L’ italiano Alessandro Acquisti e Ralph Gross, ricercatori della Carnegie-Mellon University, affermano di aver scoperto lo schema dietro alla composizione dei numeri del Social Security Number (SNN).
Per i cittadini statunitensi il SNN è la password principale per i servizi finanziari (per pagare le tasse o riceve aiuti governativi per esempio) ed è stata adottata, quasi uniformemente, come mezzo per verificare l’identità dai principali istituti finanziari. Per questo è interesse del cittadino tenerlo segreto e la scoperta di un algoritmo per indovinarlo è una vera e propria scossa al sistema.
Sviluppare numeri perfettamente casuali è praticamente impossibile e spesso i software scritti per crearli utilizzano un (seppur flebile) schema su cui può lavorare un cifratore. Studiando l’elevato numero di dati disponibili sulle persone decedute sul sito Social Security Administration’s Death Master File – una banca dati contenente il nome, la data e il luogo di nascita e di decesso nonché il SNN di oltre 65 milioni di defunti – è stato possibile trovare una corrispondenza statistica significativa. D’altronde i Social Security Number sono stati ideati ben prima che computer e furti di identità diventassero pane di tutti i giorni e quindi non sono stati studiati tenendo conto di queste eventualità.
Ironia della sorte: il database dei Death master files e l’iniziativa Enumeration at birth del 1988, per cercare di assegnare tutti i SNN al momento della nascita, erano due misure che avrebbero dovuto rendere più difficile il furto di identità, e che invece si sono dimostrati i pezzi fondamentali per costruire il quadro della casualità con cui erano costruiti i numeri.
I dettagli della ricerca sano stati pubblicati nel National Academy of Sciences journal e saranno spiegati nella convention Black Hat di fine luglio, appuntamento annuale di hacker a Las Vegas. Naturalmente l’ algoritmo non è stato reso pubblico per motivi di sicurezza. Tuttavia il lavoro, in ogni caso, vuole suonare subito l’allarme: “Aziende e agenzie governative dovrebbero smettere di usare il SSN come password o identificatore unifico di identità – ha detto il Professor Acquisti – Viviamo come se fossero sicuri, ma non sono un segreto”.
D’altra parte le percentuali di successo diffuse dai due ricercatori non sono trascurabili: partendo da data e luogo di nascita, in media, se per dati antecedenti al 1988 le prime cinque cifre sono ottenibili nel 7 per cento dei casi entro i primi cinque tentativi, dopo questa data le percentuali arrivano al 44 e fino al 90 per cento per stati più piccoli come il Vermont. Tutto questo è reso ancora più pericoloso dal fatto che alcuni siti, se si forniscono correttamente data e luogo di nascita, permettono fino a due cifre del SSN sbagliate e spesso permettono numerosi tentativi prima di bloccare un indirizzo IP: secondo gli autori, una botnet di 10mila apparecchi potrebbe ottenere, così, l’identificazione online dei giovani residenti nella West Virginia ad un ritmo di 47 al minuto. I dati da cui dovrebbe partire, poi, sono quelli molto spesso facilmente rintracciabili su siti specifici, nelle liste elettorali o volontariamente divulgati sui social network .
Il lavoro è stato condiviso, prima della pubblicazione, con la Social Security Administration che sembrava quasi sottovalutare la notizia: “il pubblico non dovrebbe allarmarsi, dal momento che non si tratta di un metodo testato per predire il SSN di una persona”, ha riferito in un comunicato. Tuttavia i portavoce dell’agenzia hanno anche annunciato che “per ragioni indipendenti da questo report, l’agenzia sta sviluppando un sistema per assegnare casualmente i SNN. Il sistema entrerà in vigore il prossimo anno”.
Claudio Tamburrino