Tietoturvaloukkaus paljasti yli miljoona DNA-profiilia merkittävässä sukututkimustietokannassa
Sukututkimuksen harrastajat, jotka käyttävät GEDmatch-sivustoa ladatakseen DNA-tietonsa ja löytääkseen sukulaisia sukupuidensa täydennykseksi, kokivat 19. heinäkuuta epämiellyttävän yllätyksen. Yhtäkkiä yli miljoona DNA-profiilia, jotka olivat olleet piilossa poliiseilta, jotka käyttivät sivustoa löytääkseen osittaisia vastaavuuksia rikospaikan DNA:han, olivat poliisin haettavissa.
Uutinen on heikentänyt GEDmatchin viime joulukuussa ostaneen rikosgeneettisen yrityksen Verogenin pyrkimyksiä vakuuttaa käyttäjät siitä, että se suojelee heidän yksityisyyttään samalla, kun se harjoittaa liiketoimintaa, joka perustuu geneettisen sukututkimuksen käyttämiseen väkivaltarikosten ratkaisemisessa.
Toinen hälytys tuli 21. heinäkuuta, kun israelilainen sukututkimussivusto MyHeritage ilmoitti, että osa sen käyttäjistä oli joutunut phishing-hyökkäyksen kohteeksi saadakseen kirjautumistietonsa sivustolle – kohteena olivat ilmeisesti sähköpostiosoitteet, jotka oli saatu GEDmatchiin kohdistuneessa hyökkäyksessä vain kaksi päivää aiemmin.
BuzzFeed Newsille sähköpostitse lähettämässään ja Facebookissa julkaisemassaan lausunnossa Verogen selitti, että GEDmatch-profiilien, joiden piti olla piilossa lainvalvontaviranomaisilta, yhtäkkinen paljastuminen oli ”orkestroitu hienostuneella hyökkäyksellä, joka kohdistui yhteen palvelimistamme olemassa olevan käyttäjätilin kautta.”
Mainos
”Tämän loukkauksen seurauksena kaikki käyttäjäoikeudet nollattiin, mikä teki kaikista profiileista näkyviä kaikille käyttäjille. Näin tapahtui noin kolmen tunnin ajan”, lausunnossa sanottiin. ”Tänä aikana käyttäjät, jotka eivät olleet valinneet lainvalvontaviranomaisten täsmäytystä, olivat käytettävissä lainvalvontaviranomaisten täsmäytystä varten, ja päinvastoin kaikki lainvalvontaviranomaisten profiilit saatiin näkyviin GEDmatchin käyttäjille.”
Tutkimuksellinen geneettinen sukututkimus räjähti näyttämölle huhtikuussa 2018 Golden State Killeriksi väitetyn Joseph James DeAngelon pidätyksen myötä. DeAngelo tunnusti viime kuussa syyllisyytensä 13 murhaan ja myönsi kymmeniä muita rikoksia. Tutkijat olivat osittain täsmäyttäneet vuonna 1980 tapahtuneen kaksoismurhan tapahtumapaikalta löydettyä DNA:ta GEDmatchissa oleviin profiileihin, jotka kuuluivat tekijän kaukaisille sukulaisille. Vaivalloisella tutkimuksella he rakensivat sukupuita, jotka lopulta yhtyivät DeAngeloon.
Sen jälkeen kymmeniä väitettyjä murhaajia ja raiskaajia on tunnistettu vastaavalla tavalla. Tämä on kuitenkin aiheuttanut suuren hajaannuksen sukututkimusmaailmassa. Osa sukututkijoista tekee nyt yhteistyötä poliisin kanssa, kun taas toiset väittävät, että geneettinen yksityisyys on vaarantunut.
GEDmatchin ratkaisu, joka syntyi kiistanalaisen tapauksen jälkeen, jossa sivusto taivutti omia sääntöjään antaakseen poliisille mahdollisuuden tutkia vähemmän vakavaa väkivaltaista pahoinpitelyä, oli se, että käyttäjien olisi nimenomaisesti annettava suostumuksensa lainvalvontaviranomaisten tekemiin hakuihin. Verogenin mukaan noin 280 000 profiilia 1,45 miljoonasta oli hyväksytty ennen hakkerointia. Sunnuntain tietomurto muutti asetuksia niin, että kaikki 1,45 miljoonaa DNA-profiilia oli valittuna lainvalvontaviranomaisten hakuja varten.
Mainos
Genealogit tämän kiistanalaisen keskustelun molemmilla puolilla kertoivat BuzzFeed Newsille pelkäävänsä, että uudet tietoturva-aukkomurrot lannistaisivat ihmisiä laittamasta DNA-profiilejaan verkkoon – ja vahingoittaisivat näin sekä nettigenealogiayhteisöä että ponnisteluja kylmien tapausten ratkaisemiseksi.
”Tämä on aivan uudenlainen paha juttu”, Kalifornian Livermoressa asuva sukututkija Leah Larkin, joka on geeniperimän yksityisyyden suorapuheinen puolestapuhuja, sanoi BuzzFeed Newsille.
”Pitkällä aikavälillä, jos ihmiset päättävät, että heillä on vähemmän luottamusta GEDmatchiin, ja se johtaa siihen, että profiileja poistetaan enemmän, se ei ole hyvä asia”, CeCe Moore, johtava sukututkija Parabon NanoLabs -yhtiössä, joka tekee yhteistyötä poliisin kanssa väkivaltarikosten selvittämiseksi, kertoi BuzzFeed Newsille.
Ei ole epäselvää, etsittiinkö lainvalvontaviranomaisilta yhtään luvatonta profiilia. Moore kuitenkin kertoi BuzzFeed Newsille, että hänen tiiminsä, joka on vastuussa suurimmasta osasta geneettisen sukututkimuksen avulla tähän mennessä tehdyistä rikoksesta epäiltyjen tunnistuksista, oli tuolloin offline-tilassa. ”Emme nähneet mitään, mitä meidän ei olisi pitänyt nähdä”, hän sanoi.”
Normaali palvelu GEDmatchissa oli hetkeksi jatkunut alkuperäisen hakkeroinnin jälkeen, mutta 20. heinäkuuta Moore huomasi, että kaikkien profiilien käyttöoikeuksia oli jälleen vaihdettu, tällä kertaa estämällä lainvalvontaviranomaisten hakuja koko tietokannassa, mutta tekemällä näkyviin profiileja, jotka on merkitty ”Research”-merkinnällä ja joiden pitäisi olla piilossa kaikilta hauilta.”
Sivusto otettiin nopeasti pois verkosta ja sen tilalle laitettiin viesti: ”The gedmatch site is down for maintenance – Currently No ETA.”
”We are working with a cybersecurity firm to conduct a comprehensive forensic review and help us implement the best possible security measures”, sanottiin Verogenin lausunnossa, joka julkaistiin toisen välikohtauksen jälkeen.
Mainos
Murto on kiusallinen Verogenille, jonka käyttäjät toivoivat ammattimaisemman lähestymistavan geneettisen yksityisyyden suojaan, kun se osti sivuston seitsemän kuukautta sitten. Ennen Verogenia GEDmatchin perusti ja sitä pyöritti kaksi sukututkimuksen harrastajaa, Curtis Rogers ja John Olson.
Yhtiön lausunnossa rauhoitellaan silti käyttäjiä: ”Käyttäjätietoja ei ladattu tai vaarannettu.”