Studie: Sociala säkerhetsnummer är förutsägbara

Sociala säkerhetsnummer kan inte vara så slumpmässigt som trodde, eftersom en ny studie hävdar att kraftfulla matematiska tekniker i kombination med öppen källforskning kan i vissa fall avslöja personens hemliga nummer.

Studien, publicerad den Måndag i journalen Proceedings of the National Academy of Sciences, tjänar som en stark varning att SSNs blir alltmer sårbara, vilket innebär att fler riskerar identitetsstöld.

"Om inte mildrande strategier genomförs, förklarar förutsägbarheten hos SSN: er riskerna av identitetsstöld på massskalor ", säger studien.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Studien kommer från Carnegie Mellon Universitys Alessandro Acquisti, en biträdande professor i informationsteknologi logi och allmän ordning, och Ralph Gross, en postdoktoral forskare.

Gross och Acquisti utvecklade en algoritm som analyserade data från Social Security Administration's Death Master File, en offentlig databas på cirka 65 miljoner amerikaner som har dött och deras SSN, vilket används för antifraudändamål.

De letade efter numeriska mönster i den avlidnes SSN, som ritade korrelationer mellan var en person föddes och deras födelsedatum och hur dessa data hänför sig till deras SSN.

"Vår prediktionsalgoritm utnyttjar observationen att personer med nära födelsedatum och identiska tillstånd för SSN-uppgift sannolikt kommer att dela liknande SSN, "skrev de.

De tre första siffrorna i ett SSN är ett områdenummer som baseras på postadressens postnummer när ett kort ansökte om. De två följande siffrorna är ett gruppnummer som tilldelas i en "exakt men inte-ordnad ordning mellan en och 99". De sista fyra siffrorna är ett serienummer.

Algoritmen, som författarna inte detaljerade, uppvisade framgångsrikt de fem första siffrorna för 44 procent av posterna i Death Master File för personer födda mellan 1989 och 2003. Den fullständiga SSN kunde plockas ut för 8,5 procent av dessa människor i under 1000 försök. För personer födda mellan 1973 och 1988 kunde algoritmen förutse de fem första siffrorna för 7 procent av dem i Death Master File.

"SSN: er utformades som identifierare vid en tid då persondatorer och identitetsstöld var otänkbara" studera sagt.

Andra förändringar i hur socialförsäkringsverket tilldelar siffror har gett ännu enklare. År 1989 utgav byrån ett program kallat uppräkning vid födsel, som tilldelade nyfödda barn till nyfödda som en del av födelsecertifieringsprocessen.

Ändringarna ökade emellertid korrelationen mellan personens födelsedatum och alla nio siffror i ett SSN, särskilt för människor i mindre befolkade stater, vilket gör SSN: s enklare att upptäcka, skrev forskarna.

Dessutom ökar spridningen av information om sociala nätverksprofiler, till exempel en persons hemstad och födelsedatum, människor i större risk, eftersom den informationen kan användas för att dra slutsatser från SSN.

"Sådana resultat lyfter fram de dolda privatlivskostnaderna för utbredd informationsspridning och de komplexa interaktionerna mellan flera datakällor i moderna informationsekonomier", skrev forskarna.

Attackers skulle då kunna ta SSN: erna tänk är korrekta och kör dem genom kredit godkännande tjänster. Även om många av dessa tjänster kommer att begränsa antalet försök att verifiera data, kan botnät användas för att testa ett stort antal SSN för att säkerställa att de är giltiga, skrev de.