A kutatók bemutatják a társadalombiztosítási számok biztonsági hibáját

Feltöltötte a születési dátumát és a születési helyét a közösségi hálózatok valamelyikén? Ha igen, akkor elegendő információt adhat a hackereknek, hogy kitalálhassák a társadalombiztosítási számot. Hát, elméletben. A Carnegie Mellon Egyetem kutatói sikeresen kidolgozták a személyi társadalombiztosítás számát egy statisztikai elemzés segítségével.

Carnegie Mellon kutatói, Alessandro Acquisti és Ralph Gross szerint a társadalombiztosítási számozási rendszer és az SSN széles körű használata azonosító számként létrehozta a "sérülékenység architektúráját", és váratlan következménye az alapvető személyes adatok és a modern számítási teljesítmény elérhetőségének. A tanulmány július 29-én kerül bemutatásra az idei Las Vegas-i Black Hat biztonsági konferencián.

Acquisti és Gross megállapította, hogy a probléma abban rejlik, hogy a társadalombiztosítási számok hogyan épülnek fel. Minden S.S.N. három részből áll: területszám (AN); csoportszám (GN); sorszám (SN). Mindhárom összetevő megjósolható a lakóhelyének valószínű helyén, az Ön S.S.N. kérelmezték. Ez azért lehetséges, mert az egyes államok AN-jai és GN-ek sorozata nyilvánosan elérhető az interneten, és az SN-ek egymást követő sorrendben vannak megadva.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépéről]

a SSN-k kitalálása a társadalombiztosítási igazgatások halálmester fájljával szemben. A DMF egy nyilvánosan hozzáférhető adatbázis, amely felsorolja az elhunyt emberek SSN-jét.

Bár az SSN-k előrejelzésének sikerességi aránya viszonylag alacsony volt, a kutatók képesek voltak helyesen kitalálni az országot megelőző 1989-ben születettek számát az országban. kevesebb mint száz próbálkozás.

A legegyszerűbb számok azonban a kisebb államok és az 1988 után születettek számára jelennek meg. Ennek oka, hogy 1989-től a társadalombiztosítási számokat a Születési kezdeményezés, ahol az emberek születéskor megkapták a társadalombiztosítási számot. Az EAB megnövelte annak lehetőségét, hogy egy S.S.N. drasztikusan, mivel egy személy szülőhelye és helye az S.S.N kérelmének időpontjában azonos volt. Ezenkívül egy kisebb állami népesség automatikusan csökkenti a rendelkezésre álló SSN-ek számát, így a helyes találgatás valószínűbbé válik.

Egy meglepő eredmény például az volt, hogy a Carnegie Mellon kutatói képesek voltak azonosítani egy 20 teljes SSN-t kevesebb, mint tíz kísérletben a Delaware-ban születettek számára 1996-ban. A kutatók azt is megállapították, hogy helyesen azonosítják az SSN első öt számjegyét bárkinek egyetlen próbálkozásakor az időtartam 44 százaléka az 1989 és 2003 között született egyének számára.

Eredményeik ellenére, az Acquista és a Gross óvatosságra vágyik, hogy az S.S.N. betakarítási módszerét csak kifinomult hackerek követhetik. Egy ilyen forgatókönyv szerint a kutatók arról beszélnek, hogy a megfelelő algoritmussal rendelkező bűnözők hogyan találhatják meg az S.S.N.-t a West Virigina-ban született férfiak számára 1991-ben, és egy bérelt botnet, amely legalább 10 000 IP-címet (zombi számítógépet) tartalmaz. akár 47 ember percenként. A körülményeknek ideálisnak kell lenniük, és az Acquisti és a Gross által kifejlesztett változók széles skáláján kell működniük, de a kutatás azt sugallja, hogy a nagyméretű személyazonosság-gyűjtés csak két alapvető személyes információval lehetséges.

Megoldások

Illusztráció: Stuart BradfordMi a válasz most, hogy az SSN hiba bizonyított? Acquisti és Gross azzal érvelnek, hogy a S.S.N. a személyazonosítási számot a magánügyletekhez, mint például a bankszámla megnyitása vagy a mobiltelefon-szolgáltatóval való feliratkozás, a biztonságosabb azonosítási rendszert kell helyettesíteni.

Az S.S.N. a személyes azonosítás eszköze a Társadalombiztosítási Hatóság évek óta figyelmeztetett eljárás. Az SSA képviselője, Mark Lassiter azonban elmondta a The New York Timesnak, hogy a Carnegie Mellon Research nem okoz riasztást. Lassiter azt mondta, hogy "drámai túlzás" lenne arra utalni, hogy a kutatók "megírták a kódot" az S.S.N felfedezéséhez. Lassiter azt is elmondta, hogy az SSA a jövő évtől kezdődően a randomizációs rendszer használatával rendel majd számokat.

Ha aggodalmát fejezi ki az identitás online védelme miatt, nézze meg a PC World "Az online identitás védelme" című útmutatót.

Paul a Twitteren (@ianpaul).