Контакты
Подписка 2025
Новости
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Из б/у устройств можно добыть персональные данные бывших владельцев

21/03/19

буИнформация с подержанных электронных устройств зачастую не удаляется должным образом. К такому выводу пришел исследователь компании Rapid7 Джош Франтц (Josh Frantz) по результатам анализа 85 б/у гаджетов, приобретенных им в комиссионных магазинах.

Целью Франтца было выяснить, удаляются ли данные предыдущих владельцев со старых компьютеров, жестких дисков, смартфонов и пр. перед их повторной продажей. Для этого исследователь приобрел 41 подержанный компьютер и ноутбук, 27 флэш-накопителей и карт памяти, 11 жестких дисков и шесть мобильных телефонов, заплатив за все $600.

В ходе анализа компьютеров Франтц в первую очередь проверял, загружаются ли они. Далее написанный им скрипт PowerShell находил и индексировал хранящиеся на устройстве изображения, документы, сохраненные электронные письма и историю диалогов в мессенджерах. Все данные затем архивировались и сохранялись на USB-накопителе. Как оказалось, только с одного компьютера вся информация была удалена должным образом.

Для извлечения данных с жестких дисков (большинство из них оказались IDE) Франтц использовал док-станцию. С помощью скрипта Python он организовал данные и обнаружил, что ни на одном из дисков информация не шифровалась. При этом все устройства были рабочими. Полностью чистым оказался только один жесткий диск.

Что касается мобильных устройств, то они не были защищены с помощью PIN-кодов, но некоторые из них исследователю не удалось подключить к компьютеру. Тогда исследователь подключил к устройствам флэш-накопители и карты памяти и с помощью скрипта Python собрал с них данные.

Как показало исследование, из 85 приобретенных Франтцем подержанных устройств данные были удалены только с двух, а защищены шифрованием были только три гаджета.

В общей сложности исследователю удалось извлечь из устройств изображения (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG), документы (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) и электронные письма (PST, MSG, DBX, EMLX). Из них он смог получить персонально идентифицируемую информацию, такую как электронные адреса, даты рождения, а также номера кредитных карт, соцстрахования, водительских удостоверений и паспортов.

Подробнее: https://www.securitylab.ru/news/498416.php
Темы:Персональные данныеОтрасль
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.
  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности