セキュリティ侵害により、大手系図データベースの 100 万人以上の DNA プロファイルが暴露される
7月19日、ウェブサイト GEDmatch を使って DNA 情報をアップロードし、家系図を埋める親族を探していた系図愛好家は、不愉快な驚きを味わいました。 このニュースは、昨年12月に GEDmatch を買収した法医学的遺伝学企業である Verogen が、凶悪犯罪の解決に遺伝的系図を使用することを基盤としたビジネスを追求しながら、ユーザーのプライバシーを保護すると説得する努力を台無しにするものでした。
2つ目の警告は7月21日、イスラエルに拠点を置く系図ウェブサイトMyHeritageが、一部のユーザーが同サイトへのログイン情報を得るためにフィッシング攻撃を受けたと発表したときで、ちょうど2日前のGEDmatchへの攻撃で得られた電子メールアドレスがターゲットになっていたようです。
BuzzFeedニュースに電子メールで送られ、Facebookに投稿された声明の中で、Verogenは、法執行機関から隠されていたはずのGEDmatchプロフィールが突然公開されたのは「既存のユーザーアカウントを通じて、当社のサーバーの1つに巧妙な攻撃を仕組んだ」のだと説明しています。
広告
この侵害の結果として、すべてのユーザー権限はリセットされ、すべてのプロフィールはすべてのユーザーに対して見える状態になったのです。 これは約3時間の間でした」と声明は述べています。 “この間、法執行機関のマッチングをオプトインしていないユーザーは法執行機関のマッチングに利用でき、逆にすべての法執行機関のプロフィールはGEDmatchユーザーに見えるようになりました。”
調査型遺伝子系図は2018年4月にゴールデンステートキラーとされるJoseph James DeAngeloの逮捕でシーンに爆発的に登場しました。 DeAngeloは先月、13件の殺人を認め、その他数十件の犯罪を認めた。 捜査当局は、1980年の二重殺人の現場で見つかったDNAと、犯人の遠縁に属するGEDmatchのプロフィールを部分的に照合していた。 丹念な調査によって、彼らは最終的に DeAngelo に収束する家系図を作り上げた。
それ以来、何十人もの殺人犯や強姦犯とされる人々が、同様の方法で特定されてきた。 しかし、このことは、系図の世界において大きな分裂を引き起こしました。 GEDmatch の解決策は、警察がそれほど重大ではない暴力的暴行を調査できるように、サイトが自らのルールを曲げたという物議を醸した事件を受け、ユーザーが法執行機関による検索を明示的に選択しなければならない、というものでした。 ヴェロゲンによると、145万人のプロフィールのうち約28万人は、ハッキング前にオプトインされていたとのこと。
広告 この対立する議論の両側の系図学者たちは、新しいセキュリティ違反が、人々が自分のDNAプロファイルをオンラインに置くことを躊躇させ、オンラインの系図コミュニティと未解決事件を解決する努力の両方に損害を与えることを恐れているとBuzzFeed Newsに語りました。
「これはまったく新しいレベルの悪事だ」と、カリフォルニア州リバモアの系図学者で、遺伝的プライバシーの率直な擁護者であるリア・ラーキン氏はBuzzFeed Newsに語っている。
「長期的には、人々がGEDmatchに対する信頼が薄れ、プロファイルの削除が増えると判断すれば、それは良いことではありません」と、警察と協力して暴力犯罪を解決するParabon NanoLabs社の主任系図学者、セセ・ムーア氏はBuzzFeed Newsに語った。
法律当局によって不正なプロファイルが検索されたかどうかは不明である。 しかし、ムーア氏はBuzzFeed Newsに対し、これまで遺伝子系図によってなされた犯罪容疑者の特定のほとんどを担っている彼女のチームは、そのときオフラインだったと語った。 「207>
最初のハッキングの後、GEDmatchの通常のサービスは一時的に再開されたが、7月20日、ムーア氏は、すべてのプロフィールのパーミッションが再び切り替えられていることに気づいた。今回はデータベース全体で警察による検索をブロックしたが、すべての検索から隠されるはずの「リサーチ」としてマークされたプロフィールは見えるようになっていたのだ。 このサイトはすぐにオフラインになり、「gedmatch サイトはメンテナンスのため停止しています – 現在 ETA はありません」
「私たちはサイバーセキュリティ会社と協力して、包括的なフォレンジック調査を行い、最善のセキュリティ対策を実施できるようにしています」と、Verogen の声明は、2 番目の事件の後で発表されました。 Verogen の前に、GEDmatch は Curtis Rogers と John Olson という 2 人のアマチュア系図愛好家によって設立・運営されていました。
それでも、会社の声明はユーザーを安心させました。 「ユーザー データがダウンロードされたり、危険にさらされたりしたことはありません」
。