Aplikasi riset Teknologi Informasi bongkar identitas dibalik angka nomor SSN

Peneliti ahli Teknologi Informasi Universitas Carnegie Mellon di AS berhasil menunjukkan bahwa dengan mencuplik data informasi publik yang berasal dari sumber data resmi instansi Pemerintah, layanan pangkalan data komersial, ataupun info yang sering terbuka terpapar pada situs on-line jejaringan sosial; maka data tersebut ternyata dapat digunakan untuk memprediksi ---atau artinya “membongkar”--- dengan jalan relatif cukup mudah sebagian besar atau bahkan terkadang nyaris hampir seluruh deret angka sembilan digit nomor Jaminan Sosial atau nomor SSN : Social Security Number milik individu warga negara AS.

Pimpinan kajian riset di atas adalah Alessandro Acquisti, Associate Profesor bidang Teknologi Informasi dan Kebijakan Publik di H. John Heinz III College Universitas Carnegie Mellon, dan Ralph Gross selaku Peneliti studi pasca doktoral Heinz College telah berhasil mendemonstrasikan bahwa dengan memperoleh data tanggal lahir dan status kelahiran seseorang maka ternyata cukup memadai untuk kemudian mendapatkan tebakan dengan tingkat keberhasilan yang tinggi ketepatannya untuk angka-angka nomor Jaminan Sosial seseorang.
Karya penelitian Prof. Acquisti telah dimuat pada situs blog kajian studi yang dikelola universitas Carnegie Mellon : //blogs.heinz.cmu.edu/ssnstudy/
Dan seluruh eksperimennya akan dipresentasikan dengan lengkap pada ajang “The BlackHat 2009 Information Security conference” di Las Vegas, AS tgl 29 Juli yad.

Setiap warga negara AS yang berusia dewasa lazimnya berkepentingan untuk memiliki SSN: Social Security Number yang pada awal penerapannya ---tahun 1930-an--- dikembangkan sebatas untuk urusan Sistem Jaminan Sosial dan Sistem Pajak, yang kemudian berkembang meluas guna dimanfaatkan pula untuk keperluan beragam urusan lain-lain a.l: urusan membuka rekening bank, pengajuan kartu kredit, hingga urusan surat izin mengemudi mobil.
Nomor SSN mencakup 9 (sembilan) digit angka yang antara lain terdiri dari kombinasi unik data tanggal lahir, nomor kode spesifik geografis / Negara Bagian, dan beberapa penandaan lainnya. Oleh karena berbagai kepentingan yang terkait dengan data sensitif milik setiap individu maka sesungguhnya nomer SSN merupakan suatu data sensitif yang semestinya dapat terjaga rapat perlindungan kerahasiaannya dari penyalahgunaan pihak yang tidak berhak.

Dalam pengujian prediksi tebakan yang dilaksanakan Prof. Acquisti dan Gross mengambil data dari Buku Induk Catatan Kelahiran & Kematian untuk kurun waktu tahun 1973 - 2003. Dalam eksperimen ini aplikasi rekayasa karya Prof. Acquisti dkk memperoleh sederet keberhasilan sbb:
- Dapat menebak tepat 5 (lima) digit pertama hingga sebesar 44% dari data orang yang meninggal yang lahir setelah kurun tahun 1988 cukup dengan melakukan sekali tebakan. Namun sukses persentase keberhasilan upaya sekali tebak ini hanya 7% untuk kasus warga negara kelahiran antara 1973 - 1988.
- Dapat tepat membongkar sembilan atau seluruh angka SSN dengan keberhasilan 8.5% untuk kasus orang kelahiran setelah tahun 1988 cukup dengan upaya tebakan kurang dari 1.000 kali.
- Nilai persentase keberhasilan tebakan bahkan lebih mengejutkan lagi dengan sukses persentase yang lebih tinggi lagi; yang ditunjukkan apabila lingkup Negara Bagian dipersempit serta tahun kelahiran pun kurun waktunya dibatasi menjadi lebih sedikit. Dibuktikan dengan ketepatan menebak seluruh 9 (sembilan) nomor SSN pada kasus test mencakup 1 diantara 20 SSN yang dikeluarkan Negara Bagian Delaware untuk warga kelahiran tahun 1996 keatas yang cukup dengan melakukan tebakan sejumlah kurang dari 10 kali upaya percobaan.
Dalam hal seseorang yang tak berhak cukup dengan upaya coba-coba membongkar identifikasi sembilan angka identitas nomor SSN dengan langkah percobaan kurang dari 10, 100 atau bahkan 1000 kali sekalipun ternyata lalu memperoleh keberhasilan yang tinggi, maka pantas bagi Prof. Acquisti untuk menyimpulkan bahwa nomor SSN setiap warga negara AS tidaklah lebih aman dibandingkan dengan sejenis pengamanan sederhana model kode PIN 3 digit angka.

Riset lanjutan dengan pengujian metode penemuan diatas pada sekelompok mahasiswa dengan menggunakan data tanggal lahir dan kota asal yang diperoleh dari data terbuka pada situs jejaring sosial on-line masa kini yang populer dikalangan mahasiswa pun ternyata mengkonfirmasikan hasil tebakan yang tingkat kecocokan mendekati riset sebelumnya di atas.
Sebagai ahli bidang pemgamanan data komputer Prof. Acquisti menegaskan, taruhlah apabila tebakan berdasar model tebakan hanya berhasil mengungkap 5 (lima) angka digit pertama nomor SSN, maka sosok kriminal yang berniat mencuri data identitas dapat selanjutnya melakukan teknik mengecoh dengan cara “e-mail phising” sedemikian rupa hingga sang korban dapat terjebak untuk memberikan sisa keempat nomor terakhir hingga menjadikan seluruh 9 digit identitas angka menjadi terbongkar. Cara lain yang biasa dilakukan komplotan pencuri identitas untuk pemalsuan (“fraudster”) yakni dengan merekayasa “botnets” yaitu membajak jaringan komputer yang bobol pertahanan pengamanan sekuritinya untuk secara otomatis direkayasa untuk secara bertubi-tubi mampu membuat ribuan aplikasi kartu kredit dengan menggunakan nama orang yang data SSN telah terbongkar sebagian; hingga pada suatu satuan angka tertentu akhirnya tembus atau cocok dengan data seluruh urutan sembilan angka SSN.
Dalam tatanan abad digital masa kini ketika cara berbisnis on-line merupakan hal yang biasa dilaksanakan sehari-hari, maka mudahnya memprediksi / membobol identitas yang bernilai sensitif seperti halnya nomor SSN : Social Security Numbers akan meningkatkan resiko pencurian identitas untuk disalahgunakan. Kasus “ID theft” yang terjadi hanya pada tahun 2007 saja di AS menimbulkan kerugian hingga senilai AS $ 50 milyar.
Sebagai bagian penutup paparan riset ini Prof Acquisti mengusulkan agar sistematika penyusunan angka-angka SSN agar dapat dirubah hingga menjadi lebih sukar ditebak, seraya menyarankan agar nomor identitas bawaan SSN tidaklah menjadi hanya satu-satunya referensi verifikasi untuk berbagai urusan administratif & bisnis dan metode verifikasi masa depan dapat menggunakan dua lapis verifikasi pengamanan; yakni seperti penerapan metode model PIN dynamic pada transaksi perbankan yang sekarang lazim dilaksanakan. (Up-dates ragam info web. / Rizal Aachtung)

Sumber: iptek.net.id