Cybersecurity-onderzoekers van de Schotse Abertay University zijn erin geslaagd meer dan 75.000 gewiste bestanden te halen van een honderdtal usb-sticks die ze kochten via tweedehands- en zoekertjessites. Onder de bestanden: belastingaangiften, contracten en bankdocumenten.
Op het eerste zicht leken op 98 van de honderd sticks alle data verdwenen te zijn, maar met enkele vrij verkrijgbare tools konden de onderzoekers de gegevens weer boven water halen. Dat bleek in de meeste gevallen ook een ontstellend eenvoudig klusje te zijn.
Slechts 32 van de sticks waren op de correcte manier gewist. Van 26 konden de gegevens gedeeltelijk gered worden. Van 42 sticks werd elke gewiste bit opnieuw leesbaar gemaakt. Heel wat bestanden bleken zeer gevoelige informatie te bevatten, waaronder bankafschriften, wachtwoorden, contracten en belastingformulieren. Heel wat opslagstokjes bleken ook foto’s te bevatten met ingesloten gps-gegevens.
‘Dit is uiterst zorgwekkend, en het potentieel voor misbruik van deze informatie met zeer ernstige gevolgen is enorm’, zegt Karen Renaud van Abertay University. Volgens de professor kan een koper zonder scrupules de herstelde bestanden gebruiken om toegang te krijgen tot de accounts van de verkopers als de wachtwoorden nog steeds geldig zijn. Of ze de wachtwoorden op andere accounts van de persoon uitproberen, gezien het wijdverbreide hergebruik van wachtwoorden. Ook is het e-mailadres van een verkoper te vinden en is geld van bankrekeningen over te hevelen. ‘Of zelfs een verkoper chanteren door te dreigen met het onthullen van gevoelige informatie’, aldus Renaud.
De manier waarop computers bestanden van sticks verwijderen, houdt niet in dat de data ook effectief weg is. Veel mensen beseffen dat niet. ‘Het bestand wordt uit een index verwijderd, zodat het ‘aan het zicht wordt onttrokken’’, legt Renaud uit. ‘Het is er echter nog steeds en als je weet hoe, kun je het gemakkelijk terugvinden met behulp van forensische hulpmiddelen.’
Er bestaat anderzijds ook software die usb-drives permanent kan wissen. ‘Als je een stick gaat verkopen, raden we je ten zeerste aan dat te gebruiken’, besluit Renaud.
Vraag: Op een schaal van een tot tien, hoe verrast bent u door dit bericht?
Antwoord: nul
@Jos:
Op een schaal van 1 tot 10 komt geen 0 voor!
Goed artikel, mensen zouden dit moeten weten. Weggooien is niet voldoende, overschrijven is de enige goede methode.
toch Frank, in 10 staan een 1 en een 0.
@Jan
Het cijfer 0 komt voor in het getal 10.
Het getal 0 komt niet voor in de verzameling (gehele) getallen van 1 tot en met 10.
En nu graag een inhoudelijke bijdrage Jan, want van jou had ik meer verwacht dan alleen een flauwe opmerking!
Het mag toch sinds Norton Unerase (1982; https://en.wikipedia.org/wiki/Undeletion) gevoegelijk bekend worden geacht in de kringen van informatietechnologen dat het verwijderen van een bestand van een opslagmedium doorgaans alleen de index wijzigt en niet de sectoren op de disk. Dat dat nog niet is doorgedrongen tot de gemiddelde gebruiker mag geen bijzonderheid heten; ik verwacht niet dat de eindgebruiker de ins en outs van het FAT file systeem begrijpt (dat helaas nog steeds gangbaar is, met name op USB sticks).
Dit artikel dient dan ook te worden gelezen als een aantijging aan de it-industrie die mensen brakke en onveilige tools geeft. Waarom, als ik een bestand verwijder, wordt b.v. niet de vraag gesteld: “Wilt u dit zodanig verwijderen dat het nooit meer kan worden achterhaald?” (o.i.d., ben geen UX expert).
En @frank: Op een schaal van 1 tot 10 komt inderdaad geen 0 voor. Maar voor grote waarden van nul klopt de uitspraak toch!
Jos,
Natuurlijk kun je het probleem bij de industrie neerleggen maar ‘data disposal’ kost geld en het is vooral een verkeerde zuinigheid want er zijn voldoende tools voor het juist wissen van opslagmedia. Nu is het feit dat je USB-sticks kunt kopen via de tweedehands- en zoekertjessites hoogst bedenkelijk want hoeveel zijn er gestolen?
Ik weet niet hoe hoog het gebruik van USB-sticks nog is nu iedereen gebruik maakt van de ‘gratis’ fileservices in de cloud maar al enige tijd biedt Windows met Bitlocker de mogelijkheid om USB opslag te versleutelen. Oja, ook hier zijn er voldoende mogelijkheden maar toch wordt veel data nog altijd onversleuteld opgeslagen.