Eine Sicherheitslücke hat mehr als eine Million DNA-Profile in einer großen Genealogie-Datenbank aufgedeckt
Am 19. Juli erlebten Genealogie-Enthusiasten, die die Website GEDmatch nutzen, um ihre DNA-Informationen hochzuladen und Verwandte zu finden, die ihre Stammbäume ergänzen, eine unangenehme Überraschung. Plötzlich waren mehr als eine Million DNA-Profile, die vor der Polizei verborgen waren, die die Website nutzte, um Teilübereinstimmungen mit der DNA von Tatorten zu finden, für die Polizei zugänglich.
Die Nachricht untergrub die Bemühungen von Verogen, dem forensischen Genetikunternehmen, das GEDmatch im vergangenen Dezember gekauft hatte, die Nutzer davon zu überzeugen, dass es ihre Privatsphäre schützen würde, während es gleichzeitig ein Geschäft betreibt, das auf der Nutzung der genetischen Genealogie zur Aufklärung von Gewaltverbrechen basiert.
Ein zweiter Alarm wurde am 21. Juli ausgelöst, als MyHeritage, eine Genealogie-Website mit Sitz in Israel, bekannt gab, dass einige ihrer Nutzer einem Phishing-Angriff ausgesetzt waren, um ihre Anmeldedaten für die Website zu erhalten – offenbar mit E-Mail-Adressen, die bei dem Angriff auf GEDmatch nur zwei Tage zuvor erlangt wurden.
In einer Erklärung, die an BuzzFeed News gemailt und auf Facebook gepostet wurde, erklärte Verogen, dass die plötzliche Demaskierung von GEDmatch-Profilen, die eigentlich vor den Strafverfolgungsbehörden verborgen sein sollten, „durch einen ausgeklügelten Angriff auf einen unserer Server über ein bestehendes Benutzerkonto inszeniert wurde.“
Anzeige
„Als Ergebnis dieses Verstoßes wurden alle Benutzerrechte zurückgesetzt, wodurch alle Profile für alle Benutzer sichtbar wurden. Dies war für etwa 3 Stunden der Fall“, heißt es in der Erklärung. „Während dieser Zeit waren Nutzer, die sich nicht für den Abgleich mit den Strafverfolgungsbehörden entschieden hatten, für den Abgleich mit den Strafverfolgungsbehörden verfügbar, und umgekehrt wurden alle Profile der Strafverfolgungsbehörden für GEDmatch-Nutzer sichtbar gemacht.“
Die investigative genetische Ahnenforschung explodierte im April 2018 mit der Verhaftung von Joseph James DeAngelo, der als der Golden State Killer gilt. DeAngelo bekannte sich der 13 Morde schuldig und gab im vergangenen Monat Dutzende weiterer Verbrechen zu. Die Ermittler hatten die am Tatort eines Doppelmordes im Jahr 1980 gefundene DNA teilweise mit Profilen auf GEDmatch abgeglichen, die zu entfernten Verwandten des Täters gehörten. Durch sorgfältige Nachforschungen erstellten sie Familienstammbäume, die schließlich auf DeAngelo zutrafen.
Seitdem wurden Dutzende von mutmaßlichen Mördern und Vergewaltigern auf ähnliche Weise identifiziert. Dies hat jedoch zu einer großen Spaltung in der Welt der Genealogie geführt. Während einige Genealogen nun mit der Polizei zusammenarbeiten, argumentieren andere, dass die genetische Privatsphäre gefährdet wurde.
Die Lösung von GEDmatch, die auf einen umstrittenen Vorfall folgte, bei dem die Website ihre eigenen Regeln beugte, um der Polizei die Untersuchung eines weniger schwerwiegenden gewalttätigen Übergriffs zu ermöglichen, bestand darin, dass die Nutzer sich ausdrücklich für die Suche durch die Strafverfolgungsbehörden entscheiden mussten. Nach Angaben von Verogen waren vor dem Hack etwa 280.000 von 1,45 Millionen Profilen für die Suche freigeschaltet worden. Durch den Einbruch am Sonntag wurden die Einstellungen so geändert, dass alle 1,45 Millionen DNA-Profile für die Suche durch die Strafverfolgungsbehörden freigeschaltet wurden.
Werbung
Genealogen auf beiden Seiten dieser hitzigen Debatte erklärten gegenüber BuzzFeed News, dass sie befürchteten, dass die neuen Sicherheitsverletzungen die Menschen davon abhalten würden, ihre DNA-Profile online zu stellen – was sowohl der Online-Genealogie-Gemeinschaft als auch den Bemühungen um die Lösung ungeklärter Fälle schaden würde.
„Das ist eine ganz neue Stufe des Schlimmen“, sagte Leah Larkin, eine Genealogin in Livermore, Kalifornien, die sich vehement für den genetischen Datenschutz einsetzt, gegenüber BuzzFeed News.
„Langfristig, wenn die Leute entscheiden, dass sie weniger Vertrauen in GEDmatch haben und es zu mehr Löschungen von Profilen führt, ist das keine gute Sache“, sagte CeCe Moore, leitende Genealogin bei der Firma Parabon NanoLabs, die mit der Polizei zusammenarbeitet, um Gewaltverbrechen aufzuklären, gegenüber BuzzFeed News.
Es ist unklar, ob irgendwelche nicht autorisierten Profile von der Strafverfolgung durchsucht wurden. Moore sagte jedoch gegenüber BuzzFeed News, dass ihr Team, das für die meisten Identifizierungen von Verdächtigen durch genetische Genealogie verantwortlich ist, zu diesem Zeitpunkt offline war. „Wir haben nichts gesehen, was wir nicht hätten sehen sollen“, sagte sie.
Normaler Service bei GEDmatch war kurz nach dem ersten Hack wieder aufgenommen worden, aber am 20. Juli bemerkte Moore, dass die Berechtigungen für alle Profile erneut geändert worden waren, wobei dieses Mal die Suche der Strafverfolgungsbehörden in der gesamten Datenbank blockiert wurde, aber Profile, die als „Forschung“ markiert waren, die eigentlich vor allen Suchen verborgen sein sollten, sichtbar gemacht wurden.
Die Seite wurde schnell offline genommen und durch die Meldung ersetzt: „The gedmatch site is down for maintenance – Currently No ETA.“
„Wir arbeiten mit einer Cybersecurity-Firma zusammen, um eine umfassende forensische Überprüfung durchzuführen und uns dabei zu helfen, die bestmöglichen Sicherheitsmaßnahmen zu implementieren“, heißt es in der Erklärung von Verogen, die nach dem zweiten Vorfall veröffentlicht wurde.
Anzeige
Die Sicherheitsverletzung ist peinlich für Verogen, von dem sich die Nutzer einen professionelleren Umgang mit der genetischen Privatsphäre erhofft hatten, als es die Seite vor sieben Monaten kaufte. Vor Verogen wurde GEDmatch von zwei Amateur-Genealogie-Enthusiasten, Curtis Rogers und John Olson, gegründet und betrieben.
Die Erklärung des Unternehmens beruhigte die Nutzer: „Es wurden keine Nutzerdaten heruntergeladen oder kompromittiert.“