-
Паспортные данные можно вычислить по "Твиттеру"
Исследователи из Университета Карнеги-Меллона использовали научный метод, чтобы доказать вполне очевидный факт: номера социального страхования SSN, повсеместно использующиеся в США, совершенно ненадёжны. Учёные отмечают, что первые 5 из 9 цифр SSN во многих случаях могут быть сравнительно легко вычислены на основании публичных данных — взятых, к примеру, из социальных сетей, — а оставшиеся 4 не смогут устоять перед примитивным брутфорсом. Номера SSN присваиваются вовсе не случайным образом, а по некоему алгоритму, при этом они чётко разбиваются на несколько цифровых групп. Так, первые три цифры напрямую связаны с почтовыми кодами, а следующие две составляют так называемый "номер группы", который практически не меняется годами в пределах одного штата. Если добавить к этому тот факт, что с 1989 года SSN повсеместно начали выдаваться младенцам в течение нескольких дней после рождения, нетрудно видеть, что, зная алгоритм присваивания SSN, а также место и дату рождения человека, первые пять цифр его номера социального страхования можно определить с очень высокой степенью вероятности. Конкретнее, первые пять цифр SNN рождённых после 1989 года учёные правильно "угадывали" с первой попытки в 44% случаев. Причём в некоторых штатах этот показатель был заметно выше, что зависит от их населённости, а также от года рождения. Так, в малонаселённом Вермонте для рождённых в 1995 году он составил все 90%. Оставшиеся 4 цифры исследователи предлагают ломать простым перебором. По их прикидкам, злоумышленник со скромным десятитысячным ботнетом может за какие-то два часа вычислить порядка 4 тысяч SNN, прежде чем все подвластные ему IP-адреса будут заблокированы за неудачные попытки ввода данных. Своими выкладками учёные собираются поделиться на очередной конференции Black Hat, которая пройдёт в конце июля в Лас-Вегасе. Отметим, что в ряде случаев номера SSN и подбирать-то не надо: они хранятся в базах данных больниц и учебных заведений, которые то и дело взламывают хакеры.
Источник
uinc.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Учитывая, что у американцев из документов при себе в основном водительские права и номер социального страхования, то это очень плохо.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 66
Поэтому везде рекоммендуют - никому не давать свой SSN. Я, если меня спрашивают его, в первую очередь спрашиваю, зачем Вам это надо. Даже при приеме на работу в анкете оставляю это окно пустым (я даю свой SSN в день выхода на работу). Если же меня просят заполнить анкету на интернете, а там поле SSN, как требуемое, то такие анкеты просто игнорирую. К сожалению, многие американцы слишком доверчивы и дают о себе слишком много информации. Более того, даже если нет жуликов, то анкеты, не используемые нигде, вместо того, чтобы уничтожаться просто выбрасываются. Безалаберность она есть везде...
-
Действия хакера, укравшего сотни внутренних документов компании Twitter Inc., вызвали изрядную шумиху в зарубежной онлайн-прессе: новостной сайт TechCrunch, получивший эти документы, постепенно публикует некоторые из них, Twitter консультируется с юристами, а третьи стороны смакуют подробности и дают моральную оценку поступкам журналистов, которые делают достоянием общественности "ворованную информацию".
Несколько дней назад в TechCrunch пришла электропочта от некоего гражданина с ником Hacker Croll. К письму был прикреплён zip-файл, содержащий 310 различных корпоративных и приватных документов работников Twitter. В TechCrunch принялись изучать этот подарок и решать, какие из этих материалов достойны публикации, а какие нет.
"Определённо существует некая этическая граница, которую мы не хотим переступать, и подавляющее большинство этих документов не будут опубликованы — во всяком случае, нами, — написал Майкл Аррингтон (Michael Arrington) из TechCrunch, имея в виду, что Hacker Croll мог поделиться (и поделился!) своими трофеями с кем-то ещё. — Однако некоторые документы имеют настолько большую новостную ценность, что нам кажется уместным их опубликовать".
И действительно, в течение пары последующих дней на TechCrunch успели опубликовать планы по созданию телешоу Final Tweet (которое Аррингтон счёл полной туфтой), финансовое прогнозирование (которое в Twitter уже успели назвать неактуальным) и стратегию компании с февраля этого года, включая подробности сотрудничества с Google (в TechCrunch сочли это важным и интересным, поскольку за этот период количество уникальных посетителей Twitter из США выросло впятеро, достигнув 20-миллионной отметки).
TechCrunch никак не объясняет утечку данных, однако это сделали в Twitter. Соучредитель компании Биз Стоун (Biz Stone) полагает, что она произошла в результате взлома почтового ящика одного из служащих компании (имя не называется, но пол у этого служащего женский). Оказалось, что данная работница использовала один и тот же пароль на различных онлайн-сервисах, так что хакер также получил доступ к её аккаунту на Google Apps со всеми вытекающими отсюда последствиями.
Также Стоун говорит о взломе почтового ящика жены исполнительного директора компании Эвана Уильямса (Evan Williams), что позволило злоумышленнику добраться до учётных записей Уильямса на Amazon и PayPal.
Стоун заверил, что данные пользователей "Твиттера" никоим образом не пострадали и что компания уже успела ужесточить меры безопасности, связанные с использованием паролей, чтобы снизить вероятность повторения подобного инцидента в будущем.
"Мы общаемся с нашим юрисконсультом по вопросу о том, что данное воровство означает для "Твиттера", для хакера и для каждого, кто принял от него и впоследствии поделился с другими этими украденными документами или опубликовал их", — добавил Стоун, пообещав поделиться с читателями корпоративного блога Twitter дальнейшими планами, когда в компании будут чётко знать, на чём они стоят.
Из массы мнений, высказанных сетевыми журналистами в связи с данными событиями, особый интерес представляют, пожалуй, публикации Сэма Байярда (Sam Bayard) из Citizen Media Law Project и Джека Марго (Jack Margo) из eWeek.
Байярд рассматривает возможные юридические ходы со стороны пострадавшей стороны, а также напоминает, что право публикации материалов, представляющих общественный интерес, защищено Первой поправкой к Конституции США. Если Аррингтон будет публиковать именно такую информацию, считает он, ему вряд ли следует опасаться судебного преследования со стороны Twitter.
Марго копнул в другом направлении. Поскольку документы были украдены из онлайн-сервисов Google Apps, это лишний раз указывает на проблему безопасности хранения персональных данных в Сети, которая только усугубится, при условии что Google всё-таки выпустит свою веб-операционку Chrome OS и что ею будут пользоваться. Марго считает, что основную трудность, которую придётся преодолеть компании, представляет человеческий фактор: программистам Google надо создать такую защиту, которая будет эффективна даже если ею будут пользоваться очень беспечные люди. http://www.webplanet.ru/news/securit...tter_leak.html
Добавлено через 3 минуты
Twitter закладывает своих пользователей -http://www.webplanet.ru/news/service/2009/04/09/twitter_privacy.html ~Twitter грызут черви-http://www.webplanet.ru/news/security/2009/04/13/twitter_stalkdaily.html ~ "Твиттер" таки будет платным-http://www.webplanet.ru/news/service/2009/03/27/twitter_commercial.html
Последний раз редактировалось rdog; 27.07.2009 в 14:53.
Причина: Добавлено
Если у тебя нет паранойи,это не значит,что за тобой не следят