Veel oude harde schijven die online worden verkocht, staan vol met gevoelige gegevens. Dat blijkt uit een nieuw onderzoek van KPN Security. Vaak is de schijf wel geformatteerd maar is het alsnog eenvoudig om de bestanden naar boven te brengen. Criminelen kunnen de informatie gebruiken voor allerlei vormen van oplichting.
KPN ziet het als zijn maatschappelijke verantwoordelijkheid om bij te dragen aan de digitale weerbaarheid van Nederland. Het monitoren en analyseren van het dreigingslandschap is hiervan een belangrijk onderdeel. Daarom doet KPN Security continu onderzoek naar kwetsbaarheden, nieuwe aanvalsmethoden en activiteiten van cybercriminelen. De uitkomsten worden gedeeld met bedrijven en consumenten, zodat zij maatregelen kunnen treffen om zichzelf te beschermen.
Wel geformatteerd, niet leeg
Dit onderzoek richt zich op de risico’s rondom het verkopen of weggooien van oude gegevensdragers, zoals harde schijven uit laptops of externe harde schijven. KPN Security vermoedt dat veel consumenten hun afgedankte schrijven niet goed wissen. Om dit te toetsen kochten de onderzoekers onder een pseudoniem 10 harde schijven via Marktplaats, voor nog geen 100 euro. Deze schijven werden op verschillende manieren verbonden met systemen ingericht voor datarecovery.
Op het eerste oog leken de schijven inderdaad geen bestanden meer te bevatten, bijvoorbeeld doordat ze in Windows geformatteerd waren. In werkelijkheid waren 7 van de 10 harde schijven niet leeg. Met relatief eenvoudige datarecoverymethodes konden de onderzoekers allerlei bestanden herstellen. “Je hoeft hiervoor geen IT-specialist te zijn”, benadrukt onderzoeksleider Siep van der Waal. “In principe heb je alleen een goede computer en basiskennis van IT nodig.”
Gevoelige privégegevens
In de meeste gevallen kon KPN Security de schijf herleiden naar een persoon. “We troffen bijvoorbeeld browsercookies aan waarin werd verwezen naar een Facebook-account”, vertelt Van der Waal. “Maar ook zeer gevoelige informatie zoals bankafschriften, burgerservicenummers, hypotheekdocumenten, gegevens van klanten, salarisstroken, vakantiefoto’s en zelfs medische gegevens. Mensen verkopen hun oude schijf voor een paar euro en beseffen niet hoezeer dat hun privacy schaadt.”
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
DownloadKwaadwillenden hebben diverse mogelijkheden om deze gegevens te misbruiken. “Ze kunnen bijvoorbeeld identiteitsfraude plegen en uit naam van die persoon bestellingen plaatsen”, licht Van der Waal toe. “Ook zou je met al die privé-informatie een overtuigende phishingmail kunnen opstellen. Misschien kom je wel informatie tegen die iemand chantabel maakt of privéfoto’s die je kan manipuleren voor sextortion. En voor sommige gegevens wordt grof geld betaald op het darkweb.”
Toegankelijke vorm van criminaliteit
Van der Waal vindt het vooral zorgwekkend hoe eenvoudig het is om aan de data te komen. “Het is zeer laagdrempelig. Voor een paar tientjes heb je meerdere harde schijven die hoogstwaarschijnlijk privégegevens bevatten. Op internet zijn louche marktplaatsen waar cybercriminelen toegang tot systemen kunnen kopen, maar dat kost soms honderden euro’s. Als je bijvoorbeeld een oude harde schijf van een bankdirecteur koopt, ben je veel goedkoper uit.”
KPN Security geeft 2 tips om misbruik van oude gegevensdragers te voorkomen:
1. Niet alleen formatteren, maar ook overschrijven
In veel gevallen had de vorige eigenaar de harde schijf alleen geformatteerd vanuit Windows. Soms waren de partities – een soort index die een harde schijf onderverdeelt in meerdere schijven – ook nog verwijderd via Schijfbeheer. “Beide handelingen zorgen er helaas niet voor dat de schijf daadwerkelijk leeg is”, zegt Van der Waal. “Het duurt hoogstens wat langer om de data te herstellen.”
“Als je in Windows bestanden verwijdert, krijg je weer vrije schijfruimte”, legt hij uit. “Maar feitelijk geeft Windows dan slechts in de partitie aan dat die bestanden overschreven mogen worden. Dat gebeurt dus wanneer je nieuwe bestanden op die locatie zet. In de praktijk blijft meestal een deel van de oude data achter. Pas als de data meerdere keren volledig overschreven zijn, wordt datarecovery echt moeilijk.”
Volgens Van der Waal zijn er verschillende oplossingen voor het volledig wissen van harde schijven, zoals DBAN en KillDisk. KPN verkent de mogelijkheid om klanten te helpen bij het veilig wissen van een harde schijf.
2. Vernietig schijven waarop gevoelige informatie staat
Soms is het simpelweg onverstandig om een oude gegevensdrager te verkopen. “Het blijft riskant, zeker als er gevoelige data zoals privédocumenten en bedrijfsgegevens op de schijf hebben gestaan. Er zijn allerlei geavanceerde technieken om verwijderde bestanden te herstellen, zelfs na het overschrijven. Mede daarom moeten organisaties hun harde schijven bij gecertificeerde bedrijven laten vernietigen.”
“Het voelt voor consumenten misschien niet goed om een gegevensdrager die nog prima werkt te vernietigen, terwijl ze er ook geld voor kunnen krijgen”, besluit Van der Waal. “Toch is dit dé manier om er 100 procent zeker van te zijn dat de informatie op de schijf nooit in verkeerde handen valt.”
