İkinci el satın alınan cihazlarda özel verilerin açığa çıkması

Uzmanlarımız, kullanılmış cihazlarda karşılaşılan veri sızıntısını açıklıyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), ikinci el cihazların güvenliğini inceledi. DACH araştırma başkanları Marco Preuss ve Christian Funk’ın 2020’nin sonlarında iki ay boyunca inceledikleri cihazlar arasında kullanılmış dizüstü bilgisayarlar, sabit diskler ve hafıza kartları gibi çeşitli depolama cihazları mevcuttu.

Amaçları, cihaz türüne göre farklılıkları belirlemek değil; bunlarla ilgili verileri incelemek, elektronik verilerin kişi veya diğer ikincil pazar satış bazında arasındaki ilişkiyi öğrenmekti. Bir satıcı olarak geride ne gibi izler bırakıyor olabilirsiniz? Bir alıcı olarak, cihazınızın yepyeni bir cihaz gibi davranmasını nasıl sağlayabilirsiniz? Siz bunu yapana kadar, yeni cihazınızı kullanmak güvenli mi?

Bulgular

Araştırmacıların incelediği cihazların büyük çoğunluğu, genellikle kişisel ancak bir kısmı kurumsal veri izlerini de içeriyordu. Ayrıca, cihazların %16’sından fazlası araştırmacılara doğrudan erişim imkanı sundu. Araştırmacılar file-carving yöntemlerini uyguladığında, geri kalan %74 cihazın içeriği ortaya çıktı. Verilerin sadece %11’i düzgün bir şekilde silinmişti.

Preuss ve Funk’ın bulduğu veriler, potansiyel derecede zararsız veya korkunç derecede açıklayıcı ve hatta tehlikeli olabilecek öğeler içeriyordu: Takvim kayıtları, toplantı notları, şirket kaynakları erişim verileri, dahili belgeler, kişisel fotoğraflar, tıbbi bilgiler, vergi belgeleri ve daha fazlası. Ayrıca, Funk’ın da belirttiği gibi, kişisel veriler zamanla değer kaybetme eğiliminde değildir. Bir süre geçtikten sonra riskin geçmesini bekleyip daha güvende hissedemezsiniz (güvende hissediyor olmanız, riski herhangi bir şekilde azaltmaz).

İrtibat listeleri, vergi belgeleri ve tıbbi kayıtlar (veya kayıtlı parolalar aracılığıyla bunlara erişim) gibi doğrudan kullanılabilir bilgilere ek olarak, elektronik cihazlar ikinci el hasara neden olabilecek bilgiler içerir. Siber suçluların sosyal ağ profillerinden ve gönderilerinden topladıkları bilgileri nasıl kullandıklarını düşünün. Dijital bir cihazın içeriği çok daha bilgilendiricidir.

Kötü amaçlı yazılımdan bahsetmiş miydik?

Başka kimsenin sizinle dijital cihaz güvenliği konusundaki titizliği paylaşmadığını söylemek güvenlidir. Bazıları, işleri sizden daha sıkı bir şekilde bağlayabilir. Ancak ikinci el satın alırsanız, yalnızca başkasının verilerini değil – aynı zamanda kötü amaçlı yazılımı da bonus olarak satın alma olasılığınız bulunuyor. Preuss ve Funk’ın incelediği cihazların %17’si, virüs tarayıcı alarmlarımızı tetikledi.

Tanıtım: Daha kapsamlı bir çalışma

Burada raporladığımız araştırma aslında Kaspersky’nin Arlington Research’i görevlendirdiği bir çalışmayla başladı. Birleşik Krallık, Almanya ve Avusturya’daki birkaç bin yetişkin tüketiciyi sorguladı. İkinci el dijital satışların gerçekten sağlam ve gerçekten de güvenilir bir veri sızıntısı olduğunu bularak, ilk çalışma bir tür doğrulama işlevi gördü. Yüzlerce alıcının yarısından azı satın aldıkları cihazlarda herhangi bir fotoğraf, “müstehcen içerik”, iletişim bilgileri, pasaport gibi hassas belgeler veya giriş bilgileri bulamadı.

Satıcılar dikkatli olmalı

Ankete katılanların yaklaşık %10’una satıcının bilgilerinin olduğu cihazlar verilmiş olsa da, pek çoğu, bulunan verileri görmezden gelmeyecek, hemen silmeyecek veya bulunan verileri asıl sahibine veya herhangi bir yetkiliye bildirmeyecekti. Şöyle bir göz atmanın ötesinde (ki katılımcıların %74’ü bunu yapmanın bir yolunu bulacaklarını söyledi), 10 kişide 1’den fazlası, buldukları verileri bundan kar elde edebileceklerini düşünürlerse satacaklarını itiraf etti.

Öneriler ve ipuçları

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), ikinci el elektronik cihaz alıcıları ve satıcıları için kişisel verilerin yedeklenmesinden cihazın yeni alınmış kadar mükemmel olmasını sağlamaya kadar bazı işe yarar tavsiyelerde bulunuyor.

Satıcılar için

Bir satıcı olarak en büyük önceliğiniz, bilgilerinizi hem güvenli hem de gizli tutabilmek için sattığınız cihazdan silmek. Evet, cihazın güvenli olduğundan emin olmak da önemlidir. Umuyoruz en başından böyle yapmışsınızdır, ancak buradaki amaç, bilgilerinizi kendinize saklamanızdır.

  • Verilerinizi yedekleyin. İster telefonda, bilgisayarda, hafıza kartında veya başka bir depolama biçiminde olsun, sattığınız cihazdan silmeden önce verilerinizi güvenli bir şekilde yedekleyin;
  • SIM ve hafıza kartlarını telefonlardan çıkarın. Cihazınız eSIM kullanıyorsa silin;
  • Buna izin veren tüm hesaplar için iki faktörlü kimlik doğrulamayı etkinleştirin. Ardından sattığınız cihazdaki her hizmetten (bankacılık, e-posta, sosyal medya vb.) çıkış yapın;
  • Söz konusu cihazı fabrika ayarlarına sıfırlayın veya medyayı biçimlendirin;
  • Birçok durumda verilerin fabrika ayarlarına sıfırlandıktan veya biçimlendirildikten sonra bile kurtarılabileceğini unutmayın. Aygıtta hiçbir şeyin kalmadığından emin olmak için aygıt türüne, modeline ve yapılandırmasına bağlı olarak bazı ek adımlar uygulamanız gerekir. Cihazınızdan tüm verileri güvenli bir şekilde silmenin yollarını araştırın.

Alıcılar için

İkinci el cihaz alıcılarına tavsiyemiz, dijital sahiplik konusundaki genel tavsiyemize benzerlik gösteriyor. Ancak, biraz daha önemli çünkü ikinci el bir cihazın kirli olduğunu varsaymamız gerekiyor. Sonradan pişman olacağınıza baştan tedbirli olmak daha akıllıcadır.

  • Söz konusu cihazın özelliklerine göre, fabrika ayarlarına sıfırlayın veya depolama ortamını biçimlendirin;
  • Bir cihazda halihazırda bulunan kötü amaçlı yazılımla karşılaşma riskini ortadan kaldırmak için, mümkünse, cihazı satın almadan önce güvenilir bir güvenlik çözümünü kurun ve etkinleştirin. Cihazı ilk kez kullanmadan önce de bir tarama yapın.
İpuçları