A Marylandi Egyetem nem véletlenül kutatóegyetem, és nem véletlenül van Washington közelében: egy sor, az államnak (is) fontos kutatást végez. Egy friss tanulmányukban azt vizsgálták, hogy a rendőrség hogyan kezeli adatbiztonsági szempontból a lefoglalt elektronikus eszközöket, mindenekelőtt a mobilokat. A summás eredmény: sehogy. Az okostelefonokat például úgy árverezték el, hogy semmit sem töröltek róluk. Az illetékesek azonban a kritika hatására hamut szórtak a fejükre, és letették a nagyesküt, hogy mostantól nagyon odafigyelnek, és elvégzik az adattörlést.

A rend őrei annak ellenére nem foglalkoztak az érzékeny adatok kikerülésével, hogy az USA-ban jó ideje létezik előírás arra vonatkozóan, mikor kell ún. minősített adattörlést végezni (az EU-ban a GDPR-nek vannak erre vonatkozó előírásai).

Az egyetem kutatói gyakorlati kísérletet végeztek. Fillérekért (átlagosan 18 dollárért) vettek 228 okostelefont a PropertyRoom.com-on, amely az USA egyik legnagyobb rendőrségi aukciós portálja. A készülékeket alaposan bevizsgálták. 49 készüléket nem védett PIN-kód vagy jelszó, 11 PIN-kódot kitaláltak, mert szerepeltek a 40 legnépszerűbb PIN-t tartalmazó listán. Összesen 61 készülékhez fértek hozzá a legegyszerűbb módszereket használva. (Állításuk szerint komolyabb hekkermódszerekkel a beszerzett mobilok jelentős részét fel tudták volna törni.) Így aztán gyorsan kiderült az is, hogy a készülékek többségéről nem is töröltek semmit – és ez valószínűsíthetően így van a fel nem tört 167 telefonnál is.

Komplett forgatókönyvek egy újabb támadáshoz

A kutatócsapat hozzáfért mindenféle szöveges üzenetekhez, képekhez, e-mailekhez, böngészési előzményekhez, helymeghatározási előzményekhez stb. Az adatok között számos olyant találtak, amely konkrét bűncselekményekre vonatkozott – például az áldozatok adatait.

És itt jön a képbe az, hogy miért kerültek ezek a készülékek a rendőrséghez. Nem csak a drogdílerek kommunikációhoz használt telefonját foglalták le, hanem olyan készülékeket is, melyeket például személyazonosság-lopáshoz használtak. Sok telefonon voltak személyes információk korábbi vagy tervezett bűncselekmények célpontjairól. Tucatnyi készülékről kerültek elő kormányzati hivatalnokok igazolványainak fényképei. Három készülék közülük valószínűsíthetően szexmunkásoké volt, akik a kliensekkel folytatott kommunikáció egy részét is rögzítették.

Az egyik telefonon nyolc ember teljes hiteltörténete, egy másikon olyan képernyőkép, amelyen 11 lopott hitelkártya látható (valószínűleg egy dark netes "bolt" küldte az érdeklődőnek), a harmadikon egy Telegram-csoport komplett beszélgetése, benne egy részletes útmutatóval arról, hogyan kell személyazonosság-lopást végrehajtani...

A kutatók szerint ha egy ilyen eszköz egy gyakorlott bűnöző kezébe kerül, újra elkövetheti vele azokat a bűncselekményeket, melyeket az előző tulajdonos, főleg amikor az áldozat adatai is ott vannak.

Mint a kutatócsapat egyik tagja mondta Brian Krebs IT-biztonsági szakírónak, annyi eredménye már volt a kutatásuknak, hogy a PropertyRoom.com felülvizsgálta a gyakorlatát. Az újabb próbavásárlásnál már csupán négy olyan készüléket találtak, amit nem tisztítottak le teljesen.