Forskere knækker det amerikanske personnummer

Med Facebook og andre sociale netværkstjenesters invasion er et menneskes personnummer ofte en sidste private bastion.

Men i USA har to forskere knækket den amerikanske pendant til cpr-nummeret ved hjælp af matematiske og statistiske værktøjer.

Da det amerikanske Social Security Number (SSN) giver adgang til menneskers finansielle oplysninger og fungerer som et middel til at kontrollere identiteten af en lang række finansielle institutioner, udgør det nye brud en reel risiko for at muliggøre identitetstyveri.

Det absurde ved de amerikanske forskeres metode til at udregne personnumrene er, at den baserer sig på oplysninger stillet til rådighed fra den amerikanske stat for at undgå svindel med numrene.

47 numre knækkes i minuttet

Siden slutningen af 1980’erne har den amerikanske regering haft et initiativ kaldet “Enumeration of Birth”, der skal sikre, at alle bliver tildelt et cpr-nummer kort efter fødslen, så personer ikke som tidligere skal søge om dem senere i livet. Herved undgår man fremover falske ansøgninger om numrene.

Og den nye systematiske måde at tildele Social Security Numbers til alle satte forskerne Alessandro Acquisti og Ralph Gross fra Carnegie Mellon University i stand til at udregne de første fem numre for hele 44% af indbyggerne født efter 1988. I små stater kunne forskerne udregne op til 90% af numrene.

De havde det en del sværere ved at forudsige de sidste fire numre, men fik alligevel det rigtige resultat 0,1% af gangene. I staten Delaware havde forskerne dog hele 5% succes med at forudsige alle ni cifre i Social Sercurity-numrene.

Trods den tilsyneladende lave succesrate mener forskerne, at deres nye metode viser en alvorlig risiko for brud på sikkerheden. Blandt andet fordi for eksempel amerikanske kreditkort-selskaber tillader, at op til to cifre i social security-numre må være forkerte, når bare fødselsdato og -sted er korrekt.

De amerikanske forskere har udregnet, at de med et netværk på 10.000 computere med held vil kunne identificere yngre beboere i små stater med en hastighed på op til 47 pr. minut.

10 dumme cifre

En svaghed ved de amerikanske numre er, at de er baseret på den stat, hvor nummeret oprindeligt blev tildelt. Og den slags information ligger, ifølge konsulent på CPR-kontoret Jørgen Møller, ikke i det danske nummer.

Ifølge Jørgen Møller behøver vi derfor heller ikke herhjemme at frygte en lignende situation, da det danske cpr-nummer udgøres af ‘ti dumme cifre’, der ikke eller næsten ikke indeholder information om personen.

»I Danmark findes fødselsdato jo åbenlyst i personnummeret, så der er ikke noget at regne ud der. Og de fire sidste numre i tildeles i helt tilfældig rækkefølge til børn ved fødslen, så noget tilsvarende vil ikke kunne finde sted i Danmark,« mener Jørgen Møller.

Små svagheder

I Danmark tildeles de fire sidste cifre vilkårligt, og ikke systematisk efter hvornår du fødes. I USA tildeles de sidste fire cifre angiveligt også tilfældigt. At de amerikanske forskere alligevel har haft succes med at knække koden, er der ifølge lektor Thomas Hildebrandt fra IT-Universitetet i København en god forklaring på.

»Computere har svært ved at vælge noget helt tilfældigt, så hvis det er en computer, der laver nummeret i Danmark, kan man måske finde den funktion, der bruges,« forklarer Thomas Hildebrandt.

Ifølge Thomas Hildebrandt kan en anden mulig svaghed i det danske cpr-nummer findes i, at de sidste fire numre i danskernes cpr-numre indtil 2007 blev tildelt efter den såkaldte Modulus 11-metode (se boks). Det betyder, at der i praksis kun er ca. 540 personnumre til rådighed for hver dato.

»Der jo reelt ikke mange forskellige numre at tage af, da de sidste fire cifre også skal fortælle om kønnet og fungere som en tjeksum efter modulus 11-metoden. Det er derfor relevant at spørge sig selv, om man kan gætte eller beregne de sidste fire numre, der vælges tilfældigt i Danmark,« forklarer Thomas Hildebrandt.

Death Master Files

Ifølge Thomas Hildebrandt kan man dog ikke helt sammenligne de amerikanske numre med danske, da de amerikanske numre tilsyneladende har en skjult systematik i de fem første numre, og det lader til at være den, forskerne har haft held til at finde.

Den afgørende faktor for, at den amerikanske kode blev knækket, var de såkaldte “Death Master Files”, hvor man kan finde amerikanernes Social Security-numre fra over 65 millioner afdøde personer.

Summen af de 9 produkter og kontrolcifferet skal tilsammen være deleligt med 11.

Derfor kan kontrolcifferet findes ved at dele summen af de 9 produkter med 11. Hvis divisionen går op, er kontrolcifferet 0, og ellers er det 11 minus divisionsresten. Giver divisionen resten 1, kan det pågældende løbenummer (ciffer 7-9) ikke anvendes, fordi kontrolcifferet derved ville blive tocifret (10), hvilket ikke er muligt.

Modulus 11-kontrollen betyder i praksis, at der kun er ca. 540 personnumre til rådighed for hver dato. Derfor er man begyndt at erstatte kontrolcifferet med et vilkårligt ciffer for at øge kapaciteten i systemet. Det første CPR-nummer med et ‘ugyldigt’ kontrolciffer blev udstedt i oktober 2007.

Kilde: Wikipedia

»Der er selvfølgelig altid en minimal chance for, at de skjulte parametre er valgt ud fra noget, der kan spores, f.eks. fødested og dato. Når man skal finde en skjult systematik, er det helt afgørende at have adgang til et stort datamateriale af korrekte numre. Her spiller ‘Death Master Files’ en afgørende rolle i den amerikanske undersøgelse,« forklarer Thomas Hildebrandt.

Sløseri den største fare

De amerikanske ‘Death Master Files’ skulle netop sikre, at firmaer kunne undgå, at døde personers identitet blev misbrugt. I stedet gav den forskerne tilstrækkelig med statistisk materiale til at relatere Social Security-nummeret med fødselsdato og fødselsstat.