Bericht: Jedes fünfte gebrauchte Mobiltelefon enthält immer noch personenbezogene Daten von Vorbesitzern
Laut einer neuen Studie der University of Hertfordshire im Auftrag von Comparitech enthalten 19 Prozent der bei eBay verkauften Gebrauchttelefone immer noch sensible Daten, die zur Identifizierung des Vorbesitzers verwendet werden könnten.
Forscher der University of Hertfordshire kauften über eBay 100 gebrauchte Telefone, um herauszufinden, ob sie identifizierbare Daten von Vorbesitzern extrahieren konnten. Die Forscher führten forensische Analysen auf einer Vielzahl von Geräten durch, von High-End-Smartphones bis hin zu herkömmlichen Mobiltelefonen ohne Internetfähigkeit.
19 Prozent der Telefone enthielten Daten von Vorbesitzern und 17 Prozent verfügten über Daten, die zur Identifizierung dieser Vorbesitzer genutzt werden konnten, zusammen mit anderen potenziell wertvollen Restdaten. Zu den Informationen gehörten Tausende privater E-Mails, vertrauliche Fotos, Kontaktlisten, Textnachrichten, Steuerdokumente, Bankkontodaten, Webbrowser-Verläufe und persönliche Kalender.
In den falschen Händen könnten die auf diesen Geräten gefundenen persönlichen Daten für eine Reihe von Straftaten verwendet werden, darunter Identitätsdiebstahl, Betrug, Erpressung und gezieltes Phishing.
Die Forscher führten ihre forensische Analyse der gebrauchten Telefone mit öffentlich verfügbaren Tools durch, die aus dem Internet heruntergeladen werden können.
52 % der Telefone wurden ordnungsgemäß gelöscht
Die analysierten Telefone decken ein breites Spektrum an Altersgruppen und Betriebssystemen ab, darunter Android, iOS, Blackberry, Windows und herkömmliche „dumme“ Telefone. Das älteste war ein Motorola aus dem Jahr 1996. „Der Zweck der Einbeziehung einer breiten Palette von Geräten bestand darin, die Datenmenge, die in herkömmlichen Geräten verbleiben konnte, mit technologisch fortschrittlicheren Geräten zu vergleichen“, erklären Forscher.
Die Forscher versuchten, zur Analyse ein „Bild“ oder eine exakte Kopie des Speichers jedes Telefons zu erstellen. Von den 100 untersuchten Telefonen konnten 28 nicht abgebildet werden. Dabei handelte es sich überwiegend um ältere Geräte, was die Forscher als Schwachstelle ihrer Methodik einräumen. Sie sagen, dass sie sich bei künftigen Forschungen auf neuere Geräte konzentrieren werden. Olga Angelopoulou, Forscherin an der University of Hertfordshire, erklärt:
„In Wirklichkeit konnten einige der älteren/konventionellen Geräte nicht abgebildet werden, da sie mit den Werkzeugen nicht kompatibel waren oder nicht funktionierten. Diejenigen, die abgebildet und analysiert wurden, enthielten hauptsächlich einige Textnachrichten, Multimedia-Nachrichten und Kontaktlisten. Andererseits enthielten die neueren Geräte, die nicht auf die Werkseinstellungen zurückgesetzt wurden, meist einige PII von Ex-Benutzern oder vollständig abrufbare PII von Ex-Benutzern. In den Fällen, in denen es uns gelang, die Identität vollständig abzurufen, geschah dies sogar über ein Smartphone.“
52 Prozent aller für die Studie gekauften Geräte (74 Prozent der erfolgreich abgebildeten Geräte) wurden auf die Werkseinstellungen zurückgesetzt, ein Beweis für einen Versuch des Nutzers, persönliche Daten zu löschen.
19 Prozent der Telefone (26 Prozent der erfolgreich abgebildeten Geräte) enthielten Daten von Vorbesitzern. In den meisten dieser Fälle – 17 Prozent der Gesamtstichprobe – waren personenbezogene Daten abrufbar und konnten zur Identifizierung eines Vorbesitzers des Mobiltelefons verwendet werden.
Welche Daten enthielten die Telefone?
Die Forscher ermittelten personenbezogene Daten von 17 Prozent der für die Studie gekauften Telefone. Einige Beispiele für die Daten auf diesen Telefonen sind:
- Ein P11D-Formular für Spesen und Sozialleistungen für 2012–13, das Folgendes enthielt: Name des Arbeitgebers, PAYE-Referenz, Lohn- und Gehaltsabrechnungsnummer, Sozialversicherungsnummer und Geburtsdatum.
- Eine Kontaktliste mit 30 Einträgen, darunter die Nummer des Vorbesitzers, eine Liste der letzten Anrufe sowie 114 Textnachrichten inklusive Sexts und sieben Multimedia-Nachrichten.
- Telefonnummer, E-Mail-Adresse und Bankkontodaten. 532 persönliche Bilder und 16 Videos. Eine Liste der zwischen Oktober 2015 und Januar 2016 getätigten Anrufe.
- Mehrere Social-Media-Konten, bei denen noch angemeldet war, darunter Facebook, Instagram und Skype.
- Apple-ID und Passwort, eBay-Benutzername und Passwort, 408 Bilder und Webbrowser-Verlauf.
- Kontaktliste und letzte Anrufe sowie vier E-Mail-Konten.
- Ein E-Mail-Konto, bei dem angemeldet war und das noch aktiv ist.
- Beweise dafür, dass das Telefon einem Kind aus Ringwood, Hampshire, gehörte, mit Kontakten und Notizen.
Alle Telefone wurden zwischen Januar und Juni 2018 bei eBay gekauft.
Warum hinterlassen Menschen Daten auf ihren Telefonen?
52 Prozent der analysierten Telefone wurden auf die Werkseinstellungen zurückgesetzt, was zeigt, dass die Mehrheit der Benutzer Maßnahmen zum Schutz ihrer persönlichen Daten ergriffen hat.
„Moderne Smartphones und Tablets bieten ihren Nutzern mehrere Vorteile in Bezug auf Kommunikation und Zugänglichkeit“, erklärten die Forscher. „Der geringe Aufwand, den ein technisch nicht versierter oder computerkundiger Benutzer benötigt, um sein Gerät auf die Werkseinstellungen zurückzusetzen, ist bezeichnend für die Ergebnisse der Studie.“
17 Prozent der Telefone enthielten Informationen, anhand derer der Vorbesitzer identifiziert werden konnte. Das bedeutet, dass der Verkäufer entweder keinen oder nur unzureichenden Versuch unternommen hat, die Daten zu löschen.
Comparitech arbeitete mit der University of Hertfordshire an ähnlichen Studien zusammen, die sich auf gebrauchte Speichergeräte konzentrierten USB-Laufwerke Und SD-Karten . Über die Hälfte dieser Geräte enthielt noch Restdaten von Vorbesitzern, sodass gebrauchte Telefone viel häufiger ordnungsgemäß gelöscht wurden.
Forscher gehen davon aus, dass das ordnungsgemäße Löschen eines Telefons viel weniger Aufwand und Wissen erfordert als das Löschen von Speichergeräten.
Dennoch versäumten es viele Menschen, persönliche Daten auf ihren Telefonen zu löschen, bevor sie sie weiterverkauften. Dies könnte daran liegen, dass man nicht weiß, wie man Daten ordnungsgemäß löscht, dass man sich im Zeitalter des Datenaustauschs und der sozialen Medien keine Sorgen macht oder man sich der Risiken der Offenlegung personenbezogener Daten nicht bewusst ist.