Výzkumní pracovníci vysvětlují chybu zabezpečení v číslech sociálního zabezpečení

Zaznamenali jste své datum narození a místo narození na některé z vašich sociálních sítí? Pokud ano, možná jste poskytli dostatek informací hackerům, aby zjistili vaše číslo sociálního zabezpečení. No, teoreticky, stejně. Vědci z univerzity Carnegie Mellona úspěšně navrhli způsob, jak odhadnout číslo sociálního zabezpečení pomocí statistické analýzy.

Vědci společnosti Carnegie Mellon Alessandro Acquisti a Ralph Gross říkají, že systém číslování systému sociálního zabezpečení v kombinaci s rozšířeným používáním SSN jako identifikačního čísla vytvořila "architekturu zranitelnosti" a je neočekávaným důsledkem dostupnosti základních osobních informací a moderní výpočetní síly. Studie bude představena 29. července na letošní bezpečnostní konferenci Black Hat v Las Vegas.

Acquisti a Gross rozhodli, že problém spočívá v tom, jak jsou postaveny čísla sociálního zabezpečení. Každý S.S.N. má tři části: číslo oblasti (AN); číslo skupiny (GN); sériové číslo (SN). Všechny tři komponenty lze předvídat na základě pravděpodobného umístění vašeho bydliště v době, kdy vaše společnost S.S.N. byl požádán. To je možné, protože sekvence AN a GN pro každý stát jsou veřejně dostupné on-line a SN jsou přiděleny v pořadí v pořadí.

[

] Výzkumníci testovali svou teorii hádání SSN proti Souboru smrti Správy sociálního zabezpečení. DMF je veřejně dostupná databáze, která uvádí seznam SSN lidí, kteří zemřeli.

Zatímco míra úspěšnosti předpovědi SSN byla relativně nízká, vědci dokázali správně odhadnout čísla celostátně pro osoby narozené před rokem 1989, 0,08 procenta čas na méně než sto pokusů.

Nejjednodušší čísla, která se předpovídají, jsou však ty, které jsou přiděleny v menších státech a osobám narozeným po roce 1988. Důvodem je, že od roku 1989 byly čísla sociálního zabezpečení přidělena podle výčtu na Iniciativa při narození, kdy lidé dostali své číslo sociálního zabezpečení při narození. EAB zvýšil šanci na identifikaci S.S.N. dramaticky od okamžiku, kdy bylo místo narození a umístění člověka v době podání žádosti o S.S.N. Kromě toho menší populace státu automaticky snižuje počet dostupných SSN, což činí správný odhad pravděpodobnější.

Jedním z pozoruhodných nálezů bylo například to, že výzkumníci z Carnegie Mellonu dokázali identifikovat jeden z 20 kompletních SSN v méně než deseti pokusech pro lidi narozené v Delaware v roce 1996. Vědci také zjistili, že mohou správně identifikovat první pět čísel SSN každému v jediném pokusu 44% času pro jednotlivce narozené v letech 1989 a 2003.

Navzdory jejich výsledkům Acquisti a Gross varují, že jejich způsob sklizně S.S.N.s mohl být napodoben pouze sofistikovanými hackery. V jednom takovém případě vědci diskutují o tom, jak by kriminálníci s pravým algoritmem, který by mohli uhodnout S.S.N. pro muže narozené v západním Viriginu v roce 1991 a pronajatý botnet obsahující alespoň 10 000 IP adres (zombie computers), mohli úspěšně získat S.S.N. až 47 lidí za minutu. Okolnosti by musely být ideální a měly by probíhat podle široké škály proměnných předložených společností Acquisti a Gross, ale výzkum naznačuje, že těžké shromažďování totožnosti by bylo možné pouze se dvěma základními osobními informacemi.

Řešení

Ilustrace: Stuart Bradford Takže jaká je odpověď nyní, že SSN chyba byla prokázána? Acquisti a Gross tvrdí, že tradice používání vašeho S.S.N. jako osobní identifikační číslo pro soukromé transakce, jako je otevření bankovního účtu nebo registrace s poskytovatelem mobilního telefonu, by mělo nahradit bezpečnější systém identifikace.

Použitím S.S.N. jako prostředek pro osobní identifikaci je postup, který správa sociálního zabezpečení varovala před léty. Zástupce SSA Mark Lassiter však pro The New York Times řekl, že Carnegie Mellon Research není příčinou poplachu. Lassiter řekl, že by to bylo "dramatické přehánění", které by naznačovalo, že výzkumníci "popraskali kód" pro objevení S.S.N. Lassiter také uvedl, že SSA bude přiřazovat čísla pomocí randomizačního systému začínajícího v příštím roce.

Pokud máte obavy o ochranu vaší identity online, podívejte se na PC World "Guide to Protecting Your Online Identity."