Una violazione della sicurezza ha esposto più di un milione di profili di DNA su un importante database di genealogia
Il 19 luglio, gli appassionati di genealogia che usano il sito web GEDmatch per caricare le loro informazioni sul DNA e trovare parenti per riempire i loro alberi genealogici hanno avuto una spiacevole sorpresa. Improvvisamente, più di un milione di profili di DNA che erano stati nascosti ai poliziotti che usano il sito per trovare corrispondenze parziali con il DNA della scena del crimine erano disponibili per la polizia per la ricerca.
La notizia ha minato gli sforzi di Verogen, la società di genetica forense che ha acquistato GEDmatch lo scorso dicembre, per convincere gli utenti che avrebbe protetto la loro privacy mentre perseguiva un business basato sull’utilizzo della genealogia genetica per aiutare a risolvere crimini violenti.
Un secondo allarme è arrivato il 21 luglio, quando MyHeritage, un sito di genealogia con sede in Israele, ha annunciato che alcuni dei suoi utenti erano stati sottoposti a un attacco di phishing per ottenere i loro dati di accesso al sito – apparentemente prendendo di mira indirizzi e-mail ottenuti nell’attacco a GEDmatch appena due giorni prima.
In una dichiarazione inviata via email a BuzzFeed News e pubblicata su Facebook, Verogen ha spiegato che l’improvviso smascheramento dei profili GEDmatch che avrebbero dovuto essere nascosti alle forze dell’ordine è stato “orchestrato attraverso un sofisticato attacco a uno dei nostri server tramite un account utente esistente.”
Pubblicità
“Come risultato di questa violazione, tutte le autorizzazioni degli utenti sono state resettate, rendendo tutti i profili visibili a tutti gli utenti. Questo è stato il caso per circa 3 ore”, ha detto la dichiarazione. “Durante questo periodo, gli utenti che non hanno optato per la corrispondenza delle forze dell’ordine erano disponibili per la corrispondenza delle forze dell’ordine e, viceversa, tutti i profili delle forze dell’ordine sono stati resi visibili agli utenti di GEDmatch.”
La genealogia genetica investigativa è esplosa sulla scena nell’aprile 2018 con l’arresto di Joseph James DeAngelo, presunto essere il Golden State Killer. DeAngelo si è dichiarato colpevole di 13 omicidi e ha ammesso decine di altri crimini il mese scorso. Gli investigatori avevano parzialmente abbinato il DNA trovato sulla scena di un duplice omicidio del 1980 ai profili su GEDmatch che appartenevano ai lontani parenti del colpevole. Attraverso una ricerca minuziosa, hanno costruito alberi genealogici che alla fine convergevano su DeAngelo.
Da allora, decine di presunti assassini e stupratori sono stati identificati in modo simile. Ma questo ha causato una grande spaccatura nel mondo della genealogia. Mentre alcuni genealogisti stanno ora lavorando con la polizia, altri sostengono che la privacy genetica è stata compromessa.
La soluzione di GEDmatch, che ha seguito un incidente controverso in cui il sito ha piegato le proprie regole per consentire alla polizia di indagare su un’aggressione violenta meno grave, era che gli utenti avrebbero dovuto esplicitamente scegliere la ricerca da parte delle forze dell’ordine. Circa 280.000 su 1,45 milioni di profili erano stati abilitati prima della violazione, secondo Verogen. La violazione di domenica ha cambiato le impostazioni in modo che tutti i 1,45 milioni di profili DNA sono stati optati per le ricerche delle forze dell’ordine.
Pubblicità
Genealogisti su entrambi i lati di questo dibattito fragile ha detto BuzzFeed News che temevano che le nuove violazioni della sicurezza avrebbe scoraggiato le persone a mettere i loro profili DNA on-line – danneggiando sia la comunità genealogica online e gli sforzi per risolvere i casi freddi.
“Questo è un livello completamente nuovo di male”, ha detto a BuzzFeed News Leah Larkin, una genealogista di Livermore, California, che è una sostenitrice schietta della privacy genetica.
“A lungo termine, se le persone decidono di avere meno fiducia in GEDmatch e questo porta a più cancellazioni di profili, non è una buona cosa”, ha detto a BuzzFeed News CeCe Moore, genealogista capo della società Parabon NanoLabs, che lavora con la polizia per risolvere i crimini violenti.
Non è chiaro se qualche profilo non autorizzato sia stato cercato dalle forze dell’ordine. Tuttavia, Moore ha detto a BuzzFeed News che il suo team, che è responsabile della maggior parte delle identificazioni di sospetti criminali fatte finora attraverso la genealogia genetica, era offline in quel momento. “
Il servizio normale di GEDmatch era ripreso brevemente dopo l’hack iniziale, ma il 20 luglio, Moore ha notato che i permessi su tutti i profili erano stati cambiati di nuovo, questa volta bloccando le ricerche delle forze dell’ordine in tutto il database, ma rendendo visibili i profili contrassegnati come “Ricerca”, che dovrebbero essere nascosti da tutte le ricerche.
Il sito è stato rapidamente messo offline e sostituito con il messaggio: “
“Stiamo lavorando con una società di cybersecurity per condurre una revisione forense completa e aiutarci a implementare le migliori misure di sicurezza possibili”, ha detto la dichiarazione di Verogen, che è stato rilasciato dopo il secondo incidente.
Pubblicità
La violazione è imbarazzante per Verogen, che gli utenti speravano avrebbe portato un approccio più professionale alla privacy genetica quando ha acquistato il sito sette mesi fa. Prima di Verogen, GEDmatch è stato fondato e gestito da due appassionati di genealogia amatoriale, Curtis Rogers e John Olson.
Ancora, la dichiarazione della società ha rassicurato gli utenti: “Nessun dato dell’utente è stato scaricato o compromesso.”
.