KPN ziet het als zijn maatschappelijke verantwoordelijkheid om bij te dragen aan de digitale weerbaarheid van Nederland. Het monitoren en analyseren van het dreigingslandschap is hiervan een belangrijk onderdeel. Daarom doet
Wel geformatteerd, niet leeg
Dit onderzoek richt zich op de risico’s rondom het verkopen of weggooien van oude gegevensdragers, zoals harde schijven uit laptops of externe harde schijven. KPN Security vermoedt dat veel consumenten hun afgedankte schrijven niet goed wissen. Om dit te toetsen kochten de onderzoekers onder een pseudoniem 10 harde schijven via Marktplaats, voor nog geen 100 euro. Deze schijven werden op verschillende manieren verbonden met systemen ingericht voor datarecovery.
Op het eerste oog leken de schijven inderdaad geen bestanden meer te bevatten, bijvoorbeeld doordat ze in Windows geformatteerd waren. In werkelijkheid waren 7 van de 10 harde schijven niet leeg. Met relatief eenvoudige datarecoverymethodes konden de onderzoekers allerlei bestanden herstellen. “Je hoeft hiervoor geen IT-specialist te zijn”, benadrukt onderzoeksleider Siep van der Waal. “In principe heb je alleen een goede computer en basiskennis van IT nodig.”
Gevoelige privégegevens
In de meeste gevallen kon KPN Security de schijf herleiden naar een persoon. “We troffen bijvoorbeeld browsercookies aan waarin werd verwezen naar een Facebook-account”, vertelt Van der Waal. “Maar ook zeer gevoelige informatie zoals bankafschriften, burgerservicenummers, hypotheekdocumenten, gegevens van klanten, salarisstroken, vakantiefoto’s en zelfs medische gegevens. Mensen verkopen hun oude schijf voor een paar euro en beseffen niet hoezeer dat hun privacy schaadt.”
Kwaadwillenden hebben diverse mogelijkheden om deze gegevens te misbruiken. “Ze kunnen bijvoorbeeld identiteitsfraude plegen en uit naam van die persoon bestellingen plaatsen”, licht Van der Waal toe. “Ook zou je met al die privé-informatie een overtuigende
Toegankelijke vorm van criminaliteit
Van der Waal vindt het vooral zorgwekkend hoe eenvoudig het is om aan de data te komen. “Het is zeer laagdrempelig. Voor een paar tientjes heb je meerdere harde schijven die hoogstwaarschijnlijk privégegevens bevatten. Op internet zijn louche
1. Niet alleen formatteren, maar ook overschrijven
In veel gevallen had de vorige eigenaar de harde schijf alleen geformatteerd vanuit Windows. Soms waren de partities – een soort index die een harde schijf onderverdeelt in meerdere schijven – ook nog verwijderd via Schijfbeheer. “Beide handelingen zorgen er helaas niet voor dat de schijf daadwerkelijk leeg is”, zegt Van der Waal. “Het duurt hoogstens wat langer om de data te herstellen.”
“Als je in Windows bestanden verwijdert, krijg je weer vrije schijfruimte”, legt hij uit. “Maar feitelijk geeft Windows dan slechts in de partitie aan dat die bestanden overschreven mogen worden. Dat gebeurt dus wanneer je nieuwe bestanden op die locatie zet. In de praktijk blijft meestal een deel van de oude data achter. Pas als de data meerdere keren volledig overschreven zijn, wordt datarecovery echt moeilijk.”
Volgens Van der Waal zijn er verschillende oplossingen voor het volledig wissen van harde schijven, zoals DBAN en KillDisk. KPN verkent de mogelijkheid om klanten te helpen bij het veilig wissen van een harde schijf.
2. Vernietig schijven waarop gevoelige informatie staat
Soms is het simpelweg onverstandig om een oude gegevensdrager te verkopen. “Het blijft riskant, zeker als er gevoelige data zoals privédocumenten en
“Het voelt voor consumenten misschien niet goed om een gegevensdrager die nog prima werkt te vernietigen, terwijl ze er ook geld voor kunnen krijgen”, besluit Van der Waal. “Toch is dit dé manier om er 100 procent zeker van te zijn dat de informatie op de schijf nooit in verkeerde handen valt.”