privacy

Scoprire i dati privati nelle vendite di seconda mano

I nostri esperti descrivono quanti e quali dati si possono trovare sui dispositivi usati.

Sarah Pike
29 Gen 2021

Il Global Research and Analysis Team (GReAT) di Kaspersky ha esaminato la sicurezza dei dispositivi di seconda mano. I dispositivi, che i capi ricercatori Marco Preuss e Christian Funk hanno analizzato per due mesi alla fine del 2020, comprendevano computer portatili usati e una varietà di supporti come dischi rigidi e schede di memoria.

Il loro obiettivo non era quello di determinare le differenze in base al tipo di dispositivo, ma piuttosto di esaminare le informazioni che contenevano, per capire come i dati elettronici riescano a passare da persona a persona o su altri mercati secondari. Come venditore, quali tracce potreste lasciare? Come acquirente, cosa fare affinché il dispositivo si comporti come se fosse nuovo di zecca, e finché non lo diventa, usare questo “nuovo” dispositivo è davvero sicuro?

I risultati

La stragrande maggioranza dei dispositivi esaminati dai ricercatori conteneva almeno alcune tracce di dati, per lo più personali ma anche aziendali, e più del 16% dei dispositivi ha dato ai ricercatori l’accesso completo a certe risorse. Un altro 74% dei dispositivi ha rivelato dati quando i ricercatori hanno applicato metodi di file carving per il recupero. Su un misero 11% dei dispositivi i dati erano stati cancellati correttamente.

I dati che Preuss e Funk hanno trovato includevano elementi che potevano essere potenzialmente innocui ma anche terribilmente rivelatori e persino pericolosi: eventi nel calendario, note di riunioni, dati di accesso a risorse aziendali, documenti interni, foto personali, informazioni mediche, documenti fiscali e altro. Inoltre, come Funk ha sottolineato, i dati personali non tendono a perdere valore nel tempo: non si può semplicemente assumere il rischio e sentirsi al sicuro dopo un po’ (non che sentirsi sicuri in realtà diminuisca il rischio in alcun modo).

Oltre alle informazioni direttamente utilizzabili come elenchi di contatti, documenti fiscali e cartelle cliniche (o l’accesso ad esse attraverso password salvate), i dispositivi elettronici contengono informazioni che possono causare danni collaterali: basta ricordare in che modo i criminali informatici sfruttano le informazioni che raccolgono dai profili e dai post dei social network. Il contenuto di un dispositivo digitale dà molta più libertà di azione.

E cosa dire dei malware?

Probabilmente non molti condividono la vostra preoccupazione per la sicurezza dei dispositivi digitali. Alcuni potrebbero essere ancor più cauti, ma se state comprando un dispositivo di seconda mano, potrebbe esistere la possibilità di ricevere non solo i dati di qualcun altro, ma anche un malware come bonus. Il 17% dei dispositivi esaminati da Preuss e Funk ha fatto scattare gli allarmi dei nostri scanner anti-virus.

Prequel: uno studio più ampio

La ricerca che stiamo riportando qui in realtà è iniziata con uno studio che Kaspersky ha commissionato ad Arlington Research. Sono state intervistate diverse migliaia di consumatori adulti in Regno Unito, Germania e Austria. Lo studio iniziale è stata un’ulteriore conferma a quanto scoperto, ovvero che le vendite digitali di seconda mano sono una realtà ben consolidata e al contempo una grande fonte di fughe di dati; solo meno della metà degli acquirenti (parliamo di centinaia) non ha trovato alcuna foto, “materiale esplicito”, dettagli di contatto, documenti sensibili come passaporti, o dettagli di login sui dispositivi acquistati.

Venditori, attenzione

Anche se circa il 10% degli intervistati ha ricevuto dispositivi su cui sono state trovate informazioni del venditore, non molti ignorerebbero, cancellerebbero immediatamente o segnalerebbero i dati trovati al proprietario originale o alle autorità. Oltre a dare solo una sbirciatina (il 74% degli intervistati ha detto che troverebbe un modo per farlo), più di 1 su 10 ha ammesso che venderebbe i dati trovati se pensasse di poterne trarre profitto.

Consigli e suggerimenti

Il National Cyber Security Centre del Regno Unito fornisce alcuni consigli pratici per acquirenti e venditori di dispositivi elettronici di seconda mano, dal backup dei dati personali alla pulizia del dispositivo delle precedenti informazioni.

Per i venditori

Come venditori, la vostra priorità assoluta è quella di eliminare tutte le informazioni dal dispositivo che state vendendo in modo da poterle mantenere sicure e private. Sì, è anche importante far sì che il dispositivo sia sicuro, cosa che speriamo sia una priorità, ma in questo caso l’aspetto più importante è preservare la privacy delle informazioni;
Eseguite il backup dei vostri dati: che siano su un telefono, un computer, una scheda di memoria o un altro dispositivo di archiviazione, eseguite un backup sicuro prima di cancellare i dati dal dispositivo che state per vendere;
Rimuovete la SIM e le schede di memoria dai telefoni; cancellate la eSIM se il dispositivo ne usa una;
Abilitate l’autenticazione a due fattori per tutti gli account che la consentono, e poi eseguite il log-out da ogni servizio (bancario, e-mail, social network, ecc.) presente sul dispositivo che desiderate rivendere;
A seconda del dispositivo in questione, eseguite un reset alle impostazioni fabbrica o formattate il supporto;
Bisogna tenere presente che, in alcune circostanze, i dati possono essere recuperabili anche dopo un reset di fabbrica o la formattazione. Per essere sicuri di non lasciare nulla sul dispositivo, è necessario prendere ulteriori misure, che variano a seconda del tipo di dispositivo, del modello e della configurazione: cercate informazioni in merito che riguardano il vostro dispositivo in particolare.

Per gli acquirenti

I nostri consigli per gli acquirenti di dispositivi di seconda mano sono molto simili a quelli che riguardano per la proprietà digitale in generale, anche se un po’ più rigorosi perché dobbiamo presumere che un dispositivo di seconda mano sia compromesso. Meglio prevenire che curare.

A seconda del dispositivo in questione, eseguite un reset di fabbrica o formattate il supporto di memorizzazione;
Installate e attivate immediatamente una soluzione di sicurezza affidabile (se possibile, ancora prima di acquistare il dispositivo), per compensare il rischio di trovare malware già presenti sul dispositivo, ed eseguite una scansione prima di usarlo.

Aggiornate subito iOS e iPadOS alla versione 14.4

La versione 14.4 corregge alcune vulnerabilità che i cybercriminali stanno sfruttando attivamente. Installate questo aggiornamento il prima possibile.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Scoprire i dati privati nelle vendite di seconda mano

I risultati

E cosa dire dei malware?

Prequel: uno studio più ampio

Venditori, attenzione

Consigli e suggerimenti

Per i venditori

Per gli acquirenti

Top secret: scopri le app criptate per appunti ed elenchi di cose da fare

Come e perché disattivare la cronologia dei collegamenti di Facebook

Aggiornate subito iOS e iPadOS alla versione 14.4

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia