Οι ερευνητές εκθέτουν το ελάττωμα ασφαλείας στους αριθμούς κοινωνικής ασφάλισης

Έχετε δημοσιεύσει την ημερομηνία γέννησής σας και τη γενέτειρά σας σε οποιοδήποτε από τα κοινωνικά σας δίκτυα; Αν ναι, ίσως έχετε παράσχει αρκετές πληροφορίες για τους χάκερ για να υπολογίσετε τον αριθμό κοινωνικής ασφάλισης. Θεωρητικά, έτσι κι αλλιώς. Οι ερευνητές στο πανεπιστήμιο Carnegie Mellon έχουν επινοήσει με επιτυχία έναν τρόπο να μαντέψουν τον αριθμό κοινωνικής ασφάλισης ενός ατόμου χρησιμοποιώντας στατιστική ανάλυση.

Οι ερευνητές του Carnegie Mellon Alessandro Acquisti και Ralph Gross λένε ότι το σύστημα αρίθμησης κοινωνικής ασφάλισης σε συνδυασμό με τη διαδεδομένη χρήση των SSNs δημιούργησε μια "αρχιτεκτονική ευπάθειας" και είναι μια απροσδόκητη συνέπεια της διαθεσιμότητας βασικών προσωπικών πληροφοριών και σύγχρονης υπολογιστικής ισχύος. Η μελέτη θα παρουσιαστεί στις 29 Ιουλίου στη φετινή διάσκεψη ασφάλειας Black Hat στο Λας Βέγκας.

Οι Acquisti και Gross διαπίστωσαν ότι το πρόβλημα έγκειται στον τρόπο κατασκευής των αριθμών κοινωνικής ασφάλισης. Κάθε S.S.N. έχει τρία μέρη: τον αριθμό περιοχής (AN). αριθμός ομάδας (GN) · σειριακό αριθμό (SN). Και τα τρία στοιχεία μπορούν να προβλεφθούν με βάση την πιθανή τοποθεσία της κατοικίας σας τη στιγμή που ο S.S.N. ζητήθηκε. Αυτό είναι εφικτό, καθώς η ακολουθία ANs και GNs για κάθε κράτος είναι διαθέσιμες στο Διαδίκτυο στο Διαδίκτυο και τα SNs εκχωρούνται σε διαδοχική σειρά.

Οι ερευνητές εξέτασαν τη θεωρία τους της μαντέψουν τα SSNs έναντι του Αρχείου Υγείας των Διοικήσεων Κοινωνικής Ασφάλισης. Οι ερευνητές μπόρεσαν να μαντέψουν σωστά τους αριθμούς σε εθνικό επίπεδο για τους ανθρώπους που γεννήθηκαν πριν από το 1989, το 0,08 τοις εκατό των ατόμων που γεννήθηκαν πριν από το 1989, ενώ τα ποσοστά επιτυχίας για την πρόβλεψη SSN ήταν σχετικά χαμηλά.

Ωστόσο, οι απλούστεροι αριθμοί που προβλέπονταν ήταν εκείνοι που είχαν ανατεθεί σε μικρότερα κράτη και στους ανθρώπους που γεννήθηκαν μετά το 1988. Ο λόγος είναι ότι από το 1989, οι αριθμοί κοινωνικής ασφάλισης ανατέθηκαν σύμφωνα με την απαρίθμηση στο Πρωτοβουλία γέννησης, όπου οι άνθρωποι έλαβαν τον αριθμό κοινωνικής ασφάλισης κατά τη γέννησή τους. Το EAB αύξησε την πιθανότητα ταυτοποίησης ενός S.S.N. δραματικά δεδομένου ότι η γενέτειρα και η τοποθεσία του ατόμου κατά τη στιγμή της αίτησης του S.S.N ήταν εγγυημένα ταυτόσημα. Επιπλέον, ένας μικρότερος πληθυσμός του κράτους μειώνει αυτόματα τον αριθμό των διαθέσιμων SSN που κάνουν μια σωστή εικασία πιο πιθανή.

Ένα εντυπωσιακό εύρημα, για παράδειγμα, ήταν ότι οι ερευνητές του Carnegie Mellon κατάφεραν να προσδιορίσουν ένα από τα 20 πλήρη SSNs σε λιγότερες από δέκα προσπάθειες για τους ανθρώπους που γεννήθηκαν στο Delaware το 1996. Οι ερευνητές διαπίστωσαν επίσης ότι θα μπορούσαν να αναγνωρίσουν σωστά τα πρώτα πέντε ψηφία ενός SSN του καθενός σε μια μοναδική δοκιμή 44 τοις εκατό του χρόνου για τα άτομα που γεννήθηκαν μεταξύ 1989 και 2003.

Παρά τα αποτελέσματά τους, Acquisti και Gross προειδοποιούν ότι η μέθοδος συλλογής S.S.N.s θα μπορούσε να μιμηθεί μόνο από εξελιγμένους χάκερς. Σε ένα τέτοιο σενάριο, οι ερευνητές συζητούν πώς οι εγκληματίες με το σωστό αλγόριθμο για να μαντέψουν τους S.S.N.s για τους άνδρες που γεννήθηκαν στη Δυτική Virigina το 1991 και ένα νοικιασμένο botnet που περιέχει τουλάχιστον 10.000 διευθύνσεις IP (υπολογιστές ζόμπι), θα μπορούσαν επιτυχώς να αποκτήσουν το S.S.N. με 47 άτομα ανά λεπτό. Οι περιστάσεις θα πρέπει να είναι ιδανικές και να λειτουργούν σύμφωνα με ένα ευρύ φάσμα μεταβλητών που προβάλλει η Acquisti και η Gross, αλλά η έρευνα δείχνει ότι η συλλογή ταυτότητας μεγάλης κλίμακας θα ήταν δυνατή μόνο με δύο βασικά προσωπικά στοιχεία

Λύσεις

Εικονογράφηση: Stuart BradfordΓια ποια είναι η απάντηση τώρα ότι το SSN ελάττωμα έχει αποδειχθεί; Οι Acquisti και Gross υποστηρίζουν ότι η παράδοση της χρήσης του S.S.N. ως προσωπικό αναγνωριστικό αριθμό για ιδιωτικές συναλλαγές, όπως άνοιγμα τραπεζικού λογαριασμού ή εγγραφή σε πάροχο κινητού τηλεφώνου, θα πρέπει να αντικατασταθεί από ένα πιο ασφαλές σύστημα αναγνώρισης.

Χρησιμοποιώντας το S.S.N. ως μέσο προσωπικής αναγνώρισης είναι μια διαδικασία που προειδοποίησε η διοίκηση κοινωνικής ασφάλισης για χρόνια. Ωστόσο, ο εκπρόσωπος της SSA Mark Lassiter δήλωσε στους The New York Times ότι η Carnegie Mellon Research δεν αποτελεί αιτία συναγερμού. Ο Lassiter δήλωσε ότι θα είναι μια "δραματική υπερβολή" για να υποδείξει ότι οι ερευνητές έχουν "σπάσει έναν κώδικα" για να ανακαλύψουν το S.S.N.'s. Η Lassiter είπε επίσης ότι η SSA θα αναθέτει αριθμούς χρησιμοποιώντας ένα σύστημα τυχαιοποίησης που θα ξεκινήσει τον επόμενο χρόνο.

Αν ανησυχείτε για την προστασία της ταυτότητάς σας στο διαδίκτυο, ελέγξτε τον "Οδηγό για την προστασία της διαδικτυακής ταυτότητάς σας" στο PC World. Παύλος στο Twitter (@anpaul).