Từ tài khoản ngân hàng của bạn đến hình ảnh riêng tư và thậm chí cả mật khẩu, dữ liệu điện thoại thông minh vẫn giữ những bí mật quý giá nhất của bạn - ngay cả khi bạn nghĩ rằng nó đã bị xóa, như Harry Wallop đã kinh hoàng khi phát hiện ra.
Giống như hàng ngàn người, tôi đã được tặng một chiếc điện thoại mới vào dịp Giáng sinh. Nhưng thay vì chỉ tái chế chiếc điện thoại cũ của mình, tôi đã nghĩ rằng mình sẽ bán nó. Thiết bị của tôi ở trong tình trạng tốt - một chiếc iPhone tương đối phức tạp - và các trang web khác nhau cho rằng nó sẽ có giá 140 bảng. Tôi đã tháo thẻ SIM, con chip máy tính nhỏ chứa số điện thoại của tôi và các thông tin quan trọng khác, vì điều này sẽ đi vào điện thoại mới và xóa tất cả dữ liệu, chẳng hạn như ảnh và email của tôi, cùng với các ứng dụng nhắn tin và truyền thông xã hội như WhatsApp và Twitter. Hoặc tôi nghĩ vậy. Hóa ra chiếc điện thoại cũ được chôn giấu trong chiếc điện thoại cũ của tôi là một đống thông tin cá nhân - tất cả đều vô cùng quý giá đối với bất kỳ tên tội phạm nào, nhưng lại là thảm họa đối với tôi. "Tôi thậm chí có thể tìm ra nơi bạn sống," James Smith nói với tôi một cách tình cờ.
Anh ta là người đàn ông - với sự cho phép của tôi - đã xâm nhập vào chiếc điện thoại cũ của tôi, thứ mà tôi nghĩ rằng tôi đã xóa sạch hoàn toàn. Trưởng bộ phận kiểm tra thâm nhập tại một công ty bảo mật kỹ thuật số, Smith đã dành một ngày để xem những gì anh ta có thể lấy từ thiết bị của tôi. Ông giải thích: “Nó tương đối đơn giản. 'Nó không yêu cầu bất kỳ bộ dụng cụ cụ thể nào. Điều này được sử dụng các công cụ sẵn có miễn phí hoặc rất rẻ. ' Và, chàng trai, những gì anh ta tìm thấy là mở rộng tầm mắt. Anh ta có thể lấy được mật khẩu mà tôi đã sử dụng cho một ứng dụng chơi cờ vua, điều này - thật đáng xấu hổ đối với tôi - cũng chính là mật khẩu mà tôi sử dụng cho nhiều ứng dụng khác, quan trọng hơn rất nhiều.
'Đó là giải độc đắc cho một hacker. Họ sẽ xem qua mọi tài khoản trực tuyến, Facebook, Twitter, email và "mật khẩu", xem mật khẩu đó có phù hợp với bất kỳ tài khoản nào trong số họ hay không.
'Thời điểm bạn có quyền truy cập vào tài khoản email của mình, bạn có thể nắm giữ mọi thứ và bắt đầu lừa đảo danh bạ của mình.' Đây là lúc một tin tặc sẽ giả danh tôi và lấy, có khả năng là thông tin chi tiết tài khoản ngân hàng của bạn bè và gia đình tôi. James nói: “Họ có thể rất dễ dàng mạo danh bạn. Và nó sẽ đặc biệt dễ dàng trong trường hợp của tôi vì tất cả các địa chỉ liên hệ của tôi, cùng với dữ liệu điện thoại thông minh của họ bao gồm số điện thoại và email, đều có thể truy cập được. Tôi đã tắt điện thoại của mình sau khi một báo cáo được công bố cách đây hai tuần bởi Trung tâm An ninh mạng Quốc gia - một phần của GCHQ - kêu gọi người tiêu dùng nhận thức được lượng dữ liệu hiện được lưu trữ trên điện thoại của họ và 'tầm quan trọng của việc xóa dữ liệu này trước khi bán để nó không vô tình rơi vào tay bọn tội phạm '.
Các số liệu cho thấy một số lượng lớn người đang không lau sạch điện thoại của họ một cách đầy đủ trước khi bán chúng trên thị trường đồ cũ. Nghiên cứu được công bố ngày hôm qua bởi công ty an ninh mạng Kaspersky cho thấy rằng có hàng chục nghìn điện thoại được rao bán với thông tin cá nhân vẫn còn trên đó. Kaspersky đã khảo sát người tiêu dùng trên khắp Vương quốc Anh và Đức. Trong số những người đã mua thiết bị di động cũ, 18% cho biết họ đã tìm thấy ảnh, 8% đã tìm thấy chi tiết đăng nhập và mật khẩu, và 7% đã tìm thấy các giấy tờ tùy thân như bằng lái xe.
Đây là từ một cuộc khảo sát. Có thể tưởng tượng rằng một số người đã phóng đại. Nhưng công ty bảo mật cũng đã mua 185 thiết bị ngẫu nhiên từ eBay, Facebook Marketplace và Amazon, tất cả đều là những nơi phổ biến để mua điện thoại và máy tính xách tay cũ. Nó cho thấy 16% có dữ liệu 'trong tầm nhìn rõ ràng', chẳng hạn như ảnh hoặc tin nhắn, dễ dàng truy cập cho bất kỳ ai xem và đọc. Đáng lo ngại hơn, 73% tiếp theo có dữ liệu mà bất kỳ ai có một chút bí quyết công nghệ đều có thể truy cập được. Những bức ảnh chụp những người tạo dáng với ma túy hạng A, ảnh khỏa thân, bản quét giấy phép lái xe và hộ chiếu, tài liệu thuế, chi tiết ngân hàng và vô số dữ liệu buộc tội đã được chôn giấu trong các thiết bị này - nếu bạn biết cách tìm chúng. Điều đó có nghĩa là chỉ có 11% đã được xóa sạch tất cả dữ liệu của họ.
David Emm, nhà nghiên cứu bảo mật chính tại Kaspersky , giải thích: 'Tôi nghĩ vấn đề là sự lỏng lẻo . 'Chúng tôi vẫn tiếp cận tâm lý với điện thoại di động giống như cách chúng tôi đã làm cách đây mười năm. Chúng tôi gọi chúng là điện thoại, mặc dù chúng thực sự là máy tính. Mặc dù chúng tôi không thực sự sử dụng chúng chỉ để thực hiện cuộc gọi hoặc gửi tin nhắn - chúng tôi làm tất cả những thứ này khác trên đó - bằng cách nào đó chúng tôi không cẩn thận khi nói đến bảo mật. ' Việc bán điện thoại di động không mong muốn ngày càng trở nên phổ biến. Một thập kỷ trước, hầu hết các điện thoại cũ đều khá vô giá trị, nhưng khi độ tinh vi và giá cả của điện thoại thông minh ngày càng tăng, nhiều người tiêu dùng đã phát hiện ra rằng họ có thể kiếm tới 500 bảng Anh cho một chiếc điện thoại 18 tháng tuổi nếu nó ở trong tình trạng tốt.
EY-Parthenon, một công ty tư vấn trực thuộc Ernst & Young, ước tính rằng 30% tổng số điện thoại thông minh được bán lại, tổng cộng 8,1 triệu điện thoại mỗi năm. Ngoài ra, theo cơ quan quản lý Ofcom, ngày càng có nhiều người tiêu dùng mua điện thoại riêng với hợp đồng dữ liệu hàng tháng của họ - theo thỏa thuận chỉ dành cho SIM, cho phép họ tự do nâng cấp điện thoại thường xuyên và bán điện thoại đã qua sử dụng. Trở lại năm 2014, chỉ 15% khách hàng đã làm điều này; vào năm 2019, con số này là 34% (năm gần đây nhất mà chúng tôi có số liệu; nó có khả năng cao hơn bây giờ). Kết quả là, hàng chục trang web chuyên gia đã mọc lên để bạn có thể bán điện thoại của mình. Những trang có uy tín nhất, chẳng hạn như musicMagpie, giải thích rằng bạn nên xóa tất cả dữ liệu của mình - và giải thích cách thực hiện. Tuy nhiên, một số trang web không đưa ra hướng dẫn như vậy.
Mark Payton là một cựu cảnh sát và hiện là giám đốc pháp y tại CYFOR, một công ty an ninh chủ yếu làm việc cho các luật sư bào chữa tội phạm. Anh ấy nói, 'Có rất nhiều người không biết rằng điện thoại có nút khôi phục cài đặt gốc. Vì vậy, họ sẽ chỉ đi qua thư viện ảnh và xóa ảnh, vào tin nhắn và xóa tất cả tin nhắn, trái ngược với việc khôi phục cài đặt gốc hoàn toàn cho điện thoại của họ. '
Đây chính xác là những gì tôi đã làm trước khi gửi điện thoại cho James Smith và giải thích lý do tại sao anh ấy thấy tương đối dễ dàng để tìm thấy nhiều thông tin cá nhân của tôi, mặc dù tôi nghĩ rằng tôi đã xóa nó. Phải thừa nhận rằng phần lớn những gì anh ta tìm thấy khá trần tục: danh sách mua sắm cũ, ảnh của các con tôi và danh sách tất cả các trang web tôi đã truy cập. Nhưng một số đã rất đáng báo động - không chỉ là mật khẩu được sử dụng nhiều nhất của tôi. Mặc dù SIM của tôi đã bị xóa, số điện thoại của tôi vẫn hiển thị. Tất cả các địa chỉ liên hệ của tôi đều có thể truy cập được cùng với email và số điện thoại của họ. Thật không may, cũng có một tin nhắn cũ mà tôi đã gửi cho ai đó bao gồm chi tiết tài khoản ngân hàng của tôi để họ có thể trả tiền cho tôi. Đáng lo ngại nhất, có lẽ, anh ấy có thể tìm ra nơi tôi sống. 'Bạn có thể làm điều này từ dữ liệu exif.'
Smith giải thích: 'Tính năng này hiện có trên tất cả các máy ảnh, gắn thẻ bức ảnh với thiết bị được chụp, chế độ chụp, cùng với kinh độ và vĩ độ của nơi bạn đang ở. Điều này được thiết kế để giúp bạn tìm thấy tất cả các bức ảnh, chẳng hạn như bạn đã chụp ở Pháp. ' Nhưng bạn cũng có thể phóng to nơi bạn thường chụp ảnh nhất - luôn luôn là địa chỉ nhà của bạn. Smith nói với tôi rằng anh ấy có thể tập luyện trong khoảng ba ngôi nhà mà địa chỉ của tôi trên một dãy nhà trên sân thượng ở London, chỉ bằng cách sử dụng dữ liệu exif này trên các bức ảnh của tôi. Sau đó, bằng cách tham chiếu chéo những ngôi nhà này với tất cả các địa chỉ Wi-Fi mà tôi đã kết nối, anh ta có thể xác định được địa chỉ chính xác. 'Tôi có thể đặt hai và hai lại với nhau và tìm ra nơi bạn sống. Thật dễ dàng để tìm ra nơi đăng ký địa chỉ Wi-Fi. ' Nhưng làm thế nào anh ta có thể làm điều này, mặc dù tôi nghĩ rằng tôi đã xóa tất cả các ứng dụng, ảnh,
Mark Payton giải thích lý do tại sao xóa ứng dụng là không đủ tốt - ngay cả khi chúng luôn xuất hiện cảnh báo nói rằng 'xóa ứng dụng này cũng sẽ xóa dữ liệu của ứng dụng đó'. Ông nói: “Một ứng dụng thường là giao diện người dùng cho dữ liệu được lưu trữ trong điện thoại. 'Ví dụ: nếu bạn sử dụng WhatsApp, nó có một cơ sở dữ liệu back-end bên trong điện thoại, nơi lưu trữ tất cả các tin nhắn. Nếu bạn xóa ứng dụng, hầu hết thời gian cơ sở dữ liệu phía sau sẽ không bị xóa khỏi điện thoại. '
David Emm nói rằng xóa ảnh hoặc tin nhắn không có nghĩa là họ đã rời khỏi điện thoại của bạn. Anh ấy giải thích rằng khi bạn xóa một thứ gì đó, 'tất cả những gì hệ thống làm là gắn cờ trong chỉ mục, khu vực này có sẵn cho các tệp mới. Tin nhắn đã xóa chỉ nằm ở chế độ nền, vẫn có thể được truy xuất, cho đến khi bạn hết dung lượng và cần viết lên trên. Anh ấy so sánh nó với các băng VHS cũ của các chương trình truyền hình - xóa chúng chỉ có nghĩa là bạn chuyển băng vào 'đống sẵn sàng được sử dụng lại'. Dữ liệu sẽ không biến mất cho đến khi bạn sử dụng băng để ghi một chương trình mới. Smith cho biết việc xâm nhập vào điện thoại của tôi và khôi phục mật khẩu mà tôi đã sử dụng tương đối đơn giản. Trước hết, anh ấy cắm điện thoại của tôi vào máy tính của anh ấy và sau đó tải xuống một phần mềm có tên là Dr.Fone.
Phiên bản cao cấp có giá 72 bảng Anh và giúp mở 'phần phụ trợ' của điện thoại. Phần mềm phổ biến này được sử dụng để giúp mọi người khôi phục dữ liệu mà họ bị mất hoặc bị xóa do vô tình. Nó thậm chí có thể mở khóa điện thoại nếu bạn quên mã khóa màn hình. Smith nói: “Thật sự rất đơn giản để tìm tất cả những thứ đã bị xóa. Bước tiếp theo, tuy nhiên, yêu cầu thêm một chút bí quyết. 'Tất cả dữ liệu tôi thu thập được, tôi đưa vào một công cụ gọi là Khám nghiệm tử thi. Đây là phần mềm miễn phí. Nó lập chỉ mục từng bit thông tin vào cơ sở dữ liệu, sau đó bạn tìm kiếm các chuỗi [mã]. Điều đầu tiên tôi tìm kiếm là các chuỗi có chứa từ “mật khẩu”. 'Và không lâu nữa tôi đã tìm thấy một chiếc. Một hacker có thể dành hàng giờ và có thể tìm thấy nhiều mật khẩu hơn. ' Khi anh ấy đọc lại cho tôi qua điện thoại mật khẩu mà anh ấy tìm thấy,
Payton nói thêm rằng, ngay cả khi bạn không phải là một chuyên gia công nghệ, bạn có thể tìm thấy một số mật khẩu cũ hoặc dữ liệu đã xóa từ điện thoại cũ chưa được xóa đúng cách. 'Trên internet có rất nhiều diễn đàn, chẳng hạn như trên Reddit, nơi mọi người có thể nói với bạn về cách thực hiện điều này.' Tất cả các chuyên gia đều chỉ ra rằng những chiếc điện thoại mới ra mắt trong vài năm qua có xu hướng bảo mật hơn. Vì vậy, cũng là các ứng dụng gần đây nhất - đôi khi yêu cầu những gì được gọi là xác thực hai yếu tố. Ví dụ: đây là khi bạn được gửi một mã đến điện thoại hoặc email để có quyền truy cập vào Facebook. Nhưng nếu bạn đã bẻ khóa email của ai đó một cách khéo léo, thì điều đó có thể chẳng có ích gì. Có một mối quan tâm khác với điện thoại đã qua sử dụng. Và đó là của người mua, không phải người bán. Nếu bạn mua một mô hình cũ hơn, rất có thể nó sẽ không còn được nhà sản xuất hỗ trợ nữa. Điều này rất quan trọng vì nếu kiểu máy không còn được hỗ trợ, điều đó có nghĩa là Apple hoặc Samsung không còn gửi các bản cập nhật bảo mật nữa - có khả năng khiến chủ sở hữu mới của điện thoại dễ bị tấn công.
Cái nào? - tổ chức người tiêu dùng - đã điều tra vấn đề này vào mùa hè năm ngoái và phát hiện ra rằng 31% điện thoại được bán tại các trang web bán đồ cũ hàng đầu không còn được hỗ trợ bởi nhà sản xuất. Chẳng hạn, bất kỳ thứ gì cũ hơn iPhone 6 đều đã lỗi thời và khiến bất kỳ người dùng nào cũng có thể dễ bị tấn công. Trên Facebook Marketplace trong tuần này, vẫn có rất nhiều iPhone 5s được rao bán. Kate Bevan, biên tập viên của tờ nào? Computing cho biết: 'Khi thị trường thứ cấp và tân trang tiếp tục phát triển cho các sản phẩm công nghệ, các nhà sản xuất phải minh bạch hơn về tuổi thọ của thiết bị và thời gian họ cung cấp các bản cập nhật bảo mật, để mọi người có thể đưa ra quyết định rõ ràng và không rủi ro khi mua các thiết bị không được hỗ trợ. '
Facebook không muốn bình luận trực tiếp, nhưng cho biết họ cung cấp các mẹo cho người tiêu dùng mua và bán trên thị trường của mình. Những lời khuyên này bao gồm: 'Nếu có thể, hãy đảm bảo kiểm tra hoặc kiểm tra kỹ lưỡng mặt hàng trước khi mua'. eBay nói: 'Khi bán điện thoại di động, cho dù trực tuyến hay ngoại tuyến, người bán nên thực hiện các bước có trách nhiệm để bảo vệ dữ liệu của chính họ bằng cách xóa tất cả nội dung và cài đặt và bảo mật thiết bị của họ. " Tất nhiên, nếu tôi đã bán chiếc điện thoại 'bị xóa sổ' của mình trên internet và nó rơi vào tay kẻ xấu, tôi có thể sẽ không biết, cho đến khi một số tiền rời khỏi tài khoản của tôi một cách bí ẩn, hoặc ai đó đăng ảnh của tôi và các con tôi trên Internet.
Payton kêu gọi hàng trăm nghìn người sẽ bán điện thoại của họ trong một năm mới hãy dọn sạch chúng đúng cách. 'Khôi phục cài đặt gốc là tiêu chuẩn vàng. Nó làm cho rất khó - và đôi khi không thể - trích xuất bất kỳ dữ liệu điện thoại thông minh nào sau khi điều đó đã xảy ra. Nhưng rất nhiều người không biết rằng điều đó có thể làm được. Nó được chôn trong khoảng bốn tùy chọn menu khác nhau. '
02838442008
