Изследователите откриват "опасни нива" на чувствителни данни за продажба на иБей



<div _ngcontent-c14 = "" innerhtml = "

Getty

Открити са чувствителни данни за 42% от твърдите дискове, закупени на eBay и анализирани от Ontrack за технологична група Blancco доклад публикувани днес. Запаметяващите устройства са закупени от eBay в САЩ, Великобритания, Германия и Финландия. Освен чувствителните данни, изследователите също така откриха информация за лична идентификация (PII) на 15% от анализираните дискове.

Какви данни са намерени?

Всеки продавач на eBay, с който учените са взаимодействали, настояваше, че са използвани подходящи методи за дезинфекция на данните, за да се гарантира, че няма да бъдат оставени данни на устройствата, преди да бъдат предложени за продажба. Огромната ширина на информацията, която беше възстановена от тези движения, предполага друго. Едно устройство е принадлежало на разработчик на софтуер "с високо ниво на държавна сигурност" които все още съдържат сканирани изображения на семейни паспорти и удостоверения за раждане, заедно с финансови документи. Установено е, че други дискове разполагат с 5 GB архивирани вътрешни офис имейли от голяма туристическа компания, 3 GB данни от фирмата за товарни превози, включително документи, които описват подробни разписания за качване и регистрация на камиони, документи на студенти и свързани имейл адреси и училищни данни, съдържащи снимки и документи с имена и оценки на учениците.

Колко от този проблем в реалния свят е това?

"Продаването на стар хардуер чрез онлайн пазар може да се окаже добър вариант" Фредрик Форзлунд, вицепрезидент на облак и изтриване на данни в Бланко, казва: "но в действителност това създава сериозен риск от излагане на опасни нива на лични данни." Този риск се увеличава, когато организациите, разполагащи с тези устройства, и компаниите, които ги продават на eBay, са под впечатлението, че всички данни са изтрити като част от процеса на извеждане от експлоатация на хардуера. "Реалността е, че физическото събиране на твърди дискове като метод за кражба на ценни данни не се развива много добре" Тим Ерлин, вицепрезидент на продуктовото управление и стратегия в Tripwire, настоява, "трудно е да се насочат към конкретни данни и вие получавате само това, което е на всяко устройство, което може да е нищо." Със сигурност съществуват по-ефективни средства за постигане на доход, що се отнася до крадците с данни. Но както Ерлейн правилно предупреждава "това може да понижи загрижеността, но не трябва да го елиминира." Което означава, че всяка организация трябва да има план за изхвърляне на използвани дискове.

Най-добри практики за унищожаване на данни

Исторически погледнато, най-добрата практика по отношение на избърсването на устройствата, за да се предотврати изтичането на данни, включваше инструменти за криминалистика, които използваха мощни магнити. Обаче, това е малко полезно, когато се използват твърди дискове (SSD), тъй като те използват интегрални схеми като памет. "Тъй като SSD-та не съхраняват данни в магнитна форма и пренаписването на блокове данни може да съкрати живота на някои SSD-та" казва Тим Маки, старши технически евангелизатор в Synopsys, който продължава, "необходими са нови процеси за защита на данните преди изхвърляне." Ако на устройството се съхранят чувствителни данни, Mackey предполага, че за да се гарантира, че данните за сигурността не могат да бъдат възстановени, физически унищожени или раздробявани, устройството е отговорът. Всъщност много големи организации вече разполагат с такива програми за унищожаване на медиите, независимо дали въпросният уред е от разновидност на предене на метал или SSD. Ако случаят е такъв, тогава как дисковете все още завършват на eBay с непокътнати корпоративни данни? Големите организации само съставляват част от пазара е простият отговор. "За много средни и малки организации има истинска стойност при възвръщането на долара чрез изхвърляне на старото оборудване по доходен начин" Ерлин посочва. И, разбира се, не всички програми за унищожаване на защитени медии се създават равностойни, тъй като процесът не е задължително да се спазва. "Ако устройството е предназначено за унищожаване, е важно да се получи доказателство за унищожаване" Маки казва: t "в крайна сметка, ако е достатъчно важно да бъдеш унищожен, си струва усилието да се потвърди това унищожение."

">

Чувствителни данни са намерени на 42% от твърдите дискове, закупени на eBay и анализирани от Ontrack за доклад на Blancco Technology Group, публикуван днес. Запаметяващите устройства са закупени от eBay в САЩ, Великобритания, Германия и Финландия. Освен чувствителните данни, изследователите също така откриха информация за лична идентификация (PII) на 15% от анализираните дискове.

Какви данни са намерени?

Всеки продавач на eBay, с който учените са взаимодействали, настояваше, че са използвани подходящи методи за дезинфекция на данните, за да се гарантира, че няма да бъдат оставени данни на устройствата, преди да бъдат предложени за продажба. Огромната ширина на информацията, която беше възстановена от тези движения, предполага друго. Едно устройство е принадлежало на софтуерен разработчик "с високо ниво на държавна сигурност", което все още съдържа сканирани изображения на семейни паспорти и удостоверения за раждане, заедно с финансови документи. Установено е, че други дискове разполагат с 5 GB архивирани вътрешни офис имейли от голяма туристическа компания, 3 GB данни от фирмата за товарни превози, включително документи, които описват подробни разписания за качване и регистрация на камиони, документи на студенти и свързани имейл адреси и училищни данни, съдържащи снимки и документи с имена и оценки на учениците.

Колко от този проблем в реалния свят е това?

"Продаването на стар хардуер чрез онлайн пазар може да се окаже добър вариант", казва Фредрик Форслунд, вицепрезидент на облак и изтриване на данни в Бланко, "но в действителност това създава сериозен риск от излагане на опасни нива на лични данни." Този риск се увеличава, когато организациите, разполагащи с тези устройства, и компаниите, които ги продават на eBay, са под впечатлението, че всички данни са изтрити като част от процеса на извеждане от експлоатация на хардуера. "Реалността е, че физическото събиране на твърди дискове като метод за кражба на ценни данни не се променя много добре" Тим Ерлин, вицепрезидент на продуктовото управление и стратегия в Tripwire, настоява, "че е трудно да се насочват конкретни данни и получавате само какво има на всяко шофиране, което може да е нищо. Със сигурност съществуват по-ефективни средства за постигане на доход, що се отнася до крадците с данни. Но както Ерлийн правилно предупреждава "това може да намали загрижеността, но не трябва да го елиминира." Което означава, че всяка организация трябва да има план за изхвърляне на използвани дискове.

Най-добри практики за унищожаване на данни

Исторически погледнато, най-добрата практика по отношение на избърсването на устройствата, за да се предотврати изтичането на данни, включваше инструменти за криминалистика, които използваха мощни магнити. Обаче, това е малко полезно, когато се използват твърди дискове (SSD), тъй като те използват интегрални схеми като памет. "Тъй като SSD-та не съхраняват данни в магнитна форма и пренаписването на блокове данни може да съкрати живота на някои SSD-та", казва Тим Маки, старши технически евангелизатор в Synopsys, който продължава, "изискват се нови процеси за защита на данните преди изхвърляне." Ако на устройството се съхранят чувствителни данни, Mackey предполага, че за да се гарантира, че данните за сигурността не могат да бъдат възстановени, физически унищожени или раздробявани, устройството е отговорът. Всъщност много големи организации вече разполагат с такива програми за унищожаване на медиите, независимо дали въпросният уред е от разновидност на предене на метал или SSD. Ако случаят е такъв, тогава как дисковете все още завършват на eBay с непокътнати корпоративни данни? Големите организации само съставляват част от пазара е простият отговор. "За много средни и малки организации има реална полза от възвръщането на долара чрез изхвърляне на старото оборудване по доходен начин", посочва Ерлин. И, разбира се, не всички програми за унищожаване на защитени медии се създават равностойни, тъй като процесът не е задължително да се спазва. "Ако стремежът е предвиден за унищожаване, важно е да се получи доказателство за унищожаването", казва Макки, заключавайки, че "в края на краищата, ако е достатъчно важно да бъдеш унищожен, си струва усилието да се потвърди това унищожение."