Het lekken van privégegevens bij tweedehands verkopen

Kaspersky’s Global Research and Analysis Team (GReAT) deed onderzoek naar de beveiliging van tweedehands apparaten. De apparaten, die DACH-hoofdonderzoekers Marco Preuss en Christian Funk eind 2020 twee maanden lang onder de loep legden, omvatten gebruikte laptops en een verscheidenheid aan opslagmedia zoals harde schijven en geheugenkaarten.

Hun doel was niet om verschillen op basis van het type apparaat te bepalen, maar eerder om de gegevens die erop stonden te bestuderen en erachter te komen hoe elektronische gegevens gerelateerd zijn aan verkopen van persoon tot persoon of andere secundaire verkopen. Welke sporen laat u als verkoper wellicht achter? Hoe kunt u er als koper voor zorgen dat uw apparaat zich gedraagt alsof het nieuw is — en tot dat het geval is, is het gebruik van het voor u nieuwe apparaat wel veilig?

Bevindingen

Een overweldigende meerderheid van de apparaten die de onderzoekers bestudeerden bevatten op zijn minst sporen van gegevens — veelal persoonlijke gegevens, maar soms ook bedrijfsgegevens — en meer dan 16% van de apparaten gaf de onderzoekers onmiddellijke toegang hiertoe. Nog eens 74% gaf de gegevens vrij toen de onderzoekers file-carving-methodes toepasten. Slechts 11% van de apparaten was goed schoongeveegd.

De gegevens die Preuss en Funk zo in handen kregen omvatten items die potentieel onschadelijk, enorm onthullend of zelfs gevaarlijk waren: kalendervermeldingen, notities van vergaderingen, toegangsgegevens voor bedrijfsmiddelen, interne documenten, persoonlijke foto’s, medische informatie, belastingdocumenten en meer. Funk wees er verder op dat persoonlijke gegevens na verloop van tijd normaal gespreken niet aan waarde verliezen; u kunt niet simpelweg wachten tot het risico voorbij is en u veiliger voelen met het verstrijken van de tijd (niet dat dat “veilig voelen” het risico ook maar enigszins vermindert).

Naast de direct bruikbare informatie zoals contactenlijsten, belastingdocumenten en medische dossiers (of toegang hiertoe via opgeslagen wachtwoorden), bevatten elektronische apparaten informatie die tweedehands schade kan aanrichten; denk bijvoorbeeld aan hoe cybercriminelen de informatie kunnen benutten die ze verkrijgen via profielen en publicaties op sociale netwerken. De inhoud van een digitaal apparaat is oneindig veel informatiever.

Hadden we malware al eens genoemd?

We kunnen gerust stellen dat niet iedereen op dezelfde manier te werk gaat als het om apparaatbeveiliging gaat. Soms kan het zijn dat mensen de boel nog beter beveiligen dan u, maar als u tweedehands koopt, is het niet onwaarschijnlijk dat u niet alleen de gegevens van een ander ontvangt, maar als bonus ook de malware. Van de apparaten die Preuss en Funk onderzochten, activeerde 17% de alarmen van onze virusscanner.

Voorafgaand: een uitgebreider onderzoek

Het onderzoek waar we hier over vertellen begon eigenlijk met een onderzoek dat Kaspersky uitbesteedde aan Arlington Research. Hierbij werden meerdere duizenden volwassen consumenten bevraagd in het Verenigd Koninkrijk, Duitsland en Oostenrijk. Het initiële onderzoek vormde eigenlijk een soort bevestiging van het feit dat tweedehandse digitale verkopen inderdaad een aanzienlijke en betrouwbare bron van gegevenslekken vormen; minder dan de helft van de vele honderden kopers vond géén foto’s, “expliciet materiaal”, contactgegevens, gevoelige documenten zoals paspoorten of logingegevens op de apparaten die ze kochten.

Verkoper, let op

Hoewel ongeveer 10% van de respondenten van de enquête apparaten had ontvangen waarop ze gegevens van de verkoper vonden, zouden niet veel van hen gevonden gegevens negeren, onmiddellijk verwijderen of bij de oorspronkelijke eigenaar of eventuele autoriteiten melden. Behalve slechts een kijkje te nemen (74% van de respondenten gaf aan een manier te vinden om dit te doen), erkende meer dan 1 op de 10 personen dat ze de gevonden gegevens zouden doorverkopen als ze dachten er winst op te kunnen maken.

Advies en tips

Het National Cyber Security Centre van het Verenigd Koninkrijk biedt een aantal praktische adviezen voor kopers en verkopers van tweedehandse elektronische apparaten, van het maken van back-ups van persoonlijke gegevens tot het garanderen dat een apparaat zo schoon is als een nieuw apparaat zou zijn.

Voor verkopers

Als verkoper is uw prioriteit het verwijderen van uw informatie van het apparaat dat u verkoopt zodat u het zowel veilig als privé kunt houden. Ja, het is ook belangrijk om ervoor te zorgen dat het apparaat veilig is, en we hopen dat u dat altijd al heeft gedaan, maar het belangrijkste is nu even dat u uw gegevens voor uzelf wilt behouden.

• Maak een back-up van uw gegevens: of het nu een telefoon, een computer, een geheugenkaart of een andere vorm van opslag is, maak een veilige back-up voordat u de gegevens van het apparaat dat u verkoopt wist;
• Verwijder SIM- en geheugenkaarten van telefoons; wis de eSIM als uw apparaat hier gebruik van maakt;
• Stel tweestapsverificatie in voor accounts waarbij dit mogelijk is en log vervolgens van elke dienst uit (online bankieren, e-mail, social media, etc.) op het apparaat dat u verkoopt;
• Afhankelijk van het apparaat kunt u het terugzetten naar de fabrieksinstellingen of de media erop formatteren;
• Houd er rekening mee dat gegevens in veel gevallen nog altijd te herstellen zijn, zelfs na het terugzetten naar de fabrieksinstellingen of formatteren. Om u ervan te verzekeren dat er niets op het apparaat achterblijft, moet u aanvullende stappen ondernemen, die variëren op basis van het type apparaat, het model en de configuratie. Zoek naar informatie over het veilig verwijderen van alle gegevens voor uw specifieke apparaat.

Voor kopers

Ons advies voor kopers van tweedehands apparaten verschilt niet veel van ons advies voor algemeen digitaal eigenaarschap, maar is wat strenger omdat we ervan uit moeten gaan dat een tweedehands apparaat niet “schoon” is. Voorkomen is beter dan genezen.

• Afhankelijk van het apparaat kunt u het terugzetten naar de fabrieksinstellingen of de media erop formatteren;
• Installeer en activeer onmiddellijk een betrouwbaar beveiligingssysteem — indien mogelijk zelfs voordat u het apparaat aanschaft — om het risico op het vinden van malware die al op het apparaat staat te beperken, en voer een scan uit voordat u het apparaat voor de eerste keer gebruikt.