Penyelidik mendedahkan Kecacatan Keselamatan dalam Nombor Keselamatan Sosial

Pernahkah anda menyiarkan tarikh lahir dan tempat lahir anda di mana-mana rangkaian sosial anda? Jika ya, anda mungkin telah memberikan maklumat yang mencukupi untuk penggodam untuk mengetahui nombor Keselamatan Sosial anda. Betul, dalam teori, pula. Penyelidik di Universiti Carnegie Mellon telah berjaya merangka satu cara untuk meneka nombor Keselamatan Sosial seseorang menggunakan analisis statistik.

Carnegie Mellon penyelidik Alessandro Acquisti dan Ralph Gross mengatakan sistem penyaringan Keselamatan Sosial digabungkan dengan penggunaan SSN secara meluas sebagai nombor pengenalan telah mewujudkan "seni bina kerentanan," dan merupakan akibat yang tidak diingini mengenai ketersediaan maklumat peribadi asas dan kuasa pengkomputeran moden. Kajian itu akan disampaikan pada 29 Julai di persidangan keselamatan Black Hat tahun ini di Las Vegas.

Acquisti dan Gross menentukan bahawa masalahnya terletak pada bagaimana nombor Keselamatan Sosial dibina. Setiap S.S.N. mempunyai tiga bahagian: nombor kawasan (AN); nombor kumpulan (GN); nombor siri (SN). Ketiga komponen ini boleh diramalkan berdasarkan lokasi kemungkinan kediaman anda pada masa S.S.N anda. telah dipohon. Ini adalah mungkin kerana urutan ANs dan GNs untuk setiap negeri tersedia secara dalam talian, dan SN ditugaskan dalam urutan berturut-turut.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows]

Para penyelidik menguji teori mereka meneka SSN terhadap Pentadbir Keselamatan Sosial Fail Master Kematian. DMF adalah pangkalan data awam yang menyenaraikan SSN orang yang telah meninggal.

Walaupun kadar kejayaan untuk meramalkan SSN agak rendah, penyelidik dapat mengesan nombor di seluruh negara secara tepat untuk orang yang dilahirkan sebelum tahun 1989, 0.08 peratus Walau bagaimanapun, jumlah yang paling mudah untuk diramalkan adalah mereka yang ditugaskan di negeri-negeri yang lebih kecil dan kepada orang yang dilahirkan selepas tahun 1988. Alasannya adalah sehingga 1989, angka-angka Keselamatan Sosial telah diberikan mengikut Enumeration Inisiatif kelahiran, di mana orang menerima nombor Keselamatan Sosial mereka semasa dilahirkan. EAB meningkatkan peluang mengenal pasti S.S.N. secara dramatis sejak tempat kelahiran dan lokasi seseorang pada saat S.S.N dipakai dijamin akan identik. Di samping itu, populasi negara yang lebih kecil secara automatik mengurangkan jumlah SSN yang tersedia untuk membuat tekaan yang lebih tepat.

Satu penemuan menarik misalnya adalah bahawa penyelidik Carnegie Mellon dapat mengenal pasti satu daripada 20 SSN lengkap dalam kurang daripada sepuluh percubaan untuk orang yang dilahirkan di Delaware pada tahun 1996. Para penyelidik juga mendapati mereka dapat mengenal pasti lima digit pertama SSN sesiapa sahaja dalam satu percubaan tunggal 44 peratus masa untuk individu yang lahir antara tahun 1989 dan 2003.

Walaupun keputusan mereka, Acquisti dan Kasar yang berhati-hati bahawa cara mereka menuai S.S.N.s hanya dapat ditiru oleh penggodam yang canggih. Dalam satu senario sedemikian, para penyelidik membincangkan bagaimana penjenayah menggunakan algoritma yang betul untuk meneka S.S.N.s untuk lelaki yang dilahirkan di West Virigina pada tahun 1991 dan botnet yang disewa yang mengandungi sekurang-kurangnya 10,000 alamat IP (komputer zombie), berjaya mendapatkan S.S.N. sebanyak 47 orang seminit. Keadaan harus ideal dan dijalankan mengikut pelbagai pembolehubah yang dikemukakan oleh Acquisti dan Gross, tetapi penyelidikan mencadangkan penuaian identiti skala besar mungkin hanya dengan dua keping maklumat peribadi asas.

Penyelesaian

Ilustrasi: Stuart Bradford Apa jawapannya sekarang bahawa SSN kecacatan telah terbukti? Acquisti dan Gross berhujah bahawa tradisi menggunakan S.S.N anda. sebagai nombor mengenal pasti peribadi untuk transaksi peribadi seperti membuka akaun bank atau mendaftar dengan pembekal telefon bimbit harus diganti untuk sistem pengenalan yang lebih selamat.

Menggunakan S.S.N. sebagai alat untuk pengenalan diri adalah satu prosedur Pentadbiran Keselamatan Sosial telah memberi amaran selama bertahun-tahun. Bagaimanapun, perwakilan SSA Mark Lassiter memberitahu The New York Times bahawa Carnegie Mellon Research bukanlah alasan untuk penggera. Lassiter berkata ia akan menjadi "keterlaluan dramatik" untuk mencadangkan penyelidik mempunyai "retak kod" untuk menemui S.S.N.'s. Lassiter juga berkata SSA akan memberikan nombor menggunakan sistem rawak pada tahun depan.

Jika anda prihatin untuk melindungi identiti anda dalam talian, lihat "Panduan Dunia untuk Melindungi Identiti Dalam Talian anda."

Berhubungan dengan Ian Paul di Twitter (@paulul).