A Security Breach Exposed More than One Million DNA Profiles On A Major Genealogy Database
19 lipca entuzjaści genealogii, którzy używają strony internetowej GEDmatch, aby przesłać swoje informacje DNA i znaleźć krewnych, aby wypełnić swoje drzewa genealogiczne, otrzymali niemiłą niespodziankę. Nagle, ponad milion profili DNA, które zostały ukryte przed policjantów korzystających z witryny, aby znaleźć częściowe dopasowania do DNA miejsca zbrodni były dostępne dla policji do search.
The news podważył wysiłki Verogen, genetyki sądowej firmy, która zakupiła GEDmatch w grudniu ubiegłego roku, aby przekonać użytkowników, że będzie chronić swoją prywatność podczas prowadzenia działalności opartej na wykorzystaniu genealogii genetycznej, aby pomóc rozwiązać brutalne przestępstwa.
Drugi alarm pojawił się 21 lipca, kiedy MyHeritage, witryna genealogiczna z siedzibą w Izraelu, ogłosiła, że niektórzy z jej użytkowników zostali poddani atakowi phishingowemu w celu uzyskania ich danych logowania do witryny – najwyraźniej kierując się adresami e-mail uzyskanymi w ataku na GEDmatch zaledwie dwa dni wcześniej.
W oświadczeniu przesłanym do BuzzFeed News i opublikowanym na Facebooku, Verogen wyjaśnił, że nagła demaskacja profili GEDmatch, które miały być ukryte przed organami ścigania, została „zaaranżowana poprzez wyrafinowany atak na jeden z naszych serwerów za pośrednictwem istniejącego konta użytkownika.”
Reklama
„W wyniku tego naruszenia, wszystkie uprawnienia użytkownika zostały zresetowane, dzięki czemu wszystkie profile były widoczne dla wszystkich użytkowników. Taka sytuacja miała miejsce przez około 3 godziny” – napisano w oświadczeniu. „W tym czasie użytkownicy, którzy nie zdecydowali się na dopasowanie egzekwowania prawa, byli dostępni dla dopasowania egzekwowania prawa i odwrotnie, wszystkie profile egzekwowania prawa stały się widoczne dla użytkowników GEDmatch.”
Genetyczna genealogia śledcza eksplodowała na scenę w kwietniu 2018 roku wraz z aresztowaniem Josepha Jamesa DeAngelo, rzekomo Golden State Killer. DeAngelo przyznał się do winy za 13 morderstw i przyznał się do dziesiątków innych przestępstw w zeszłym miesiącu. Śledczy częściowo dopasowali DNA znalezione na miejscu podwójnego morderstwa z 1980 roku do profili na GEDmatch, które należały do dalekich krewnych sprawcy. Poprzez żmudne badania, zbudowali drzewa genealogiczne, które w końcu zbiegły się do DeAngelo.
Od tego czasu, dziesiątki domniemanych morderców i gwałcicieli zostały zidentyfikowane w podobny sposób. Ale to spowodowało wielki rozłam w świecie genealogii. Podczas gdy niektórzy genealodzy współpracują teraz z policją, inni twierdzą, że prywatność genetyczna została naruszona.
Rozwiązanie GEDmatch, które nastąpiło po kontrowersyjnym incydencie, w którym witryna nagięła swoje własne zasady, aby umożliwić policji zbadanie mniej poważnego napadu z użyciem przemocy, było to, że użytkownicy musieliby wyraźnie zdecydować się na wyszukiwanie przez organy ścigania. Około 280.000 z 1,45 miliona profili zostało włączonych przed włamaniem, według Verogen. Niedzielne naruszenie zmieniło ustawienia tak, że wszystkie 1,45 miliona profili DNA zostały wybrane do wyszukiwania przez organy ścigania.
Reklama
Genealodzy po obu stronach tej burzliwej debaty powiedział BuzzFeed News, że obawiali się, że nowe naruszenia bezpieczeństwa zniechęci ludzi do umieszczania swoich profili DNA w Internecie – krzywdząc zarówno społeczności genealogicznej online i wysiłki w celu rozwiązania zimnych spraw.
„To jest zupełnie nowy poziom zła,” Leah Larkin, genealog w Livermore, Kalifornia, który jest zdecydowanym zwolennikiem prywatności genetycznej, powiedział BuzzFeed News.
„W dłuższej perspektywie, jeśli ludzie zdecydują, że mają mniej zaufania do GEDmatch i prowadzi do większej liczby usunięć profili, to nie jest dobra rzecz,” CeCe Moore, genealog prowadzący z firmą Parabon NanoLabs, która współpracuje z policją w celu rozwiązania brutalnych przestępstw, powiedział BuzzFeed News.
Nie jest jasne, czy jakiekolwiek nieautoryzowane profile zostały przeszukane przez organy ścigania. Jednak Moore powiedział BuzzFeed News, że jej zespół, który jest odpowiedzialny za większość identyfikacji podejrzanych o przestępstwa dokonane za pośrednictwem genealogii genetycznej do tej pory, był offline w tym czasie. „Nie widzieliśmy niczego, czego nie powinniśmy mieć”, powiedziała.
Normalna usługa w GEDmatch została na krótko wznowiona po początkowym włamaniu, ale 20 lipca Moore zauważyła, że uprawnienia na wszystkich profilach zostały ponownie przełączone, tym razem blokując wyszukiwania organów ścigania w całej bazie danych, ale czyniąc widocznymi profile oznaczone jako „Badania”, które mają być ukryte przed wszystkimi wyszukiwaniami.
Strona została szybko zdjęta z sieci i zastąpiona komunikatem: „The gedmatch site is down for maintenance – Currently No ETA.”
„Pracujemy z firmą zajmującą się bezpieczeństwem cybernetycznym, aby przeprowadzić kompleksowy przegląd kryminalistyczny i pomóc nam wdrożyć najlepsze możliwe środki bezpieczeństwa”, powiedziało oświadczenie Verogen, które zostało wydane po drugim incydencie.
Reklama
Naruszenie jest żenujące dla Verogen, którego użytkownicy mieli nadzieję, że przyniesie bardziej profesjonalne podejście do prywatności genetycznej, kiedy kupił stronę siedem miesięcy temu. Przed Verogen, GEDmatch został założony i prowadzony przez dwóch amatorów genealogii entuzjastów, Curtis Rogers i John Olson.
Still, oświadczenie firmy uspokoił użytkowników: „Żadne dane użytkowników nie zostały pobrane ani narażone na szwank”
.