Si ha acumulado computadoras, unidades flash, teléfonos o discos duros viejos, y no los usa, puede llevarlos a una comisión para la venta, a una
tienda de segunda mano , venderlos usted mismo o enviarlos para su reciclaje. Pero, ¿alguna vez se ha preguntado qué sucede con estos dispositivos y los datos almacenados en ellos? ¿Se destruyen sus datos, o se revenden estas cosas, almacenando todos sus recuerdos y datos personales disponibles para el próximo propietario? Y si estos datos están disponibles, ¿qué sucederá si alguien como yo comienza a peinar todas las comisiones y tiendas de caridad cerca de mi casa, solo para descubrir cuántos datos personales puede encontrar allí?
Para saber exactamente cuánto, pasé seis meses extrayendo todos los datos que pude encontrar en los dispositivos vendidos donde venden computadoras restauradas o aceptan dispositivos para revender como regalo. Hacia el final del experimento, los estudios mostraron que muchas empresas no proporcionan lo que garantizan y no borran los datos de los dispositivos que las personas les ofrecen.
Veamos cómo fue mi experimento, qué datos logré extraer y los métodos para garantizar la eliminación de datos de sus dispositivos antiguos antes de venderlos.
El proceso
Mi primer paso fue la parte menos interesante del experimento: estudié qué empresas venden computadoras restauradas, donadas o usadas cerca de mi casa en Wisconsin. Visité 31 tiendas y compré todo lo que pude por $ 600. Esto es lo que obtuve:
Computadoras de escritorio y portátiles: 41
Medios extraíbles (unidades flash, tarjetas de memoria) - 27
Discos duros - 11
Teléfonos móviles - 6
Al comprar un dispositivo, regresé al centro de control (como llamo a mi sótano) y comencé el proceso de extracción de datos. Al traer una computadora a casa, intenté descargarla para averiguar si se estaba cargando y si requería una contraseña. Escribí
un script de PowerShell que recorre el disco y compila una lista de todas las imágenes, documentos, correos electrónicos guardados y el historial de correspondencia en mensajería instantánea. Luego archivé y catalogé maravillosamente todo esto en el escritorio. Solo se limpió una computadora portátil de Dell como debería.
La mayoría de los discos duros tenían una interfaz IDE, por lo que utilicé un dispositivo externo para conectar rápidamente los discos duros (una
tostadora IDE ) y
un script de Python que catalogó todos los datos. Descubrí que ni un solo disco duro estaba encriptado, y todo funcionaba bien (excepto el antiguo Hitachi de 30 GB, que fue borrado).
Los teléfonos que compré eran muy viejos y tuve que comprar tres cargos de propiedad diferentes en eBay, lo que aumentó mis costos a $ 650 (sin incluir gas y café). Los teléfonos no requerían un PIN, y para algunos de ellos no pude encontrar software para conectarme a una computadora.
En el caso de las unidades flash y las tarjetas de memoria, simplemente las conecté y luego usé un script de Python para organizar los datos.
En general, el resultado de mi investigación fue impactante. De los 85 dispositivos adquiridos, solo dos (una computadora portátil Dell y un disco duro Hitachi) se limpiaron a fondo. Y solo se cifraron tres dispositivos.
Datos
Armado con una montaña de datos y un sótano repleto de hierro que era más viejo que yo, desarrollé un plan para clasificar todos los datos en busca de información personal. Utilicé pyocr para determinar los números de seguro social, cumpleaños, números de tarjetas de crédito y números de teléfono en imágenes o PDF. Luego usé PowerShell para revisar todos los documentos, correos electrónicos y textos en busca de la misma información.
Guardé todos los clientes habituales para el procesamiento de información personal.
A pesar de que el reconocimiento óptico de caracteres no funciona al 100% con precisión, y podría haber datos en las imágenes o en el PDF que no pude extraer, puedo confirmar que los clientes habituales solían extraer números de seguro social, cumpleaños, números de tarjetas de crédito Los números de teléfono y de licencia de conducir eran bastante completos.
A continuación se muestra el recuento final de los datos procesados (sin incluir varios historiales de correspondencia en MSN / AIM) y formatos de archivo. Excluí algunos formatos (XML, HTML y CSS) para abreviar.
Imágenes (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG) - 214019
Documentos (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) - 3,406
Correos electrónicos (PST, MSG, DBX, EMLX) - 148903
Como puede ver, se encontraron muchas cosas. Y lo más interesante es que logré extraer mucha información personal. Aquí está el diseño de los valores únicos para cada tipo de información:
Direcciones de correo electrónico - 611
Fecha de nacimiento - 50
Número de Seguro Social - 41
Número de tarjeta bancaria - 19
Número de licencia de conducir - 6
Número de pasaporte - 2
Sorprendentemente, la mayoría de los números de las tarjetas bancarias se obtuvieron de fotografías o escaneos de tarjetas, y se fotografiaron tanto el anverso como el reverso de la tarjeta. Los números de pasaporte también fueron tomados de escaneos.
Costo
Al seguir investigando, me di cuenta de lo barato y fácil que es comprar información de personas en Darknet. Los números de seguro social cuestan $ 1, los documentos completos (dox) cuestan $ 3. Por lo tanto, no podemos justificar la inversión inicial de $ 600.
De esto se deduce una conclusión interesante: las filtraciones de datos son tan comunes que redujeron el costo de los datos. Vi varios vertederos en Darknet con números de seguridad social que cuestan incluso menos de $ 1 cada uno.
Cómo deshacerte de tus dispositivos de forma segura
Al dar una obra de caridad o vender un gadget, debe asegurarse de que se eliminen todos los datos que contiene y no esperar que el vendedor lo haga por usted. Pero si desea entregar sus dispositivos para su reciclaje, aquí hay algunas formas de asegurarse de que no pueda restaurar sus datos destruyendo permanentemente el dispositivo o los medios:
- El martillo
- Ardor (precaución, productos tóxicos de la combustión).
- Molienda industrial.
- Taladro
- Ácido
- Electrólisis
- Microondas.
- Soldadura de termitas.
Cuando utilice dichos métodos, deberá asegurar el lugar de trabajo y ponerse una protección razonable (al menos gafas y guantes). Y brindando protección, con la destrucción de gadgets puedes divertirte.
Aquí, por ejemplo, cómo la soldadura por termita destruye una PC de escritorio:
En principio, si no ha destruido físicamente el dispositivo, los especialistas podrán extraer datos de él. Si esto te emociona, entonces es mejor ir a lo seguro y destruirlo. Sin embargo, por lo general, es suficiente simplemente limpiar su dispositivo, por lo general es muy fácil y simple [por ejemplo, para dispositivos Android es suficiente cifrar todos los datos y luego restablecer la configuración de fábrica].
Si quieres limpiar tu disco duro,
Darik's Boot And Nuke te ayudará. Sin embargo, este método no funcionará con unidades de estado sólido o unidades RAID. En este último caso,
PartedMagic funciona
bien .
Conclusión
Si le preocupa que sus datos puedan estar en manos de los atacantes, destruya los datos. Si desea donar el dispositivo con buenos fines, asegúrese de que esté limpio. Incluso si recibe una garantía por escrito de la destrucción de datos, no podrá verificarla, excepto para borrarla usted mismo.