Istraživači izložili sigurnosni nedostatak u brojevima socijalne sigurnosti

Jeste li objavili svoj datum rođenja i rodno mjesto na bilo kojoj od vaših društvenih mreža? Ako jeste, možda ste pružili dovoljno informacija za hakere kako biste pronašli svoj broj socijalne sigurnosti. Uopće, u teoriji. Istraživači na Sveučilištu Carnegie Mellon uspješno su osmislili način pronalaženja broja socijalnog osiguranja osobe pomoću statističke analize.

Istraživači Carnegie Mellona Alessandro Acquisti i Ralph Gross kažu da je sustav numeriranja socijalne sigurnosti u kombinaciji s raširenom uporabom SSN-ova kao identifikacijskog broja stvorio je "arhitekturu ranjivosti" i neočekivana je posljedica dostupnosti osnovnih osobnih podataka i moderne računalne snage. Studija će biti predstavljena 29. srpnja na ovogodišnjoj Black Hat sigurnosnoj konferenciji u Las Vegasu.

Acquisti i Gross utvrdili su da se problem nalazi u tome kako su izrađeni brojevi socijalnog osiguranja. Svaki S.S.N. ima tri dijela: broj područja (AN); grupni broj (GN); serijski broj (SN). Sva tri elementa mogu se predvidjeti na temelju vjerojatnog mjesta vašeg prebivališta u vrijeme vaše S.S.N. je zatražen. To je moguće jer je slijed AN i GN za svaku državu javno dostupan na mreži, a SN-ovi se dodjeljuju uzastopce.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

nagađanja SSN-a protiv Uprave za socijalnu sigurnost Death Master File. DMF je javno dostupna baza podataka koja navodi SSN-ove ljudi koji su umrli.

Iako je stopa uspjeha za predviđanje SSN-ova bila relativno niska, istraživači su mogli ispravno pogoditi brojeve diljem zemlje za osobe rođene prije 1989. godine, 0,08 posto vrijeme u manje od sto pokušaja.

Najjednostavniji brojevi za predviđanje bili su oni koji su dodijeljeni u manjim državama i ljudima rođenim poslije 1988. godine. Razlog tome je da su od 1989. godine brojevi socijalnog osiguranja dodijeljeni prema popisivanju na Inicijativa za rađanje, gdje su ljudi primili svoj broj socijalne sigurnosti pri rođenju. EAB je povećavao šanse da se identificira S.S.N. dramatično, budući da su zaštićeni identitet rodnog mjesta i lokacije osobe u vrijeme prijave za S.S.N. Osim toga, manja državna populacija automatski smanjuje broj dostupnih SSN-ova, što znači da je točna suma bila vjerojatnija.

Jedna važna činjenica je da su istraživači Carnegie Mellona mogli identificirati jedan od 20 potpunih SSN-ova u manje od deset pokušaja za ljude rođene u Delawareu 1996. godine. Istraživači su također utvrdili da mogu točno identificirati prve pet znamenki SSN-a bilo tko u jednom pokušao 44 posto vremena za pojedince rođene između 1989 i 2003.

Unatoč njihovim rezultatima, Procjena i Gross oprez da je njihova metoda žetve S.S.N.s mogla biti imitirana samo sofisticiranim hakerima. U jednom takvom scenariju, istraživači raspravljaju o tome kako kriminalci s pravim algoritmom mogu pogoditi S.S.N.s za muškarce rođene u West Virigini 1991. godine, a iznajmljeni botnet koji sadrži najmanje 10.000 IP adresa (zombi računala) mogao bi uspješno nabaviti S.S.N. od čak 47 ljudi u minuti. Okolnosti bi trebale biti idealne i pokrenute prema širokom rasponu varijabli koje su proveli kupci tvrtke Acquisti i Gross, ali istraživanje sugerira da bi moguće sakupljanje identiteta u velikoj mjeri bilo samo s dva dijela osnovnih osobnih podataka.

Rješenja

Ilustracija: Stuart Bradford Pa što je sada odgovor da SSN dokazana je mana? Acquisti i Gross tvrde da je tradicija korištenja vašeg S.S.N. kao osobni identifikacijski broj za privatne transakcije kao što su otvaranje bankovnog računa ili prijave s davateljem mobilnih telefona trebaju biti zamijenjeni za sigurniji sustav identifikacije.

Koristeći S.S.N. kao sredstvo za osobnu identifikaciju je postupak koji je Uprava za socijalnu sigurnost upozoravala godinama. Međutim, predstavnik SSA Mark Lassiter izjavio je The New York Timesu da Carnegie Mellon Research nije uzrok alarmu. Lassiter je rekao da će to biti "dramatično pretjerivanje" da sugeriraju da su istraživači "napukli kod" za otkrivanje S.S.N.-a.

Ako ste zabrinuti za zaštitu vašeg identiteta na mreži, pogledajte "Vodič za zaštitu vašeg online identiteta" u PC World-u.

Povežite se s Ianom Paul na Twitteru (@ianpaul).