Dados privados na venda de dispositivos usados

Nossos especialistas verificaram uma quantidade significativa de dados dos antigos proprietários nos dispositivos de segunda mão (usados).

Nossa Equipe Global de Pesquisa e Análise (GReAT) examinou a segurança em dispositivos de segunda mão. Os dispositivos, que os chefes de pesquisa da DACH, Marco Preuss e Christian Funk, examinaram por dois meses no final de 2020, incluíam laptops usados e uma variedade de mídias de armazenamento, como discos rígidos e cartões de memória.

Seu objetivo não era determinar as diferenças de acordo com o tipo de dispositivo, mas sim examinar os dados contidos neles – para aprender como os dados eletrônicos se relacionam com as vendas pessoa a pessoa ou com outras vendas no mercado de itens usados. Como vendedor, que rastros você pode estar deixando para trás? Como comprador, como você pode fazer com que seu dispositivo se comporte como se fosse novo – e até que você faça isso, é seguro para você usar o dispositivo “seminovo”?

Descobertas

A esmagadora maioria dos dispositivos examinados pelos pesquisadores continham pelo menos alguns rastros de dados – a maioria pessoais, mas alguns corporativos – e mais de 16% dos dispositivos deram aos pesquisadores acesso direto. Outros 74% concederam acesso aos dados quando os pesquisadores aplicaram métodos de extração de dados. Apenas 11% foram configurados e apagados corretamente.

Os dados que Preuss e Funk encontraram incluíam itens que poderiam ser potencialmente inofensivos ou terrivelmente reveladores e até perigosos: entradas de calendário, notas de reuniões, dados de acesso a recursos da empresa, documentos internos, fotos pessoais, informações médicas, documentos fiscais e muito mais. Além disso, como Funk apontou, os dados pessoais não tendem a perder valor com o tempo; você não pode simplesmente esperar o risco passar e se sentir mais seguro com o passar dos dias (não que se sentir seguro realmente diminua o risco de alguma forma).

Além de informações diretamente utilizáveis, como listas de contato, documentos fiscais e registros médicos (ou acesso a eles por meio de senhas salvas), os dispositivos eletrônicos contêm informações que podem causar danos de segunda mão, considerando como os cibercriminosos exploram as informações que obtêm de perfis e publicações em redes sociais. O conteúdo de um dispositivo digital é muito mais informativo.

Mencionamos o malware?

Nem todo mundo compartilha a mesma atitude no que diz respeito a segurança dos dispositivos digitais. Alguns podem se proteger com senhas mais fortes e de maneira mais minuciosa, mas se você estiver comprando dispositivos usados, é provável que receba não apenas os dados de outra pessoa, mas também malware de bônus. Dos dispositivos examinados por Preuss e Funk, 17% acionaram nossos alertas de antivírus.

Prequel: Um estudo mais amplo

A pesquisa que estamos relatando aqui, na verdade, começou com um estudo que a Kaspersky encomendou à Arlington Research. Foram consultados milhares de consumidores adultos no Reino Unido, Alemanha e Áustria. O estudo inicial funcionou como uma espécie de confirmação, descobrindo que as vendas digitais de segunda mão são significativas e, de fato, uma fonte confiável de vazamentos de dados; menos da metade das centenas de compradores não encontraram nenhuma foto, “material explícito”, detalhes de contato, documentos confidenciais como passaportes ou detalhes de login nos dispositivos que compraram.

Vendedor, cuidado

Embora aproximadamente 10% dos respondentes da pesquisa tenham recebido dispositivos nos quais encontraram as informações do vendedor, muitos deles não ignorariam, excluiriam imediatamente ou relatariam os dados encontrados ao proprietário original ou a qualquer autoridade. Além de apenas dar uma olhada (o que 74% dos entrevistados disseram que encontraram uma maneira de fazer), mais de 1 em cada 10 admitiu que venderia os dados encontrados se pensasse que poderia lucrar com isso.
O National Cyber Security Center do Reino Unido fornece alguns conselhos práticos para compradores e vendedores de dispositivos eletrônicos de segunda mão, desde o backup de dados pessoais até a garantia de que o dispositivo está tão limpo quanto um novo estaria.

Para vendedores

Como vendedor, sua principal prioridade é retirar suas informações do dispositivo que você está vendendo para mantê-lo seguro e privado. Sim, também é importante garantir que o dispositivo seja seguro, o que esperamos que você tenha feito o tempo todo, mas o objetivo aqui é manter suas coisas privadas.

  • Faça backup de seus dados: seja em um telefone, computador, cartão de memória ou outra forma de armazenamento, faça backup com segurança antes de excluí-lo do dispositivo que você está vendendo;
  • Remova os cartões SIM e de armazenamento dos telefones; apague o eSIM se o seu dispositivo possuir um;
  • Ative a autenticação de dois fatores para todas as contas que permitirem e, em seguida, saia de todos os serviços (bancários, e-mail, mídia social etc.) no dispositivo que você está vendendo;
  • Dependendo do dispositivo em questão, execute uma redefinição de fábrica ou formate a mídia;
  • Lembre-se de que, em muitas circunstâncias, os dados podem ser recuperados mesmo após uma redefinição de fábrica ou formato de mídia. Para ter certeza de que nada foi deixado no dispositivo, você precisa executar etapas adicionais, que variam de acordo com o tipo, modelo e configuração do dispositivo; pesquise informações sobre como excluir com segurança todos os seus dados.

Para compradores

Nosso conselho para os compradores de dispositivos de segunda mão é muito parecido com nossas recomendações de propriedade digital geral, mas um pouco mais rigoroso porque temos que presumir que um dispositivo de segunda mão não está seguro. Melhor prevenir do que remediar.

  • Dependendo do dispositivo em questão, execute uma redefinição de fábrica ou formate a mídia de armazenamento;
  • Instale e ative uma solução de segurança confiável imediatamente – se possível, antes mesmo de comprar o dispositivo – para compensar o risco de encontrar malware já presente em um dispositivo e execute uma verificação antes de usar o dispositivo primeira vez.
Dicas