Onderzoek: nummers van sociale zekerheid zijn voorspelbaar

Socialezekerheidsnummers zijn mogelijk niet zo willekeurig als werd aangenomen, omdat een nieuwe studie beweert dat krachtige wiskundige technieken in combinatie met open-sourceonderzoek in sommige gevallen het geheime nummer van een persoon kunnen onthullen.

De studie, gepubliceerd op Maandag in het tijdschrift Proceedings van de National Academy of Sciences, dient als een duidelijke waarschuwing dat SSN's steeds kwetsbaarder worden, waardoor meer mensen het risico lopen van identiteitsdiefstal.

"Tenzij mitigerende strategieën worden geïmplementeerd, stelt de voorspelbaarheid van SSN's hen bloot aan risico's van identiteitsdiefstal op massaschalen, "aldus de studie.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De studie is afkomstig van de Alessandro Acquisti van Carnegie Mellon University, een assistent-professor in informatietechnologie logica en openbaar beleid, en Ralph Gross, een postdoctoraal onderzoeker.

Gross en Acquisti ontwikkelden een algoritme dat gegevens analyseerde van het Death Master File van de Social Security Administration, een openbare database van ongeveer 65 miljoen Amerikanen die zijn overleden en hun SSN's, die wordt gebruikt voor fraudebestrijdingsdoeleinden.

Ze zochten numerieke patronen in de SSN's van de overledene, waarbij ze verbanden leggen tussen waar een persoon is geboren en hun geboortedatum en hoe die gegevens betrekking hebben op hun SSN.

"Ons voorspellingsalgoritme maakt gebruik van de waarneming dat personen met nabije geboortedata en identieke SSN-toewijzing waarschijnlijk vergelijkbare SSN's delen, "schreven ze.

De eerste drie cijfers van een SSN is een gebiedsnummer, dat is gebaseerd op de postcode van het opgegeven postadres wanneer een kaart werd aangevraagd. De volgende twee cijfers is een groepsnummer, dat wordt toegewezen in een "precieze maar niet-opeenvolgende volgorde tussen één en 99." De laatste vier cijfers is een serienummer.

Het algoritme, dat de auteurs niet hebben gedetailleerd, heeft met succes vastgesteld dat de eerste vijf cijfers voor 44 procent van de records in het Death Master-bestand voor mensen die tussen 1989 en 2003 zijn geboren. De complete SSN zou kunnen worden uitgezocht voor 8,5 procent van die mensen in minder dan 1000 pogingen. Voor mensen geboren tussen 1973 en 1988, kon het algoritme de eerste vijf cijfers voorspellen voor 7 procent van die in het Death Master-bestand.

"SSN's werden ontworpen als identifiers in een tijd waarin personal computers en identiteitsdiefstal ondenkbaar waren," studie zei.

Andere veranderingen in de manier waarop de Social Security Administration nummers toewijst, hebben het raden nog eenvoudiger gemaakt. In 1989 verklaarde het bureau een programma genaamd Opsomming bij de geboorte, waarbij SSN's werden toegewezen aan pasgeborenen als onderdeel van het proces van geboortecertificering. De veranderingen verhoogden echter de correlatie tussen de geboortedatum van een persoon en alle negen cijfers van een SSN, vooral voor mensen in minder bevolkte staten, waardoor SSN's gemakkelijker te ontdekken zijn, schreven de onderzoekers.

Bovendien brengt de verspreiding van informatie over profielen van sociale netwerken, zoals iemands woonplaats en geboortedatum, mensen meer risico, aangezien die informatie kan worden gebruikt om SSN's af te leiden.

"Dergelijke bevindingen benadrukken de verborgen privacykosten van wijdverspreide informatieverspreiding en de complexe interacties tussen meerdere gegevensbronnen in moderne informatie-economieën," schreven de onderzoekers.