Peneliti Mengungkap Cacat Keamanan dalam Angka Jaminan Sosial

Sudahkah Anda memposting tanggal lahir dan tempat lahir Anda di salah satu jejaring sosial Anda? Jika demikian, Anda mungkin telah memberikan informasi yang cukup untuk peretas untuk mengetahui nomor Jaminan Sosial Anda. Yah, dalam teori, bagaimanapun. Para peneliti di Carnegie Mellon University telah berhasil menemukan cara untuk menebak nomor Jaminan Sosial seseorang menggunakan analisis statistik.

Peneliti Carnegie Mellon Alessandro Acquisti dan Ralph Gross mengatakan sistem penomoran Jaminan Sosial dikombinasikan dengan penggunaan luas SSN sebagai nomor pengidentifikasi telah menciptakan "arsitektur kerentanan," dan merupakan konsekuensi tak terduga dari ketersediaan informasi pribadi dasar dan kekuatan komputasi modern. Studi ini akan dipresentasikan pada 29 Juli pada konferensi keamanan Black Hat tahun ini di Las Vegas.

Acquisti dan Gross memutuskan bahwa masalahnya terletak pada bagaimana angka-angka Jaminan Sosial dibangun. Setiap S.S.N. memiliki tiga bagian: nomor area (AN); nomor grup (GN); nomor seri (SN). Ketiga komponen dapat diprediksi berdasarkan kemungkinan lokasi tempat tinggal Anda pada saat Anda S.S.N. diaplikasikan. Hal ini dimungkinkan karena urutan AN dan GN untuk setiap negara tersedia untuk umum secara online, dan SN ditugaskan secara berurutan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Para peneliti menguji teori mereka menebak SSN terhadap Administrasi Keamanan Sosial Kematian Master File. DMF adalah database yang tersedia untuk umum yang mencantumkan SSN dari orang yang telah meninggal.

Meskipun tingkat keberhasilan untuk memprediksi SSN relatif rendah, para peneliti dapat menebak angka secara tepat untuk orang yang lahir sebelum tahun 1989, 0,08 persen dari waktu dalam kurang dari seratus percobaan.

Angka yang paling sederhana untuk diprediksi, bagaimanapun, adalah yang ditugaskan di negara-negara yang lebih kecil dan untuk orang yang lahir setelah 1988. Alasannya adalah bahwa pada tahun 1989, nomor Jaminan Sosial ditugaskan sesuai dengan Pencacahan di Inisiatif kelahiran, di mana orang menerima nomor Jaminan Sosial mereka saat lahir. EAB meningkatkan peluang untuk mengidentifikasi S.S.N. secara dramatis sejak tempat kelahiran dan lokasi seseorang pada saat S.S.N diaplikasikan dijamin identik. Selain itu, populasi negara yang lebih kecil secara otomatis mengurangi jumlah SSN yang tersedia membuat dugaan yang benar lebih mungkin.

Salah satu temuan mencolok misalnya adalah bahwa peneliti Carnegie Mellon mampu mengidentifikasi satu dari 20 SSN lengkap dalam waktu kurang dari sepuluh kali percobaan. untuk orang yang lahir di Delaware pada tahun 1996. Para peneliti juga menemukan mereka dapat mengidentifikasi dengan benar lima digit pertama dari SSN dari siapa pun dalam satu percobaan 44 persen waktu untuk individu yang lahir antara tahun 1989 dan 2003.

Terlepas dari hasil mereka, Acquisti dan Gross mengingatkan bahwa metode mereka memanen S.S.N.s hanya dapat ditiru oleh peretas canggih. Dalam satu skenario seperti itu, para peneliti membahas bagaimana penjahat dengan algoritma yang tepat untuk menebak S.S.N.s untuk pria yang lahir di West Virigina pada tahun 1991 dan botnet sewaan yang berisi setidaknya 10.000 alamat IP (komputer zombie), bisa berhasil memperoleh S.S.N. sebanyak 47 orang per menit. Keadaannya harus ideal dan berjalan sesuai dengan berbagai variabel yang dikemukakan oleh Acquisti dan Gross, tetapi penelitian ini menunjukkan bahwa pemanenan identitas skala besar akan dimungkinkan hanya dengan dua bagian informasi pribadi dasar.

Solusi

Ilustrasinya: Stuart Bradford Jadi apa jawabannya sekarang adalah SSN cacat telah terbukti? Acquisti dan Gross berpendapat bahwa tradisi menggunakan S.S.N. sebagai nomor identifikasi pribadi untuk transaksi pribadi seperti membuka rekening bank atau mendaftar dengan penyedia telepon seluler harus diganti dengan sistem identifikasi yang lebih aman.

Menggunakan S.S.N. sebagai sarana untuk identifikasi pribadi adalah prosedur yang telah diperingatkan oleh Badan Keamanan Sosial selama bertahun-tahun. Namun, perwakilan SSA Mark Lassiter mengatakan kepada The New York Times bahwa Carnegie Mellon Research bukanlah penyebab untuk alarm. Lassiter mengatakan itu akan menjadi "dramatis berlebihan" untuk menyarankan para peneliti telah "memecahkan kode" untuk menemukan S.S.N. Lassiter juga mengatakan SSA akan menugaskan nomor menggunakan sistem pengacakan mulai tahun depan.

Jika Anda khawatir tentang melindungi identitas Anda secara online, lihat PC Dunia "Panduan untuk Melindungi Identitas Online Anda."

Terhubung dengan Ian Paul di Twitter (@ianpaul).