image

Publiek algoritme raadt social security nummers

dinsdag 7 juli 2009, 11:12 door Redactie, 0 reacties

Onderzoekers hebben een algoritme ontdekt om het social security nummer (SSN) van Amerikaanse burgers te berekenen aan de hand van publieke informatie, zoals geboortedatum en geboorteplaats. Het SSN wordt in de VS voor bijna alles gebruikt, van het afsluiten van leningen en hypotheken tot het betalen van de belastingen. Bijna alle financiële instellingen gebruiken het om de identiteit van klanten te verifiëren. Hierdoor is het SSN erg geliefd bij identiteitsdieven, die vaak alleen het nummer nodig hebben om een lening af te sluiten.
Twee onderzoekers hebben nu aangetoond dat een aantal methodes om valse social security nummers te herkennen, het juist mogelijk maken om legitieme nummers te reconstrueren aan de hand van de informatie die mensen op sociale netwerksites achterlaten. De Amerikaanse overheid houdt een publiek beschikbare database bij, genaamd een Death Master File, die de SSNs van overleden personen bevat. Aan de hand van deze informatie konden de onderzoekers berekenen hoe geboorteplaats en geboortedatum met elkaar gerelateerd zijn.
Verder hanteert de Amerikaanse overheid verschillende procedures voor het opstellen van een SSN. De eerste drie cijfers zijn gebaseerd op de staat waar het SSN is uitgegeven. De volgende twee zijn het "groepsnummer". De laatste vier cijfers zouden willekeurig zijn. De overheid besloot sinds het eind van de jaren 1980 om SSNs kort na de geboorte uit te geven. Dit moest voorkomen dat mensen er later in hun leven om vragen, wat detectie van fraude vereenvoudigt.
Botnet
Aan de hand van hun algoritme kunnen de onderzoekers de eerste vijf cijfers van het SSN berekenen in 44% van de gevallen van mensen die na 1988 geboren zijn. In het geval van kleinere staten is dit zelfs 90%. Het raden van de laatste vier cijfers bleek een stuk lastiger, zeker met  het beoogde doel om dit binnen tien keer te doen. Gemiddeld was het succespercentage 0,1%, maar bij kleinere staten steeg dit naar 5%. Veel creditcard verificatiediensten staan het toe dat twee getallen van het SSN fout zijn, zodra de geboorteplaats en geboortedatum kloppen.

Via het algoritme en de toegestane foutmarge, zou een botnet van 10.000 machines 47 nummers per minuut kunnen achterhalen. "Als je succesvol alle negen cijfers van een SSN in minder dan 10, 100 of zelfs 1000 pogingen kunt achterhalen, dan is dat SSN niet veiliger dan een drie-cijferige PIN", aldus onderzoekers, die het algoritme tijdens de komende Black Hat Conferentie presenteren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.