Uma quebra de segurança expôs mais de um milhão de perfis de DNA em um grande banco de dados de genealogia

Em 19 de julho, os entusiastas da genealogia que usam o site GEDmatch para carregar suas informações de DNA e encontrar parentes para preencher suas árvores genealógicas tiveram uma surpresa desagradável. De repente, mais de um milhão de perfis de DNA que tinham sido escondidos de policiais usando o site para encontrar correspondências parciais com o DNA da cena do crime estavam disponíveis para a polícia pesquisar.

A notícia minou os esforços da Verogen, a empresa de genética forense que comprou a GEDmatch em dezembro passado, para convencer os usuários de que ela protegeria sua privacidade enquanto perseguia um negócio baseado no uso da genealogia genética para ajudar a resolver crimes violentos.

Um segundo alarme veio em 21 de julho, quando MyHeritage, um site de genealogia baseado em Israel, anunciou que alguns de seus usuários tinham sido submetidos a um ataque de phishing para obter seus detalhes de log-in para o site – aparentemente visando endereços de e-mail obtidos no ataque ao GEDmatch apenas dois dias antes.

Em uma declaração enviada por e-mail para o BuzzFeed News e publicada no Facebook, Verogen explicou que o súbito desmascaramento dos perfis do GEDmatch que supostamente seriam escondidos das forças da lei foi “orquestrado através de um ataque sofisticado em um dos nossos servidores através de uma conta de usuário existente”

Anúncio

“Como resultado dessa violação, todas as permissões dos usuários foram redefinidas, tornando todos os perfis visíveis para todos os usuários. Este foi o caso por aproximadamente 3 horas”, disse a declaração. “Durante esse tempo, os usuários que não optaram pela correspondência com a lei estavam disponíveis para correspondência com a lei e, inversamente, todos os perfis de aplicação da lei foram tornados visíveis para os usuários do GEDmatch”

Investigative genetic genealogy explodiu no local em abril de 2018 com a prisão de Joseph James DeAngelo, supostamente o Golden State Killer. DeAngelo confessou-se culpado de 13 assassinatos e admitido a dezenas de outros crimes no mês passado. Os investigadores tinham comparado parcialmente o ADN encontrado no local de um duplo homicídio de 1980 com perfis no GEDmatch que pertenciam aos parentes distantes do perpetrador. Através de pesquisa meticulosa, eles construíram árvores genealógicas que eventualmente convergiram para DeAngelo.

Desde então, dezenas de supostos assassinos e estupradores foram identificados de forma semelhante. Mas isto causou uma grande divisão dentro do mundo da genealogia. Enquanto alguns genealogistas estão agora trabalhando com a polícia, outros argumentam que a privacidade genética foi comprometida.

A solução do GEDmatch, que se seguiu a um incidente controverso no qual o site dobrou suas próprias regras para permitir que a polícia investigasse uma agressão violenta menos grave, era que os usuários teriam que optar explicitamente pela busca por parte das autoridades policiais. Segundo Verogen, cerca de 280.000 dos 1,45 milhões de perfis haviam sido optados antes do hack. A quebra de domingo mudou as configurações para que todos os 1,45 milhões de perfis de DNA tivessem sido optados por buscas pela aplicação da lei.

Anúncio

Os geneticistas de ambos os lados deste debate fraturado disseram ao BuzzFeed News que temiam que as novas violações de segurança desencorajassem as pessoas de colocar seus perfis de DNA online – prejudicando tanto a comunidade de genealogia online quanto os esforços para resolver casos frios.

“Este é um nível totalmente novo de mau”, disse Leah Larkin, uma genealogista em Livermore, Califórnia, que é uma defensora sincera da privacidade genética, ao BuzzFeed News.

“A longo prazo, se as pessoas decidirem que têm menos confiança no GEDmatch e isso leva a mais deleções de perfis, isso não é uma coisa boa”, disse CeCe Moore, genealogista líder da empresa Parabon NanoLabs, que trabalha com a polícia para resolver crimes violentos, ao BuzzFeed News.

Não está claro se algum perfil não autorizado foi pesquisado pelas autoridades policiais. No entanto, Moore disse ao BuzzFeed News que sua equipe, que é responsável pela maioria das identificações de suspeitos de crimes feitas através da genealogia genética até o momento, estava offline na época. “Nós não vimos nada que não deveríamos ter”, disse ela.

O serviço normal no GEDmatch foi brevemente retomado após o hack inicial, mas em 20 de julho, Moore notou que as permissões em todos os perfis foram trocadas novamente, desta vez bloqueando as buscas por toda a base de dados, mas tornando os perfis visíveis marcados como “Pesquisa”, que supostamente são escondidos de todas as buscas.

O site foi rapidamente retirado do ar e substituído pela mensagem: “O site do gedmatch está em baixa para manutenção – Atualmente Sem ETA”

“Estamos trabalhando com uma empresa de cibersegurança para realizar uma revisão forense abrangente e nos ajudar a implementar as melhores medidas de segurança possíveis”, disse a declaração de Verogen, que foi divulgada após o segundo incidente.

Anúncio

A violação é embaraçosa para Verogen, que os usuários esperavam trazer uma abordagem mais profissional à privacidade genética quando ele comprou o site há sete meses. Antes da Verogen, a GEDmatch foi fundada e dirigida por dois entusiastas da genealogia amadora, Curtis Rogers e John Olson.

>

Ainda isso, a declaração da empresa tranquilizou os usuários: “Nenhum dado de usuário foi baixado ou comprometido.”