Android

Les chercheurs exposent des failles de sécurité dans les numéros de sécurité sociale

Grand Débat avec les maires d’outre-mer

Grand Débat avec les maires d’outre-mer
Anonim

Avez-vous affiché votre date de naissance et votre lieu de naissance sur l'un de vos réseaux sociaux? Si c'est le cas, vous avez peut-être fourni suffisamment d'informations pour que les pirates puissent déterminer votre numéro de sécurité sociale. Eh bien, en théorie, de toute façon. Alessandro Acquisti et Ralph Gross, chercheurs de Carnegie Mellon, estiment que le système de numérotation de la sécurité sociale, associé à l'utilisation généralisée des numéros de sécurité sociale comme numéro d'identification, a permis à des chercheurs de l'université Carnegie Mellon de deviner le numéro de sécurité sociale. créé une «architecture de la vulnérabilité», et est une conséquence inattendue de la disponibilité des informations personnelles de base et de la puissance de calcul moderne. L'étude sera présentée le 29 juillet à la conférence de Black Hat sur la sécurité de cette année à Las Vegas

Acquisti et Gross ont déterminé que le problème résidait dans la manière dont les numéros de sécurité sociale sont construits. Chaque S.S.N. a trois parties: numéro de zone (AN); numéro de groupe (GN); numéro de série (SN). Les trois composantes peuvent être prédites en fonction de l'emplacement probable de votre résidence au moment où votre S.S.N. a été demandé. Cela est possible puisque la séquence des AN et des GN pour chaque état est accessible au public en ligne, et que les SN sont attribués consécutivement.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

de deviner les SSN dans le fichier principal des décès des administrations de sécurité sociale. Le DMF est une base de données publique qui répertorie les SSN des personnes décédées.

Alors que le taux de réussite pour la prédiction des SSN était relativement faible, les chercheurs ont pu deviner correctement les chiffres pour les personnes nées avant 1989, soit 0,08% de la population. Cependant, les chiffres les plus simples à prévoir sont ceux qui ont été attribués dans les petits États et aux personnes nées après 1988. La raison en est qu'à partir de 1989, les numéros de sécurité sociale ont été attribués selon le recensement à la fin de l'année. Initiative de naissance, où les gens ont reçu leur numéro de sécurité sociale à la naissance. L'agrile du frêne a augmenté les chances d'identifier un S.S.N. dramatiquement puisque le lieu de naissance et l'emplacement d'une personne au moment de la demande de S.S.N étaient garantis être identiques. En outre, une plus petite population réduira automatiquement le nombre de SSN disponibles, ce qui rendra probable une estimation correcte.

Un résultat frappant est par exemple que les chercheurs de Carnegie Mellon ont pu identifier un SSN complet sur 20 en moins de dix tentatives. pour les personnes nées au Delaware en 1996. Les chercheurs ont également constaté qu'ils pouvaient identifier correctement les cinq premiers chiffres d'un SSN. de personne en un seul essai 44% du temps pour les individus nés entre 1989 et 2003.

Malgré leurs résultats, Acquisti et Gross mettent en garde que leur méthode de récolte de S.S.N. ne pouvait être imitée que par des hackers sophistiqués. Dans un tel scénario, les chercheurs discutent comment les criminels avec le bon algorithme pour deviner S.S.N.s pour les mâles nés à West Virigina en 1991 et un botnet loué contenant au moins 10.000 adresses IP (ordinateurs zombies), pourraient obtenir avec succès le S.S.N. de jusqu'à 47 personnes par minute. Les circonstances devraient être idéales et fonctionner selon un large éventail de variables proposées par Acquisti et Gross, mais la recherche suggère que la récolte d'identité à grande échelle serait possible avec seulement deux éléments d'information personnelle de base.

Solutions

Illustration: Stuart BradfordSo quelle est la réponse maintenant que le SSN défaut a été prouvé? Acquisti et Gross soutiennent que la tradition d'utiliser votre S.S.N. en tant que numéro d'identification personnel pour les transactions privées telles que l'ouverture d'un compte bancaire ou l'inscription auprès d'un fournisseur de téléphonie cellulaire devrait être remplacé par un système d'identification plus sûr.

En utilisant le S.S.N. comme un moyen d'identification personnelle est une procédure que l'administration de la sécurité sociale a mis en garde contre des années. Cependant, le représentant de la SSA, Mark Lassiter, a déclaré au New York Times que la Carnegie Mellon Research n'est pas une source d'inquiétude. Lassiter a dit que ce serait une "exagération dramatique" de suggérer que les chercheurs ont "craqué un code" pour découvrir S.S.N. Lassiter a également déclaré que la SSA attribuerait des numéros en utilisant un système de randomisation commençant l'année prochaine.

Si vous souhaitez protéger votre identité en ligne, consultez le «Guide de protection de votre identité en ligne» de PC World. Paul sur Twitter (@ianpaul).

Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.

Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.

Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.

Chercheur: Les failles UPnP exposent des millions d'appareils en réseau à des attaques à distance

Chercheur: Les failles UPnP exposent des millions d'appareils en réseau à des attaques à distance

Des dizaines de millions d'appareils réseau incluant routeurs, imprimantes, Les serveurs multimédias, les caméras IP, les téléviseurs intelligents et bien d'autres encore peuvent être attaqués sur Internet en raison de failles dangereuses dans la mise en œuvre du protocole UPnP (Universal Plug and Play), ont annoncé mardi des chercheurs en sécurité de Rapid7. des millions de périphériques réseau, y compris les routeurs, imprimantes, serveurs multimédias, caméras IP, smart TV et autres peuvent êt

La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques

La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques

En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.