O breșă de securitate a expus peste un milion de profiluri ADN dintr-o importantă bază de date de genealogie
La 19 iulie, pasionații de genealogie care folosesc site-ul GEDmatch pentru a-și încărca informațiile ADN și pentru a găsi rude care să le completeze arborele genealogic au avut o surpriză neplăcută. Dintr-o dată, mai mult de un milion de profiluri ADN care fuseseră ascunse polițiștilor care foloseau site-ul pentru a găsi potriviri parțiale cu ADN-ul de la locul crimei erau disponibile pentru ca poliția să le caute.
Noiala a subminat eforturile Verogen, compania de genetică criminalistică care a cumpărat GEDmatch în decembrie anul trecut, de a convinge utilizatorii că le va proteja confidențialitatea în timp ce desfășoară o afacere bazată pe utilizarea genealogiei genetice pentru a ajuta la rezolvarea crimelor violente.
Un al doilea semnal de alarmă a venit pe 21 iulie, când MyHeritage, un site de genealogie cu sediul în Israel, a anunțat că unii dintre utilizatorii săi au fost supuși unui atac de phishing pentru a obține detaliile de conectare la site – aparent vizând adresele de e-mail obținute în atacul asupra GEDmatch cu doar două zile înainte.
Într-o declarație trimisă prin e-mail către BuzzFeed News și postată pe Facebook, Verogen a explicat că demascarea bruscă a profilurilor GEDmatch, care ar fi trebuit să fie ascunse de forțele de ordine, a fost „orchestrată printr-un atac sofisticat asupra unuia dintre serverele noastre prin intermediul unui cont de utilizator existent.”
Publicitate
„Ca urmare a acestei breșe, toate permisiunile utilizatorilor au fost resetate, ceea ce a făcut ca toate profilurile să fie vizibile pentru toți utilizatorii. Acest lucru a fost valabil timp de aproximativ 3 ore”, se arată în comunicat. „În acest timp, utilizatorii care nu au optat pentru potrivirea cu forțele de ordine au fost disponibili pentru potrivirea cu forțele de ordine și, invers, toate profilurile forțelor de ordine au devenit vizibile pentru utilizatorii GEDmatch.”
Genealogia genetică de investigație a explodat pe scenă în aprilie 2018, odată cu arestarea lui Joseph James DeAngelo, presupus a fi Golden State Killer. Luna trecută, DeAngelo a pledat vinovat pentru 13 crime și a recunoscut zeci de alte infracțiuni. Anchetatorii făcuseră o potrivire parțială a ADN-ului găsit la locul unei duble crime din 1980 cu profiluri de pe GEDmatch care aparțineau rudelor îndepărtate ale autorului crimei. Prin cercetări minuțioase, ei au construit arbori genealogici care au convergent în cele din urmă spre DeAngelo.
De atunci, zeci de presupuși criminali și violatori au fost identificați într-un mod similar. Dar acest lucru a provocat o mare divizare în lumea genealogiei. În timp ce unii genealogiști colaborează acum cu poliția, alții susțin că intimitatea genetică a fost compromisă.
Soluția oferită de GEDmatch, care a urmat unui incident controversat în care site-ul și-a îndoit propriile reguli pentru a permite poliției să investigheze o agresiune violentă mai puțin gravă, a fost aceea că utilizatorii ar trebui să opteze în mod explicit pentru căutarea de către forțele de ordine. Aproximativ 280.000 din cele 1,45 milioane de profiluri fuseseră optate înainte de hacking, potrivit Verogen. Breșa de securitate de duminică a schimbat setările astfel încât toate cele 1,45 milioane de profiluri ADN au fost optate pentru căutări de către forțele de ordine.
Publicitate
Genealogiștii din ambele părți ale acestei dezbateri fracționate au declarat pentru BuzzFeed News că se tem că noile breșe de securitate vor descuraja oamenii să își pună profilurile ADN online – afectând atât comunitatea de genealogie online, cât și eforturile de rezolvare a cazurilor nerezolvate.
„Acesta este un nou nivel de rău”, a declarat pentru BuzzFeed News Leah Larkin, o genealogistă din Livermore, California, care este o susținătoare declarată a confidențialității genetice.
„Pe termen lung, dacă oamenii decid că au mai puțină încredere în GEDmatch și acest lucru duce la mai multe ștergeri de profiluri, nu este un lucru bun”, a declarat pentru BuzzFeed News CeCe Moore, genealogist principal la compania Parabon NanoLabs, care colaborează cu poliția pentru a rezolva infracțiuni violente.
Nu este clar dacă profilurile neautorizate au fost căutate de către forțele de ordine. Cu toate acestea, Moore a declarat pentru BuzzFeed News că echipa sa, care este responsabilă pentru majoritatea identificărilor de suspecți de infracțiuni făcute prin genealogie genetică până în prezent, era offline în acel moment. „Nu am văzut nimic din ceea ce nu ar fi trebuit să vedem”, a spus ea.
Serviciul normal la GEDmatch a fost reluat pentru scurt timp după hackingul inițial, dar pe 20 iulie, Moore a observat că permisiunile pentru toate profilurile fuseseră schimbate din nou, de data aceasta blocând căutările forțelor de ordine în întreaga bază de date, dar făcând vizibile profilurile marcate ca „Cercetare”, care ar trebui să fie ascunse de toate căutările.
Site-ul a fost rapid scos din funcțiune și înlocuit cu mesajul: „The gedmatch site is down for maintenance – Currently No ETA.”
„Lucrăm cu o firmă de securitate cibernetică pentru a efectua o analiză criminalistică cuprinzătoare și pentru a ne ajuta să implementăm cele mai bune măsuri de securitate posibile”, se arată în declarația Verogen, care a fost publicată după cel de-al doilea incident.
Publicitate
Infracțiunea este jenantă pentru Verogen, despre care utilizatorii au sperat că va aduce o abordare mai profesionistă a confidențialității genetice atunci când a cumpărat site-ul în urmă cu șapte luni. Înainte de Verogen, GEDmatch a fost fondat și condus de doi amatori pasionați de genealogie, Curtis Rogers și John Olson.
Cu toate acestea, declarația companiei i-a liniștit pe utilizatori: „Nu au fost descărcate sau compromise datele utilizatorilor.”
.