Cercetatorii expun defectiuni de securitate in numerele de securitate sociala

Ați postat data nașterii și locul de naștere pe oricare dintre rețelele dvs. sociale? Dacă da, este posibil să fi furnizat suficiente informații pentru hackeri pentru a afla numărul dvs. de securitate socială. Ei bine, teoretic, oricum. Cercetătorii de la Universitatea Carnegie Mellon au conceput cu succes o metodă de a ghici numărul de securitate socială al unei persoane utilizând analiza statistică.

Cercetătorii Carnegie Mellon, Alessandro Acquisti și Ralph Gross, spun că sistemul de numerotare a securității sociale combinat cu utilizarea pe scară largă a SSN a creat o "arhitectură a vulnerabilității" și este o consecință neașteptată a disponibilității informațiilor personale de bază și a puterii de calcul moderne. Studiul va fi prezentat pe 29 iulie la conferința de securitate Black Hat din Las Vegas din acest an.

Acquisti și Gross au stabilit că problema constă în modul în care sunt construite numerele de securitate socială. Fiecare S.S.N. are trei părți: numărul zonei (AN); numărul grupului (GN); numărul de serie (SN). Toate cele trei componente pot fi prezise în funcție de locația probabilă a rezidenței dvs. în momentul în care S.S.N. a fost solicitată. Acest lucru este posibil deoarece secvența AN și GN pentru fiecare stat este disponibilă în mod public online și SN sunt atribuite în ordine consecutivă.

[Mai multe informații: Cum să eliminați programele malware de pe PC-ul Windows]

Cercetătorii și-au testat teoria de a ghici SSN împotriva dosarului general al Deceselor Administrațiilor de Securitate Socială. DMF este o bază de date disponibilă publicului care enumeră SSN-urile persoanelor care au murit.

În timp ce rata de succes a predicțiilor SSN a fost relativ scăzută, cercetătorii au reușit să ghicească corect cifrele la nivel național pentru persoanele născute înainte de 1989, 0,08% timp de mai puțin de o sută de încercări.

Cu toate acestea, cele mai simple numere de predicție au fost cele atribuite în state mai mici și persoanelor născute după 1988. Motivul este că începând cu anul 1989, numerele de securitate socială au fost atribuite conform enumerării Inițiativă de naștere, în care oamenii au primit numărul lor de securitate socială la naștere. EAB a sporit șansa de a identifica un S.S.N. în mod dramatic, de când locul de naștere și locația persoanei la momentul solicitării S. S. N a fost garantat a fi identic. În plus, o populație mai mică de stat reduce automat numărul de SSN disponibile făcând o estimare corectă mai probabilă.

O constatare izbitoare, de exemplu, a fost că cercetătorii de la Carnegie Mellon au reușit să identifice una din cele 20 de SSN complete în mai puțin de zece încercări pentru persoanele născute în Delaware în 1996. Cercetătorii au descoperit, de asemenea, că ar putea identifica corect primele cinci cifre ale unui SSN pentru oricine într-o singură încercare, în proporție de 44%, pentru persoanele fizice născute între 1989 și 2003.

În ciuda rezultatelor lor, Acquisti și Gross avertizează că metoda lor de recoltare a S.S.N.s putea fi imitată doar de hackeri sofisticați. Într-un astfel de scenariu, cercetătorii discută modul în care infractorii cu algoritmul potrivit de a ghici S.S.N. pentru bărbații născuți în West Virigina în 1991 și un botnet închiriat care conține cel puțin 10.000 de adrese IP (computere zombie), ar putea obține S.S.N. de 47 de persoane pe minut. Circumstanțele ar trebui să fie ideale și să funcționeze în funcție de o gamă largă de variabile prezentate de Acquisti și Gross, dar cercetările sugerează că recoltarea identității pe scară largă ar fi posibilă doar cu două fragmente de informații personale de bază.

Soluții

Ilustrație: Stuart BradfordDeci, care este răspunsul acum că SSN viciu a fost dovedit? Acquisti și Gross susțin că tradiția de a utiliza S.S.N. ca un număr personal de identificare a tranzacțiilor private, cum ar fi deschiderea unui cont bancar sau înscrierea la un furnizor de telefonie mobilă, ar trebui înlocuit cu un sistem mai sigur de identificare.

Utilizând S.S.N. ca mijloc de identificare personală este o procedură pe care Administrația de Securitate Socială a avertizat-o de ani de zile. Cu toate acestea, reprezentantul SSA Mark Lassiter a declarat pentru The New York Times că Carnegie Mellon Research nu este o cauză de alarmă. Lassiter a spus că ar fi o "exagerare dramatică" pentru a sugera că cercetătorii au "spart un cod" pentru descoperirea lui S.S.N. Lassiter a mai spus că SSA va aloca numere utilizând un sistem de randomizare începând cu anul următor.

Dacă sunteți preocupat de protejarea identității dvs. online, consultați Ghidul PC World pentru protejarea identității dvs. online.

Conectați-vă cu Ian Paul pe Twitter (@ianpaul).