Az emberek önként nyújtják át idegeneknek a digitális életüket, és még csak nem is tudnak róla
2021. július 20. – 12:23
frissítve
Teljesen érthető módon hatalmas piaca van a használt elektronikai eszközöknek. Egy új telefon vagy laptop nem feltétlenül olcsó, és minek porosodjon egy fiókban a régi gép, ha azt eladva kicsit kevésbé fáj az új modell megvásárlása? A vevő oldaláról is érthető, mert ha nem érdekli, hogy a legújabb, legprofibb, legcsillogóbb hardvert használja, akkor olcsóbban hozzájuthat régebbi, de az eredeti áruknál olcsóbb eszközökhöz.
Sokan gondolják így, azt azonban elfelejtik, hogy mégis mi mindent tárolnak ezeken az eszközökön. Bankkártya- és bakszámlaadatok, orvosi dokumentumok, esetleg nagyon, nagyon személyes jellegű fényképek és videók – senki nem örülne, ha mindez illetéktelenek kezébe jutna, ugye?
Ennek ellenére a legtöbben semmit vagy csak nagyon keveset tesznek ez ellen. A Kaspersky kiberbiztonsági kutatócég 2020-ban felvásárolt egy csomó használt számítógépet, telefont és külső adathordozót, és megkapargatták azokat, hogy megnézzék, mennyire próbálták meg az emberek törölni az adataikat az eladásra szánt eszközeikről.
Ha neked is fontos, hogy a jelentős dolgokat közérthetően elmagyarázzuk, segítsd a munkánkat, támogasd a Telexet!
Összesen 185 használt adathordozót vizsgáltak meg:
- 63 micro SD kártyát,
- 29 SD kártyát,
- 28 laptop és notebook merevlemezeit,
- 21 M2-es memóriakártyát,
- 17 USB-s külső meghajtót,
- 11 CF memóriakártyát,
- 6 memory sticket,
- 6 mini SD kártyát,
- 2 MMC memóriakártyát
- és 2 pendrive-ot.
Ezeket átnézték, és feljegyezték, miket találtak.
Márpedig találtak ezt-azt, méghozzá nem is keveset; szinte az összes adathordozón volt valami, amit nem vagy csak felületesen próbáltak meg eltávolítani.
Az eszközök 90 százalékán találtak valamit, és 16,4 százalékukon még csak erőlködniük sem kellett, mindenhez azonnal hozzáfértek (tehát eladás előtt meg sem próbálták letörölni a tárolt adatokat), 73,8 százalékukból pedig egy carving nevű módszerrel tudtak adatokat kisajtolni.
A maradék 10 százalékon semmit nem találtak, tehát azokról szakszerűen távolítottak el mindent. Hogy ez mit is jelent, arra egy kicsit később visszatérünk.
Mit találtak az elemzők?
A legtöbb hordozón személyes jellegű adatokat találtak, de a maradék 6,7 százaléknyi adat céges információ volt. A Kaspersky elemzői szerint ez a szám alacsonynak tűnhet, pedig inkább fel kéne ráznia a vállalatok IT-felelőseit: vannak alkalmazottak, akik tudtukon kívül adnak el céges titkokat, amik, ha illetéktelen kezekbe kerülnek, komoly károkat okozhatnak a vállalatnak. (Arról, hogy Magyarországon milyen állapotban van a cégek kiberbiztonsága, ebben a cikkben írtunk bővebben.)
A céges adatok között voltak megbeszélésekről készült jegyzetek, naptárbejegyzések, felhasználói azonosítók vállalati rendszerekhez, felmondólevelek, sőt még IT-részlegek hozzáférési adatai is. Az elemzők találtak még titoktartási szerződéseket, oktatóvideókat és egy autóipari cégnél dolgozó diákmunkás aktív szerződését.
A személyes adatok, amiket találtak, sokkal érdekesebbek. Persze volt néhány letöltött zene és film, valamint néhány szoftver, de a hordozókon akadtak még
- személyes jellegű fényképek, köztük beszkennelt útlevelek, személyi igazolványok és jogosítványok,
- beszkennelt bankkártyák,
- személyes jellegű videók,
- pornográf tartalmak,
- bulikról készült fotók, rajtuk alkohollal és kábítószerekkel,
- egy meglehetősen profinak tűnő marihuánaültetvényről készült képek,
- szexpartnerekről készült meztelenfotók,
- banki dokumentumok (köztük egy olyan, amin minden szükséges adat és jelszó rajta volt, hogy az ember hozzáférjen egy adott számlához),
- intim üzenetek,
- mindenféle online platformhoz tartozó felhasználói azonosítók,
- orvosi jelentések,
- videójátékos tartalmak,
- naptárbejegyzések,
- címjegyzék,
- kifizetési papírok,
- munkaszerződések,
- adózással kapcsolatos dokumentumok,
- számlák,
- WhatsApp-üzenetek,
- levelezések, például a munkaügyi hivatallal,
- állásokra való jelentkezési anyagok,
- egyetemi dokumentumok,
- üdülésekkel kapcsolatos adatok, jegyek.
A 185 adathordozó 16,6 százalékán találtak vírusos fájlokat. Tehát a vevő nemcsak az eszközt vette meg, hanem kapott hozzá ajándékba egy rakat személyes adatot és néhány vírust is. A Kaspersky épp ezért azt ajánlja, hogy ha valaki használt eszközt vesz, akkor használat előtt először mindenképp menjen át rajta egy vírusirtóval.
Ha a fenti listát végignézzük, láthatjuk, hogy az elemzők hétköznapi emberek teljes digitális életét meg tudták szerezni a használt eszközökről. Ha ezek az adatok illetéktelenek kezébe kerülnek, akkor az illetők nemcsak visszaélhetnek velük, de akár még akaratlanul is bűntényt követhetnek el azzal, ha megpróbálják visszaszerezni az előző tulajdonos adatait.
Sima törlés után minden ott marad
Amikor a Kasperskyt képviselő magyar ügynökség megkereste a Telexet a kutatásuk eredményeivel, arra gondoltunk, hogy mi is kipróbálnánk, hogy működik az adattörlés. Egy laptop SSD-jét megtöltöttem véletlenszerűen kiválasztott képekkel és dokumentumokkal (például egy nyilvánosan elérhető MNB-elemzéssel és Dick Van Dyke családi fotójával), majd különböző módokon letöröltem ezeket.
Volt, ami csak a lomtárba került, volt, amit a shift+delete kombinációval töröltem (ez ugyanaz, mintha lomtárba került volna, majd azt kiürítettem volna), egy részüket pedig egy Eraser nevű, ingyenes szoftver segítségével töröltem. Ezeken kívül még négy böngészőben elmentettem felhasználóneveket és jelszavakat, majd a beállításokban töröltem elvileg minden felhasználói adatot.
Ezek után kikaptam az SSD-t a laptopból, és az ügynökség elküldte a Kasperskynek Németországba, hogy megnézzék, mit tudnak visszaszerezni.
Az eredmény rettenetesen elkeserítő volt.
Marco Preuß, a Kaspersky globális kutatási és elemzői csapatának európai igazgatója átnézte az SSD-t, és carving segítségével mindent megtalált raja, amit nem az Eraserrel töröltem. Preuß azt mondta, hogy ez azért van, mert egy egyszerű törléskor (vagy egy sima formatáláskor) az adatok valójában nem párolognak el az 1-esek és 0-k nirvánájába. Ott maradnak a merevlemezen, csak a rendszer onnantól nem lát rájuk, és felülírhatóvá válnak. Ezért lehet ezeket visszaszerezni, ha még nem írták felül az adatokat.
Törlés vs felülírás
Preuß elmagyarázta, hogy miért is nem mindegy, hogy törlünk vagy felülírunk. Egy történelmi hasonlattal élve a formatálás az, ahogy a kelták és az angolszászok beköltöztek a római házakba, miután a birodalom kivonult Britanniából, a rendes felülírós törlés pedig az, ahogy a legenda szerint Karthágót lerombolták, majd felhintették sóval.
Amikor valamit egy erre a célra készített szoftverrel írunk felül, akkor nemcsak a sima törléshez hasonlóan tünteti el a fájlokat szem elől, hanem azokat akár többször is felülírja random adatokkal, hogy ne lehessen még a töredéküket sem visszaszerezni.
Az elemző szerint hiába használnak egyre többen adattárolásra alkalmas eszközöket (például okostelefont), nagyon kevesen értenek ahhoz, hogy hogyan is működnek ezek. Ez önmagában nem baj, nem lehet mindenki IT-zseni, de ha valaki arra adja a fejét, hogy el- vagy odaadja másnak a használt készülékét, akkor mindenképpen győződjön meg róla, hogy mindent megfelelően eltávolított-e, amit nem akar illetéktelen kezekben látni. Erre a gyári beállítások visszaállítása vagy a lomtár ürítése nem feltétlenül elegendő, és úgy tűnik, hogy a böngészők is megtartják az adatokat (csak felülírhatóvá teszik).
„Nem kell IT-szakembernek lenni, hogy mindent rendesen töröljünk, minden szükséges eszköz könnyen megtalálható az interneten. Ha valaki egyáltalán nem ért a számítógépekhez, akkor mielőtt eladna valamilyen adathordozót, mindenképp kérjen segítséget egy hozzáértő ismerőstől”
– mondta Preuß.
De vajon kinek a felelőssége, hogy rendesen eltűnjön minden, amit törlünk? A valószínűleg hozzá nem értő felhasználóé, vagy – mondjuk – a gyártóé? Nem lehetne például, hogy a Windowsnál a shift+delete ne csak eltüntesse, hanem felül is írja a törölni kívánt fájlokat?
A szakember szerint erre nincs szükség, a gyártók nem foghatják folyamatosan mindenkinek a kezét, főleg úgy, hogy egy gyors Google-kereséssel rá lehet találni a szükséges eszközökre. De mi a legbiztonságosabb módszer, amivel a lehető legkisebb eséllyel kerülhetnek az adataink ismeretlenekhez?
„Felülírós törlés és fizikai szétverés. Ez a legbiztonságosabb. De a kiberbiztonságban van egy alapigazság: nincs 100 százalékos biztonság”
– vágta rá Preuß.
Azt belátta, hogy úgy kicsit nehezebb eladni egy laptopot, hogy átmentünk rajta egy úthengerrel, de így legalább szinte biztos, hogy nem kerülnek például a „meglehetősen profinak tűnő marihuánaültetvényről készült képek” illetéktelen kezekbe.
Preuß szerint az volt a kutatásuk célja, hogy ráébresszék az embereket, hogy mennyire nem foglalkoznak a digitális életük biztonságával. Emellett azonban azoknak is szól, akik használt eszközöket vesznek: óvatosan kutakodjanak a vásárolt meghajtókon, mert az ártatlan kutakodás hamar átfordulhat bűnténybe.
Az ORFK kérdésünkre azt írta, hogy „ha valaki egy használt eszközről szándékosan próbálja meg visszaszerezni az előző felhasználó adatait, felmerül a Btk. 423. § (1) bekezdésében meghatározott információs rendszer vagy adat megsértésének bűncselekménye.” Tehát ha valaki jogosulatlanul megkerüli a visszaállítás elleni védelmet, hogy visszanyerje az előző felhasználó által mentett fájlokat, akkor bűncselekményt követ el.
Ha valaki üzleti titkokat bányászik vissza, akkor üzleti titkot sért (Btk. 418.§), ha pedig személyes üzeneteket szerez meg, akkor levéltitkot sért (Btk. 224.§). Azonban nem csak az adatok kinyerése tiltott.
„Btk. 375. §-ba ütköző információs rendszer felhasználásával elkövetett csalást követi el az, ki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz”
– írta a rendőrség.
Arra is felhívták a figyelmet, hogy ha valaki informatikai vagy mobileszközt ad el, akkor az átadás előtt – akár szakember segítségével – győződjön meg arról, hogy mindent letörölt az eszközről.
Ha valaki megvesz valamit, ő lesz a birtokosa, tehát ő a felelős az eszközön található adatokért. Preuß ezért nem ajánlja, hogy valaki csak úgy hobbiból használt gépeket vegyen, csak hogy áttúrhassa, ami rajtuk van. „Soha nem tudhatod, mit találhatsz egy merevlemezen. Vannak területek, amik teljesen illegálisak, és lényegtelen, hogy az ember hogy jutott hozzájuk (ilyen például a gyermekpornográfia).”
„Ez nem olyan, mint amikor veszel egy csokitojást, és reméled, hogy valami jó kis játékot találsz benne. Komoly hátulütői lehetnek, és óriási negatív hatással lehet a te és mások életére.”
Tehát ha valaki úgy dönt, hogy ideje eladnia a régi telefonját, először mérlegeljen: a kapott pénz megéri-e, hogy lehet, hogy önként átadja valakinek a privát adatait. Ha a válasz igen, akkor használjon erre a célra készült szoftvereket, hogy a lehető legalaposabban hintse be sóval a merevlemezét.