Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Из б/у устройств можно добыть персональные данные бывших владельцев

21/03/19

буИнформация с подержанных электронных устройств зачастую не удаляется должным образом. К такому выводу пришел исследователь компании Rapid7 Джош Франтц (Josh Frantz) по результатам анализа 85 б/у гаджетов, приобретенных им в комиссионных магазинах.

Целью Франтца было выяснить, удаляются ли данные предыдущих владельцев со старых компьютеров, жестких дисков, смартфонов и пр. перед их повторной продажей. Для этого исследователь приобрел 41 подержанный компьютер и ноутбук, 27 флэш-накопителей и карт памяти, 11 жестких дисков и шесть мобильных телефонов, заплатив за все $600.

В ходе анализа компьютеров Франтц в первую очередь проверял, загружаются ли они. Далее написанный им скрипт PowerShell находил и индексировал хранящиеся на устройстве изображения, документы, сохраненные электронные письма и историю диалогов в мессенджерах. Все данные затем архивировались и сохранялись на USB-накопителе. Как оказалось, только с одного компьютера вся информация была удалена должным образом.

Для извлечения данных с жестких дисков (большинство из них оказались IDE) Франтц использовал док-станцию. С помощью скрипта Python он организовал данные и обнаружил, что ни на одном из дисков информация не шифровалась. При этом все устройства были рабочими. Полностью чистым оказался только один жесткий диск.

Что касается мобильных устройств, то они не были защищены с помощью PIN-кодов, но некоторые из них исследователю не удалось подключить к компьютеру. Тогда исследователь подключил к устройствам флэш-накопители и карты памяти и с помощью скрипта Python собрал с них данные.

Как показало исследование, из 85 приобретенных Франтцем подержанных устройств данные были удалены только с двух, а защищены шифрованием были только три гаджета.

В общей сложности исследователю удалось извлечь из устройств изображения (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG), документы (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) и электронные письма (PST, MSG, DBX, EMLX). Из них он смог получить персонально идентифицируемую информацию, такую как электронные адреса, даты рождения, а также номера кредитных карт, соцстрахования, водительских удостоверений и паспортов.

Подробнее: https://www.securitylab.ru/news/498416.php

Темы:Персональные данныеОтрасль
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Обзор изменений в законодательстве в марте и апреле 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    В обзоре: защита государственной тайны, отмена административного регламента ФСБ России, Единая биометрическая система, обновление СТО БР БФБО, защита информации при осуществлении переводов денежных средств, дистанционное управление в электроэнергетике, контроль за деятельностью лицензиатов со стороны ФСТЭК России, обращение с документами ДСП, госконтроль за обработкой персональных данных.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...