I ricercatori denunciano un difetto di sicurezza nei numeri di previdenza sociale

Hai pubblicato la tua data di nascita e il luogo di nascita su uno dei tuoi social network? In tal caso, potresti aver fornito agli hacker informazioni sufficienti per capire il tuo numero di previdenza sociale. Beh, in teoria, comunque. I ricercatori della Carnegie Mellon University hanno escogitato con successo un modo per indovinare il numero di previdenza sociale di una persona usando analisi statistiche.

I ricercatori di Carnegie Mellon Alessandro Acquisti e Ralph Gross dicono che il sistema di numerazione della sicurezza sociale combinato con l'uso diffuso di SSN come numero identificativo ha ha creato una "architettura di vulnerabilità" ed è una conseguenza inaspettata della disponibilità di informazioni personali di base e della moderna potenza di calcolo. Lo studio sarà presentato il 29 luglio alla conferenza sulla sicurezza di Black Hat di quest'anno a Las Vegas.

Acquisti e Gross hanno determinato che il problema sta nel modo in cui sono costruiti i numeri di previdenza sociale. Ogni S.S.N. ha tre parti: numero area (AN); numero di gruppo (GN); numero di serie (SN). Tutti e tre i componenti possono essere previsti in base alla probabile posizione della residenza nel momento in cui il tuo S.S.N. è stato richiesto. Questo è possibile poiché la sequenza di AN e GN per ogni stato sono disponibili pubblicamente online e gli SN sono assegnati in ordine consecutivo.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

I ricercatori hanno testato la loro teoria di indovinare SSN contro il file di Death Master delle Amministrazioni della sicurezza sociale. Il DMF è un database pubblicamente disponibile che elenca gli SSN delle persone che sono morte.

Mentre il tasso di successo per la previsione dei SSN era relativamente basso, i ricercatori sono stati in grado di indovinare correttamente i numeri a livello nazionale per le persone nate prima del 1989, lo 0,08% del tempo in meno di cento tentativi.

I numeri più semplici da prevedere, tuttavia, erano quelli assegnati negli stati più piccoli e alle persone nate dopo il 1988. La ragione è che dal 1989, i numeri di previdenza sociale erano assegnati secondo l'Enumerazione a Iniziativa di nascita, in cui le persone hanno ricevuto il loro numero di previdenza sociale alla nascita. L'EAB ha aumentato la possibilità di identificare un S.S.N. drammaticamente dal momento che il luogo di nascita e il luogo di una persona al momento in cui è stata richiesta la domanda di autorizzazione per la sicurezza erano identici. Inoltre, una popolazione statale più piccola riduce automaticamente il numero di SSN disponibili rendendo più probabile un'ipotesi corretta.

Un risultato sorprendente, ad esempio, è che i ricercatori di Carnegie Mellon sono stati in grado di identificare uno dei 20 SSN completi in meno di dieci tentativi. per le persone nate in Delaware nel 1996. I ricercatori hanno anche scoperto che potevano identificare correttamente le prime cinque cifre di un SSN di chiunque in un solo tentativo il 44% delle volte per individui nati tra il 1989 e il 2003.

Nonostante i loro risultati, Acquisti e Gross avvertono che il loro metodo di raccolta di S.S.N.s potrebbe essere imitato solo da sofisticati hacker. In uno di questi scenari, i ricercatori discutono su come i criminali con il giusto algoritmo per indovinare i S.S.N.s per i maschi nati in West Virigina nel 1991 e una botnet noleggiata contenente almeno 10.000 indirizzi IP (computer zombi), possano ottenere con successo il S.S.N. di 47 persone al minuto. Le circostanze dovrebbero essere ideali e gestite in base a un'ampia gamma di variabili proposte da Acquisti e Gross, ma la ricerca suggerisce che la raccolta di identità su larga scala sarebbe possibile con solo due pezzi di informazioni personali di base.

Soluzioni

Illustrazione: Stuart BradfordCosa qual è la risposta ora che il SSN difetto è stato provato? Acquisti e Gross sostengono che la tradizione di usare il tuo S.S.N. come un numero identificativo personale per transazioni private come aprire un conto bancario o registrarsi con un fornitore di telefoni cellulari dovrebbe essere sostituito da un sistema di identificazione più sicuro.

Utilizzando il S.S.N. come mezzo per l'identificazione personale è una procedura che l'Amministrazione della sicurezza sociale ha messo in guardia contro per anni. Tuttavia, il rappresentante di SSA Mark Lassiter ha dichiarato al New York Times che la ricerca Carnegie Mellon non è motivo di allarme. Lassiter ha detto che sarebbe stata una "drammatica esagerazione" suggerire che i ricercatori hanno "decifrato un codice" per scoprire i S.S.N. Lassiter ha anche detto che l'SSA assegnerà i numeri usando un sistema di randomizzazione a partire dal prossimo anno.

Se sei preoccupato di proteggere la tua identità online, controlla la "Guida alla protezione dell'identità online" di PC World.

Connettiti con Ian Paul su Twitter (@ianpaul).