Wenn Sie alte Computer, Flash-Laufwerke, Telefone oder Festplatten angesammelt haben und diese nicht verwenden, möchten Sie sie möglicherweise zu einer Provision zum Verkauf, zu einem Gebrauchtwarenladen bringen, sie selbst verkaufen oder zum Recycling senden. Aber haben Sie sich jemals gefragt, was mit diesen Geräten und den darauf gespeicherten Daten passiert? Werden Ihre Daten zerstört oder werden diese Dinge weiterverkauft, um alle Ihre Erinnerungen und persönlichen Daten zu speichern, die dem nächsten Eigentümer zur Verfügung stehen? Und wenn diese Daten verfügbar sind, was passiert, wenn jemand wie ich anfängt, alle Provisions- und Wohltätigkeitsläden in der Nähe meines Hauses zu kämmen, um herauszufinden, wie viele persönliche Daten er dort finden kann?
Um genau herauszufinden, wie viel es kostet, habe ich sechs Monate damit verbracht, alle Daten zu extrahieren, die ich in verkauften Geräten finden konnte, auf denen überholte Computer verkauft oder Geräte zum Weiterverkauf als Geschenk angenommen wurden. Gegen Ende des Experiments zeigten Studien, dass viele Unternehmen nicht das bieten, was sie garantieren, und keine Daten von Geräten löschen, die von Menschen angeboten werden.
Mal sehen, wie mein Experiment verlaufen ist, welche Daten ich extrahiert habe und welche Methoden zum garantierten Entfernen von Daten von Ihren alten Geräten vor dem Verkauf gelten.
Der Prozess
Mein erster Schritt war der am wenigsten interessante Teil des Experiments: Ich untersuchte, welche Unternehmen renovierte, gespendete oder gebrauchte Computer in der Nähe meines Hauses in Wisconsin verkaufen. Ich besuchte 31 Geschäfte und kaufte alles, was ich konnte, für 600 Dollar. Folgendes habe ich bekommen:
Desktop- und Laptop-Computer - 41
Wechselmedien (Flash-Laufwerke, Speicherkarten) - 27
Festplatten - 11
Mobiltelefone - 6
Beim Kauf eines Geräts kehrte ich zum Kontrollzentrum zurück (wie ich meinen Keller nenne) und begann mit dem Extrahieren von Daten. Als ich einen Computer nach Hause brachte, versuchte ich ihn herunterzuladen, um herauszufinden, ob er geladen wurde und ob ein Passwort erforderlich war. Ich habe
ein PowerShell-Skript geschrieben , das die Festplatte durchläuft und eine Liste aller Bilder, Dokumente, gespeicherten E-Mails und des Verlaufs der Korrespondenz in Instant Messenger erstellt. Dann habe ich das alles wunderschön archiviert und auf dem Desktop katalogisiert. Nur ein Laptop von Dell wurde ordnungsgemäß gereinigt.
Die meisten Festplatten hatten eine IDE-Schnittstelle, daher verwendete ich ein externes Gerät, um Festplatten schnell zu verbinden (einen
IDE-Toaster ), und
ein Python-Skript , das alle Daten katalogisierte. Ich stellte fest, dass keine einzige Festplatte verschlüsselt war und alles einwandfrei funktionierte (mit Ausnahme des alten 30-GB-Hitachi, der gelöscht wurde).
Die Telefone, die ich gekauft habe, waren sehr alt und ich musste drei verschiedene proprietäre Gebühren bei eBay kaufen, was meine Kosten auf 650 USD erhöhte (ohne Benzin und Kaffee). Für die Telefone war keine PIN erforderlich, und für einige von ihnen konnte ich keine Software zum Anschließen an einen Computer finden.
Bei Flash-Laufwerken und Speicherkarten habe ich sie einfach eingesteckt und dann ein Python-Skript verwendet, um die Daten zu organisieren.
Im Allgemeinen war das Ergebnis meiner Forschung schockierend. Von den 85 gekauften Geräten wurden nur zwei (ein Dell-Laptop und eine Hitachi-Festplatte) gründlich gereinigt. Und nur drei Geräte wurden verschlüsselt.
Daten
Ausgerüstet mit einem Datenberg und einem Keller voller Eisen, der älter war als ich, entwickelte ich einen Plan, um alle Daten auf der Suche nach persönlichen Informationen zu sortieren. Ich habe pyocr verwendet, um Sozialversicherungsnummern, Geburtstage, Kreditkartennummern und Telefonnummern in Bildern oder PDFs zu bestimmen. Dann habe ich mit PowerShell alle Dokumente, E-Mails und Texte durchsucht, um nach denselben Informationen zu suchen. Ich
habe alle Stammgäste für die Verarbeitung persönlicher Informationen
behalten .
Trotz der Tatsache, dass die optische Zeichenerkennung nicht 100% genau funktioniert und möglicherweise Daten auf den Bildern oder im PDF vorhanden sind, die ich nicht extrahieren konnte, kann ich bestätigen, dass die Stammgäste Sozialversicherungsnummern, Geburtstage und Kreditkartennummern extrahieren Die Telefonnummern und Führerscheinnummern waren ziemlich umfangreich.
Nachfolgend finden Sie die endgültige Anzahl der verarbeiteten Daten (ohne mehrere Korrespondenzverläufe in MSN / AIM) und Dateiformate. Ich habe einige Formate (XML, HTML und CSS) kurz ausgeschlossen.
Bilder (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG) - 214 019
Dokumente (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) - 3.406
E-Mails (PST, MSG, DBX, EMLX) - 148 903
Wie Sie sehen können, wurden viele Dinge gefunden. Und das Interessanteste ist, dass ich es geschafft habe, viele persönliche Informationen zu extrahieren. Hier ist das Layout der eindeutigen Werte für jeden Informationstyp:
E-Mail-Adressen - 611
Geburtsdatum - 50
Sozialversicherungsnummer - 41
Bankkartennummer - 19
Führerscheinnummer - 6
Passnummer - 2
Überraschenderweise wurden die meisten Zahlen von Bankkarten aus Fotos oder Kartenscans erhalten, und sowohl die Vorder- als auch die Rückseite der Karte wurden fotografiert. Passnummern wurden auch aus Scans entnommen.
Kosten
Als ich weiter recherchierte, wurde mir klar, wie billig und einfach es ist, Informationen von Leuten in Darknet zu kaufen. Sozialversicherungsnummern kosten 1 USD, vollständige Dokumente (dox) 3 USD. Daher können wir die anfängliche Investition von 600 US-Dollar nicht rechtfertigen.
Daraus folgt eine interessante Schlussfolgerung: Datenlecks sind so häufig, dass sie die Kosten der Daten senken. Ich habe in Darknet mehrere Müllkippen mit Sozialversicherungsnummern gesehen, die sogar weniger als 1 Dollar pro Stück kosten.
So entfernen Sie Ihre Geräte sicher
Wenn Sie für wohltätige Zwecke spenden oder ein Gadget verkaufen, müssen Sie sicherstellen, dass alle Daten gelöscht werden, und nicht hoffen, dass der Verkäufer dies für Sie tut. Wenn Sie Ihre Geräte jedoch zum Recycling geben möchten, können Sie auf folgende Weise sicherstellen, dass Sie keine Daten von ihnen wiederherstellen können, indem Sie das Gerät oder die Medien dauerhaft zerstören:
- Der Hammer.
- Verbrennung (Vorsicht, giftige Verbrennungsprodukte).
- Industrielles Schleifen.
- Bohren
- Säure.
- Elektrolyse.
- Mikrowellen.
- Termitenschweißen.
Wenn Sie solche Methoden anwenden, müssen Sie den Arbeitsplatz sichern und einen angemessenen Schutz (mindestens Brille und Handschuhe) tragen. Und Schutz bieten, mit der Zerstörung von Geräten können Sie Spaß haben.
Hier zum Beispiel, wie das Thermitschweißen einen Desktop-PC zerstört:
Wenn Sie das Gerät nicht physisch zerstört haben, können Spezialisten im Prinzip Daten daraus extrahieren. Wenn dich das reizt, ist es besser, auf Nummer sicher zu gehen und es zu zerstören. Normalerweise reicht es jedoch aus, nur um Ihr Gerät zu reinigen. In der Regel ist es sehr einfach und unkompliziert [für Android-Geräte reicht es beispielsweise aus, alle Daten zu verschlüsseln und dann auf die Werkseinstellungen zurückzusetzen].
Wenn Sie Ihre Festplatte reinigen möchten, hilft
Dariks Boot And Nuke . Diese Methode funktioniert jedoch nicht mit Solid-State-Laufwerken oder RAID-Laufwerken. Im letzteren Fall funktioniert
PartedMagic gut .
Fazit
Wenn Sie befürchten, dass Ihre Daten in den Händen von Angreifern liegen könnten, zerstören Sie die Daten. Wenn Sie das Gerät für gute Zwecke spenden möchten, stellen Sie sicher, dass es gereinigt ist. Selbst wenn Sie eine schriftliche Zusicherung der Datenvernichtung erhalten, können Sie diese nicht überprüfen - es sei denn, Sie löschen sie selbst.