Onderzoekers achterhalen algoritme Amerikaanse sofinummers
Onderzoekers van de Carnegie Mellon-universiteit hebben een algoritme ontwikkeld om Amerikaanse Social Security Numbers te genereren. Samen met gegevens van sociale-netwerksites zou dat identiteitsdiefstal en fraude mogelijk maken.
Het Amerikaanse Social Security Number, de evenknie van het Nederlandse sofi- of burgerservicenummer, is van groot belang voor onder meer de autorisatie van financiële transacties. Het in verkeerde handen vallen van een SSN, of het vervalsen ervan, zou identiteitsdiefstal en fraude in de hand werken, en de Amerikaanse overheid heeft zich grote moeite getroost het vervalsen van SSN's tegen te gaan. Een van die maatregelen is de publicatie van een zogenoemde Death Master File, waarin de SSN's van overledenen zijn opgenomen, zodat deze niet door fraudeurs gebruikt kunnen worden.
Ook heeft de ambtenarij informatie gepubliceerd over de manier waarop de nummers zijn opgebouwd: de eerste drie cijfers duiden de staat van uitgifte aan en worden gevolgd door een tweecijferig groepsnummer. De laatste vier cijfers lijken willekeurig, maar worden sinds de jaren tachtig van de vorige eeuw berekend aan de hand van de geboortedatum. Van die eigenschap maken de twee onderzoekers gebruik door de nummers uit de Death Master File op te splitsen naar staat en op datum te rangschikken.
Vervolgens zochten ze naar algoritmes om de SSN's te berekenen. Het bleek dat met name dunbevolkte staten SSN's hadden uitgegeven die gemakkelijk te voorspellen zijn. Met hun algoritmes waren de twee in staat de eerste vijf cijfers van SSN's van voor 1988 uit de Death Master File in zeven procent van de gevallen te voorspellen. Met SSN's van na 1988 steeg de precisie tot 44 procent, maar voor de dunbevolkte staten bleek een rendement van boven de 90 procent haalbaar.
De laatste vier cijfers bleken moeilijker met succes te voorspellen: in slechts 0,1 procent lukte dat binnen tien pogingen, hoewel het percentage met gebruik van data van kleinere staten kon stijgen tot vijf procent. In hun rapport stellen de auteurs echter dat een botnet van slechts tienduizend computers met succes 47 geldige SSN's per minuut voor West Virginia zouden kunnen genereren. Daarbij is rekening gehouden met een toegestane foutmarge van twee cijfers in de SSN's, die is toegestaan als de geboortedatum en de geboorteplaats correct worden opgegeven. Dergelijke gegevens kunnen eenvoudig op sociale-netwerksites verzameld worden, zo menen de twee onderzoekers.
Reacties (63)
Lekker duidelijke grafiek erbij *sarcasme*.
Er wordt toch in nederland niet op eenzelfde manier sofi-nummers gegenereed? Zijn wij in nederland hier ook vatbaar voor?
Er wordt toch in nederland niet op eenzelfde manier sofi-nummers gegenereed? Zijn wij in nederland hier ook vatbaar voor?
Het BTW nummer van ZZP'ers is ook het sofi nummer en dat moet je in alle communicatie met klanten vermelden. Als het hebben van het nummer zo belangrijk is was dat ook niet geval dus het valt wel mee in NL.
Dat wordt het anders wel, steeds meer dienstverlening van de staat gaat via internet en BSN/SOFI nummer verlopen. Er hoeft maar 1 balie te zijn die mijn identiteit niet goed controleert en je kunt iemand laten emigreren of zijn grond overschrijven etc.....
Je vertrouwen is begrijpelijk maar niet helemaal terecht.
Je vertrouwen is begrijpelijk maar niet helemaal terecht.
Dat valt volgens mij wel mee. Er gaat een hoop mis bij de overheid, maar het beveiligen van toegang tot overheidsdiensten (zoals belastingaangifte, gemeentelijke zaken regelen etc) is nu net een van dingen die wel vrij goed geregeld is. Het BSN komt daar juist helemaal niet bij kijken. Digid werkt met een user/password combinatie.
In de VS kun je bij wijze van spreken inloggen op je internetbankieren als je je naam, geboortedatum en Sofinummer weet -- dát is gevaarlijk. Bij ons is het Sofinummer weliswaar een administratieve manier om gegevens te koppelen, maar niet een methode om in te loggen.
In de VS kun je bij wijze van spreken inloggen op je internetbankieren als je je naam, geboortedatum en Sofinummer weet -- dát is gevaarlijk. Bij ons is het Sofinummer weliswaar een administratieve manier om gegevens te koppelen, maar niet een methode om in te loggen.
Om een digid aan te vragen heb je nu juist wel je BSN nodig. Als je in een flat of op kamers woont is het bovendien vaak makkelijk om post van je buurman/vrouw te onderscheppen. Dus die activerings brief is ook maar beperkt werkzaam.
De identiteitsdiefstal is dus ook in Nederland wel mogelijk.
In Belgie hebben ze smartcards. Daar zit een private key in die er niet uit kan. Dat is dus wel veilig, althans op dit moment.
De identiteitsdiefstal is dus ook in Nederland wel mogelijk.
In Belgie hebben ze smartcards. Daar zit een private key in die er niet uit kan. Dat is dus wel veilig, althans op dit moment.
Ja, anders weten ze immers niet aan wie ze de Digid moeten koppelen. Dat je het nummer bij de Digid aanvraag moet invullen is niet voor de beveiliging maar is deel van de aanvraag.
Daarom kun je bij alle overheden banken etc ook een postadres opgeven. Bijvoorbeeld het adres van je ouders, of een postbus.
Precies om te voorkomen dat post onderschept wordt.
Precies om te voorkomen dat post onderschept wordt.
Dat idee kreeg ik ook, erg raar dat je BTW nummer gewoon je sofi-nummer is, meteen open en bloot op straat. Moest ik even aan wennen.
Bij dit soort onderzoeken heb ik overigens altijd wel een dubbel gevoel. Leuk dat je het onderzocht hebt en de resultaten mogen er zijn, maar je brengt ook kennis in het openbaar die misbruikt kan worden.
Bij dit soort onderzoeken heb ik overigens altijd wel een dubbel gevoel. Leuk dat je het onderzocht hebt en de resultaten mogen er zijn, maar je brengt ook kennis in het openbaar die misbruikt kan worden.
Het publiceren van de resultaten en daarmee de overheid voor het blok zetten is nog altijd beter dan security-through-obscurity waarbij je niet weet of een of andere criminele organisatie niet toch al het systeem gekraakt heeft en daar misschien al jaren gretig gebruik van maakt. Zoals te lezen valt is het vooral voor dunbevolkte staten makkelijk om een bestaand SSN te achterhalen of een nieuw SSN te genereren. Lijkt me een zeer onwenselijke situatie, en dus moet er actie ondernomen worden.
Juist, maar hier is het extra pijnlijk, want niemand gaat maar zomaar even z'n SSN veranderen, als dat uberhaupt kan. Dus je hebt een bestaand systeem wat voor de mensen van nu onveranderbaar is (nieuwe mensen zouden met andere soort opgebouwde nummers kunnen beginnen) welke idd werkt met security-through-obscurity, en je hebt de obscurity weggehaald. Moet je me toch even vertellen wat er voor de bestaande SSN's aan actie moet worden ondernomen om het probleem op te lossen?
[Reactie gewijzigd door !null op dinsdag 7 juli 2009 13:57]
Als iemand zijn paspoort moet verlengen kan dat bijvoorbeeld toch gelijk gedaan worden? Misschien is het van de zotte om dat in ene voor een paar honderd miljoen mensen te gaan doen, maar het aanpassen van zulke nummers met het nieuwe algoritme kan makkelijk gelegenheidshalve gedaan worden.
Natuurlijk niet, als ik bijvoorbeeld een lening afsluit van laten we zeggen 30 jaar (Hypotheek) met mijn huidige nummer en dan twee jaar later een nieuw nummer krijg dan moet er toch nog altijd een link zijn tussen mijn oude nummer en het nieuwe nummer anders kan mijn bank nooit meer achterhalen wie ik ben en waar ik woon. Het is niet anders dan een personal identification number.
Als je die link maakt beperk je dus het aantal nummers dat je uit kunt geven enorm omdat je nu eenmaal bestaande nummers niet op nieuw kunt uitgeven. Kun je natuurlijk zeggen maar dan maak je de nieuwe nummers toch langer en gooi je er letters in om het extra moeilijk te maken. Maar dan kom je met een heel ander probleem te zitten en dat is dat je nog vele jaren bezig bent voor je het kunt introduceeren om alle bank en overheids systemen etc aan te passen aan de nieuwe nummers.
Met andere worden als en dat gaat zeker gebeuren het algoritme eenmaal echt achterhaald wordt en men de nummers nog veel vaker correct kan voorspellen dan heeft Amerika een enorm probleem. Even wisselen is nu eenmaal geen optie dus de enige overgebleven mogenlijkheid is om dan maar ver voor dat mensen men een redelijk hoge succes ratio (nog onder de 50%) de nummers kunnen voorspellen aan de bel te trekken. De overheid ziet dan dat mensen steeds dichterbij komen en zal dan wel een aanpassing moeten maken om te voorkomen dat het zo ver komt dat deze nummer generatie mogelijk wordt op een huis tuin en keuken computer zonder bot net er achter.
Als de Amerikaanse overheid nu ingrijpt dan hebben ze nog een aantal jaren te gaan voor men op het punt komt waar deze nummers gewoon door een willekeurige telefoon correct geraden kunnen worden. Dat geeft ze tijd om niet alleen de nummers te veranderen maar ook om alle bedrijven etc, hun systemen aan de nieuwe nummers aan te passen.
Als je die link maakt beperk je dus het aantal nummers dat je uit kunt geven enorm omdat je nu eenmaal bestaande nummers niet op nieuw kunt uitgeven. Kun je natuurlijk zeggen maar dan maak je de nieuwe nummers toch langer en gooi je er letters in om het extra moeilijk te maken. Maar dan kom je met een heel ander probleem te zitten en dat is dat je nog vele jaren bezig bent voor je het kunt introduceeren om alle bank en overheids systemen etc aan te passen aan de nieuwe nummers.
Met andere worden als en dat gaat zeker gebeuren het algoritme eenmaal echt achterhaald wordt en men de nummers nog veel vaker correct kan voorspellen dan heeft Amerika een enorm probleem. Even wisselen is nu eenmaal geen optie dus de enige overgebleven mogenlijkheid is om dan maar ver voor dat mensen men een redelijk hoge succes ratio (nog onder de 50%) de nummers kunnen voorspellen aan de bel te trekken. De overheid ziet dan dat mensen steeds dichterbij komen en zal dan wel een aanpassing moeten maken om te voorkomen dat het zo ver komt dat deze nummer generatie mogelijk wordt op een huis tuin en keuken computer zonder bot net er achter.
Als de Amerikaanse overheid nu ingrijpt dan hebben ze nog een aantal jaren te gaan voor men op het punt komt waar deze nummers gewoon door een willekeurige telefoon correct geraden kunnen worden. Dat geeft ze tijd om niet alleen de nummers te veranderen maar ook om alle bedrijven etc, hun systemen aan de nieuwe nummers aan te passen.
Het toekennen van nieuwe nummers is precies niet de manier om dit op te lossen.
Het probleem ligt erin dat in allerlei systemen er vanuit wordt gegaan dat het nummer "geheim" is. Of in ieder geval, dat je niet zo makkelijk van een ander kunt weten of raden wat zijn nummer is. Dát moet opgelost worden.
Dus overal waar men dit nummer moet invoeren om zich te identificeren, moet een andere manier van identificatie worden toegepast. Het nummer zelf kan dan gewoon hetzelfde blijven. Want het idee dat het nummer tegelijk jouw unieke nummer is, én geheim moet zijn, dat is gewoon een stom uitgangspunt.
Vergelijk dit met je bankpasnummer (of rekeningnummer) en je pin: het rekeningnummer is uniek, daaraan weet men wie je bent. En dat jij het ook écht bent, dat wordt gecontroleerd met je pin. Je pin is niet uniek. Er zijn immers maar 10000 combinaties mogelijk en er zijn veel meer pinpassen in omloop. Toch is dit veilig, door de combinatie van een uniek nummer en een 'veilig' nummer.
(Bij je pin-pas spelen er natuurlijk nog meer zaken; het is immers gebaseerd op fysieke toegang en je kunt bijvoorbeeld maar 3x na elkaar proberen -- bottom line is, dat jouw id-nummer gewoon iets anders moet zijn dan de manier waarop je bewijst dat jij het inderdaad bent).
Het probleem ligt erin dat in allerlei systemen er vanuit wordt gegaan dat het nummer "geheim" is. Of in ieder geval, dat je niet zo makkelijk van een ander kunt weten of raden wat zijn nummer is. Dát moet opgelost worden.
Dus overal waar men dit nummer moet invoeren om zich te identificeren, moet een andere manier van identificatie worden toegepast. Het nummer zelf kan dan gewoon hetzelfde blijven. Want het idee dat het nummer tegelijk jouw unieke nummer is, én geheim moet zijn, dat is gewoon een stom uitgangspunt.
Vergelijk dit met je bankpasnummer (of rekeningnummer) en je pin: het rekeningnummer is uniek, daaraan weet men wie je bent. En dat jij het ook écht bent, dat wordt gecontroleerd met je pin. Je pin is niet uniek. Er zijn immers maar 10000 combinaties mogelijk en er zijn veel meer pinpassen in omloop. Toch is dit veilig, door de combinatie van een uniek nummer en een 'veilig' nummer.
(Bij je pin-pas spelen er natuurlijk nog meer zaken; het is immers gebaseerd op fysieke toegang en je kunt bijvoorbeeld maar 3x na elkaar proberen -- bottom line is, dat jouw id-nummer gewoon iets anders moet zijn dan de manier waarop je bewijst dat jij het inderdaad bent).
[Reactie gewijzigd door mddd op dinsdag 7 juli 2009 15:11]
Dat is niet helemaal correct.
Een BTW-nummer voor een zelfstandige kan inderdaad opgebouwd zijn uit je sofi/bsn nummer met de toevoeging .Bnn (volgnummer begint bij 01)
Dit is, voor zover ik weet, alleen het geval bij de rechtsvorm van een eenmanszaak.
Wanneer het bij de rechtsvorm echter om een BV gaat, heeft je BTW-nummer niet veel meer van doen met je sofi/bsn nummer en krijg je gewoon een apart nummer.
De BV is een aparte rechtspersoon met een eigen nummer.
Er zijn genoeg ZZP-ers die er geen eenmanszaak maar een BV of VOF op nahouden.
Een BTW-nummer voor een zelfstandige kan inderdaad opgebouwd zijn uit je sofi/bsn nummer met de toevoeging .Bnn (volgnummer begint bij 01)
Dit is, voor zover ik weet, alleen het geval bij de rechtsvorm van een eenmanszaak.
Wanneer het bij de rechtsvorm echter om een BV gaat, heeft je BTW-nummer niet veel meer van doen met je sofi/bsn nummer en krijg je gewoon een apart nummer.
De BV is een aparte rechtspersoon met een eigen nummer.
Er zijn genoeg ZZP-ers die er geen eenmanszaak maar een BV of VOF op nahouden.
Volgens mij is dan de term ZZP-er niet meer van toepassing. Het idee zal het zelfde zijn ja, maar de term ZZP-er staat bij de belastingdienst volgens mij gelijk aan eenmanszaak, en dus je sofinummer als BTW nr.
Ach, wat is er mis met de term Zelfstandigen Zonder Princiepes?
Haha daar werkt de belastingdienst al helemaal niet mee 
(maar ik vind hem wel mooi)
(maar ik vind hem wel mooi)
[Reactie gewijzigd door !null op dinsdag 7 juli 2009 17:06]
In nederland gebruiken we pinpassen met pincodes en heel af en toe creditcards, in Amerika zijn sofi numbers een onderdeel van het bankprocess.
Identiteitsfraude is wel en beide landen mogelijk op deze manier.
Ik vind het trouwens best knap dat zelfs na meer dan 20jr het nog zo moeilijk is om goede sofinummers te genereren.
Identiteitsfraude is wel en beide landen mogelijk op deze manier.
Ik vind het trouwens best knap dat zelfs na meer dan 20jr het nog zo moeilijk is om goede sofinummers te genereren.
't is niet moeilijk, ze proberen het niet eens. Als ze die dingen gewoon helemaal random zouden genereren was er niks aan de hand geweest. Dat zal in het verleden wel te ingewikkeld zijn geweest, waarna ze nummer-blokken gingen reserveren zodat die lokaal verdeeld konden worden zonder central coordinatie.
Neen, In Amerika gebruiken ze daar ook gewoon een debetkaart en kredietkaarten.
Het sofi nummer is daar zoals het rijkregisternummer in België en ze gebruiken die om zich te legimenteren. Het verschil met België is dat je daar geen beveiligde kaart hebt om de echtheid te bewijzen waar je in België een verlichte identiteitskaart hebt.
M.a.w zodra ze je nummer hebben hebben ze je identiteit ;-)
In Engeand is het trouwens nog wat erger. Daar wordt je identiteit gelegimenteerd aan de hand van facturen.
Het sofi nummer is daar zoals het rijkregisternummer in België en ze gebruiken die om zich te legimenteren. Het verschil met België is dat je daar geen beveiligde kaart hebt om de echtheid te bewijzen waar je in België een verlichte identiteitskaart hebt.
M.a.w zodra ze je nummer hebben hebben ze je identiteit ;-)
In Engeand is het trouwens nog wat erger. Daar wordt je identiteit gelegimenteerd aan de hand van facturen.
Daar moet je dan wel even bij vertellen dat de gemiddelde debetkaart in de VS te gebruiken is als Kredietkaart. Dat wil zeggen, er is een (CVC) nummer mee geasssocieerd wat ik in kan vullen waar bv. een website op een kredietkaart vraagt.
In de VS is een sofinummer voldoende als identiteitsbewijs en daarmee erg belangrijk voor bankieren. Bijvoorbeeld, ik heb laats vanuit de VS wat geld overgemaakt naar Nederland. Hiervoor had ik een bankrekening nummer, etc. nodig, en een identiteitsbewijs zoals een Social Security nummer. Hetzelfde geld voor het aanvragen van een krediet, het openen van een bankrekening, etc.
Trust me, als ze je SoFi hebben ben je behoorlijk de lul.
In de VS is een sofinummer voldoende als identiteitsbewijs en daarmee erg belangrijk voor bankieren. Bijvoorbeeld, ik heb laats vanuit de VS wat geld overgemaakt naar Nederland. Hiervoor had ik een bankrekening nummer, etc. nodig, en een identiteitsbewijs zoals een Social Security nummer. Hetzelfde geld voor het aanvragen van een krediet, het openen van een bankrekening, etc.
Trust me, als ze je SoFi hebben ben je behoorlijk de lul.
grafiekje: elke horizontale lijn is één staat, jaartal van links naar rechts oplopend (lijkt me duidelijk) en de kleurcode duidt op de mogelijkheid om een SSN correct te voorspellen. het lijkt me dan ook dat West-Virginia lijntje '1' is omdat daar 47 SSN/min correct worden gegenereerd met een hypothetisch bot-netje.
Wat ik me afvraag: waarom is de informatie van de opbouw van de nummers vrijgegeven?
Wat ik me afvraag: waarom is de informatie van de opbouw van de nummers vrijgegeven?
Ik denk dat dat eigenlijk 'public private knowledge' is. Vast niet iets wat de criminelen in die sector nog niet wisten. Het echte geheim is natuurlijk het algoritme, en dat is niet vrijgegeven.
ff van wikipedia gejat:
Tevens moeten alle burger service vol doen aan de 11 proef.
Nee. In Nederland wordt een volgnummer gebruikt, welke aan de zgn. "11-proef" moet voldoen. De BSN's zijn in Nederland dus niet te herleiden aan een persoon, of omgekeerd.
Close: Het was altijd een volgnummer, ten tijde van de (so)finummers (destijds uitgegeven door de Belastingdienst).
Tegenwoordig is de uitgifte van BSNs belegd bij de gemeente, en die krijgen een 'voorraadje' BSNs toegekend. De nummers zelf zijn compleet random verdeeld over de gemeenten, waardoor het nummer nóg minder informatie bevat dan voorheen: je kunt immers zelfs geen leeftijd meer afleiden aan de hand van 2 omliggende nummers en de bijhorende persoonsgegevens.
Tegenwoordig is de uitgifte van BSNs belegd bij de gemeente, en die krijgen een 'voorraadje' BSNs toegekend. De nummers zelf zijn compleet random verdeeld over de gemeenten, waardoor het nummer nóg minder informatie bevat dan voorheen: je kunt immers zelfs geen leeftijd meer afleiden aan de hand van 2 omliggende nummers en de bijhorende persoonsgegevens.
ik heb een tweelijk en het verschil tussen hun sofi-nummers is 11.
geen toeval lijkt me.
geen toeval lijkt me.
En hoe filteren ze dan de geldige sofinummers uit die enorme lading 'mogelijke' nummers? Als je per persoon ruim 1000 opties krijgt, ben je ook wel even bezig om na te gaan welke nu de goede is, lijkt me...
Als ik het goed egrijp hebben ze de berekeningen allemaal gedaan aan de hand van die Death Masters file. Neem een persoon van die lijst, bereken zijn SSN, en kijk dan of je hem goed hebt...
de DMF is een database waarin 2 cruciale gegevens beschikbaar zijn (naam en nummer) en die 100% correct is. Uiteraad kan je voor levende mensen verschillende controlebronnen gebruiken zodat je niet bij 1 bron verschillende SSN's laat controleren en zo een verdacht spoor achterlaat.
Het werkt net iets anders. Je krijgt per persoon (set geboorte datum, plaats ect.) een SSN. en een op de 1000 (voor grote staten, 20 voor kleine) is goed.
Maar met een beetje force zijn die 1000 combinaties zo the controleren.
Maar met een beetje force zijn die 1000 combinaties zo the controleren.
Dat vat ik niet helemaal, ik neem aan dat je maar 1 kans hebt toch om een juiste in te voeren bij een bank? Dit lijkt meer op bruteforcing.De laatste vier cijfers bleken moeilijker met succes te voorspellen: in slechts 0,1 procent lukte dat binnen tien pogingen, hoewel het percentage met gebruik van data van kleinere staten kon stijgen tot vijf procent.
Het lijkt ook op bruteforce, alleen dan met wat berekeningen vooraf zodat je minder pogingen nodig hebt. Waarschijnlijk is er dus een deel van dat nummer "random" gekozen.
Wat is het probleem met sofinummers in Amerika? Hier in Nederland is mijn sofinummer bij aardig wat instanties bekend. Tevens staat het gewoon op m'n paspoort. Waarom is men in Amerika altijd zo bezorgd over die nummers?
Dat heeft te maken met the American Way. (Paranoia wordt met de paplepel ingegeven)
je kunt toch met zo'n sofinummer bijv. een nieuwe creditcard aanvragen of andere papieren? dus met iemand zijn sofi kan je dus iemand zijn rekening plunderen
In de USA wel. In Nederland heb je daar echt nog een handtekening en kopie van iemands legitimatiebewijs voor nodig.
Het BSN staat ook gewoon op je rijbewijs, paspoort en op het kaartje van je zorgverzekeraar, en ik heb hem al zo vaak gebruik dat ik hem inmiddels uit mijn hoofd ken. Verder kan niemand er wat mee behalve informatie opvragen, of ze moeten mijn ID-kaart jatten en zodanig weten te vervalsen dat ie door de instanties geaccepteerd wordt.
Het BSN staat ook gewoon op je rijbewijs, paspoort en op het kaartje van je zorgverzekeraar, en ik heb hem al zo vaak gebruik dat ik hem inmiddels uit mijn hoofd ken. Verder kan niemand er wat mee behalve informatie opvragen, of ze moeten mijn ID-kaart jatten en zodanig weten te vervalsen dat ie door de instanties geaccepteerd wordt.
Zelfs dat is niet waterdicht hoewel het in de laaste 10 jaar misschien veranderd is.
10 jaar geleden bij mij ingebroken thuis, laptop weg , paspoort weg , post cheques weg. Jammer genoeg zat er op mijn laptop mijn belastingaangifte en toen niet met een password beveiligd, stom ik weet het maar dat was een tijdje geleden toen ik nog jong en onervaren was. Niet meer kan ik je wel vertellen.
Dit soort dingen baart mij wel zorgen. Omdat iemand anders mijn SOFI nummer had en paspoort (brits) konden ze hun gang gaan, dat gaat / ging vrij makkelijk hier in nederland. KvK had een 06 nummer van het bedrijf maar toen de polite de nummer natrok was het een prepay ding en de zaak bestond niet eens. Waarschijnlijk om even wat geld wit te wassen ofzo!
Brieven van de belastingdienst over hoeveel werknemers ik in dienst had (ze hadden mooi een bedrijfje opgezet onder mijn naam!)
Aangehouden op Schiphol toen ik op vakantie wilde voor woning inbraak in ene plaats waar ik nooit ben geweest en nog tientallen rare dingen en brieven die ik heb ontvangen van offshore banken.
Nou, ik kijk maar uit tegenwoordig, je bent zo de sjaak als iemand genoeg info over je hebt!
Sorry voor de lang verhaal maar je moet wel een beetje paranoia hebben tegenwoordig, net genoeg om ejzelf te beschermen.
10 jaar geleden bij mij ingebroken thuis, laptop weg , paspoort weg , post cheques weg. Jammer genoeg zat er op mijn laptop mijn belastingaangifte en toen niet met een password beveiligd, stom ik weet het maar dat was een tijdje geleden toen ik nog jong en onervaren was. Niet meer kan ik je wel vertellen.
Dit soort dingen baart mij wel zorgen. Omdat iemand anders mijn SOFI nummer had en paspoort (brits) konden ze hun gang gaan, dat gaat / ging vrij makkelijk hier in nederland. KvK had een 06 nummer van het bedrijf maar toen de polite de nummer natrok was het een prepay ding en de zaak bestond niet eens. Waarschijnlijk om even wat geld wit te wassen ofzo!
Brieven van de belastingdienst over hoeveel werknemers ik in dienst had (ze hadden mooi een bedrijfje opgezet onder mijn naam!)
Aangehouden op Schiphol toen ik op vakantie wilde voor woning inbraak in ene plaats waar ik nooit ben geweest en nog tientallen rare dingen en brieven die ik heb ontvangen van offshore banken.
Nou, ik kijk maar uit tegenwoordig, je bent zo de sjaak als iemand genoeg info over je hebt!
Sorry voor de lang verhaal maar je moet wel een beetje paranoia hebben tegenwoordig, net genoeg om ejzelf te beschermen.
In Amerika zijn identiteitsbewijzen geloof ik niet verplicht en wordt het nummer op zich al als een identificerend kenmerk beschouwd. Dat is in Nederland bij mijn weten helemaal niet zo (of iig niet exclusief).
In Amerika kan je met een SSN dus al veel meer schade toebrengen dan dat je in Nederland met een BSN zou kunnen.
In Amerika kan je met een SSN dus al veel meer schade toebrengen dan dat je in Nederland met een BSN zou kunnen.
Hier worden de sofinummers opeenvolgend uitgegeven.
In amerika 'random' (aan de hand van de geboortedatum en plaats dus) . Nu hebben ze dus een algoritme ontwikkeld dat een sofinummer van iemand kan achterhalen aan de hand van een geboortedatum en geboorteplaats, en dit met een redelijke groot slagingspercentage doet. m.a.w., criminelen kunnen sofinummers achterhalen door een geboortedatum en geboorteplaats van een social network te kopieëren, en in te vullen, waarna ze er fraude mee kunnen plegen.
edit : Zie de post van 'Blackbird-ce' hierboven. Tegenwoordig zijn de sofinummers in NL blijkbaar zelfs compleet random.
In amerika 'random' (aan de hand van de geboortedatum en plaats dus) . Nu hebben ze dus een algoritme ontwikkeld dat een sofinummer van iemand kan achterhalen aan de hand van een geboortedatum en geboorteplaats, en dit met een redelijke groot slagingspercentage doet. m.a.w., criminelen kunnen sofinummers achterhalen door een geboortedatum en geboorteplaats van een social network te kopieëren, en in te vullen, waarna ze er fraude mee kunnen plegen.
edit : Zie de post van 'Blackbird-ce' hierboven. Tegenwoordig zijn de sofinummers in NL blijkbaar zelfs compleet random.
[Reactie gewijzigd door Ch3cker op dinsdag 7 juli 2009 13:06]
Denk dat dit in belgie ook niet meteen een probleem is, het Rijksregister nummer (vermoed dat het ongeveer over hetzelfde gaat) is ook geen publiek geheim
dit is de geboortedatum omgekeerd dan 3 cijfers in de volgorde dat de persoon ingeschreven is (even voor vrouwen, oneven mannen) en dan nog 2 controle cijfers (dacht een modulo 97)
Maar wat er gebeurt bij meer dan 500 mannen of vrouwen die op 1 dag geboren worden geen idee eigenlijk
maar dacht dat gemidelde maar op 100/dag ligt
dit is de geboortedatum omgekeerd dan 3 cijfers in de volgorde dat de persoon ingeschreven is (even voor vrouwen, oneven mannen) en dan nog 2 controle cijfers (dacht een modulo 97)
Maar wat er gebeurt bij meer dan 500 mannen of vrouwen die op 1 dag geboren worden geen idee eigenlijk
maar dacht dat gemidelde maar op 100/dag ligtNederlandse geldige sofinummers zijn ook makkelijk te berekenen, en wat ik gezien heb bij een buitenlands familie die hier kwam wonen en sofinummers aanvroeg was dat ze hier gewoon opeenvolgende geldige nummers uitgeven. Niks check op geboortedatum erin.
kijk dat is mooi, er IS dus GEEN relatie met het sofinummer, het zijn twee aparte waarden, waardoor de één een aanvulling is op de ander om zo nog betrouwbaarder te zijn. In de US wordt het burgernummer bepaald uit een geboortedatum; maw onzinnig als extra check.
Echt opeenvolgend lijkt me sterk, dan zal het nooit voldoen aan de elfproef.
[edit]
Had niet gezien dat je "geldige" erbij had gezet, excuses!
[edit]
Had niet gezien dat je "geldige" erbij had gezet, excuses!
[Reactie gewijzigd door Ram0n op dinsdag 7 juli 2009 12:57]
Het probleem is niet het genereren van een geldig nummer, maar het kunnen berekenen van een geldig nummer, gegeven een geboorteplaats/staat/county en geboortedatum.
Dus op basis van de gegevens van een persoon zijn SSN kunnen berekenen. Met een los SSN/BSN kun je niet zoveel. Met een nummer gekoppeld aan andere persoonsgegevens kun je iemands identiteit overnemen.
Dus op basis van de gegevens van een persoon zijn SSN kunnen berekenen. Met een los SSN/BSN kun je niet zoveel. Met een nummer gekoppeld aan andere persoonsgegevens kun je iemands identiteit overnemen.
Zoals ik boven al stelde, uitsluitend in de USA. In Nederland hoef je daar bijna niet bang voor te zijn, want je BSN is gekoppeld aan jouw gegevens in de Gemeentelijke Basisadministratie, en die zijn iets moeilijker 'opeens' aan andere persoonsgegevens te koppelen.
De vraag is alleen wat je daar aan hebt. Banken, verzekeraars en andere bedrijven hebben geen toegang tot de GBA en kunnen dat dus niet verifieren. Bovendien zijn er Nederlanders die niet ingeschreven staan omdat ze geen vast adres hebben, in het buitenland wonen of zichzelf uitschrijven. Die mensen kunnen nog steeds een bankrekening openen, paspoort aanvragen (in Den Haag of bij een ambassade in het land waar ze wonen) of hun rijbewijs verlengen (direct bij de RDW).
geweldige titel weer. ze hebben niks achterhaald. ze hebben iets gevonden dat er op lijkt, maar hde foutmarge is nog steeds minimaal 10% bij de beste gevallen.Onderzoekers achterhalen algoritme Amerikaanse sofi-nummers
je zou eens bij mijn vroegere professor moeten aankomen met 10% fout marge. pfff
Ik vind het toch wel degelijk interessant als criminelen 90% slagingskans hebben om een sofinummer te kunnen achterhalen.. Die 10% dat het dan mislukt.. ach.. Dat maak je met die andere 90% ruimschoots weer goed.
En eerdaags naast je BSN-nummer ook nog je vingerafdruk verplicht in je paspoort. Niet omdat het moet van Europa maar omdat Nederland weer graag voorop wil lopen. 
Tsja, maar dan heb je dus wel SSN's voor West-Virginia. Terwijl je toch fraude wil plegen met SSN's die tenminste nog enige koopkracht vertegenwoordigenIn hun rapport stellen de auteurs echter dat een botnet van slechts tienduizend computers met succes 47 geldige SSN's per minuut voor West Virginia zouden kunnen genereren.
@NHJ BV
Maar dat is dan een kwestie van geluk. Het wordt gewoon een stuk eenvoudiger om te gaan frauderen. Ze kunnen veel meer proberen en zullen ook regelmatig geluk hebben dat ze ermee kunnen frauderen.
Uitgaande van een SSN van 7 cijfers (zeg ik goed toch, of lees ik het verkeerd?), waarvan je de 1e 3 al weet en de laatste vier bij benadering kan bepalen, blijven er gewoon maar beperkte mogelijkheden over. Zoek een staat/ gebied op waar je kans het grootst is dat er "veel te halen is" en voilla, dan kan het heel snel gaan.
Maar iemand zijn identiteit overnemen en kunnen nemen levert vooral veel risico op, het werkt criminaliteit in de hand. Ik snap ook niet dat ze dit zomaar vrijgeven (maar iemand die er onderzoek naar doet zal al snel kunnen achterhalen dat de 1e 3 cijfers voor een bepaalde regio staan.
Ik vind het van Amerika (het land wat zichzelf graag laat zien als goed en groots) nogal dom dat ze zoveel af laten hangen van een getal, welke zijzelf met een bepaald algoritme kunnen genereren (en algoritmes zijn nu eenmaal meestal te achterhalen). Neem dan bijvoorbeeld een vingerafdruk/ oogscan of wat dan ook, of een zelfbedachte code voor je rekening en dergelijke. Die zijn dan al bijna niet te achterhalen.
Maar dat is dan een kwestie van geluk. Het wordt gewoon een stuk eenvoudiger om te gaan frauderen. Ze kunnen veel meer proberen en zullen ook regelmatig geluk hebben dat ze ermee kunnen frauderen.
Uitgaande van een SSN van 7 cijfers (zeg ik goed toch, of lees ik het verkeerd?), waarvan je de 1e 3 al weet en de laatste vier bij benadering kan bepalen, blijven er gewoon maar beperkte mogelijkheden over. Zoek een staat/ gebied op waar je kans het grootst is dat er "veel te halen is" en voilla, dan kan het heel snel gaan.
Maar iemand zijn identiteit overnemen en kunnen nemen levert vooral veel risico op, het werkt criminaliteit in de hand. Ik snap ook niet dat ze dit zomaar vrijgeven (maar iemand die er onderzoek naar doet zal al snel kunnen achterhalen dat de 1e 3 cijfers voor een bepaalde regio staan.
Ik vind het van Amerika (het land wat zichzelf graag laat zien als goed en groots) nogal dom dat ze zoveel af laten hangen van een getal, welke zijzelf met een bepaald algoritme kunnen genereren (en algoritmes zijn nu eenmaal meestal te achterhalen). Neem dan bijvoorbeeld een vingerafdruk/ oogscan of wat dan ook, of een zelfbedachte code voor je rekening en dergelijke. Die zijn dan al bijna niet te achterhalen.
Eigenlijk moeten ze er een algoritme overheen gegooid worden. Maar aangezien dat nu niet meer zal kunnen, aangezien het 1e algoritme gekraakt is en dus alleen nog de 2e gevonden hoeft te worden, zal er dus een totaal nieuw algoritme gemaakt moeten worden. Een misschien iets meer dan 4 random cijfers. Ik heb namelijk lieverer 100 cijfers op mijn paspoort/identiteitskaart dan 10 die snel gekraakt zijn.
Ik geloof niet dat je kunt zeggen dat het algoritme gekraakt is - dan zou je toch 100% voorspelling krijgen?
Ze hebben algoritmes gecombineerd met database searches gebruikt om een redelijke kans van geldige SNS nummers te creëren, dat is toch wat anders.
Ze hebben algoritmes gecombineerd met database searches gebruikt om een redelijke kans van geldige SNS nummers te creëren, dat is toch wat anders.
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
