นักวิจัยเปิดเผยข้อบกพร่องด้านความปลอดภัยในหมายเลขประกันสังคม

คุณได้โพสต์วันเกิดและสถานที่เกิดของคุณบนเครือข่ายสังคมใด ๆ ของคุณหรือไม่? หากเป็นเช่นนั้นคุณอาจให้ข้อมูลที่เพียงพอสำหรับแฮกเกอร์เพื่อหาหมายเลขประกันสังคมของคุณ ดีในทางทฤษฎีต่อไป นักวิจัยจาก Carnegie Mellon University ได้คิดค้นวิธีการคาดเดาหมายเลขประกันสังคมของบุคคลโดยใช้การวิเคราะห์ทางสถิติแล้วนักวิจัย Carnegie Mellon Alessandro Acquisti และ Ralph Gross กล่าวว่าระบบหมายเลขประกันสังคมรวมกับการใช้ SSNs อย่างกว้างขวางในฐานะหมายเลขประจำตัว สร้าง "สถาปัตยกรรมของช่องโหว่" และเป็นผลที่คาดไม่ถึงของการมีข้อมูลส่วนบุคคลพื้นฐานและพลังการประมวลผลที่ทันสมัย การศึกษาจะจัดขึ้นในวันที่ 29 กรกฎาคมนี้ที่ศูนย์รักษาความปลอดภัย Black Hat ในลาสเวกัส

Acquisti and Gross ระบุว่าปัญหานี้อยู่ที่การสร้างหมายเลขประกันสังคม ทุก S.S.N. มีสามส่วน: จำนวนพื้นที่ (AN); หมายเลขกลุ่ม (GN); หมายเลขซีเรียล (SN) ทั้งสามองค์ประกอบสามารถคาดการณ์ได้ตามสถานที่ที่เป็นไปได้ของที่อยู่อาศัยของคุณในเวลา S.S.N. ถูกนำมาใช้ นี่เป็นไปได้เนื่องจากลำดับ ANs และ GNs สำหรับแต่ละรัฐมีให้ใช้ทั่วไปในระบบออนไลน์และ SN ได้รับการกำหนดไว้อย่างต่อเนื่อง

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

นักวิจัยทดสอบทฤษฎีของพวกเขา ของการคาดเดา SSNs กับแฟ้มหลักความตายของผู้บริหารระบบประกันสังคม DMF เป็นฐานข้อมูลที่เผยแพร่ต่อสาธารณชนซึ่งระบุถึง SSN ของผู้ที่เสียชีวิต

ในขณะที่อัตราความสำเร็จในการทำนาย SSNs ค่อนข้างต่ำนักวิจัยสามารถคาดเดาตัวเลขได้อย่างถูกต้องทั่วประเทศสำหรับผู้ที่เกิดก่อนปี 1989 0.08 เปอร์เซ็นต์ของ เวลาน้อยกว่าร้อยพยายาม

ตัวเลขที่ง่ายที่สุดในการทำนายคือผู้ที่ได้รับมอบหมายในรัฐที่มีขนาดเล็กและคนที่เกิดหลังจากปี 1988 เหตุผลก็คือเมื่อถึงปี 1989 หมายเลขประกันสังคมได้รับมอบหมายตามการแจงนับที่ ความคิดริเริ่มในการเกิดซึ่งผู้คนได้รับหมายเลขประกันสังคมของพวกเขาเมื่อแรกเกิด EAB เพิ่มโอกาสในการระบุ S.S.N. อย่างมากตั้งแต่สถานที่เกิดของบุคคลและสถานที่ในขณะที่ S.S.N ถูกนำมาใช้สำหรับได้รับการรับประกันว่าจะเหมือนกัน นอกจากนี้ประชากรของรัฐที่มีขนาดเล็กลดจำนวนของ SSN ที่ทำให้คาดเดาได้อย่างถูกต้องน่าจะเป็นไปได้มากขึ้น

การค้นพบที่โดดเด่นอย่างหนึ่งก็คือนักวิจัย Carnegie Mellon สามารถระบุได้หนึ่งใน 20 แห่งใน SSN ที่สมบูรณ์แบบในเวลาที่น้อยกว่าสิบครั้ง สำหรับคนที่เกิดในเดลาแวร์ในปี 1996 นักวิจัยยังพบว่าพวกเขาสามารถระบุตัวเลขห้าหลักแรกของ SSN ได้อย่างถูกต้อง ของบุคคลในครั้งเดียวพยายาม 44 เปอร์เซ็นต์ของเวลาสำหรับบุคคลที่เกิดระหว่าง 1989 และ 2003

แม้จะมีผลของพวกเขา Acquisti และมวลข้อควรระวังว่าวิธีการของพวกเขาในการเก็บเกี่ยว S S.N.s เท่านั้นที่สามารถเลียนแบบโดยแฮกเกอร์ที่มีความซับซ้อน ในกรณีดังกล่าวนักวิจัยได้หารือถึงวิธีการที่อาชญากรใช้อัลกอริธึมที่ถูกต้องในการคาดเดา S.S.N.s สำหรับเพศชายที่เกิดในเวสต์เรียรินาในปีพ. ศ. 2534 และบอตเน็ตต์ที่เช่าที่มีที่อยู่ IP อย่างน้อย 10,000 (คอมพิวเตอร์ซอมบี้) สามารถประสบความสำเร็จได้ในเอสเอสเอ็น ของคนได้มากถึง 47 คนต่อนาที สถานการณ์นี้จะต้องเหมาะและทำงานได้ตามตัวแปรที่นำเสนอโดย Acquisti และ Gross แต่งานวิจัยนี้ไม่สามารถบ่งชี้ถึงการเก็บเกี่ยวข้อมูลขนาดใหญ่ได้โดยมีข้อมูลพื้นฐานเพียง 2 ส่วน

Solutions

ภาพประกอบ: Stuart BradfordSo คำตอบคือตอนนี้ SSN คืออะไร ข้อบกพร่องได้รับการพิสูจน์? Acquisti และ Gross อ้างว่าประเพณีของการใช้ S. S.N. ของคุณ เป็นหมายเลขระบุตัวบุคคลสำหรับการทำธุรกรรมส่วนตัวเช่นการเปิดบัญชีธนาคารหรือการลงทะเบียนกับผู้ให้บริการโทรศัพท์เคลื่อนที่ควรเปลี่ยนเป็นระบบการระบุตัวตนที่ปลอดภัยกว่า

ใช้ S.S.N. เป็นวิธีการในการระบุตัวตนเป็นขั้นตอนที่สำนักงานประกันสังคมได้เตือนมานานหลายปี อย่างไรก็ตามตัวแทนของ SSA Mark Lassiter ได้บอก The New York Times ว่า Carnegie Mellon Research ไม่ได้เป็นสาเหตุของการเตือนภัย Lassiter กล่าวว่าจะเป็นการ "พูดเกินจริงอย่างมาก" เพื่อแนะนำให้นักวิจัยได้ "แตกรหัส" เพื่อค้นหา S.S.N. ลาสซิเตอร์ยังกล่าวอีกว่า SSA จะกำหนดหมายเลขโดยใช้ระบบการสุ่มตัวอย่างในต้นปีหน้า

หากคุณกังวลเกี่ยวกับการปกป้องข้อมูลประจำตัวของคุณแบบออนไลน์ให้ดูที่ "คู่มือการปกป้องอัตลักษณ์ออนไลน์ของ PC World"

ติดต่อกับเอียน พอลทวิตเตอร์ (@ianpaul)