Naukowcy ujawniają lukę bezpieczeństwa w numerach ubezpieczenia społecznego

Czy umieściłeś swoją datę urodzenia i miejsce urodzenia na którejkolwiek z sieci społecznościowych? Jeśli tak, możesz podać wystarczającą ilość informacji dla hakerów, aby dowiedzieć się, jaki jest Twój numer ubezpieczenia społecznego. W każdym razie, teoretycznie. Naukowcy z Uniwersytetu Carnegie Mellon z powodzeniem opracowali metodę odgadywania numeru ubezpieczenia społecznego osoby za pomocą analizy statystycznej.

Naukowcy Carnegie Mellon Alessandro Acquisti i Ralph Gross twierdzą, że system numeracji ubezpieczeń społecznych w połączeniu z powszechnym stosowaniem numerów SSN jako numeru identyfikacyjnego stworzyło "architekturę podatności na zagrożenia" i jest nieoczekiwaną konsekwencją dostępności podstawowych informacji osobistych i nowoczesnej mocy obliczeniowej. Badanie zostanie zaprezentowane 29 lipca na tegorocznej konferencji bezpieczeństwa Black Hat w Las Vegas.

Acquisti i Gross ustalili, że problem leży w sposobie konstruowania numerów ubezpieczenia społecznego. Każdy S.S.N. składa się z trzech części: numer obszaru (AN); numer grupy (GN); numer seryjny (SN). Wszystkie trzy składniki można przewidzieć na podstawie prawdopodobnej lokalizacji miejsca zamieszkania w czasie, gdy S.S.N. został zgłoszony. Jest to możliwe, ponieważ sekwencja AN i GN dla każdego stanu jest publicznie dostępna online, a SN są przypisane w następującej kolejności.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Naukowcy przetestowali swoją teorię odgadywania numerów SSN w zestawieniu Śmiertelnego pliku głównego Administracji Bezpieczeństwa Społecznego. DMF jest publicznie dostępną bazą danych zawierającą numery SSN osób, które zmarły.

Podczas gdy wskaźnik sukcesu w prognozowaniu SSN był stosunkowo niski, naukowcy byli w stanie poprawnie odgadnąć liczby w całym kraju dla osób urodzonych przed 1989 r., 0,08% czas w mniej niż stu próbach.

Najprostsze liczby do przewidzenia to te przypisane w mniejszych stanach i ludziom urodzonym po 1988 r. Powodem jest to, że od 1989 r. numery ubezpieczenia społecznego zostały przypisane zgodnie z wyliczeniem na Inicjatywa na rzecz narodzin, w której po urodzeniu ludzie otrzymali swój numer ubezpieczenia społecznego. EAB zwiększyło szansę na identyfikację S.S.N. dramatycznie, ponieważ miejsce urodzenia i lokalizacja osoby w czasie, w którym złożono wniosek o S.S.N, gwarantowały identyczność. Ponadto, mniejsza populacja stanu automatycznie zmniejsza liczbę dostępnych numerów SSN, co sprawia, że ​​prawidłowa domysły są bardziej prawdopodobne.

Jednym z uderzających odkryć było na przykład to, że naukowcy z Carnegie Mellon byli w stanie zidentyfikować jedną z 20 pełnych SSN w mniej niż dziesięciu próbach dla osób urodzonych w Delaware w 1996 r. Naukowcy stwierdzili również, że mogą poprawnie zidentyfikować pierwsze pięć cyfr numeru SSN każdego w pojedynczej próbie 44 procent czasu dla osób urodzonych pomiędzy rokiem 1989 a 2003.

Pomimo swoich wyników, Acquisti i Gross ostrzegają, że ich metoda zbierania S.S.N.s mogła być naśladowana tylko przez wyrafinowanych hakerów. W jednym z takich scenariuszy naukowcy omawiają, w jaki sposób przestępcy z odpowiednim algorytmem do odgadywania S.S.N.s dla mężczyzn urodzonych w West Virigina w 1991 r. I wynajęty botnet zawierający co najmniej 10 000 adresów IP (komputery zombie), mogli z powodzeniem uzyskać S.S.N. nawet do 47 osób na minutę. Okoliczności musiałyby być idealne i przebiegać zgodnie z szeroką gamą zmiennych zaproponowanych przez Acquisti i Grossa, ale badania sugerują, że zbieranie danych o dużej skali byłoby możliwe dzięki zaledwie dwóm elementom podstawowych informacji osobistych.

Rozwiązania

Ilustracja: Stuart Bradford: Jaka jest teraz odpowiedź na pytanie o Stocznię Szczecińską? wada została udowodniona? Acquisti i Gross twierdzą, że tradycja używania twojego S.S.N. jako osobisty numer identyfikacyjny do prywatnych transakcji, takich jak otwarcie rachunku bankowego lub zarejestrowanie się u operatora telefonii komórkowej, należy zastąpić bezpieczniejszym systemem identyfikacji.

Używanie S.S.N. jako środek do osobistej identyfikacji jest to procedura, którą Administracja Zabezpieczeń Społecznych ostrzegała od lat. Jednak przedstawiciel SSA Mark Lassiter powiedział The New York Times, że Carnegie Mellon Research nie jest powodem do niepokoju. Lassiter powiedział, że byłoby to "dramatyczną przesadą" sugerować, że naukowcy "złamali kod" w celu odkrycia S.S.N. Lassiter powiedział także, że SSA będzie przypisywać numery za pomocą systemu randomizacji, który rozpocznie się w przyszłym roku.

Jeśli obawiasz się ochrony swojej tożsamości online, zapoznaj się z "Przewodnikiem chroniącym swoją tożsamość online" na PC World World.

Połącz się z łanem Paul na Twitterze (@ianpaul).