Gevoelige data vaak onvoldoende gewist bij verkoop gebruikte apparatuur

Kroll Ontrack kondigt vandaag een wereldwijd security onderzoek aan waaruit uit blijkt dat mensen nog steeds onvoldoende hun data wissen voorafgaand aan de verkoop van gebruikte schijven. Hierdoor brengen mensen niet alleen hun eigen identiteit en privacy in gevaar, maar ook die van anderen. Het grootste data recovery bedrijf ter wereld onderzocht 64 gebruikte SSD en HDD schijven die door zowel particuliere als zakelijke verkopers via het internet werden aangeboden.

Bij slechts 34 schijven (53%) kon geen data worden achterhaald. Op maar liefst 30 schijven (47%) stond persoonlijke informatie van de vorige eigenaar, waarvan 18 schijven zelfs zeer privacygevoelige data bevatten. Bij 8 schijven werd accountinformatie gevonden inclusief login-data zoals voornamen, achternamen, contactgegevens, emailadressen, gebruikersnamen en wachtwoorden. Bovendien werden er op 9 schijven transactiegegevens gevonden waaronder bedrijfsnamen, salarisinformatie, creditcardnummers, investeringsinformatie, gegevens van bankrekeningen en belastingteruggaves.

Dat ook op particulieren apparaten bedrijfskritische data kan staan werd tijdens het onderzoek nogmaals onderstreept. Op maar liefst 6 schijven, verzonden door particulieren verkopers, stond zakelijke informatie waaronder CAD bestanden, pdf’s, jpg’s, sleutels en wachtwoorden. Kroll Ontrack vond daarnaast ook een installatiebestand voor een webwinkel, configuratiebestanden, POS training video’s, inkooporders en rekeningen.

Het meest schrijnende geval was een harde schijf van een bedrijf die tweedehands apparatuur verkocht en het wissen overliet aan een serviceprovider. Ondanks dat het bedrijf in de veronderstelling was dat de schijf gewist was bleek er nog steeds een grote hoeveelheid gevoelige informatie op te staan. Kroll Ontrack vond onder andere gebruikersnamen, thuisadressen, telefoonnummers en creditcardinformatie. Daarnaast werd er ook een lijst met persoonlijke informatie van 100 werknemers gevonden met onder andere functietitels, adressen, telefoonnummers, talenkennis en vakantiedagen.

Om data grondig te wissen kan het beste software worden gebruikt waarmee de harde schijf op low level compleet wordt overschreven. Meerdere overschrijvingen bieden extra beveiliging, vooral wanneer gegevensverwijdering moet voldoen aan specifieke wettelijke overschrijfnormen. Professionele producten onderscheiden zich door de volgende kenmerken: onafhankelijke certificeringen, gebruik van internationaal standaardalgoritmen, gedetailleerde rapportage en traceerbaarheid van uitgevoerde verwijderingen.

Voor het onderzoek zijn 37 HDD- en 27 SSD-schijven gebruikt. Opmerkelijk was dat slechts één derde van de SSD-schijven geen sporen van data bevatten, terwijl dit bij meer dan de helft van de HDD-schijven wel het geval was. Hier zou je uit kunnen concluderen dat een SSD beter te wissen is. Echter is het wissen en herstellen van een SSD stukken ingewikkelder dan bij een HDD-schijf. Ook Kingston Technology, een fabrikant en expert op het gebied van SSD, benadrukt dat SSD en HDD-schijven enorm verschillen in technologie. SSD heeft verschillende functies die van invloed zijn op de herstelbaarheid van opgeslagen data zoals Flash Translation Layer (FTL), wear levelling, trim command, garbage collection en automatische hardware-encryptie. Deze laatste functie bijvoorbeeld staat altijd standaard aan bij SSD’s. Elke keer dat de SSD gebruikt wordt vraagt de controller het systeem om een sleutel voor het activeren van de leesfunctie. Er kunnen problemen ontstaan wanneer de controller beschadigd raakt of er een firmwarefout optreedt. Vanuit een data recovery oogpunt adviseert Kroll Ontrack om software encryptie te gebruiken zodat dataverlies in de toekomst eenvoudiger te herstellen en te wissen is.

“Wij stonden versteld toen we zagen hoeveel gevoelige data er nog op sommige schijven stond. Hoewel we niet altijd konden nagaan welke wismethodiek er was gebruikt hadden minstens acht verkopers geen enkele poging gedaan om de gegevens te verwijderen. Het is dan ook erg zorgelijk om te zien dat mensen, vaak onbewust, de identiteit en privacy van zichzelf en anderen in gevaar brengen,” aldus Jaap-Jan Visser, Country Manager bij Kroll Ontrack Nederland. “Met name voor bedrijven is het uiterst belangrijk om een strikt beleid te voeren bij het vernietigen van data. Niet alleen om reputatieschade en verder misbruik te voorkomen, maar ook met het oog op eventuele boetes vanwege de nieuwe meldplicht datalekken (GDPR/AVG) die op 25 mei 2018 van kracht gaat.”