”在我床下一个积满灰尘的塑料垃圾箱里,放着至少4台笔记本电脑、6部手机和6个硬盘驱动器。我不知道上面写的是什么。这些设备早在云存储时代之前就已经存在了,其中可能包含了单独的照片、文本和一些其他资料的副本,以及机密文件,如果知道这些文件落入陌生人手中,我可能会感到震惊。“
这个并非是危言耸听。
Rapid7的高级安全顾问Josh Frantz最近的一项实验表明,用户在将他们使用过的设备放回自然环境之前,几乎没有采取任何措施来保护他们的私人信息。
在大约六个月的时间里,他从威斯康辛州他家附近的当铺收集用过的台式电脑、硬盘、手机等物品。事实证明,它们包含了大量属于前主人的私人数据,包括大量的个人身份信息(PII)——身份盗窃的主要来源。
Frantz使用基于python的光学字符识别(OCR)工具扫描社会安全号码、出生日期、信用卡信息和其他敏感数据。正如你所料,结果并不好。
这堆垃圾包括41个社会保险号、50个生日、611个电子邮件账号、19个信用卡号码、2个护照号码和6个驾照号码。此外,设备上载有20多万张图像和3 400多份文件。他还提取了近15万封电子邮件。
他说,只有两台设备被正确删除:一台戴尔笔记本电脑和一台日立硬盘。另外只有三个是加密的。
赫特福德郡大学(University of Hertfordshire)最近进行的一项类似研究发现,在美国和英国销售的二手U盘中,超过三分之二仍保存着前主人的数据。在美国购买的100个U盘驱动器中64位用户的数据虽然已被删除,但很容易恢复。
有很多工具可以帮助用户正确地清理硬盘,比如BitRaser和BitBleach。如果使用得当,这些工具通常会彻底覆盖数据,以至于大多数商业取证数据恢复工具将相当无用。
但最后,如果你的设备是一些非常敏感数据的主机,为什么要冒险呢(卖掉或者扔掉)?
Frantz说:“如果你担心你的数据落入错误的人手中,那就销毁这些数据。”“如果你想做一件好事,捐出你的技术,这样其他人就能从中受益,那也确保它至少达到一个可接受的标准。他补充说,即使一家公司声称他们会为你删除数据,“除非你亲自执行删除,否则没有好办法知道这是不是真的。”
最后,如果你不介意的话,要找个大锤子和一些砖头......