Et sikkerhedsbrud afslørede mere end en million DNA-profiler på en stor slægtsforskningsdatabase

Den 19. juli fik slægtsforskningsentusiaster, der bruger webstedet GEDmatch til at uploade deres DNA-oplysninger og finde slægtninge til at udfylde deres stamtræer, en ubehagelig overraskelse. Pludselig var mere end en million DNA-profiler, der havde været skjult for politiet, som brugte webstedet til at finde delvise match til DNA fra gerningssteder, tilgængelige for politiet.

Nyheden har undermineret bestræbelserne fra Verogen, det kriminalgenetiske firma, der købte GEDmatch i december sidste år, på at overbevise brugerne om, at det ville beskytte deres privatliv, samtidig med at det ville drive en forretning baseret på at bruge genetisk genealogi til at hjælpe med at opklare voldsforbrydelser.

En anden alarm kom den 21. juli, da MyHeritage, et slægtsforskningswebsted med base i Israel, meddelte, at nogle af dets brugere var blevet udsat for et phishing-angreb for at få deres log-in-oplysninger til webstedet – tilsyneladende målrettet mod e-mailadresser, der blev opnået ved angrebet på GEDmatch blot to dage forinden.

I en erklæring, der blev sendt pr. e-mail til BuzzFeed News og lagt ud på Facebook, forklarede Verogen, at den pludselige afsløring af GEDmatch-profiler, der skulle være skjult for retshåndhævende myndigheder, var “orkestreret gennem et sofistikeret angreb på en af vores servere via en eksisterende brugerkonto.”

Annonce

“Som følge af dette brud blev alle brugertilladelser nulstillet, hvilket gjorde alle profiler synlige for alle brugere. Dette var tilfældet i ca. 3 timer,” stod der i erklæringen. “I løbet af denne tid var brugere, der ikke havde tilmeldt sig matchning med lovhåndhævende myndigheder, tilgængelige for matchning med lovhåndhævende myndigheder, og omvendt blev alle profiler med lovhåndhævende myndigheder gjort synlige for GEDmatch-brugere.”

Indgående genetisk slægtsforskning eksploderede på scenen i april 2018 med anholdelsen af Joseph James DeAngelo, der angiveligt var Golden State Killer. DeAngelo erklærede sig skyldig i 13 mord og indrømmede i sidste måned snesevis af andre forbrydelser. Efterforskerne havde delvist matchet DNA fundet på gerningsstedet for et dobbeltmord i 1980 med profiler på GEDmatch, der tilhørte gerningsmandens fjerne slægtninge. Gennem omhyggelig research opbyggede de stamtræer, der til sidst førte til DeAngelo.

Siden da er dusinvis af formodede mordere og voldtægtsforbrydere blevet identificeret på lignende vis. Men dette har forårsaget en stor splittelse inden for slægtsforskningens verden. Mens nogle slægtsforskere nu samarbejder med politiet, hævder andre, at det genetiske privatliv er blevet kompromitteret.

GEDmatchs løsning, som fulgte efter en kontroversiel hændelse, hvor webstedet bøjede sine egne regler for at give politiet mulighed for at efterforske et mindre alvorligt voldeligt overfald, var, at brugerne udtrykkeligt skulle vælge at lade politiet søge efter dem. Omkring 280.000 ud af 1,45 millioner profiler var blevet tilmeldt før hacket, ifølge Verogen. Søndagens brud ændrede indstillingerne, så alle 1,45 millioner DNA-profiler var tilvalgt til søgninger fra de retshåndhævende myndigheder.

Annonce

Genealoger på begge sider af denne stridbare debat fortalte BuzzFeed News, at de frygtede, at de nye sikkerhedsbrud ville afskrække folk fra at lægge deres DNA-profiler online – hvilket ville skade både online-slægtsforskningssamfundet og bestræbelserne på at løse kolde sager.

“Dette er et helt nyt niveau af dårligt,” sagde Leah Larkin, en slægtsforsker i Livermore, Californien, som er en åbenlys fortaler for genetisk privatlivets fred, til BuzzFeed News.

“På lang sigt, hvis folk beslutter, at de har mindre tillid til GEDmatch, og det fører til flere sletninger af profiler, er det ikke en god ting,” sagde CeCe Moore, ledende slægtsforsker i firmaet Parabon NanoLabs, som samarbejder med politiet om at opklare voldsforbrydelser, til BuzzFeed News.

Det er uklart, om nogen uautoriserede profiler blev gennemsøgt af de retshåndhævende myndigheder. Moore fortalte dog til BuzzFeed News, at hendes team, som er ansvarlig for de fleste af de identifikationer af kriminelle mistænkte, der hidtil er foretaget ved hjælp af genetisk genealogi, var offline på det pågældende tidspunkt. “Vi så ikke noget, vi ikke burde have set,” sagde hun.

Den normale service på GEDmatch var kortvarigt genoptaget efter det første hack, men den 20. juli bemærkede Moore, at tilladelserne på alle profiler var blevet skiftet igen, og denne gang blokerede den lovhåndhævende myndighed søgninger i hele databasen, men gjorde profiler markeret som “Research” synlige, hvilket formodes at være skjult for alle søgninger.

Siden blev hurtigt taget offline og erstattet med beskeden: “The gedmatch site is down for maintenance – Currently No ETA.”

“We are working with a cybersecurity firm to conduct a comprehensive forensic review and help us implement the best possible security measures,” said Verogen’s statement, which was released after the second incident.

Advertisement

The breach is embarrassing for Verogen, which users hoped would bring a more professional approach to genetic privacy when it bought the site seven months ago. Før Verogen blev GEDmatch grundlagt og drevet af to amatørgenealogientusiaster, Curtis Rogers og John Olson.

Samtidig beroligede virksomhedens erklæring brugerne: “Ingen brugerdata blev downloadet eller kompromitteret.”