Biztonsági rés miatt több mint egymillió DNS-profil került nyilvánosságra egy nagy genealógiai adatbázisban
Július 19-én kellemetlen meglepetés érte a genealógia szerelmeseit, akik a GEDmatch honlapot használják DNS-adataik feltöltésére és rokonok keresésére, hogy kitöltsék családfájukat. Hirtelen több mint egymillió olyan DNS-profil vált elérhetővé a rendőrség számára, amelyet eddig elrejtettek a rendőrök elől, akik az oldalt arra használták, hogy részleges egyezéseket találjanak a bűnügyi helyszín DNS-ével.
A hír aláásta a Verogen, a GEDmatch-et tavaly decemberben megvásárló törvényszéki genetikai cég azon erőfeszítéseit, hogy meggyőzze a felhasználókat arról, hogy megvédi a magánéletüket, miközben olyan üzletet folytat, amely a genetikai genealógia felhasználásán alapul az erőszakos bűncselekmények felderítéséhez.
A második riasztás július 21-én érkezett, amikor az izraeli székhelyű MyHeritage genealógiai weboldal bejelentette, hogy néhány felhasználóját adathalász támadás érte, hogy megszerezzék az oldalra való bejelentkezési adataikat – nyilvánvalóan a GEDmatch elleni támadás során két nappal korábban megszerzett e-mail címeket célozták meg.
A BuzzFeed Newsnak elküldött és a Facebookon közzétett közleményében a Verogen kifejtette, hogy a GEDmatch profilok hirtelen leleplezését, amelyeknek el kellett volna rejtve maradniuk a bűnüldözés elől, “egy meglévő felhasználói fiókon keresztül az egyik szerverünk elleni kifinomult támadással hangszerelték.”
Hirdetés
“A jogsértés eredményeként minden felhasználói jogosultságot visszaállítottak, így minden profil láthatóvá vált minden felhasználó számára. Ez körülbelül 3 órán keresztül volt így” – áll a közleményben. “Ez idő alatt azok a felhasználók, akik nem engedélyezték a bűnüldözési megfeleltetést, elérhetőek voltak a bűnüldözési megfeleltetéshez, és fordítva, minden bűnüldözési profil láthatóvá vált a GEDmatch felhasználói számára.”
A nyomozó genetikai genealógia 2018 áprilisában robbant be a köztudatba Joseph James DeAngelo letartóztatásával, aki állítólag a Golden State Killer. DeAngelo a múlt hónapban bűnösnek vallotta magát 13 gyilkosságban, és több tucat más bűncselekményt is beismert. A nyomozók az 1980-as kettős gyilkosság helyszínén talált DNS-t részben összevetették a GEDmatch-en található olyan profilokkal, amelyek az elkövető távoli rokonaihoz tartoztak. Aprólékos kutatással felépítették a családfát, amely végül DeAngelónál futott össze.
Azóta állítólagos gyilkosok és erőszaktevők tucatjait azonosították hasonló módon. Ez azonban nagy szakadást okozott a genealógia világában. Míg egyes genealógusok mostantól együttműködnek a rendőrséggel, mások szerint a genetikai adatvédelem sérült.
A GEDmatch megoldása, amely egy ellentmondásos esetet követően született, amikor az oldal saját szabályait hajlítva lehetővé tette a rendőrség számára, hogy egy kevésbé súlyos erőszakos támadás ügyében nyomozzon, az volt, hogy a felhasználóknak kifejezetten bele kell egyezniük a bűnüldöző szervek általi keresésbe. A Verogen szerint az 1,45 millió profilból körülbelül 280 ezren engedélyezték a hackelés előtt. A vasárnapi betörés megváltoztatta a beállításokat, így mind az 1,45 millió DNS-profil be volt jelölve a bűnüldözési célú keresésekhez.
Hirdetés
A genealógusok a heves vita mindkét oldalán elmondták a BuzzFeed Newsnak, hogy attól tartanak, hogy az új biztonsági rések elriasztják az embereket attól, hogy online feltegyék DNS-profiljukat – ami ártana mind az online genealógiai közösségnek, mind a lezáratlan ügyek megoldására irányuló erőfeszítéseknek.
“Ez a rossznak egy teljesen új szintje” – mondta a BuzzFeed Newsnak Leah Larkin, egy genealógus a kaliforniai Livermore-ban, aki nyíltan kiáll a genetikai adatvédelem mellett.
“Hosszú távon, ha az emberek úgy döntenek, hogy kevésbé bíznak a GEDmatch-ben, és ez több profil törléséhez vezet, az nem jó dolog” – mondta a BuzzFeed Newsnak CeCe Moore, a Parabon NanoLabs nevű cég vezető genealógusa, aki a rendőrséggel dolgozik együtt az erőszakos bűncselekmények felderítésében.
Az nem világos, hogy a bűnüldöző szervek kerestek-e jogosulatlan profilokat. Moore azonban azt mondta a BuzzFeed Newsnak, hogy csapata, amely a genetikai genealógia segítségével eddig a legtöbb bűncselekmény gyanúsítottjainak azonosításáért felelős, akkor éppen offline volt. “Nem láttunk semmit, amit nem kellett volna” – mondta.”
A GEDmatch normál szolgáltatása a kezdeti hackelés után rövid időre újraindult, de július 20-án Moore észrevette, hogy az összes profil jogosultságát ismét átállították, ezúttal a teljes adatbázisban blokkolva a bűnüldözési célú kereséseket, de láthatóvá téve a “kutatás” megjelölésű profilokat, amelyeknek minden keresés elől el kellene maradniuk.
A honlapot gyorsan lekapcsolták és a következő üzenettel helyettesítették: “The gedmatch site is down for maintenance – Currently No ETA.”
“Egy kiberbiztonsági céggel dolgozunk együtt, hogy átfogó törvényszéki vizsgálatot végezzen, és segítsen nekünk a lehető legjobb biztonsági intézkedések bevezetésében” – áll a Verogen közleményében, amelyet a második incidens után tettek közzé.
Hirdetés
A jogsértés kínos a Verogen számára, amelytől a felhasználók azt remélték, hogy profibb megközelítést alkalmaz a genetikai adatvédelemhez, amikor hét hónappal ezelőtt megvásárolta az oldalt. A Verogen előtt a GEDmatch-et két amatőr genealógia-rajongó, Curtis Rogers és John Olson alapította és működtette.
A cég közleménye mégis megnyugtatta a felhasználókat: “A felhasználók adatait nem töltötték le vagy veszélyeztették.”