Hậu quả khôn lường từ thói quen vứt đồ điện thoại, máy tính cũ vào sọt rác

Rác thải điện tử đang là mối nguy hiểm tiềm ẩn đối với quyền riêng tư của người dùng và an ninh quốc gia tại Australia.

Điều này được kết luận sau khi nghiên cứu phát hiện một lượng lớn thông tin cá nhân của người dùng và các công ty vẫn còn được lưu trữ trên các thiết bị cũ bị rao bán hoặc vứt bỏ.

Theo đó, trong khi thực hiện nghiên cứu trên các thiết bị cũ, công ty tư vấn PwC cùng với công ty an toàn mạng WV Technologies phát hiện nguy cơ đáng kể về vi phạm dữ liệu người dùng, xuất phát từ việc xử lý rác thải điện tử không đúng cách.

Cụ thể, toàn bộ thông tin cá nhân như thẻ tín dụng, bảo hiểm y tế hay thậm chí là mật khẩu của các cơ sở hạ tầng quốc gia đều có thể được tìm thấy trên các thiết bị công nghệ được bán bởi một số công ty và cơ quan chính phủ lớn ở Australia.

Mối nguy từ việc vứt smartphone hỏng vào sọt rác

Trong nghiên cứu, PwC mua một chiếc smartphone và máy tính bảng với giá dưới 50 USD từ một cửa hàng bán lẻ đồ cũ để thử xem có thể thu hồi những gì.

Rob Di Pietro, tác giả chính của nghiên cứu sau đó mô tả kết quả thu được "gây sốc với toàn bộ nhóm".

Trên chiếc smartphone cũ, nhóm nghiên cứu có thể truy xuất đến 65 mẩu thông tin nhận dạng cá nhân (PII).

Trong khi đó, với chiếc máy tính bảng cũ, vốn đang dán nhãn của một công ty, nhóm của Di Pietro thậm chí còn lấy được thông tin đăng nhập cho phép truy cập vào cơ sở dữ liệu của 20 triệu mẫu PII nhạy cảm khác.

“Chúng tôi bị sốc khi người dùng để lại dữ liệu trên các thiết bị này ở nơi dễ tìm thấy như vậy. Trong thời đại kỹ thuật số hiện nay, đây là vấn đề lớn hơn nhiều so với những gì chúng ta có thể nhận ra”, Di Pietro nói.

Kurt Gruber, CEO WV Technologies cảnh báo những thứ được tìm thấy trên các thiết bị điện tử cũ có thể tồi tệ hơn những gì người dùng có thể tưởng tượng.

“Ngay cả các cơ quan chính phủ ở cấp cao nhất cũng đang vứt bỏ các thiết bị điện tử mà vẫn chưa xóa sạch dữ liệu trên đó. Chúng tôi còn tìm thấy khóa mạng trên một số thiết bị điện tử của tiểu bang tại cửa hàng bán đấu giá đồ cũ", Gruber cho biết.

Phân tích một số ổ cứng bị vứt đi, Gruber tiết lộ nhóm nghiên cứu tiếp tục thu được hàng loạt thông tin cá nhân nhạy cảm, bao gồm hồ sơ y tế đầy đủ của nhân viên chính phủ, dữ liệu nhân thân hay thậm chí là hình ảnh nhạy cảm từ các ca phẫu thuật.

Ngoài ra, WV Technologies còn tìm thấy một file Excel ghi chép đầy đủ tên, địa chỉ, số điện thoại di động và chi tiết thẻ tín dụng của khách hàng từ các nhà bán lẻ lớn.

Hàng nghìn tấn chất thải điện tử không được xử lý đúng cách

Theo NCA NewsWire, các tổ chức và cá nhân chỉ riêng tại Australia đã phải xử lý hàng nghìn tấn chất thải điện tử mỗi năm.

Trong khi đó, trên toàn cầu, con số này đang tăng lên nhanh chóng, với khối lượng chất thải điện tử dự kiến vào năm 2030 sẽ vượt trên mốc 70 triệu tấn mỗi năm.

Báo cáo của PwC còn cho thấy một con số đáng lo ngại hơn. Cụ thể, trong số 650.000 tấn rác điện tử được thải ra hàng năm ở Australia và New Zealand, chỉ có khoảng 10% được thu gom và xử lý đúng cách.

Từ con số này, WV Technology ước tính rằng cứ 250 ổ cứng rơi vào tay họ thì sẽ có một ổ còn nguyên vẹn và không bị xóa dữ liệu. Gruber tin rằng điều này đang góp phần khiến nguy cơ về tội phạm mạng tăng cao.

Di Pietro đồng ý và cho rằng rất có thể các cuộc tấn công mạng đang được thực hiện từ dữ liệu còn sót lại trên thiết bị điện tử đã qua sử dụng.

Đây cũng là con đường “ít kháng cự nhất” mà tội phạm có thể dùng để thực hiện các hoạt động phạm pháp.

“Thay vì cố gắng xâm nhập vào hệ thống để đánh cắp danh tính, tội phạm mạng có thể làm điều đó chỉ với 20-30 USD mua đồ điện tử cũ. Tôi quan ngại khi nghĩ đến viễn cảnh các nhóm tội phạm mạng sẽ truy tìm thiết bị điện tử cũ bị vứt ra thùng rác hoặc bán trên eBay”, Di Pietro nhận định.

Theo Gruber, việc xử lý rác thải điện tử một cách an toàn chưa được quan tâm đầy đủ một phần là do các công ty ngại chi thêm tiền để bảo vệ dữ liệu.

"Bạn phải cung cấp thông tin của mình và có một công ty lớn đang kiếm bộn tiền từ đó. Tuy nhiên, họ lại không muốn trả 20 USD để thanh lý ổ cứng. Thật không hợp lý khi các công ty đầu tư quá nhiều vào khâu bảo vệ mạng lưới, nhưng chỉ cần lục tung thùng rác hoặc các trang web, tội phạm có thể tìm thấy những thứ mà họ đang cố gắng bảo vệ ngay từ đầu", CEO WV Technologies nhận định.

Việc không xử lý triệt để dữ liệu trước khi loại bỏ thiết bị công nghệ là lỗ hổng tuyệt vời cho những vụ tấn công mạng.

Cuối tháng 9/2022, Optus, công ty viễn thông hàng đầu Australia, đã bị tấn công mạng, đánh mất thông tin cá nhân của hơn 10 triệu khách hàng, tức 40% dân số nước này.

Đây là cuộc tấn công mạng lớn nhất từ trước đến nay trong lịch sử Australia, các chuyên gia nhận định.

Ảnh hưởng của cuộc tấn công rất nghiêm trọng khi gây ra thêm nhiều nguy cơ tống tiền bằng dữ liệu riêng tư, bán thông tin người dùng cho các bên thứ 3… Sự kiện này cũng làm dấy lên nhiều câu hỏi về cách thức Australia bảo mật và quản lý dữ liệu cư dân của mình.

Optus cho biết những dữ liệu cá nhân của khách hàng như tên, ngày sinh, số điện thoại, email, địa chỉ nhà số hộ chiếu và bằng lái xe đều đã bị đánh cắp.

Trong đó, 2,8 triệu người bị lộ số hộ chiếu và bằng lái xe sẽ phải đối diện với nguy cơ bị lừa đảo và đánh cắp danh tính cao hơn, chính quyền Australia cho biết.