Forscher decken Sicherheitslücken in Sozialversicherungsnummern auf

Haben Sie Geburtsdatum und Geburtsort in einem Ihrer sozialen Netzwerke angegeben? In diesem Fall haben Sie möglicherweise genügend Informationen für Hacker bereitgestellt, um Ihre Sozialversicherungsnummer herauszufinden. Nun, in der Theorie sowieso. Forscher an der Carnegie Mellon University haben erfolgreich eine Möglichkeit entwickelt, die Sozialversicherungsnummer einer Person anhand statistischer Analysen zu erraten.

Die Carnegie Mellon Forscher Alessandro Acquisti und Ralph Gross sagen, das Sozialversicherungs-Nummerierungssystem kombiniert mit der weitverbreiteten Verwendung von SSNs als Identifikationsnummer schuf eine "Architektur der Verwundbarkeit" und ist eine unerwartete Konsequenz der Verfügbarkeit grundlegender persönlicher Informationen und moderner Rechenleistung. Die Studie wird am 29. Juli auf der diesjährigen Black Hat-Sicherheitskonferenz in Las Vegas vorgestellt.

Acquisti und Gross stellten fest, dass das Problem darin liegt, wie Sozialversicherungsnummern aufgebaut werden. Jede S.S.N. hat drei Teile: Bereichsnummer (AN); Gruppennummer (GN); Seriennummer (SN). Alle drei Komponenten können basierend auf dem wahrscheinlichen Standort Ihres Wohnsitzes zu dem Zeitpunkt vorhergesagt werden, zu dem Ihre S.S.N. wurde beantragt. Dies ist möglich, da die Reihenfolge der ANs und GNs für jeden Staat online öffentlich verfügbar ist und die SNs in fortlaufender Reihenfolge zugewiesen sind.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Die Forscher testeten ihre Theorie SSNs gegen die Sterbehauptakte der Social Security Administrations zu raten. Das DMF ist eine öffentlich zugängliche Datenbank, die die SSNs von Verstorbenen auflistet.

Während die Erfolgsrate für die Vorhersage von SSNs relativ niedrig war, konnten die Forscher bundesweit Zahlen für Menschen, die vor 1989 geboren wurden, 0,08 Prozent der Zeit in weniger als hundert Versuchen.

Die am einfachsten zu prognostizierenden Zahlen waren jedoch diejenigen, die in kleineren Staaten und nach 1988 geborenen Personen zugeordnet wurden. Der Grund dafür ist, dass ab 1989 Sozialversicherungsnummern nach der Enumeration at zugewiesen wurden Geburtsinitiative, bei der die Menschen bei der Geburt ihre Sozialversicherungsnummer erhielten. Die EAB erhöhte die Wahrscheinlichkeit, eine S.S.N. dramatisch, da der Geburtsort und der Aufenthaltsort einer Person zum Zeitpunkt der Beantragung der S.SNN garantiert identisch waren. Darüber hinaus reduziert eine kleinere Bevölkerung des Bundesstaates automatisch die Anzahl verfügbarer SSNs, was eine korrekte Vermutung wahrscheinlicher macht.

Ein auffälliges Ergebnis war beispielsweise, dass die Forscher von Carnegie Mellon in weniger als zehn Versuchen eines von 20 vollständigen SSNs identifizieren konnten für Menschen, die 1996 in Delaware geboren wurden. Die Forscher fanden auch heraus, dass sie die ersten fünf Ziffern eines SSN korrekt identifizieren konnten von jedem in einem einzigen Versuch 44 Prozent der Zeit für Personen geboren zwischen 1989 und 2003.

Trotz ihrer Ergebnisse, Acquisti und Gross Vorsicht, dass ihre Methode der Ernte S.SNS nur durch ausgefeilte Hacker imitiert werden könnte. In einem solchen Szenario diskutieren die Forscher, wie Kriminelle mit dem richtigen Algorithmus, S.S.N.s für in West Virigina geborene Männer 1991 zu erraten und ein gemietetes Botnetz, das mindestens 10.000 IP-Adressen (Zombie-Computer) enthält, erfolgreich die S.S.N. von bis zu 47 Personen pro Minute. Die Umstände müssten ideal sein und einer Vielzahl von Variablen entsprechen, die von Acquisti und Gross vorgeschlagen wurden, aber die Forschungsergebnisse legen nahe, dass eine groß angelegte Identitätsnutzung mit nur zwei grundlegenden persönlichen Informationen möglich wäre.

Lösungen

Illustration: Stuart BradfordWas ist die Antwort jetzt, dass die SSN Fehler wurde nachgewiesen? Acquisti und Gross argumentieren, dass die Tradition der Verwendung Ihrer S.S.N. als persönliche Identifikationsnummer für private Transaktionen, wie die Eröffnung eines Bankkontos oder die Anmeldung bei einem Mobilfunkanbieter, sollte ein sichereres System der Identifizierung ersetzt werden.

Unter Verwendung der S.S.N. als Mittel zur persönlichen Identifikation ist ein Verfahren, vor dem die Sozialversicherungsbehörde seit Jahren gewarnt hat. Allerdings sagte SSA-Vertreter Mark Lassiter der New York Times, dass die Carnegie Mellon Research kein Grund zur Beunruhigung sei. Lassiter sagte, es wäre eine "dramatische Übertreibung", zu behaupten, die Forscher hätten einen Code geknackt, um S.S.N. Lassiter sagte auch, die SSA werde Zahlen ab dem nächsten Jahr mit einem Randomisierungssystem vergeben.

Wenn Sie Bedenken haben, Ihre Identität online zu schützen, lesen Sie im PC World "Leitfaden zum Schutz Ihrer Online-Identität".

Verbinden Sie sich mit Ian Paul auf Twitter (@ianpaul).