Studie: Sosialsikkerhetsnumre er forutsigbare

Sosialsikkerhetsnumre kan ikke være like tilfeldige som trodde, som en ny studie hevder at kraftige matematiske teknikker kombinert med åpen kildeforskning kan i noen tilfeller avsløre et persons hemmelige nummer.

Studien, publisert på Mandag i tidsskriftet Proceedings of the National Academy of Sciences, tjener som en sterk advarsel om at SSN-er blir stadig sårbare, og setter flere mennesker i fare for identitetstyveri.

Med mindre begrensende strategier blir implementert, utsettes forutsigbarheten av SSNs for å risikere av identitetstyveri på masseskalaer, "sa studien.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Studien kommer fra Carnegie Mellon Universitets Alessandro Acquisti, en assisterende professor i informasjonsteknologi logikk og offentlig politikk, og Ralph Gross, en postdoktoral forsker.

Gross og Acquisti utviklet en algoritme som analyserte data fra Social Security Administration's Death Master File, en offentlig database med rundt 65 millioner amerikanere som har dødd og deres SSN, som brukes til antifraudformål.

De så etter numeriske mønstre i den avdødees SSN, og tegnet sammenhenger mellom hvor en person ble født og deres fødselsdato og hvordan disse dataene relaterer seg til SSN.

"Vår prediksjonsalgoritme utnytter observasjonen at personer med nær fødselsdato og identisk status for SSN-tildelingen sannsynligvis vil dele lignende SSN, "skrev de.

De tre første sifrene i et SSN er et områdenummer som er basert på postnummeret til postnummeret. når et kort ble søkt. De neste to sifrene er et gruppenummer som tildeles i en "presis men ikke-sammenhengende rekkefølge mellom en og 99". De siste fire sifrene er et serienummer.

Algoritmen, som forfatterne ikke detaljerte, oppnådde vellykket de fem første sifrene for 44 prosent av postene i Death Master-filen for personer født mellom 1989 og 2003. Den komplette SSN kunne bli plukket ut for 8,5 prosent av disse menneskene i under 1000 forsøk. For folk født mellom 1973 og 1988, kunne algoritmen forutsi de fem første sifrene for 7 prosent av dem i Death Master-filen.

"SSN-er ble utformet som identifikatorer på en tid da personlige datamaskiner og identitetstyveri var utænkelig" studerer sagt.

Andre endringer i hvordan Sosialtilsynet tildeler tall har gjort gjetning enda enklere. I 1989 uttalte byrået et program som heter Oppsummering ved fødsel, tildeling av SSN til nyfødte som en del av fødselssertifiseringsprosessen.

Endringene økte imidlertid sammenhengen mellom en persons fødselsdato og alle ni sifrene i en SSN, spesielt for folk i mindre befolkede stater, noe som gjør SSNs enklere å oppdage, skrev forskerne.

I tillegg sprer utbredelsen av informasjon om sosiale nettverk profiler, som for eksempel en persons hjemby og fødselsdato, folk i større risiko, siden den informasjonen kan brukes til å utlede SSNs.

"Slike funn markerer de skjulte personvernkostnadene for utbredt informasjonsformidling og de komplekse samspillet mellom flere datakilder i moderne informasjon økonomier," forskerne skrev.

Angrepere kunne da ta SSNene de tenk er nøyaktig og kjøre dem gjennom kreditt godkjenningstjenester. Selv om mange av disse tjenestene vil begrense antall forsøk på å bekrefte data, kan botnets brukes til å teste et stort antall SSN for å sikre at de er gyldige, skrev de.