吳明宜
使用者在網路上流傳的出生日期及地點可能讓身份竊盜者猜出社會安全號碼,專家說。
根據兩位卡內基美濃大學 (CMU) 研究人員公佈名為「國家科學院進程」報告指出,在把出生日期、地點等個別資訊交叉關聯後,就會暴露出「意想不到的隱私後果」。
兩名作者,CMU Heinz 學院資訊科技暨公共政策 Alessandro Acquisti 及博士後研究員 Ralph Gross 指出,社會安全號碼可利用可由政府資料庫、商業資料庫或選舉人名單等來源包含的基本個人資訊,可以猜出社會安全號碼。
而了解使用者社會安全號碼、姓名及出生日期,身份竊賊就能冒充他的身份來進行各種詐欺行為。因此若社會安全號碼很容易被猜出,就有很大資安風險。
Acquisti 和 Gross 計估,已有 1000 萬名美國人在線上個人檔案中公布出生日期或提供可推測生日的資訊。
視線資料及個人出生日期及地點而異,猜測 SSN 100 次的準確率由 0.08% 到 10% 不一。
這種機率聽來似乎不怎樣,但一旦猜測次數提高到 1000 次,猜出社會安全號碼就和破解 3 位數密碼一樣簡單。在美國一些較小的州內,最近幾年出生的人在 1000 次以後猜中的準確率高達 60% 。
Acquisti 和 Gross 在文中假設了一個情境,一名攻擊者租用 10,000 台傀儡電腦以公開資料來猜測西維吉尼亞州 18 歲以上居民的信用卡資料。在各種假設情況下,例如信用卡發卡公司將特定 IP 位置列為黑名單前已有人輸入不對的社會安全號碼,則他們估計最多一分鐘可以獲得 47 組信用卡號碼,或每台傀儡電腦 4000 組。
防範方法方面,專家建議社會安全局應採全面隨機方式來分派新的社會安全號碼,而非只有頭三碼隨機。但他們指出,這些方法並不能保護現有的社會安全號碼。
他們也指出立法,像是修訂社會安全碼需求,也不管用。
「產業和立法者反而應該思考是不是以前我們太過仰賴社會安全碼來做認證的憑證,以及把保護社會安全碼的責任放在使用者身上,」報告指出。