieczenia społecznego można kupić za mniej niż 1 dolara, a całe pakiety adresów e-mail są dostępne za darmo.

To pytanie zadaje sobie wielu użytkowników planujących sprzedaż swoich komputerów lub smartfonów. Usunięcie danych tak, by nie dało się uch łatwo odzyskać, wymaga nadpisania na nich innych informacji – najlepiej losowych i wielokrotnie. Może to dla nas zrobić na przykład darmowy program BleachBit, autor badania poleca narzędzie DBAN (Darik’s Boot and Nuke).

Można też dysk przewiercić, potłuc młotkiem, potrzymać w mikrofalówce, a na koniec dla pewności zalać kwasem.

W Polsce działa też ciekawa usługa, oferująca niszczenie dysków twardych z dojazdem do klienta. Dysk jest dosłownie upłynniany – z talerzy zostaje jedynie ciecz, a części nieprzechowujące danych są odpowiednio utylizowane. W przypadku ważnych i cennych danych to opcja warta rozważenia.