Se ha encontrado información personal, como detalles médicos y de tarjetas de crédito, así como las claves de la infraestructura estatal, en equipos de TI sin limpiar vendidos por algunas de las empresas y agencias gubernamentales más grandes de Australia.
Se ha descrito como la «pieza vital del rompecabezas» que faltaba, pero los desechos electrónicos podrían representar un peligro oculto para la privacidad de los australianos y la seguridad de la nación, ya que los datos personales y la información de la empresa se encuentran regularmente en dispositivos de segunda mano después de que son vendido en.
Las cosas que se encuentran en los dispositivos de segunda mano son «peores de lo que puedas imaginar», según Kurt Gruber, director fundador de la empresa de saneamiento cibernético WV Technologies, que también compra y revende equipos de segunda mano de vendedores en línea y casas de subastas.
“Incluso las agencias gubernamentales en los niveles más altos, muchas de ellas, se están deshaciendo de equipos completamente sin limpiar”, dijo.
“Con infraestructura crítica, encontramos las claves de red para la infraestructura crítica de un estado en una casa de subastas que destruimos.
“Y luego, en términos de detalles personales en ellos, los registros médicos completos de los empleados y clientes gubernamentales y corporativos, hasta la mamá y el papá comunes”.
Esos datos incluían imágenes de cirugías íntimas donde los pacientes estaban bajo anestesia.
WV Technologies también encontró hojas de cálculo completas de Excel con los nombres, direcciones, números de teléfonos móviles y detalles de tarjetas de crédito de los clientes de los principales minoristas, así como códigos de alarma para docenas de tiendas de una empresa.
“Son cosas fuera del planeta, y no es como si sucediera una vez. Estamos tan acostumbrados ahora”, dijo.
La investigación realizada por la agencia de consultoría PwC, junto con WV Technologies, descubrió que existe un riesgo significativo de filtraciones de datos que proviene de la eliminación incorrecta de desechos electrónicos mientras se realiza un experimento con equipos de segunda mano.
PwC compró un teléfono móvil y una tableta por menos de $50 de un minorista de segunda mano en ACT en un esfuerzo por ver qué podían recuperar.
El autor del informe, Rob Di Pietro, describió los resultados como «impactantes».
Pudieron recuperar 65 piezas de información de identificación personal (PII) del teléfono, mientras que la tableta, que aún tenía calcomanías corporativas, contenía una nota con credenciales para acceder a una base de datos que les permitió acceder a 20 millones de registros de PII confidenciales. .
“Es un problema mucho más grande de lo que nos damos cuenta hoy, de lo que nadie le ha prestado atención en los últimos tiempos”, dijo el Sr. Di Pietro a NCA NewsWire.
“Nos sorprendió que las personas dejaran los datos en estos dispositivos a la vista”.
Las organizaciones e individuos australianos eliminan miles de toneladas de desechos electrónicos cada año, una cifra que está creciendo rápidamente con el volumen global de desechos electrónicos que superará los 70 millones de toneladas por año para 2030.
El informe de PwC encontró que de las 650 kilotoneladas de desechos electrónicos producidos anualmente en Australia y Nueva Zelanda, solo alrededor del 10 por ciento se recolecta formalmente en lugar de tirarlo a la basura.
WV Technology estima que uno de cada 250 discos duros que caen en sus manos no se limpia correctamente, algo que Gruber cree que contribuye al delito cibernético.
“A menudo es extraño cómo recibes ataques aleatorios de ransomware o incluso solo correos electrónicos de phishing y ellos saben un poco sobre ti”, dijo.
“No hay forma de establecer la conexión entre las eliminaciones indebidas y dónde las personas obtienen su información, pero tendría que ser un contribuyente”.
Di Pietro está de acuerdo y dice que era «muy posible» que los ataques cibernéticos se llevaran a cabo a partir de datos encontrados en dispositivos de segunda mano, ya que los delincuentes siguen el camino de «menor resistencia» para llevar a cabo sus operaciones.
“En lugar de tomarse la molestia de tratar de piratear sistemas para robar identidades, si pueden hacerlo gastando $ 20-30 en línea, lo harán”, dijo.
“Me preocupa pensar qué están haciendo otros grupos de delincuentes cibernéticos motivados, que potencialmente persiguen dispositivos de segunda mano que pueden estar tirados o vendidos en eBay o Gumtree”.
Gruber también dijo que era importante considerar que potencias extranjeras como China están importando discos duros usados de Australia.
«Pueden fabricar discos duros por centavos, es interesante la cantidad de discos usados que compran los estados extranjeros».
Gruber dijo que no se estaba prestando suficiente atención a la eliminación segura de los equipos de TI, en parte debido a los costos de la empresa.
“No tiene sentido invertir tanto por adelantado [for cyber protection] y luego, básicamente, hacer que la gente revise los contenedores o los sitios en línea y encuentre las cosas que estaba tratando de proteger en primer lugar”, dijo.
“Es frustrante saber que tienes estos procesos en los que tienes que dar tu información, y hay una gran empresa que hace una fortuna pero no quiere pagar $20 al final para deshacerse del disco duro”.
El gobierno federal actualmente está revisando las leyes de seguridad cibernética de la nación y la ley de privacidad en respuesta a los ataques cibernéticos de alto perfil en Optus y Medibank donde se violaron los datos personales de millones de australianos.
Di Pietro dice que ahora hay una «oportunidad» para que el gobierno federal incluya obligaciones más explícitas y claras para los desechos electrónicos en las empresas como parte de la regulación cibernética, diciendo que «se necesita hacer más» para mantener a los australianos seguros.
“Hemos estado mucho más enfocados en [e-safety] en el sentido en línea, y ahí es donde se centraron mucho las infracciones el año pasado, pero necesitamos ver el cambio de prioridad para tratar igualmente nuestra huella digital en el sentido fuera de línea”, dijo.
“Y eso es en dispositivos que ya no se necesitan, y ahí es donde pensamos [the legislation] ha sido descuidado.”
Gruber instó a las empresas que se están deshaciendo de los equipos antiguos a que eviten hacerlo internamente y busquen empresas de destrucción de datos con la certificación NAID AAA, lo que significa que está respaldada por el gobierno para la destrucción de datos hasta niveles ultrasecretos.
“Probablemente tengan buenas intenciones, pero no es su negocio principal”, dijo.
“A menudo no entienden lo complejo que es desmantelar adecuadamente un equipo”.
El problema va más allá de la eliminación de los discos duros, ya que los dispositivos de TI más complejos que conectan las redes de la empresa suelen contener la mayor cantidad de datos.
“Con los discos duros, a todos se les erizan los pelos porque se puede ver físicamente la amenaza, pero una gran parte de las cosas más sofisticadas simplemente no se han tocado”, dijo.
«No entienden que hay datos en muchos de los chips en estos días, no es solo el disco duro».