Ett säkerhetsbrott avslöjade mer än en miljon DNA-profiler i en stor släktforskningsdatabas

Den 19 juli fick släktforskningsentusiaster som använder webbplatsen GEDmatch för att ladda upp sin DNA-information och hitta släktingar för att fylla i sina släktträd en obehaglig överraskning. Plötsligt var mer än en miljon DNA-profiler som hade varit dolda för poliser som använde webbplatsen för att hitta partiella överensstämmelser med DNA från brottsplatser tillgängliga för polisen att söka i.

Nyheten har undergrävt de ansträngningar som Verogen, det rättsgenetiska genetiska företag som köpte GEDmatch i december förra året, har gjort för att övertyga användarna om att de skulle skydda deras privatliv samtidigt som de bedriver en verksamhet som bygger på att använda genetisk släktforskning för att hjälpa till att lösa våldsbrott.

Ett andra larm kom den 21 juli när MyHeritage, en släktforskningswebbplats baserad i Israel, meddelade att några av dess användare hade utsatts för en phishing-attack för att få fram sina inloggningsuppgifter till webbplatsen – uppenbarligen med hjälp av e-postadresser som erhållits vid attacken mot GEDmatch bara två dagar tidigare.

I ett uttalande som skickades till BuzzFeed News och publicerades på Facebook förklarade Verogen att den plötsliga avslöjandet av GEDmatch-profiler som skulle vara dolda för brottsbekämpande myndigheter ”iscensattes genom en sofistikerad attack på en av våra servrar via ett befintligt användarkonto”.

Annons

”Som ett resultat av detta intrång återställdes alla användarbehörigheter, vilket gjorde att alla profiler blev synliga för alla användare. Detta var fallet i ungefär tre timmar”, står det i uttalandet. ”Under den här tiden var användare som inte valde att matcha lagtillämpare tillgängliga för matchning av lagtillämpare och omvänt gjordes alla profiler från lagtillämpare synliga för GEDmatch-användare.”

Insökande genetisk släktforskning exploderade på scenen i april 2018 i och med gripandet av Joseph James DeAngelo, som påstods vara Golden State-killern. DeAngelo erkände sig skyldig till 13 mord och erkände dussintals andra brott förra månaden. Utredarna hade delvis matchat DNA som hittats på platsen för ett dubbelmord 1980 med profiler på GEDmatch som tillhörde gärningsmannens avlägsna släktingar. Genom noggrann forskning byggde de upp släktträd som till slut ledde till DeAngelo.

Sedan dess har dussintals påstådda mördare och våldtäktsmän identifierats på ett liknande sätt. Men detta har orsakat en stor splittring inom släktforskningsvärlden. Medan vissa släktforskare nu samarbetar med polisen, hävdar andra att den genetiska integriteten har äventyrats.

GEDmatchs lösning, som följde på en kontroversiell incident där sajten tänjde på sina egna regler för att låta polisen utreda en mindre allvarlig våldsam misshandel, var att användarna uttryckligen måste välja att tillåta att brottsbekämpande myndigheter gör sökningar. Enligt Verogen hade cirka 280 000 av 1,45 miljoner profiler valts in före hackningen. Söndagens intrång ändrade inställningarna så att alla 1,45 miljoner DNA-profiler var godkända för sökningar av brottsbekämpande myndigheter.

Annons

Genealoger på båda sidor av denna bråkiga debatt berättade för BuzzFeed News att de fruktade att de nya säkerhetsbrotten skulle avskräcka människor från att lägga ut sina DNA-profiler på nätet – vilket skulle skada både släktforskningsgemenskapen på nätet och ansträngningarna för att lösa kalla fall.

”Det här är en helt ny nivå av dåligt”, sade Leah Larkin, en släktforskare i Livermore, Kalifornien, som är en uttalad förespråkare för genetisk integritet, till BuzzFeed News.

”På lång sikt, om folk bestämmer sig för att de har mindre förtroende för GEDmatch och det leder till fler raderingar av profiler, är det inte bra”, sa CeCe Moore, ledande släktforskare på företaget Parabon NanoLabs, som samarbetar med polisen för att lösa våldsbrott, till BuzzFeed News.

Det är oklart om några obehöriga profiler söktes av brottsbekämpande myndigheter. Moore berättade dock för BuzzFeed News att hennes team, som är ansvarigt för de flesta identifieringar av brottsmisstänkta som hittills gjorts med hjälp av genetisk genealogi, var offline vid tillfället. ”Vi såg ingenting som vi inte borde ha sett”, sade hon.

Normal service på GEDmatch hade kortvarigt återupptagits efter det första hacket, men den 20 juli märkte Moore att behörigheterna för alla profiler hade bytts om igen, och den här gången blockerade de brottsbekämpande myndigheterna sökningar i hela databasen, men synliggjorde profiler märkta med ”Research”, som är tänkta att döljas från alla sökningar.

Sajten togs snabbt ur bruk och ersattes med meddelandet: ”The gedmatch site is down for maintenance – Currently No ETA.”

”We are working with a cybersecurity firm to conduct a comprehensive forensic review and help us implement the best possible security measures”, said Verogen’s statement, which was released after the second incident.

Advertisement

Inbrottet är pinsamt för Verogen, som användarna hoppades skulle ha ett mer professionellt förhållningssätt till den genetiska integriteten när de köpte webbplatsen för sju månader sedan. Innan Verogen grundades och drevs GEDmatch av två amatörgenealogientusiaster, Curtis Rogers och John Olson.

Företaget försäkrade ändå användarna i sitt uttalande: ”Inga användardata har laddats ner eller äventyrats.”