Een beveiligingsinbreuk heeft meer dan een miljoen DNA-profielen op een grote genealogiedatabank blootgelegd

Op 19 juli kregen genealogieliefhebbers die de website GEDmatch gebruiken om hun DNA-informatie te uploaden en verwanten te vinden om hun stamboom mee in te vullen, een onaangename verrassing. Plotseling waren meer dan een miljoen DNA-profielen die waren verborgen voor agenten die de site gebruikten om gedeeltelijke overeenkomsten te vinden met DNA op de plaats delict, beschikbaar voor de politie om te doorzoeken.

Het nieuws heeft de inspanningen ondermijnd van Verogen, het forensisch genetische bedrijf dat afgelopen december GEDmatch kocht, om gebruikers ervan te overtuigen dat het hun privacy zou beschermen terwijl het een bedrijf nastreeft dat is gebaseerd op het gebruik van genetische genealogie om geweldsmisdrijven te helpen oplossen.

Een tweede alarm kwam op 21 juli, toen MyHeritage, een genealogie-website gevestigd in Israël, aankondigde dat sommige van haar gebruikers waren onderworpen aan een phishing-aanval om hun inloggegevens voor de site te verkrijgen – blijkbaar gericht op e-mailadressen die waren verkregen bij de aanval op GEDmatch slechts twee dagen eerder.

In een verklaring die naar BuzzFeed News werd gemaild en op Facebook werd geplaatst, legde Verogen uit dat de plotselinge ontmaskering van GEDmatch-profielen die werden verondersteld verborgen te zijn voor wetshandhaving “was georkestreerd door een geavanceerde aanval op een van onze servers via een bestaand gebruikersaccount.”

Advertentie

“Als gevolg van deze inbreuk werden alle gebruikersmachtigingen gereset, waardoor alle profielen zichtbaar werden voor alle gebruikers. Dit was gedurende ongeveer 3 uur het geval,” aldus de verklaring. “Gedurende deze tijd waren gebruikers die zich niet hadden aangemeld voor wetshandhavingsmatching beschikbaar voor wetshandhavingsmatching en, omgekeerd, werden alle wetshandhavingsprofielen zichtbaar gemaakt voor GEDmatch-gebruikers.”

Investerende genetische genealogie explodeerde op het toneel in april 2018 met de arrestatie van Joseph James DeAngelo, waarvan wordt beweerd dat hij de Golden State Killer is. DeAngelo pleitte vorige maand schuldig aan 13 moorden en gaf toe aan tientallen andere misdaden. Onderzoekers hadden DNA dat was gevonden op de plaats van een dubbele moord in 1980 gedeeltelijk gematcht met profielen op GEDmatch die toebehoorden aan verre familieleden van de dader. Door nauwgezet onderzoek bouwden zij een stamboom op die uiteindelijk uitkwam op DeAngelo.

Sindsdien zijn tientallen vermeende moordenaars en verkrachters op soortgelijke wijze geïdentificeerd. Maar dit heeft een grote verdeeldheid veroorzaakt in de genealogische wereld. Terwijl sommige genealogen nu samenwerken met de politie, stellen anderen dat de genetische privacy in het gedrang is gekomen.

De oplossing van GEDmatch, die volgde op een controversieel incident waarbij de site zijn eigen regels omboog om de politie in staat te stellen een minder ernstige gewelddadige aanranding te onderzoeken, was dat gebruikers expliciet zouden moeten kiezen voor het zoeken door de rechtshandhaving. Ongeveer 280.000 van de 1,45 miljoen profielen hadden voor de hack een opt-in gekregen, aldus Verogen. De inbreuk van zondag veranderde de instellingen zodat alle 1,45 miljoen DNA-profielen werden geopt-in voor zoekopdrachten door wetshandhavingsinstanties.

Advertentie

Genealogen aan beide zijden van dit breekbare debat vertelden BuzzFeed News dat ze vreesden dat de nieuwe beveiligingsinbreuken mensen zouden ontmoedigen om hun DNA-profielen online te zetten – wat zowel de online genealogiegemeenschap als inspanningen om cold cases op te lossen zou schaden.

“Dit is een heel nieuw niveau van slecht,” Leah Larkin, een genealoog in Livermore, Californië, die een uitgesproken voorstander is van genetische privacy, vertelde BuzzFeed News.

“Op de lange termijn, als mensen besluiten dat ze minder vertrouwen hebben in GEDmatch en het leidt tot meer verwijderingen van profielen, is dat geen goede zaak,” CeCe Moore, hoofdgenealoog bij het bedrijf Parabon NanoLabs, dat samenwerkt met de politie om geweldsmisdrijven op te lossen, vertelde BuzzFeed News.

Het is onduidelijk of er ongeautoriseerde profielen zijn doorzocht door de rechtshandhaving. Moore vertelde BuzzFeed News echter dat haar team, dat verantwoordelijk is voor de meeste identificaties van criminele verdachten die tot nu toe via genetische genealogie zijn gemaakt, op dat moment offline was. “We zagen niets dat we niet hadden mogen zien,” zei ze.

Normale service op GEDmatch was kort hervat na de initiële hack, maar op 20 juli merkte Moore dat de machtigingen op alle profielen opnieuw waren omgeschakeld, dit keer het blokkeren van rechtshandhaving zoekopdrachten over de hele database, maar het zichtbaar maken van profielen gemarkeerd als “Onderzoek,” die worden verondersteld verborgen te zijn voor alle zoekopdrachten.

De site werd snel offline gehaald en vervangen door de boodschap: “De gedmatch-site is down voor onderhoud – Momenteel geen ETA.”

“We werken samen met een cyberbeveiligingsbedrijf om een uitgebreid forensisch onderzoek uit te voeren en ons te helpen de best mogelijke beveiligingsmaatregelen te implementeren,” zei de verklaring van Verogen, die werd vrijgegeven na het tweede incident.

Advertentie

De inbreuk is gênant voor Verogen, waarvan gebruikers hoopten dat het een professionelere benadering van genetische privacy zou brengen toen het zeven maanden geleden de site kocht. Vóór Verogen werd GEDmatch opgericht en gerund door twee amateur-genealogieliefhebbers, Curtis Rogers en John Olson.

Toch stelde de verklaring van het bedrijf gebruikers gerust: “Er werden geen gebruikersgegevens gedownload of gecompromitteerd.”