Tutkimus: Sosiaaliturvanumerot ovat ennustettavissa

Sosiaaliturvanumerot eivät välttämättä ole yhtä satunnaisia ​​kuin uskotaan, sillä uudet tutkimukset osoittavat, että voimakkaat matemaattiset tekniikat yhdistettynä avoimen lähdekoodin tutkimukseen voivat joissakin tapauksissa paljastaa henkilön salaisen numeron.

Tutkimus julkaistiin

"Jollei lieventäviä strategioita toteuteta, SSN: n ennustettavuus altistaa heidät riskeille

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Opinnäytetyö on peräisin Carnegie Mellonin yliopiston tietotekniikan apulaisprofessori Alessandro Acquistiin

Gross ja Acquisti kehittivät algoritmin, joka analysoi Sosiaaliturvalaitoksen Death Master File -tiedostoa, joka on noin 65 miljoonan amerikkalaisen kuoleman julkinen tietokanta ja SSN: t.

He etsivät numeerisia kuvioita kuolleiden SSN: issä piirtäen korrelaatioita henkilön syntymän ja syntymispäivän välillä ja miten tiedot liittyvät SSN: ään.

"Ennustealgoritmistumme hyödyntää havaintoa että henkilöt, joilla on läheiset syntymäpäivät ja identtinen SSN-tila, todennäköisesti jakavat samanlaiset SSN: t ", he kirjoittavat.

SSN: n kolme ensimmäistä numeroa on aluekoodi, joka perustuu postitusosoitteen postinumeroon kun korttia haettiin. Seuraavat kaksi numeroa ovat ryhmänumero, joka on määritetty "täsmällisellä mutta ei-peräkkäisellä järjestyksessä yhdestä 99: stä." Neljä viimeistä numeroa on sarjanumero.

Algoritmi, jonka tekijät eivät ole yksityiskohtiin, onnistui varmistamaan, että kuolonuhredi-tiedostosta saadut kirjaukset olivat 44 prosenttia kaikista vuosina 1989-2003 syntyneistä. Täydellinen SSN voitaisiin valita 8,5 prosentille alle tuhannesta yrityksestä. Vuosina 1973-1988 syntyneille algoritmille voidaan ennustaa viisi ensimmäistä numeroa 7 prosenttia Death Master -tiedoston tiedoista.

"SSN: t suunniteltiin tunnisteiksi silloin, kun henkilökohtaiset tietokoneet ja identiteettivarkaudet olivat mahdoton

Muut muutokset sosiaalivakuutuslain hallintoneuvoston määrittelemissä numeroissa ovat tehneet arvaamasta entistä helpompaa. Vuonna 1989 virasto ilmoitti syntymänumeron nimeltä "Enumeration at Birth", jonka mukaan SSN: t annettiin vastasyntyneille osana syntymän varmentamisprosessia.

Muutokset kuitenkin lisäsivät henkilön syntymän päivämäärän ja kaikkien SSN: n yhdeksän numeron välistä korrelaatiota, etenkin

Lisäksi sosiaalisen verkostoitumisen profiilien, kuten henkilön kotikaupungin ja syntymäpäivän, lisääntyminen saattaa ihmisille suuremman riskin, koska tiedot ovat pienempiä. "

" Nämä havainnot korostavat laajan tiedon levittämisen piilotettuja yksityiskohtokustannuksia ja monien tietolähteiden monimutkaisia ​​vuorovaikutuksia nykyaikaisissa tietotalouksissa ", tutkijat kirjoittavat.

Hyökkääjät voisivat sitten ottaa SSN: t ajatella tarkkoja ja käyttää niitä luottoluokituspalvelujen kautta. Vaikka monet näistä palveluista rajoittavat tietojen tarkistamisyritysten lukumäärää, botnet-verkkoja voidaan käyttää testaamaan suuria määriä SSN: ää varmistaakseen, että ne ovat päteviä. [