Forskere utsetter sikkerhetsfeil i sosiale sikkerhetsnumre

Har du lagt inn fødselsdato og fødested på noen av dine sosiale nettverk? I så fall har du kanskje gitt nok informasjon til hackere for å finne ut ditt personnummer. Vel, i teorien, uansett. Forskere ved Carnegie Mellon University har vellykket utarbeidet en måte å gjette personens personnummer på ved hjelp av statistisk analyse.

Carnegie Mellon-forskerne Alessandro Acquisti og Ralph Gross sier at personnummeret i kombinasjon med den utbredte bruken av SSN som et identifikasjonsnummer har opprettet en "sårbarhetsarkitektur", og er en uventet konsekvens av tilgjengeligheten av grunnleggende personlig informasjon og moderne datakraft. Studien vil bli presentert 29. juli i årets Black Hat-sikkerhetskonferanse i Las Vegas.

Acquisti og Gross fastslår at problemet ligger i hvordan personnummer er konstruert. Hver S.S.N. har tre deler: arealnummer (AN); gruppe nummer (GN); serienummer (SN). Alle tre komponentene kan forventes basert på den sannsynlige plasseringen av boligen din på den tiden din S.S.N. ble søkt om. Dette er mulig siden sekvensen av AN og GN for hver stat er offentlig tilgjengelig på nettet, og SNs er tilordnet i rekkefølge.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Forskerne testet deres teori å gjette SSNs mot Social Security Administrations Death Master File. DMF er en offentlig tilgjengelig database som viser SSN-er av personer som har dødd.

Mens suksessraten for å forutsi SSNs var relativt lav, var forskerne i stand til å gjette tallene landsdekkende for folk født før 1989, 0,08 prosent av tiden i færre enn hundre forsøk.

Det enkleste tallet for å forutsi var imidlertid de som ble tildelt i mindre stater og til folk født etter 1988. Årsaken er at fra 1989 ble personnummer oppgitt i henhold til opptellingen ved Fødselsinitiativ, hvor folk fikk sitt personnummer ved fødselen. EAB økte sjansen for å identifisere en S.S.N. dramatisk siden en persons fødested og sted på det tidspunktet S.S.N ble søkt om, var garantert å være identisk. I tillegg reduserer en mindre statsbefolkning automatisk antall SSN som er tilgjengelig, noe som gjør et riktig gjetning mer sannsynlig.

Et slående resultat var at Carnegie Mellon-forskerne var i stand til å identifisere en av 20 komplette SSN i ​​mindre enn ti forsøk for folk født i Delaware i 1996. Forskerne fant også at de kunne riktig identifisere de fem første sifrene i en SSN av alle i ett enkelt forsøk 44 prosent av tiden for individer født mellom 1989 og 2003.

Til tross for deres resultater, var Acquisti og Gross forsiktig med at deres metode for høsting av S.S.N.s kun kunne imiteres av sofistikerte hackere. I et slikt scenario diskuterer forskerne hvordan kriminelle med den riktige algoritmen til å gjette S.S.N.s for menn født i Vest Virigina i 1991, og et leid botnet som inneholder minst 10 000 IP-adresser (zombie-datamaskiner), kunne med hell få S.S.N. av så mange som 47 personer per minutt. Omstendighetene måtte være ideelle og kjøre i henhold til et bredt spekter av variabler fremført av Acquisti og Gross, men forskningen tilsier at storskala identitetshøsting ville være mulig med bare to deler av grunnleggende personlig informasjon.

Løsninger

Illustrasjon: Stuart Bradford Så hva er svaret nå da SSN feil har blitt bevist? Acquisti og Gross argumenterer for at tradisjonen med å bruke S.S.N. som et personlig identifiserende nummer for private transaksjoner som å åpne en bankkonto eller registrere deg hos en mobilleverandør, bør erstattes med et sikrere system for identifikasjon.

Ved bruk av S.S.N. som et middel for personlig identifikasjon er en prosedyre som Social Security Administration har advart mot i årevis. Men SSA-representanten Mark Lassiter fortalte The New York Times at Carnegie Mellon Research ikke er en årsak til alarm. Lassiter sa at det ville være en "dramatisk overdrivelse" for å foreslå at forskerne har "sprukket en kode" for å oppdage S.S.N.s. Lassiter sa også at SSA vil tildele numre ved hjelp av et randomiseringssystem som begynner neste år.

Hvis du er bekymret for å beskytte din identitet online, sjekk ut PC Worlds "Guide for å beskytte din online identitet."

Koble med Ian Paul på Twitter (@ianpaul).