Onderzoekers achterhalen algoritme Amerikaanse sofinummers

Onderzoekers van de Carnegie Mellon-universiteit hebben een algoritme ontwikkeld om Amerikaanse Social Security Numbers te genereren. Samen met gegevens van sociale-netwerksites zou dat identiteitsdiefstal en fraude mogelijk maken.

Het Amerikaanse Social Security Number, de evenknie van het Nederlandse sofi- of burgerservicenummer, is van groot belang voor onder meer de autorisatie van financiële transacties. Het in verkeerde handen vallen van een SSN, of het vervalsen ervan, zou identiteitsdiefstal en fraude in de hand werken, en de Amerikaanse overheid heeft zich grote moeite getroost het vervalsen van SSN's tegen te gaan. Een van die maatregelen is de publicatie van een zogenoemde Death Master File, waarin de SSN's van overledenen zijn opgenomen, zodat deze niet door fraudeurs gebruikt kunnen worden.

Ook heeft de ambtenarij informatie gepubliceerd over de manier waarop de nummers zijn opgebouwd: de eerste drie cijfers duiden de staat van uitgifte aan en worden gevolgd door een tweecijferig groepsnummer. De laatste vier cijfers lijken willekeurig, maar worden sinds de jaren tachtig van de vorige eeuw berekend aan de hand van de geboortedatum. Van die eigenschap maken de twee onderzoekers gebruik door de nummers uit de Death Master File op te splitsen naar staat en op datum te rangschikken.

Vervolgens zochten ze naar algoritmes om de SSN's te berekenen. Het bleek dat met name dunbevolkte staten SSN's hadden uitgegeven die gemakkelijk te voorspellen zijn. Met hun algoritmes waren de twee in staat de eerste vijf cijfers van SSN's van voor 1988 uit de Death Master File in zeven procent van de gevallen te voorspellen. Met SSN's van na 1988 steeg de precisie tot 44 procent, maar voor de dunbevolkte staten bleek een rendement van boven de 90 procent haalbaar.

De laatste vier cijfers bleken moeilijker met succes te voorspellen: in slechts 0,1 procent lukte dat binnen tien pogingen, hoewel het percentage met gebruik van data van kleinere staten kon stijgen tot vijf procent. In hun rapport stellen de auteurs echter dat een botnet van slechts tienduizend computers met succes 47 geldige SSN's per minuut voor West Virginia zouden kunnen genereren. Daarbij is rekening gehouden met een toegestane foutmarge van twee cijfers in de SSN's, die is toegestaan als de geboortedatum en de geboorteplaats correct worden opgegeven. Dergelijke gegevens kunnen eenvoudig op sociale-netwerksites verzameld worden, zo menen de twee onderzoekers.

Succesvolle voorspellingen van sofinummers

IT-banen

Reacties (63)

CAPSLOCK2000

Privacy
Cybercrime
Criminaliteit

7 juli 2009 13:47

De VS laten al 30 jaar lang zien waarom het een slecht idee is om alle informatie over een burger aan 1 nummer te koppelen. Zeker als dat nummer dan ook nog eens door alles en iedereen gebruikt wordt. In de VS worden die SSN's op zo ontzettend veel plekken gebruikt dat het echt niet geheim is.

Wat doen wij in Nederland? We gaan hetzelfde systeem invoeren. Heel lang hebben we SOFI nummers gehad, die je alleen kon gebruiken voor werk-gerelateerde activiteiten, en buiten de belastingdienst hoefde eigenlijk niemand dat nummer ooit te weten.

Nu hebben ze het SOFI-nummer omgedoopt tot BSN (Burger Spionage Nummer

en beginnen ze het overal in databases op te slaan. Je mag die databases wel niet koppelen, maar als iedereen met z'n BSN geidentificeerd kan worden dan wordt het wel heel makkelijk.

Dat is misschien een beetje paranoide, maar de geschiedenis leert dat opeenvolgende generaties politici steeds weer proberen meer controle te krijgen over de bevolking, en daarbij dankbaar gebruik maken van technische vernieuwingen.

Een typisch voorbeeld zijn de camera's die tegenwoordig overal hangen. Een paar jaar geleden werdt bij de introductie gezegd dat het alleen voor zware misdaden was en dat de tapes nooit bewaard zouden worden. Een aantal jaren verder zijn al die beperkende voorwaarden aardig afgesleten en worden er al parkeerboetes uitgedeeld via de camera.

Verwijderd @CAPSLOCK2000 • 7 juli 2009 14:29

Wat is dan wel de oplossing, daar hoor je weinig mensen over

Één nummer in gebruik voor iedere burger is helemaal zo slecht nog niet, al word er altijd van het slechtste uitgegaan maar het heeft vele voordelen. In één opslag weet je direct alles over een persoon.

Voordeel is makkelijker oplossen van fraude zaken, wanneer nodig weet je up to date iemands gezondheidstoestand of wat voor medicijnen hij/zij slikt etc etc. Aan ieder voordeel kleeft een nadeel en visa versa.

Wat de overheid echter na laat in het streven van een dergelijk systeem is oog houden op ontwikkelingen en veranderingen in een samenleving. Men denkt er met één systeem te zijn maar hebben geen oog meer voor snelle veranderingen. Natuurlijk ligt een grote eigen verantwoordelijkheid bij de burger maar de centrale en lokale overheid blijven de aanstuurders.

Net zoals met het vrijgeven van de taxi's. Al vanaf 2000 was het duidelijk, zelfs voor invoering, dat je een vrijhaven biedt aan personen die er misbruik van zullen maken. Men wilde af van de zogenaamde "snorders" met als gevolg dat de snorders nu ineens legaal aan het werk konden. En het heeft negen jaar moeten duren met een dode tot gevolg voor het muntje valt in Den Haag, buiten alle andere meldingen van afpersing, aanranding en geweldpleging in de afgelopen jaren.

Daar zit nu het heikele punt. De overheid beschermt de gemiddelde burger niet meer en wij "moeten" er maar mee leven totdat het tegendeel is bewezen. Daarbij verloederd een hele branche en zet veel welwillende in een kwaad dag licht. TZA was ook niet alles in Amsterdam maar de klant kno wel aan op normale ritjes en hoefde niet over de prijs te "pingelen". En zo ook met camera toezicht. De overheid denkt, een éénmalige investering die alles oplost. Camera toezicht is goed maar lost geen problemen op, aangezien de daad al heeft plaatsgevonden op het moment dat men het ziet, als me het al signaleerd.

Zo ook met sofinummers, als je een dergelijk systeem veranderd en uitbreid dien je alvorens eerst te kijken of je eigen veiligheid wel op orde is alvorens je het grote publiek er aan bloot stelt. Kortom, grootste fout van de overheid is niet luisteren naar specialisten en burgers met als gevolg dat beleid, keer op keer faalt. Weten "wij" het allemaal zo goed ? Nee, maar als er al niet naar ons geluisterd word heeft politiek stemmen gewoonweg geen zin meer en kun je beter voor jezelf schipperen door de woelige baren van regelgeving en wetjes. Niet wenselijk maar vaak wel het beste in de praktijk

Verwijderd @Verwijderd • 7 juli 2009 21:07

het heeft vele voordelen. In één opslag weet je direct alles over een persoon.

Voor de overheid heeft dat veel voordelen ja, maar of de burger daar zo blij mee moet zijn? Zo maak je het wel erg makkelijk voor een overheid die graag elk aspect van het leven van burgers wil controleren.

Wat betreft de taxi centrale Amsterdam, dat is gewoon een criminele organisatie die handelde in peperdure vergunningen en graag z'n lucratieve machtspositie over de chaufeurs terug wil. Alsof daar geen tuig tussen de chaufeurs zit, ze hadden nota bene een eigen knokploeg die tegen concurrenten optrad.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 08:06]

Freakertje @Verwijderd • 8 juli 2009 10:38

En het heeft negen jaar moeten duren met een dode tot gevolg voor het muntje valt in Den Haag, buiten alle andere meldingen van afpersing, aanranding en geweldpleging in de afgelopen jaren.

Leuke redenatie, ik ben het er alleen volledig niet mee eens. De gepleegde feiten die je noemt zijn gepleegd door de dader, niet door wet- en regelgeving. Ze zullen misschien een klein onderdeel in het geheel zijn, maar het is nog altijd de dader die besloten heeft om zo hard te slaan. Was hij geen taxichauffeur geweest, dan zal die allicht door zijn karakter op een andere (werk)plek wel hebben geslagen, omdat zijn lontje te kort was.

Het feit dat de daad gebeurd is kun je er dus niet op afschuiven, het feit dat de daad op die plek is gebeurd, is een ander verhaal.

mddd @CAPSLOCK2000 • 7 juli 2009 14:29

Op het punt van toenemend gebruik/misbruik van beeldmateriaal ben ik het met je eens.

Maar wat betreft het Sofinummer/BSN: volgens mij maakt dat geen bal uit. Alsof de diverse databases niet gekoppeld zouden kunnen worden op basis van je adresgegevens en/of geboortedatum: ook dat zijn gegevens waarover al die instellingen zo'n beetje wel beschikken.

Zolang het een identificatienummer is, is er naar mijn idee weinig aan de hand. Of iemand nu weet dat jij Pietje Puk uit Amsterdam bent of dat je Sofinummer 12.34.56.789 is dat maakt volgens mij weinig uit, komt op hetzelfde neer: iemand weet dan wie jij bent.

Het probleem in de VS is, dat het min of meer als een 'geheim nummer' wordt gebruikt, met andere woorden een nummer dat een ander niet zomaar van jou hoort te weten. En dat is natuurlijk heel stom, zoals dit artikel aangeeft.

LordMike @mddd • 7 juli 2009 16:25

Toch is dit niet geheel hetzelfde.

Als iemand weet dat jij Pietje Puk bent, maar geen verdere gegevens heeft, dan is hij daar waarschijnlijk niks mee, ervanuitgaande dat er meerdere mensen heten zoals jij in Nederland/België.

Wanneer iemand een 'specifiek' nr heeft zoals bij ons SIS nummer of Rijksregister nummer, paspoort nummer en dergelijke dan kan hij aan meer informatie geraken indien hij de juiste mensen op de juiste plaats weet zitten.

Maargoed, de halve bevolking zit tegenwoordig op zoveel Sociale-Netwerking site's dat voor vele hun 'privacy' tot onder de nul word herleid.

Gegevens hebben niet altijd waarde, totdat je er iets meer mee kunt doen, met iemand zijn ID kaart kun je het een en ander uitspoken, op internet ben je dan weer enorm veel met een VISA of MASTERCARD.

Calavoow 7 juli 2009 12:34

Lekker duidelijke grafiek erbij *sarcasme*.
Er wordt toch in nederland niet op eenzelfde manier sofi-nummers gegenereed? Zijn wij in nederland hier ook vatbaar voor?

ElectroDonker @Calavoow • 7 juli 2009 12:41

grafiekje: elke horizontale lijn is één staat, jaartal van links naar rechts oplopend (lijkt me duidelijk) en de kleurcode duidt op de mogelijkheid om een SSN correct te voorspellen. het lijkt me dan ook dat West-Virginia lijntje '1' is omdat daar 47 SSN/min correct worden gegenereerd met een hypothetisch bot-netje.

Wat ik me afvraag: waarom is de informatie van de opbouw van de nummers vrijgegeven?

twiFight @ElectroDonker • 7 juli 2009 13:46

Ik denk dat dat eigenlijk 'public private knowledge' is. Vast niet iets wat de criminelen in die sector nog niet wisten. Het echte geheim is natuurlijk het algoritme, en dat is niet vrijgegeven.

Gert @Calavoow • 7 juli 2009 12:39

Het BTW nummer van ZZP'ers is ook het sofi nummer en dat moet je in alle communicatie met klanten vermelden. Als het hebben van het nummer zo belangrijk is was dat ook niet geval dus het valt wel mee in NL.

!null @Gert • 7 juli 2009 12:54

Dat idee kreeg ik ook, erg raar dat je BTW nummer gewoon je sofi-nummer is, meteen open en bloot op straat. Moest ik even aan wennen.

Bij dit soort onderzoeken heb ik overigens altijd wel een dubbel gevoel. Leuk dat je het onderzocht hebt en de resultaten mogen er zijn, maar je brengt ook kennis in het openbaar die misbruikt kan worden.

Zyppora @!null • 7 juli 2009 13:09

Het publiceren van de resultaten en daarmee de overheid voor het blok zetten is nog altijd beter dan security-through-obscurity waarbij je niet weet of een of andere criminele organisatie niet toch al het systeem gekraakt heeft en daar misschien al jaren gretig gebruik van maakt. Zoals te lezen valt is het vooral voor dunbevolkte staten makkelijk om een bestaand SSN te achterhalen of een nieuw SSN te genereren. Lijkt me een zeer onwenselijke situatie, en dus moet er actie ondernomen worden.

!null @Zyppora • 7 juli 2009 13:56

Juist, maar hier is het extra pijnlijk, want niemand gaat maar zomaar even z'n SSN veranderen, als dat uberhaupt kan. Dus je hebt een bestaand systeem wat voor de mensen van nu onveranderbaar is (nieuwe mensen zouden met andere soort opgebouwde nummers kunnen beginnen) welke idd werkt met security-through-obscurity, en je hebt de obscurity weggehaald. Moet je me toch even vertellen wat er voor de bestaande SSN's aan actie moet worden ondernomen om het probleem op te lossen?

[Reactie gewijzigd door !null op 24 juli 2024 08:06]

Bitage @!null • 7 juli 2009 14:34

Als iemand zijn paspoort moet verlengen kan dat bijvoorbeeld toch gelijk gedaan worden? Misschien is het van de zotte om dat in ene voor een paar honderd miljoen mensen te gaan doen, maar het aanpassen van zulke nummers met het nieuwe algoritme kan makkelijk gelegenheidshalve gedaan worden.

Rob Coops

Beveiliging

@Bitage • 7 juli 2009 15:00

Natuurlijk niet, als ik bijvoorbeeld een lening afsluit van laten we zeggen 30 jaar (Hypotheek) met mijn huidige nummer en dan twee jaar later een nieuw nummer krijg dan moet er toch nog altijd een link zijn tussen mijn oude nummer en het nieuwe nummer anders kan mijn bank nooit meer achterhalen wie ik ben en waar ik woon. Het is niet anders dan een personal identification number.
Als je die link maakt beperk je dus het aantal nummers dat je uit kunt geven enorm omdat je nu eenmaal bestaande nummers niet op nieuw kunt uitgeven. Kun je natuurlijk zeggen maar dan maak je de nieuwe nummers toch langer en gooi je er letters in om het extra moeilijk te maken. Maar dan kom je met een heel ander probleem te zitten en dat is dat je nog vele jaren bezig bent voor je het kunt introduceeren om alle bank en overheids systemen etc aan te passen aan de nieuwe nummers.

Met andere worden als en dat gaat zeker gebeuren het algoritme eenmaal echt achterhaald wordt en men de nummers nog veel vaker correct kan voorspellen dan heeft Amerika een enorm probleem. Even wisselen is nu eenmaal geen optie dus de enige overgebleven mogenlijkheid is om dan maar ver voor dat mensen men een redelijk hoge succes ratio (nog onder de 50%) de nummers kunnen voorspellen aan de bel te trekken. De overheid ziet dan dat mensen steeds dichterbij komen en zal dan wel een aanpassing moeten maken om te voorkomen dat het zo ver komt dat deze nummer generatie mogelijk wordt op een huis tuin en keuken computer zonder bot net er achter.
Als de Amerikaanse overheid nu ingrijpt dan hebben ze nog een aantal jaren te gaan voor men op het punt komt waar deze nummers gewoon door een willekeurige telefoon correct geraden kunnen worden. Dat geeft ze tijd om niet alleen de nummers te veranderen maar ook om alle bedrijven etc, hun systemen aan de nieuwe nummers aan te passen.

mddd @Rob Coops • 7 juli 2009 15:06

Het toekennen van nieuwe nummers is precies niet de manier om dit op te lossen.
Het probleem ligt erin dat in allerlei systemen er vanuit wordt gegaan dat het nummer "geheim" is. Of in ieder geval, dat je niet zo makkelijk van een ander kunt weten of raden wat zijn nummer is. Dát moet opgelost worden.

Dus overal waar men dit nummer moet invoeren om zich te identificeren, moet een andere manier van identificatie worden toegepast. Het nummer zelf kan dan gewoon hetzelfde blijven. Want het idee dat het nummer tegelijk jouw unieke nummer is, én geheim moet zijn, dat is gewoon een stom uitgangspunt.

Vergelijk dit met je bankpasnummer (of rekeningnummer) en je pin: het rekeningnummer is uniek, daaraan weet men wie je bent. En dat jij het ook écht bent, dat wordt gecontroleerd met je pin. Je pin is niet uniek. Er zijn immers maar 10000 combinaties mogelijk en er zijn veel meer pinpassen in omloop. Toch is dit veilig, door de combinatie van een uniek nummer en een 'veilig' nummer.

(Bij je pin-pas spelen er natuurlijk nog meer zaken; het is immers gebaseerd op fysieke toegang en je kunt bijvoorbeeld maar 3x na elkaar proberen -- bottom line is, dat jouw id-nummer gewoon iets anders moet zijn dan de manier waarop je bewijst dat jij het inderdaad bent).

[Reactie gewijzigd door mddd op 24 juli 2024 08:06]

Teigetje! @Gert • 7 juli 2009 12:45

Dat wordt het anders wel, steeds meer dienstverlening van de staat gaat via internet en BSN/SOFI nummer verlopen. Er hoeft maar 1 balie te zijn die mijn identiteit niet goed controleert en je kunt iemand laten emigreren of zijn grond overschrijven etc.....

Je vertrouwen is begrijpelijk maar niet helemaal terecht.

mddd @Teigetje! • 7 juli 2009 14:52

Dat valt volgens mij wel mee. Er gaat een hoop mis bij de overheid, maar het beveiligen van toegang tot overheidsdiensten (zoals belastingaangifte, gemeentelijke zaken regelen etc) is nu net een van dingen die wel vrij goed geregeld is. Het BSN komt daar juist helemaal niet bij kijken. Digid werkt met een user/password combinatie.

In de VS kun je bij wijze van spreken inloggen op je internetbankieren als je je naam, geboortedatum en Sofinummer weet -- dát is gevaarlijk. Bij ons is het Sofinummer weliswaar een administratieve manier om gegevens te koppelen, maar niet een methode om in te loggen.

brompot758 @mddd • 7 juli 2009 15:18

Om een digid aan te vragen heb je nu juist wel je BSN nodig. Als je in een flat of op kamers woont is het bovendien vaak makkelijk om post van je buurman/vrouw te onderscheppen. Dus die activerings brief is ook maar beperkt werkzaam.

De identiteitsdiefstal is dus ook in Nederland wel mogelijk.

In Belgie hebben ze smartcards. Daar zit een private key in die er niet uit kan. Dat is dus wel veilig, althans op dit moment.

mddd @brompot758 • 7 juli 2009 15:22

Ja, anders weten ze immers niet aan wie ze de Digid moeten koppelen. Dat je het nummer bij de Digid aanvraag moet invullen is niet voor de beveiliging maar is deel van de aanvraag.

Adm.Spock @brompot758 • 8 juli 2009 11:01

Daarom kun je bij alle overheden banken etc ook een postadres opgeven. Bijvoorbeeld het adres van je ouders, of een postbus.
Precies om te voorkomen dat post onderschept wordt.

]Byte[ @Gert • 7 juli 2009 13:36

Dat is niet helemaal correct.
Een BTW-nummer voor een zelfstandige kan inderdaad opgebouwd zijn uit je sofi/bsn nummer met de toevoeging .Bnn (volgnummer begint bij 01)
Dit is, voor zover ik weet, alleen het geval bij de rechtsvorm van een eenmanszaak.
Wanneer het bij de rechtsvorm echter om een BV gaat, heeft je BTW-nummer niet veel meer van doen met je sofi/bsn nummer en krijg je gewoon een apart nummer.

De BV is een aparte rechtspersoon met een eigen nummer.

Er zijn genoeg ZZP-ers die er geen eenmanszaak maar een BV of VOF op nahouden.

!null @]Byte[ • 7 juli 2009 13:54

Volgens mij is dan de term ZZP-er niet meer van toepassing. Het idee zal het zelfde zijn ja, maar de term ZZP-er staat bij de belastingdienst volgens mij gelijk aan eenmanszaak, en dus je sofinummer als BTW nr.

Wim-Bart @!null • 7 juli 2009 16:03

Ach, wat is er mis met de term Zelfstandigen Zonder Princiepes?

!null @Wim-Bart • 7 juli 2009 17:06

Haha daar werkt de belastingdienst al helemaal niet mee

(maar ik vind hem wel mooi)

[Reactie gewijzigd door !null op 24 juli 2024 08:06]

roy-t @Calavoow • 7 juli 2009 12:41

In nederland gebruiken we pinpassen met pincodes en heel af en toe creditcards, in Amerika zijn sofi numbers een onderdeel van het bankprocess.

Identiteitsfraude is wel en beide landen mogelijk op deze manier.

Ik vind het trouwens best knap dat zelfs na meer dan 20jr het nog zo moeilijk is om goede sofinummers te genereren.

IStealYourGun @roy-t • 7 juli 2009 13:39

Neen, In Amerika gebruiken ze daar ook gewoon een debetkaart en kredietkaarten.

Het sofi nummer is daar zoals het rijkregisternummer in België en ze gebruiken die om zich te legimenteren. Het verschil met België is dat je daar geen beveiligde kaart hebt om de echtheid te bewijzen waar je in België een verlichte identiteitskaart hebt.

M.a.w zodra ze je nummer hebben hebben ze je identiteit ;-)
In Engeand is het trouwens nog wat erger. Daar wordt je identiteit gelegimenteerd aan de hand van facturen.

Verwijderd @IStealYourGun • 7 juli 2009 14:32

Daar moet je dan wel even bij vertellen dat de gemiddelde debetkaart in de VS te gebruiken is als Kredietkaart. Dat wil zeggen, er is een (CVC) nummer mee geasssocieerd wat ik in kan vullen waar bv. een website op een kredietkaart vraagt.

In de VS is een sofinummer voldoende als identiteitsbewijs en daarmee erg belangrijk voor bankieren. Bijvoorbeeld, ik heb laats vanuit de VS wat geld overgemaakt naar Nederland. Hiervoor had ik een bankrekening nummer, etc. nodig, en een identiteitsbewijs zoals een Social Security nummer. Hetzelfde geld voor het aanvragen van een krediet, het openen van een bankrekening, etc.

Trust me, als ze je SoFi hebben ben je behoorlijk de lul.

CAPSLOCK2000

Privacy
Cybercrime
Criminaliteit

@roy-t • 7 juli 2009 13:35

't is niet moeilijk, ze proberen het niet eens. Als ze die dingen gewoon helemaal random zouden genereren was er niks aan de hand geweest. Dat zal in het verleden wel te ingewikkeld zijn geweest, waarna ze nummer-blokken gingen reserveren zodat die lokaal verdeeld konden worden zonder central coordinatie.

JaFFoG @Calavoow • 7 juli 2009 12:44

Nee. In Nederland wordt een volgnummer gebruikt, welke aan de zgn. "11-proef" moet voldoen. De BSN's zijn in Nederland dus niet te herleiden aan een persoon, of omgekeerd.

Blackbird-ce @JaFFoG • 7 juli 2009 12:55

Close: Het was altijd een volgnummer, ten tijde van de (so)finummers (destijds uitgegeven door de Belastingdienst).

Tegenwoordig is de uitgifte van BSNs belegd bij de gemeente, en die krijgen een 'voorraadje' BSNs toegekend. De nummers zelf zijn compleet random verdeeld over de gemeenten, waardoor het nummer nóg minder informatie bevat dan voorheen: je kunt immers zelfs geen leeftijd meer afleiden aan de hand van 2 omliggende nummers en de bijhorende persoonsgegevens.

TUX2K @Calavoow • 7 juli 2009 12:42

ff van wikipedia gejat:

Er zit geen enkele betekenis in het nummer; er is bijvoorbeeld geen geboorteplaats of geboortedatum uit af te leiden.

Tevens moeten alle burger service vol doen aan de 11 proef.

Verwijderd @Calavoow • 7 juli 2009 15:39

ik heb een tweelijk en het verschil tussen hun sofi-nummers is 11.
geen toeval lijkt me.

Bigs 7 juli 2009 12:43

Wat is het probleem met sofinummers in Amerika? Hier in Nederland is mijn sofinummer bij aardig wat instanties bekend. Tevens staat het gewoon op m'n paspoort. Waarom is men in Amerika altijd zo bezorgd over die nummers?

Remus @Bigs • 7 juli 2009 12:57

In Amerika zijn identiteitsbewijzen geloof ik niet verplicht en wordt het nummer op zich al als een identificerend kenmerk beschouwd. Dat is in Nederland bij mijn weten helemaal niet zo (of iig niet exclusief).
In Amerika kan je met een SSN dus al veel meer schade toebrengen dan dat je in Nederland met een BSN zou kunnen.

Ch3cker Teamlead Testlab @Bigs • 7 juli 2009 13:02

Hier worden de sofinummers opeenvolgend uitgegeven.
In amerika 'random' (aan de hand van de geboortedatum en plaats dus) . Nu hebben ze dus een algoritme ontwikkeld dat een sofinummer van iemand kan achterhalen aan de hand van een geboortedatum en geboorteplaats, en dit met een redelijke groot slagingspercentage doet. m.a.w., criminelen kunnen sofinummers achterhalen door een geboortedatum en geboorteplaats van een social network te kopieëren, en in te vullen, waarna ze er fraude mee kunnen plegen.

edit : Zie de post van 'Blackbird-ce' hierboven. Tegenwoordig zijn de sofinummers in NL blijkbaar zelfs compleet random.

[Reactie gewijzigd door Ch3cker op 24 juli 2024 08:06]

Lauwes @Bigs • 7 juli 2009 13:32

Denk dat dit in belgie ook niet meteen een probleem is, het Rijksregister nummer (vermoed dat het ongeveer over hetzelfde gaat) is ook geen publiek geheim

dit is de geboortedatum omgekeerd dan 3 cijfers in de volgorde dat de persoon ingeschreven is (even voor vrouwen, oneven mannen) en dan nog 2 controle cijfers (dacht een modulo 97)

Maar wat er gebeurt bij meer dan 500 mannen of vrouwen die op 1 dag geboren worden geen idee eigenlijk

maar dacht dat gemidelde maar op 100/dag ligt

oddish2211 @Bigs • 7 juli 2009 12:50

je kunt toch met zo'n sofinummer bijv. een nieuwe creditcard aanvragen of andere papieren? dus met iemand zijn sofi kan je dus iemand zijn rekening plunderen

Stoney3K @oddish2211 • 7 juli 2009 13:23

In de USA wel. In Nederland heb je daar echt nog een handtekening en kopie van iemands legitimatiebewijs voor nodig.

Het BSN staat ook gewoon op je rijbewijs, paspoort en op het kaartje van je zorgverzekeraar, en ik heb hem al zo vaak gebruik dat ik hem inmiddels uit mijn hoofd ken. Verder kan niemand er wat mee behalve informatie opvragen, of ze moeten mijn ID-kaart jatten en zodanig weten te vervalsen dat ie door de instanties geaccepteerd wordt.

Badtothebone @Stoney3K • 7 juli 2009 14:14

Zelfs dat is niet waterdicht hoewel het in de laaste 10 jaar misschien veranderd is.

10 jaar geleden bij mij ingebroken thuis, laptop weg , paspoort weg , post cheques weg. Jammer genoeg zat er op mijn laptop mijn belastingaangifte en toen niet met een password beveiligd, stom ik weet het maar dat was een tijdje geleden toen ik nog jong en onervaren was. Niet meer kan ik je wel vertellen.

Dit soort dingen baart mij wel zorgen. Omdat iemand anders mijn SOFI nummer had en paspoort (brits) konden ze hun gang gaan, dat gaat / ging vrij makkelijk hier in nederland. KvK had een 06 nummer van het bedrijf maar toen de polite de nummer natrok was het een prepay ding en de zaak bestond niet eens. Waarschijnlijk om even wat geld wit te wassen ofzo!

Brieven van de belastingdienst over hoeveel werknemers ik in dienst had (ze hadden mooi een bedrijfje opgezet onder mijn naam!)

Aangehouden op Schiphol toen ik op vakantie wilde voor woning inbraak in ene plaats waar ik nooit ben geweest en nog tientallen rare dingen en brieven die ik heb ontvangen van offshore banken.

Nou, ik kijk maar uit tegenwoordig, je bent zo de sjaak als iemand genoeg info over je hebt!

Sorry voor de lang verhaal maar je moet wel een beetje paranoia hebben tegenwoordig, net genoeg om ejzelf te beschermen.

0vestel0 @Bigs • 7 juli 2009 12:48

Dat heeft te maken met the American Way. (Paranoia wordt met de paplepel ingegeven)

Verwijderd 7 juli 2009 12:48

Nederlandse geldige sofinummers zijn ook makkelijk te berekenen, en wat ik gezien heb bij een buitenlands familie die hier kwam wonen en sofinummers aanvroeg was dat ze hier gewoon opeenvolgende geldige nummers uitgeven. Niks check op geboortedatum erin.

Herko_ter_Horst

@Verwijderd • 7 juli 2009 12:56

Het probleem is niet het genereren van een geldig nummer, maar het kunnen berekenen van een geldig nummer, gegeven een geboorteplaats/staat/county en geboortedatum.

Dus op basis van de gegevens van een persoon zijn SSN kunnen berekenen. Met een los SSN/BSN kun je niet zoveel. Met een nummer gekoppeld aan andere persoonsgegevens kun je iemands identiteit overnemen.

Stoney3K @Herko_ter_Horst • 7 juli 2009 13:25

Zoals ik boven al stelde, uitsluitend in de USA. In Nederland hoef je daar bijna niet bang voor te zijn, want je BSN is gekoppeld aan jouw gegevens in de Gemeentelijke Basisadministratie, en die zijn iets moeilijker 'opeens' aan andere persoonsgegevens te koppelen.

Verwijderd @Stoney3K • 7 juli 2009 20:33

De vraag is alleen wat je daar aan hebt. Banken, verzekeraars en andere bedrijven hebben geen toegang tot de GBA en kunnen dat dus niet verifieren. Bovendien zijn er Nederlanders die niet ingeschreven staan omdat ze geen vast adres hebben, in het buitenland wonen of zichzelf uitschrijven. Die mensen kunnen nog steeds een bankrekening openen, paspoort aanvragen (in Den Haag of bij een ambassade in het land waar ze wonen) of hun rijbewijs verlengen (direct bij de RDW).

tinus73 @Verwijderd • 7 juli 2009 12:53

kijk dat is mooi, er IS dus GEEN relatie met het sofinummer, het zijn twee aparte waarden, waardoor de één een aanvulling is op de ander om zo nog betrouwbaarder te zijn. In de US wordt het burgernummer bepaald uit een geboortedatum; maw onzinnig als extra check.

Ram0n @Verwijderd • 7 juli 2009 12:56

Echt opeenvolgend lijkt me sterk, dan zal het nooit voldoen aan de elfproef.

[edit]
Had niet gezien dat je "geldige" erbij had gezet, excuses!

[Reactie gewijzigd door Ram0n op 24 juli 2024 08:06]

Goku33 7 juli 2009 12:35

En hoe filteren ze dan de geldige sofinummers uit die enorme lading 'mogelijke' nummers? Als je per persoon ruim 1000 opties krijgt, ben je ook wel even bezig om na te gaan welke nu de goede is, lijkt me...

It_was_me @Goku33 • 7 juli 2009 12:43

Als ik het goed egrijp hebben ze de berekeningen allemaal gedaan aan de hand van die Death Masters file. Neem een persoon van die lijst, bereken zijn SSN, en kijk dan of je hem goed hebt...

dasiro @It_was_me • 7 juli 2009 12:53

de DMF is een database waarin 2 cruciale gegevens beschikbaar zijn (naam en nummer) en die 100% correct is. Uiteraad kan je voor levende mensen verschillende controlebronnen gebruiken zodat je niet bij 1 bron verschillende SSN's laat controleren en zo een verdacht spoor achterlaat.

Verwijderd @Goku33 • 7 juli 2009 12:54

Het werkt net iets anders. Je krijgt per persoon (set geboorte datum, plaats ect.) een SSN. en een op de 1000 (voor grote staten, 20 voor kleine) is goed.

Maar met een beetje force zijn die 1000 combinaties zo the controleren.

swtimmer 7 juli 2009 12:37

De laatste vier cijfers bleken moeilijker met succes te voorspellen: in slechts 0,1 procent lukte dat binnen tien pogingen, hoewel het percentage met gebruik van data van kleinere staten kon stijgen tot vijf procent.

Dat vat ik niet helemaal, ik neem aan dat je maar 1 kans hebt toch om een juiste in te voeren bij een bank? Dit lijkt meer op bruteforcing.

Erkens @swtimmer • 7 juli 2009 12:42

Het lijkt ook op bruteforce, alleen dan met wat berekeningen vooraf zodat je minder pogingen nodig hebt. Waarschijnlijk is er dus een deel van dat nummer "random" gekozen.

stappel_ 7 juli 2009 12:54

Onderzoekers achterhalen algoritme Amerikaanse sofi-nummers

geweldige titel weer. ze hebben niks achterhaald. ze hebben iets gevonden dat er op lijkt, maar hde foutmarge is nog steeds minimaal 10% bij de beste gevallen.
je zou eens bij mijn vroegere professor moeten aankomen met 10% fout marge. pfff

Ch3cker Teamlead Testlab @stappel_ • 7 juli 2009 13:09

Ik vind het toch wel degelijk interessant als criminelen 90% slagingskans hebben om een sofinummer te kunnen achterhalen.. Die 10% dat het dan mislukt.. ach.. Dat maak je met die andere 90% ruimschoots weer goed.

GreatDictator 7 juli 2009 13:05

In hun rapport stellen de auteurs echter dat een botnet van slechts tienduizend computers met succes 47 geldige SSN's per minuut voor West Virginia zouden kunnen genereren.

Tsja, maar dan heb je dus wel SSN's voor West-Virginia. Terwijl je toch fraude wil plegen met SSN's die tenminste nog enige koopkracht vertegenwoordigen

jbdeiman @GreatDictator • 7 juli 2009 13:29

@NHJ BV
Maar dat is dan een kwestie van geluk. Het wordt gewoon een stuk eenvoudiger om te gaan frauderen. Ze kunnen veel meer proberen en zullen ook regelmatig geluk hebben dat ze ermee kunnen frauderen.
Uitgaande van een SSN van 7 cijfers (zeg ik goed toch, of lees ik het verkeerd?), waarvan je de 1e 3 al weet en de laatste vier bij benadering kan bepalen, blijven er gewoon maar beperkte mogelijkheden over. Zoek een staat/ gebied op waar je kans het grootst is dat er "veel te halen is" en voilla, dan kan het heel snel gaan.
Maar iemand zijn identiteit overnemen en kunnen nemen levert vooral veel risico op, het werkt criminaliteit in de hand. Ik snap ook niet dat ze dit zomaar vrijgeven (maar iemand die er onderzoek naar doet zal al snel kunnen achterhalen dat de 1e 3 cijfers voor een bepaalde regio staan.

Ik vind het van Amerika (het land wat zichzelf graag laat zien als goed en groots) nogal dom dat ze zoveel af laten hangen van een getal, welke zijzelf met een bepaald algoritme kunnen genereren (en algoritmes zijn nu eenmaal meestal te achterhalen). Neem dan bijvoorbeeld een vingerafdruk/ oogscan of wat dan ook, of een zelfbedachte code voor je rekening en dergelijke. Die zijn dan al bijna niet te achterhalen.

cc12 7 juli 2009 12:57

En eerdaags naast je BSN-nummer ook nog je vingerafdruk verplicht in je paspoort. Niet omdat het moet van Europa maar omdat Nederland weer graag voorop wil lopen.

Bilel 7 juli 2009 13:26

Eigenlijk moeten ze er een algoritme overheen gegooid worden. Maar aangezien dat nu niet meer zal kunnen, aangezien het 1e algoritme gekraakt is en dus alleen nog de 2e gevonden hoeft te worden, zal er dus een totaal nieuw algoritme gemaakt moeten worden. Een misschien iets meer dan 4 random cijfers. Ik heb namelijk lieverer 100 cijfers op mijn paspoort/identiteitskaart dan 10 die snel gekraakt zijn.

Op dit item kan niet meer gereageerd worden.

Onderzoekers achterhalen algoritme Amerikaanse sofinummers

Lees meer

IT-banen

Reacties (63)

Sorteer op:

Weergave: