Narušení bezpečnosti odhalilo více než milion profilů DNA ve velké genealogické databázi

Na 19. července čekalo genealogické nadšence, kteří používají webovou stránku GEDmatch k nahrávání informací o své DNA a vyhledávání příbuzných pro doplnění rodokmenu, nepříjemné překvapení. Najednou bylo policii k dispozici k prohledávání více než milion profilů DNA, které byly skryty před policisty využívajícími stránky k hledání částečných shod s DNA na místě činu.

Tato zpráva podkopala snahy společnosti Verogen, která se zabývá forenzní genetikou a která v prosinci loňského roku koupila GEDmatch, přesvědčit uživatele, že bude chránit jejich soukromí, zatímco bude provozovat podnikání založené na využívání genetické genealogie k řešení násilných trestných činů.

Druhý poplach přišel 21. července, kdy MyHeritage, genealogická webová stránka se sídlem v Izraeli, oznámila, že někteří její uživatelé byli vystaveni phishingovému útoku s cílem získat jejich přihlašovací údaje na stránku – zřejmě se zaměřili na e-mailové adresy získané při útoku na GEDmatch jen dva dny předtím.

V prohlášení zaslaném e-mailem serveru BuzzFeed News a zveřejněném na Facebooku společnost Verogen vysvětlila, že náhlé odhalení profilů GEDmatch, které měly být skryty před orgány činnými v trestním řízení, bylo „zorganizováno prostřednictvím sofistikovaného útoku na jeden z našich serverů prostřednictvím existujícího uživatelského účtu.“

Reklama

„V důsledku tohoto narušení byla resetována všechna uživatelská oprávnění, čímž se všechny profily staly viditelnými pro všechny uživatele. K tomu docházelo po dobu přibližně 3 hodin,“ uvádí se v prohlášení. „Během této doby byli uživatelé, kteří se nepřihlásili k porovnávání s orgány činnými v trestním řízení, k dispozici pro porovnávání s orgány činnými v trestním řízení a naopak všechny profily orgánů činných v trestním řízení byly viditelné pro uživatele služby GEDmatch.“

Vyšetřování genetické genealogie explodovalo na scéně v dubnu 2018 se zatčením Josepha Jamese DeAngela, údajného vraha z Golden State. DeAngelo se minulý měsíc přiznal k 13 vraždám a přiznal se k desítkám dalších zločinů. Vyšetřovatelé částečně porovnali DNA nalezenou na místě dvojnásobné vraždy z roku 1980 s profily na GEDmatch, které patřily pachatelovým vzdáleným příbuzným. Díky pečlivému výzkumu sestavili rodokmeny, které se nakonec sblížily s DeAngelem.

Od té doby byly podobným způsobem identifikovány desítky údajných vrahů a násilníků. To však způsobilo velký rozkol ve světě genealogie. Zatímco někteří genealogové nyní spolupracují s policií, jiní tvrdí, že bylo ohroženo genetické soukromí.

Řešení společnosti GEDmatch, které následovalo po kontroverzním incidentu, kdy stránka ohnula svá vlastní pravidla, aby umožnila policii vyšetřit méně závažný násilný útok, spočívalo v tom, že uživatelé budou muset výslovně souhlasit s vyhledáváním ze strany orgánů činných v trestním řízení. Podle společnosti Verogen bylo před hackerským útokem přihlášeno přibližně 280 000 z 1,45 milionu profilů. Nedělní narušení změnilo nastavení tak, že všech 1,45 milionu profilů DNA bylo přihlášeno k vyhledávání orgány činnými v trestním řízení.

Reklama

Genealogové na obou stranách této roztržité debaty sdělili serveru BuzzFeed News, že se obávají, že nové narušení bezpečnosti odradí lidi od toho, aby své profily DNA umisťovali na internet – což poškodí jak online genealogickou komunitu, tak úsilí o vyřešení odložených případů.

„Tohle je úplně nová úroveň špatnosti,“ řekla BuzzFeed News Leah Larkinová, genealožka z Livermoru v Kalifornii, která je otevřenou zastánkyní genetického soukromí.

„Z dlouhodobého hlediska, pokud se lidé rozhodnou, že mají menší důvěru v GEDmatch, a povede to k většímu počtu smazaných profilů, to není dobrá věc,“ řekla BuzzFeed News CeCe Mooreová, vedoucí genealožka společnosti Parabon NanoLabs, která spolupracuje s policií při řešení násilných trestných činů.

Není jasné, zda orgány činné v trestním řízení prohledávaly nějaké neoprávněné profily. Mooreová však pro BuzzFeed News uvedla, že její tým, který je zodpovědný za většinu identifikací podezřelých z trestných činů provedených doposud pomocí genetické genealogie, byl v té době offline. „Neviděli jsme nic, co bychom neměli,“ řekla.

Normální provoz na GEDmatch byl po prvním hackerském útoku krátce obnoven, ale 20. července si Mooreová všimla, že oprávnění všech profilů byla opět přepnuta, což tentokrát zablokovalo vyhledávání orgánů činných v trestním řízení v celé databázi, ale zviditelnilo profily označené jako „Research“, které mají být skryté před veškerým vyhledáváním.

Stránka byla rychle stažena z provozu a nahrazena zprávou: „

„Spolupracujeme s firmou zabývající se kybernetickou bezpečností, která provede komplexní forenzní analýzu a pomůže nám zavést nejlepší možná bezpečnostní opatření,“ uvádí se v prohlášení společnosti Verogen, které bylo zveřejněno po druhém incidentu.

Reklama

Narušení je pro společnost Verogen, která při koupi webu před sedmi měsíci doufala, že přinese profesionálnější přístup ke genetickému soukromí, nepříjemné. Před Verogenem GEDmatch založili a provozovali dva amatérští genealogičtí nadšenci Curtis Rogers a John Olson.

Přesto prohlášení společnosti uživatele uklidnilo: „Žádná uživatelská data nebyla stažena ani ohrožena.“

Gedmatch: „Žádná data nebyla stažena ani ohrožena.