Se você acumulou computadores antigos, unidades flash, telefones ou discos rígidos e não os usou, convém levá-los a uma comissão para venda, a um
brechó , vendê-los você mesmo ou enviá-los para reciclagem. Mas você já se perguntou o que acontece com esses dispositivos e os dados armazenados neles? Seus dados são destruídos ou são revendidos, armazenando todas as suas memórias e dados pessoais disponíveis para o próximo proprietário? E se esses dados estiverem disponíveis, o que acontecerá se alguém como eu começar a vasculhar todas as lojas de comissões e instituições de caridade perto de minha casa, apenas para descobrir quantos dados pessoais ele pode encontrar lá?
Para descobrir exatamente quanto, passei seis meses extraindo todos os dados que consegui encontrar em dispositivos vendidos onde vendem computadores reformados ou aceitam gadgets para revenda como presente. No final do experimento, estudos mostraram que muitas empresas não fornecem o que garantem e não apagam dados de dispositivos que as pessoas oferecem.
Vamos ver como foi minha experiência, quais dados eu consegui extrair e métodos para a remoção garantida de dados dos seus dispositivos antigos antes de vendê-los.
O processo
Meu primeiro passo foi a parte menos interessante do experimento: estudei quais empresas vendem computadores recondicionados, doados ou usados perto de minha casa em Wisconsin. Visitei 31 lojas e comprei tudo o que pude por US $ 600. Aqui está o que eu tenho:
Computadores de mesa e laptop - 41
Mídia removível (unidades flash, cartões de memória) - 27
Discos rígidos - 11
Telefones celulares - 6
Ao comprar um dispositivo, voltei ao centro de controle (como chamo de meu porão) e comecei o processo de extração de dados. Trazendo um computador para casa, tentei fazer o download para descobrir se estava carregando e se era necessária uma senha. Escrevi
um script do PowerShell que percorre o disco e compila uma lista de todas as imagens, documentos, emails salvos e o histórico de correspondência em mensagens instantâneas. Arquivei e cataloguei tudo isso na área de trabalho. Apenas um laptop da Dell foi limpo como deveria.
A maioria dos discos rígidos tinha uma interface IDE, então usei um dispositivo externo para conectar rapidamente discos rígidos (uma
torradeira IDE ) e
um script Python que catalogava todos os dados. Descobri que nem um único disco rígido estava criptografado e tudo funcionou bem (exceto os antigos Hitachi de 30 GB, que foram limpos).
Os telefones que eu comprei eram muito antigos e eu tive que comprar três taxas de propriedade diferentes no eBay, o que aumentou meus custos para US $ 650 (sem incluir gás e café). Os telefones não exigiam um PIN e, para alguns deles, não consegui encontrar um software para conectar-se a um computador.
No caso de drives flash e cartões de memória, apenas os pluguei e usei um script Python para organizar os dados.
Em geral, o resultado da minha pesquisa foi chocante. Dos 85 dispositivos adquiridos, apenas dois (um laptop Dell e disco rígido Hitachi) foram completamente limpos. E apenas três dispositivos foram criptografados.
Dados
Armado com uma montanha de dados e um porão cheio de ferro mais velho que eu, desenvolvi um plano para classificar todos os dados em busca de informações pessoais. Usei pyocr para determinar números de previdência social, aniversários, números de cartão de crédito e números de telefone em imagens ou PDFs. Depois, usei o PowerShell para examinar todos os documentos, emails e textos em busca das mesmas informações. Eu
mantive todos os clientes regulares para o processamento de informações pessoais.
Apesar do reconhecimento óptico de caracteres não funcionar 100% com precisão e de dados que não consegui extrair nas imagens ou no PDF, posso confirmar que os frequentadores costumavam extrair números de previdência social, aniversários e números de cartão de crédito Os números de telefone e da carteira de motorista eram bastante abrangentes.
Abaixo está a contagem final dos dados processados (sem incluir vários históricos de correspondência no MSN / AIM) e formatos de arquivo. Excluí alguns formatos (XML, HTML e CSS).
Imagens (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG) - 214 019
Documentos (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) - 3.406
E-mails (PST, MSG, DBX, EMLX) - 148 903
Como você pode ver, muitas coisas foram encontradas. E o mais interessante é que consegui extrair muitas informações pessoais. Aqui está o layout dos valores exclusivos para cada tipo de informação:
Endereços de email - 611
Data de nascimento - 50
Número de Segurança Social - 41
Número de cartão bancário - 19
Número da carta de condução - 6
Número do passaporte - 2
Surpreendentemente, a maioria dos números de cartões bancários foi obtida de fotografias ou digitalizações de cartões, e a frente e o verso do cartão foram fotografados. Os números dos passaportes também foram retirados das verificações.
Custo
Realizando pesquisas adicionais, percebi como é barato e fácil comprar informações de pessoas na Darknet. Os números de previdência social custam US $ 1, os documentos completos (dox) custam US $ 3. Portanto, não podemos justificar o investimento inicial de US $ 600.
Uma conclusão interessante é a seguinte: vazamentos de dados são tão comuns que diminuíram o custo dos dados. Eu vi vários lixões na Darknet com números de previdência social que custam até menos de um dólar cada.
Como se livrar com segurança dos seus gadgets
Ao doar para uma instituição de caridade ou vender um gadget, você precisa garantir que todos os dados dele sejam excluídos e não esperar que o vendedor faça isso por você. Mas se você deseja fornecer seus gadgets para reciclagem, veja algumas maneiras de garantir que você não possa restaurar dados deles destruindo permanentemente o dispositivo ou a mídia:
- O martelo
- Queima (cautela, produtos tóxicos da combustão).
- Moagem industrial.
- Broca
- Acid.
- Eletrólise.
- Microondas.
- Soldagem de cupins.
Ao usar esses métodos, você precisará proteger o local de trabalho e oferecer proteção razoável (pelo menos óculos e luvas). E fornecendo proteção, com a destruição de gadgets, você pode se divertir.
Aqui, por exemplo, como a soldagem por termite destrói um PC de mesa:
Em princípio, se você não destruiu fisicamente o dispositivo, os especialistas poderão extrair dados dele. Se isso te excita, é melhor jogar pelo seguro e destruí-lo. No entanto, geralmente basta apenas limpar seu dispositivo, geralmente é muito fácil e simples [por exemplo, para dispositivos Android, é suficiente criptografar todos os dados e redefinir as configurações de fábrica].
Se você deseja limpar seu disco rígido,
o Boot and Nuke do Darik ajudará. No entanto, esse método não funcionará com unidades de estado sólido ou unidades RAID. Neste último caso, o
PartedMagic funciona
bem .
Conclusão
Se você está preocupado que seus dados estejam nas mãos de invasores, destrua-os. Se você deseja doar o dispositivo para bons fins, verifique se ele está limpo. Mesmo se você receber uma garantia por escrito de destruição de dados, não poderá verificá-lo, exceto para apagá-lo.