Rapport: 1 ud af 5 brugte mobiltelefoner indeholder stadig personligt identificerbare data fra tidligere ejere
19 procent af brugte telefoner, der sælges på eBay, indeholder stadig følsomme data, der kan bruges til at identificere den tidligere ejer, ifølge en ny undersøgelse fra University of Hertfordshire og bestilt af Comparitech.
Forskere fra University of Hertfordshire købte 100 brugte telefoner via Ebay for at finde ud af, om de kunne udtrække identificerbare data fra tidligere ejere. Forskerne udførte retsmedicinske analyser på en bred vifte af enheder fra avancerede smartphones til konventionelle mobiltelefoner uden internetfunktioner.
19 procent af telefonerne indeholdt data fra tidligere ejere, og 17 procent havde data, der kunne bruges til at identificere de tidligere ejere, sammen med andre potentielt værdifulde restdata. Oplysningerne omfattede tusindvis af private e-mails, intime billeder, kontaktlister, tekstbeskeder, skattedokumenter, bankkontooplysninger, web-browsing historier og personlige kalendere.
I de forkerte hænder kan de personlige data, der findes på disse enheder, blive brugt til en række forbrydelser, herunder identitetstyveri, bedrageri, afpresning og målrettet phishing.
Forskere udførte deres retsmedicinske analyse af brugte telefoner ved hjælp af offentligt tilgængelige værktøjer, der kan downloades fra nettet.
52 % af telefonerne blev slettet korrekt
De analyserede telefoner dækker en bred vifte af aldre og operativsystemer, inklusive Android, iOS, Blackberry, Windows og konventionelle 'dum' telefoner. Den ældste var en Motorola fra 1996. 'Formålet med at inkludere en bred vifte af enheder var at sammenligne mængden af data, der kunne forblive i konventionelle enheder i forhold til mere teknologisk avancerede enheder,' forklarer forskere.
Forskere forsøgte at skabe et 'billede' eller nøjagtig kopi af hver telefons hukommelse til analyse. Af de 100 undersøgte telefoner kunne 28 ikke afbildes. Disse var overvejende de ældre enheder, som forskere indrømmer er et svagt punkt i deres metodologi. I fremtidig forskning siger de, at de vil fokusere på nyere enheder. University of Hertfordshire-forsker Olga Angelopoulou forklarer:
'I virkeligheden kunne nogle af de ældre/konventionelle enheder ikke afbildes, da de var inkompatible med værktøjerne eller ikke fungerede. De, der blev afbilledet og analyseret, indeholdt hovedsageligt nogle tekstbeskeder, multimediebeskeder og kontaktlister. På den anden side indeholdt de nyere enheder, der ikke var blevet nulstillet til fabriksindstillingerne, for det meste nogle tidligere bruger-PII eller fuldt genfindelige ex-bruger-PII. Faktisk var det i de tilfælde, hvor det lykkedes os at hente en identitet fuldt ud, fra en smartphone.'
52 procent af alle de enheder, der blev købt (74 procent af de enheder, der blev afbildet med succes) til undersøgelsen blev nulstillet til fabriksindstillingerne, bevis på et forsøg fra brugeren på at slette personlige data.
19 procent af telefonerne (26 procent af de succesrige enheder) indeholdt data fra tidligere ejere. I de fleste af disse tilfælde - 17 procent af den samlede prøve - var personlig identificerbar information genfindelig og kunne bruges til at identificere en tidligere ejer af håndsættet.
Hvilke data indeholdt telefonerne?
Forskere hentede personligt identificerbare oplysninger fra 17 procent af de telefoner, der blev købt til undersøgelsen. Nogle eksempler på data på disse telefoner inkluderede:
- En P11D-udgifter og ydelsesformular for 2012-13, der indeholdt: arbejdsgiverens navn, PAYE-reference, lønnummer, nationalt forsikringsnummer og fødselsdato.
- En kontaktliste med 30 poster, inklusive den tidligere ejers nummer, en liste over seneste opkald og 114 tekstbeskeder inklusive sexts og syv multimediebeskeder.
- Telefonnummer, e-mailadresse og bankkontooplysninger. 532 personlige billeder og 16 videoer. En liste over opkald foretaget mellem oktober 2015 og januar 2016.
- Adskillige sociale mediekonti, der stadig var logget på, herunder Facebook, Instagram og Skype.
- Apple-id og adgangskode, eBay-brugernavn og adgangskode, 408-billeder og browserhistorik.
- Kontaktliste og seneste opkald, samt fire e-mail-konti.
- En e-mail-konto, der var logget ind og stadig er aktiv.
- Bevis på, at telefonen tilhørte et barn fra Ringwood, Hampshire, med kontakter og noter.
Alle telefoner blev købt på eBay mellem januar og juni 2018.
Hvorfor efterlader folk data på deres telefoner?
52 procent af de analyserede telefoner var blevet nulstillet til fabriksindstillingerne, hvilket viser, at størstedelen af brugerne tog skridt til at beskytte deres personlige oplysninger.
'Moderne smartphones og tablets tilbyder flere fordele relateret til kommunikation og tilgængelighed for deres brugere,' forklarede forskerne. 'Det lave niveau af indsats, det kræver en ikke-teknologisk eller computerkyndig bruger at nulstille deres enhed til fabriksindstillingerne, er et tegn på resultaterne fra undersøgelsen.'
17 procent af telefonerne indeholdt information, som kunne bruges til at identificere den tidligere ejer. Det betyder, at sælgeren enten ikke gjorde noget forsøg på at slette dataene eller gjorde det utilstrækkeligt.
Comparitech gik sammen med University of Hertfordshire om lignende undersøgelser med fokus på brugte hukommelsesenheder, herunder USB-drev og SD-kort . Over halvdelen af disse enheder indeholdt stadig resterende data fra tidligere ejere, så brugte telefoner blev korrekt slettet langt oftere.
Forskere antyder, at det kræver meget mindre indsats og viden at tørre en telefon korrekt, end det gør at tørre hukommelsesenheder.
Alligevel undlod et betydeligt antal mennesker at slette personlige data på deres telefoner, før de solgte dem videre. Dette kan skyldes manglende forståelse for, hvordan man korrekt sletter data, manglende bekymring i en æra med datadeling og sociale medier eller manglende forståelse af risikoen ved at afsløre personlige data.