تعرض الباحثون لعيب أمني في أرقام الضمان الاجتماعي

هل نشرت تاريخ ميلادك ومكان ولادتك على أي من الشبكات الاجتماعية الخاصة بك؟ إذا كان الأمر كذلك ، فقد تكون قد قدمت معلومات كافية للقراصنة لمعرفة رقم الضمان الاجتماعي الخاص بك. حسنا ، من الناحية النظرية ، على أي حال. لقد نجح الباحثون في جامعة كارنيجي ميلون في ابتكار طريقة لتخمين رقم التأمين الاجتماعي للشخص باستخدام التحليل الإحصائي.

الباحثان في كارنيجي ميلون أليساندرو أككيستي ورالف غروس يقول أن نظام ترقيم الضمان الاجتماعي جنبا إلى جنب مع الاستخدام الواسع النطاق لشبكات الأمان الاجتماعي كرقم تعريف له إنشاء "بنية الضعف" ، وهي نتيجة غير متوقعة لتوافر المعلومات الشخصية الأساسية وقوة الحوسبة الحديثة. وستعرض الدراسة في 29 يوليو في مؤتمر بلاك هات للاحتفال هذا العام في لاس فيجاس.

قرر أكويستي وغروس أن المشكلة تكمن في كيفية بناء أرقام الضمان الاجتماعي. كل S.S.N. يحتوي على ثلاثة أجزاء: رقم المنطقة (AN) ؛ رقم المجموعة (GN) ؛ الرقم التسلسلي (SN). يمكن التنبؤ بالمكونات الثلاثة استنادًا إلى الموقع المحتمل لسكنك في الوقت الذي يكون فيه S.S.N. تم التقدم بطلب للحصول. وهذا ممكن لأن تتابع ANs و GNs لكل ولاية متاح للجمهور عبر الإنترنت ، ويتم تعيين SNs بترتيب متتالي.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

اختبر الباحثون نظريتهم تخمين SSNs ضد إدارات الضمان الاجتماعي Death Master File. إن DMF هي قاعدة بيانات متاحة بشكل عام تسرد شبكات الأمان الاجتماعي الخاصة بالأشخاص الذين ماتوا.

في حين كان معدل نجاح التنبؤ بـ SSN منخفضًا نسبيًا ، تمكن الباحثون من تخمين الأرقام بشكل صحيح على مستوى البلاد للأشخاص الذين ولدوا قبل 1989 ، 0.08٪ من في أقل من مائة محاولة.

أبسط الأرقام للتنبؤ ، مع ذلك ، كانت تلك المعينة في الدول الأصغر والأشخاص الذين ولدوا بعد عام 1988. والسبب هو أنه اعتبارًا من عام 1989 ، تم تعيين أرقام الضمان الاجتماعي وفقًا للسرد في مبادرة الولادة ، حيث تلقى الناس رقم الضمان الاجتماعي عند الولادة. زادت EAB فرصة تحديد S.S.N. بشكل كبير لأن مكان ولادة الشخص ومكانه في وقت تقديم طلب للحصول على شهادة S.SN. بالإضافة إلى ذلك ، يقلل عدد سكان الولاية الأصغر تلقائيًا من عدد شبكات الأمان الاجتماعي المتاحة مما يجعل التخمين الصحيح أكثر احتمالية.

أحد النتائج اللافتة للنظر على سبيل المثال هو أن باحثي كارنيجي ميلون تمكنوا من التعرف على واحد من 20 SSN كاملة في أقل من عشر محاولات بالنسبة للأشخاص الذين ولدوا في ديلاوير في عام 1996. وجد الباحثون أيضًا أنهم يستطيعون تحديد أول خمسة أرقام من SSN بشكل صحيح من أي شخص في محاولة واحدة 44 في المئة من الوقت للأفراد المولودين بين عامي 1989 و 2003.

على الرغم من نتائجهم ، يحذر Acquisti و Gross من أن طريقة حصاد S.S.N.s لا يمكن تقليدها إلا من قبل المتسللين المتطورة. في أحد هذه السيناريوهات ، ناقش الباحثون كيف يمكن للمجرمين الذين لديهم خوارزمية صحيحة لتخمين S.S.N.s للذكور الذين ولدوا في West Virigina في عام 1991 و الروبوتات المستأجرة التي تحتوي على ما لا يقل عن 10.000 عنوان IP (zombie computers) ، أن يحصلوا بنجاح على الـ S.S.N. من ما يصل إلى 47 شخصا في الدقيقة الواحدة. يجب أن تكون الظروف مثالية ويتم تشغيلها وفقًا لمجموعة واسعة من المتغيرات المطروحة من قبل Acquisti و Gross ، لكن البحث يشير إلى أن حصاد الهوية على نطاق واسع سيكون ممكنًا من خلال قطعتين فقط من المعلومات الشخصية الأساسية.

Solutions

التوضيح: ستيوارت برادفورد ما هو الجواب الآن أن SSN وقد ثبت عيب؟ يجادل Acquisti و Gross بأن تقليد استخدام S.S.N. حيث يجب استبدال رقم التعريف الشخصي للمعاملات الخاصة مثل فتح حساب مصرفي أو الاشتراك في مزود الهاتف الخلوي من أجل نظام أكثر أمانًا لتحديد الهوية.

باستخدام S.S.N. كوسيلة لتحديد الهوية الشخصية هي إجراء حذرت به إدارة الضمان الاجتماعي لسنوات. ومع ذلك ، قال مارك لاسيتر ممثل SSA لصحيفة نيويورك تايمز إن أبحاث كارنيجي ميلون ليست سبباً للقلق. قال لاسيتر إنه سيكون من "المبالغة المثيرة" أن نقترح على الباحثين "تصدع رمز" لاكتشاف S.SNN. كما قال لاسيتر أن SSA ستقوم بتعيين الأرقام باستخدام نظام التوزيع العشوائي ابتداءً من العام المقبل.

إذا كنت قلقًا بشأن حماية هويتك عبر الإنترنت ، فراجع "دليل حماية هويتك على الإنترنت لـ PC World"

الاتصال بـ Ian بول على تويتر (ianpaul).