Исследователи выявляют недостатки безопасности в номерах социального страхования

Вы отправили дату рождения и место рождения в любой из ваших социальных сетей? Если это так, вы, возможно, предоставили достаточную информацию для хакеров, чтобы выяснить номер вашего социального страхования. Ну, в теории, во всяком случае. Исследователи из Университета Карнеги-Меллона успешно разработали способ угадать номер социального страхования человека, используя статистический анализ.

Исследователи Карнеги-Меллона Алессандро Аккисти и Ральф Гросс говорят, что система нумерации социального обеспечения в сочетании с широко распространенным использованием SSN в качестве идентификационного номера создала «архитектуру уязвимости» и является неожиданным следствием доступности базовой личной информации и современной вычислительной мощности. Исследование будет представлено 29 июля на конференции по безопасности Black Hat в этом году в Лас-Вегасе.

Акквисти и Гросс определили, что проблема заключается в том, как строятся номера социального страхования. Каждый S.S.N. имеет три части: номер области (AN); номер группы (GN); серийный номер (SN). Все три компонента могут быть предсказаны на основе вероятного местоположения вашего места жительства в то время, когда ваш S.S.N. был применен для. Это возможно, так как последовательность AN и GN для каждого состояния доступна в режиме онлайн, а SN назначаются в последовательном порядке.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Исследователи протестировали свою теорию угадывания SSN против файла архива смерти администратора безопасности. DMF - это общедоступная база данных, в которой перечислены SSN людей, которые умерли.

Хотя показатель успеха для прогнозирования SSN был относительно низким, исследователи смогли правильно рассчитать цифры по всей стране для людей, родившихся до 1989 года, 0,08 процента менее чем в ста попыток.

Простейшими числами для прогнозирования были те, которые были назначены в более мелких штатах и ​​людям, родившимся после 1988 года. Причина в том, что с 1989 года номера социального страхования были присвоены в соответствии с Перечислением на Инициатива по рождению, где люди получили номер социального страхования при рождении. EAB увеличил вероятность идентификации S.S.N. резко, так как место рождения и местоположение человека в то время, когда подавалось S.S.N, гарантировалось быть идентичным. Кроме того, меньшая популяция состояний автоматически уменьшает количество доступных SSN, что делает правильное предположение более вероятным.

Одним из ярких результатов, например, было то, что исследователи Карнеги-Меллона смогли идентифицировать один из 20 полных SSN менее чем за десять попыток для людей, родившихся в Делавэре в 1996 году. Исследователи также обнаружили, что они могут правильно идентифицировать первые пять цифр SSN из всех, кто пробовал 44 процента случаев для людей, родившихся между 1989 и 2003 годами.

Несмотря на свои результаты, Акквисти и Гросс предостерегают, что их метод сбора S.S.N.s может быть имитирован только сложными хакерами. В одном из таких сценариев исследователи обсуждают, как преступники с правильным алгоритмом догадываются о S.S.N.s для мужчин, родившихся в Западной Виригине в 1991 году, и арендованный ботнет, содержащий не менее 10 000 IP-адресов (компьютеры-зомби), могут успешно получить S.S.N. из 47 человек в минуту. Обстоятельства должны быть идеальными и выполняться в соответствии с широким диапазоном переменных, выдвигаемых Acquisti и Gross, но исследование действительно предполагает, что сбор крупномасштабной информации будет возможен только с помощью двух основных информационных данных.

Решения

Иллюстрация: Стюарт Брэдфорд. Какой ответ теперь, когда SSN была доказана ошибка? Акквисти и Гросс утверждают, что традиция использования вашего S.S.N. поскольку персональный идентификационный номер для частных транзакций, таких как открытие банковского счета или регистрация с поставщиком сотового телефона, должен быть заменен более безопасной системой идентификации.

Использование S.S.N. поскольку средством личной идентификации является процедура, о которой Администрация социального обеспечения предупреждала в течение многих лет. Однако представитель SSA Марк Ласситер сказал The New York Times, что исследование Carnegie Mellon Research не является причиной тревоги. Ласситер сказал, что это будет «драматическое преувеличение», чтобы предложить исследователям «взломать код» для обнаружения S.S.N.'s. Ласситер также сказал, что SSA будет назначать номера, используя систему рандомизации, начиная с следующего года.

Если вы обеспокоены защитой своей онлайн-информации, ознакомьтесь с «Руководством по защите вашей сетевой идентичности» на ПК «Мир».

Связь с Ian Пол в Твиттере (@ianpaul).