Доклад: 1 от всеки 5 мобилни телефона втора употреба все още съдържа лични данни от предишни собственици
19 процента от телефоните втора употреба, продавани в eBay, все още съдържат чувствителни данни, които могат да бъдат използвани за идентифициране на предишния собственик, според ново проучване на университета в Хертфордшир и поръчано от Comparitech.
Изследователи от университета в Хертфордшър закупиха 100 употребявани телефона чрез Ebay, за да разберат дали могат да извлекат идентифициращи данни от предишни собственици. Изследователите извършиха съдебномедицински анализ на широка гама от устройства от смартфони от висок клас до конвенционални мобилни телефони без интернет възможности.
19 процента от телефоните съдържаха данни от предишни собственици, а 17 процента имаха данни, които могат да бъдат използвани за идентифициране на тези предишни собственици, заедно с други потенциално ценни остатъчни данни. Информацията включваше хиляди лични имейли, интимни снимки, списъци с контакти, текстови съобщения, данъчни документи, данни за банкови сметки, хронология на сърфиране в мрежата и лични календари.
В грешни ръце личните данни, намерени на тези устройства, могат да бъдат използвани за редица престъпления, включително кражба на самоличност, измама, изнудване и целенасочен фишинг.
Изследователите извършиха съдебномедицински анализ на употребяваните телефони, използвайки публично достъпни инструменти, които могат да бъдат изтеглени от мрежата.
52% от телефоните са изтрити правилно
Анализираните телефони обхващат широк диапазон от възрасти и операционни системи, включително Android, iOS, Blackberry, Windows и конвенционални „тъпи“ телефони. Най-старият беше Motorola от 1996 г. „Целта на включването на широка гама от устройства беше да се сравни количеството данни, което може да остане в конвенционалните устройства, спрямо по-технологично напредналите устройства“, обясняват изследователите.
Изследователите се опитаха да създадат „изображение“ или точно копие на паметта на всеки телефон за анализ. От 100 проверени телефона 28 не могат да бъдат заснети. Това бяха предимно по-старите устройства, което изследователите признават, че е слабо място в тяхната методология. В бъдещи изследвания те казват, че ще се фокусират върху по-нови устройства. Изследователят от университета в Хартфордшир Олга Ангелопулу обяснява:
„В действителност някои от по-старите/конвенционални устройства не можеха да бъдат заснети, тъй като бяха несъвместими с инструментите или не функционираха. Тези, които бяха заснети и анализирани, съдържаха главно някои текстови съобщения, мултимедийни съобщения и списъци с контакти. От друга страна, по-новите устройства, които не са били нулирани до фабричните настройки, съдържат предимно някаква PII на бивш потребител или напълно възстановима PII на бивш потребител. Всъщност в тези случаи успяхме да извлечем напълно самоличност от смартфон.
52 процента от всички закупени устройства (74 процента от успешно заснетите устройства) за проучването са били нулирани до фабричните настройки, доказателство за опит на потребителя да изтрие лични данни.
19 процента от телефоните (26 процента от успешно заснетите устройства) съдържат данни от предишни собственици. В повечето от тези случаи – 17 процента от общата извадка – личната информация можеше да се извлече и можеше да се използва за идентифициране на предишен собственик на телефона.
Какви данни съдържаха телефоните?
Изследователите са извлекли лична информация от 17 процента от телефоните, закупени за проучването. Някои примери за данните на тези телефони включват:
- Формуляр за разходи и обезщетения P11D за 2012-13 г., който съдържа: име на работодателя, справка за PAYE, номер на ведомост, национален осигурителен номер и дата на раждане.
- Списък с контакти с 30 записа, включително номера на предишния собственик, списък със скорошни обаждания и 114 текстови съобщения, включително sexts и седем мултимедийни съобщения.
- Телефонен номер, имейл адрес и данни за банкова сметка. 532 лични снимки и 16 видеоклипа. Списък с обаждания, направени между октомври 2015 г. и януари 2016 г.
- Няколко акаунта в социални медии, в които все още сте били влезли, включително Facebook, Instagram и Skype.
- Apple ID и парола, потребителско име и парола за eBay, 408 снимки и история на сърфиране в мрежата.
- Списък с контакти и скорошни обаждания, както и четири имейл акаунта.
- Имейл акаунт, в който сте влезли и все още е активен.
- Доказателство, че телефонът е на дете от Рингууд, Хемпшир, с контакти и бележки.
Всички телефони са закупени от eBay между януари и юни 2018 г.
Защо хората оставят данни на телефоните си?
52 процента от анализираните телефони са били нулирани до фабричните настройки, което показва, че по-голямата част от потребителите са предприели стъпки за защита на личната си информация.
„Модерните смартфони и таблети предлагат няколко предимства, свързани с комуникацията и достъпността на техните потребители“, обясниха изследователите. „Ниското ниво на усилие, необходимо на потребител без технологична или компютърна грамотност, за да върне устройството си към фабричните настройки, е показателно за резултатите от проучването.“
17 процента от телефоните съдържат информация, която може да се използва за идентифициране на предишния собственик. Това означава, че продавачът или не е направил опит да изтрие данните, или го е направил неадекватно.
Comparitech си партнира с университета в Хертфордшир в подобни проучвания, фокусирани върху употребявани устройства с памет, включително USB устройства и SD карти . Повече от половината от тези устройства все още съдържат остатъчни данни от предишни собственици, така че телефоните втора употреба се изтриват много по-често.
Изследователите предполагат, че са необходими много по-малко усилия и знания за правилното изтриване на телефон, отколкото за изтриване на устройства с памет.
Все пак значителен брой хора не са успели да изтрият личните данни от телефоните си, преди да ги препродадат. Това може да се дължи на липса на разбиране как правилно да се изтриват данни, липса на загриженост в епохата на споделяне на данни и социални медии или неразбиране на рисковете от излагане на лични данни.