חוקרים לחשוף פגם אבטחה במספרי ביטוח לאומי

האם פרסמת את תאריך הלידה שלך ואת מקום הלידה על כל הרשתות החברתיות שלך? אם כן, ייתכן שסיפקת מספיק מידע עבור האקרים כדי להבין את מספר הביטוח הלאומי שלך. ובכן, בתיאוריה, בכל מקרה. חוקרים מאוניברסיטת קרנגי מלון פיתחו בהצלחה דרך לנחש את מספר הביטוח הלאומי של האדם באמצעות ניתוח סטטיסטי.

החוקרים של קרנגי מלון Alessandro Acquisti ו- Ralph Gross אומרים כי מערכת המספור לביטחון לאומי בשילוב עם השימוש הנרחב ב- SSN כמספר מזהה יצרה "ארכיטקטורה של פגיעות", והיא תוצאה בלתי צפויה של זמינות המידע האישי הבסיסי וכוח המחשוב המודרני. המחקר יוגש ב -29 ביולי בכנס בלק האט של בלאס האט השנה בלאס וגאס.

Acquisti and Gross קובעות שהבעיה טמונה באופן שבו נבנים מספרי ביטוח לאומי. כל S.S.N. יש שלושה חלקים: מספר אזור (AN); מספר קבוצה (GN); מספר סידורי (SN). כל שלושת המרכיבים ניתן לחזות בהתבסס על המיקום האפשרי של המגורים שלך בזמן שלך S.S.N. הוגשה בקשה. זה אפשרי משום שהרצף של ANs ו- GN עבור כל מדינה זמין לציבור באופן מקוון, ו- SNs מוקצים בסדר רציף. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

החוקרים בחנו את התיאוריה שלהם של ניחוש SSNs נגד מנהל הביטוח הלאומי מוות קובץ מאסטר. ה- DMF הוא מאגר מידע זמין לציבור, המפרט את ה- SSN של אנשים שמתו.

למרות ששיעור ההצלחה של ניבוי SSN היה נמוך יחסית, החוקרים הצליחו לנחש נכונה מספרים ברחבי הארץ עבור אנשים שנולדו לפני 1989, 0.08% אך פחות מ -100 ניסיונות. [

] המספרים הפשוטים ביותר לחזות, לעומת זאת, היו אלה שהוקצו במצבים קטנים יותר ולאנשים שנולדו לאחר 1988. הסיבה היא כי החל ב -1989, מספרי הביטוח הלאומי הוקצו על פי המניין ב יוזמת לידה, שבה אנשים קיבלו מספר הביטוח הלאומי שלהם בלידה. ה- EAB הגביר את הסיכוי לזהות את ה- S.S.N. באופן דרמטי, שכן מקום לידתו של האדם ומיקומו בעת הגשת הבקשה ל- SS.N הוגשו. בנוסף, אוכלוסיית המדינה קטנה באופן אוטומטי מקטין באופן אוטומטי את מספר SSNs זמין ניחוש נכון יותר סביר.

אחת הממצאים המובהקים למשל היה כי החוקרים קרנגי מלון היו מסוגלים לזהות אחד מתוך 20 SSN מלאים בתוך פחות מעשרה ניסיונות עבור אנשים שנולדו ב דלאוור בשנת 1996. החוקרים גם מצאו שהם יכולים לזהות נכונה את חמש הספרות הראשונות של SSN של כל אחד בניסוי אחד 44% מהמקרים עבור אנשים שנולדו בין 1989 ל -2003. למרות התוצאות שלהם, אקוויסטי וגרוס מזהירים כי שיטת הקצירה שלהם לא ניתן לחיקוי רק על ידי האקרים מתוחכמים. בתרחיש כזה, החוקרים דנים כיצד פושעים עם האלגוריתם הנכון לנחש את S.S.N עבור גברים שנולדו במערב ויריגינה בשנת 1991 ו botnet שכור המכיל לפחות 10,000 כתובות IP (זומבי מחשבים), הצליח להשיג את S.S.N. של רבים כמו 47 אנשים לדקה. הנסיבות היו צריכות להיות אידיאליות ולרוץ על פי מגוון רחב של משתנים שהוצגו על ידי אקוויסטי וגרוס, אך המחקר מציע לקבוע קצירת זהויות בקנה מידה גדול, עם שתי פיסות מידע אישי בסיסי בלבד.

פתרונות

איור: סטיוארט BradfordSo מהי התשובה עכשיו SSN פגם הוכח? אקוויסטי וגרוס טוענים שהמסורת של השימוש ב- S.S.N. כמו מספר זיהוי אישי עבור עסקאות פרטיות כגון פתיחת חשבון בנק או שנרשמת עם ספק הטלפון הסלולרי צריך להיות מוחלף עבור מערכת מאובטחת יותר של זיהוי.שימוש ב- S.S.N. כאמצעי להזדהות אישית הוא הליך שמנהל הביטוח הלאומי הזהיר מפניו במשך שנים. עם זאת, נציג SSA מארק Lassiter אמר לניו יורק טיימס כי קרנגי מלון מחקר אינו סיבה לדאגה. לסיטר אמר שזו תהיה "הגזמה דרמטית" להציע לחוקרים "לפצח קוד" על גילויו של ס.ס.נ. Lassiter גם אמר SSA יהיה להקצות מספרים באמצעות מערכת אקראיות החל בשנה הבאה.

אם אתה מודאג לגבי הגנה על הזהות שלך באינטרנט, לבדוק את העולם של מדריך "מדריך להגנה על הזהות שלך באינטרנט."

התחבר עם איאן פול בטוויטר (@ianpaul)