Исследователи из Университета Карнеги-Меллона использовали научный метод, чтобы доказать вполне очевидный факт: номера социального страхования SSN, повсеместно использующиеся в США, совершенно ненадёжны. Учёные отмечают, что первые 5 из 9 цифр SSN во многих случаях могут быть сравнительно легко вычислены на основании публичных данных — взятых, к примеру, из социальных сетей, — а оставшиеся 4 не смогут устоять перед примитивным брутфорсом. Номера SSN присваиваются вовсе не случайным образом, а по некоему алгоритму, при этом они чётко разбиваются на несколько цифровых групп. Так, первые три цифры напрямую связаны с почтовыми кодами, а следующие две составляют так называемый "номер группы", который практически не меняется годами в пределах одного штата. Если добавить к этому тот факт, что с 1989 года SSN повсеместно начали выдаваться младенцам в течение нескольких дней после рождения, нетрудно видеть, что, зная алгоритм присваивания SSN, а также место и дату рождения человека, первые пять цифр его номера социального страхования можно определить с очень высокой степенью вероятности. Конкретнее, первые пять цифр SNN рождённых после 1989 года учёные правильно "угадывали" с первой попытки в 44% случаев. Причём в некоторых штатах этот показатель был заметно выше, что зависит от их населённости, а также от года рождения. Так, в малонаселённом Вермонте для рождённых в 1995 году он составил все 90%. Оставшиеся 4 цифры исследователи предлагают ломать простым перебором. По их прикидкам, злоумышленник со скромным десятитысячным ботнетом может за какие-то два часа вычислить порядка 4 тысяч SNN, прежде чем все подвластные ему IP-адреса будут заблокированы за неудачные попытки ввода данных. Своими выкладками учёные собираются поделиться на очередной конференции Black Hat, которая пройдёт в конце июля в Лас-Вегасе. Отметим, что в ряде случаев номера SSN и подбирать-то не надо: они хранятся в базах данных больниц и учебных заведений, которые то и дело взламывают хакеры.
Источник