一個安全漏洞暴露了家譜數據庫GEDmatch中超過100萬份DNA資料

一個安全漏洞暴露了家譜數據庫GEDmatch中超過100萬份DNA資料

Comments 0 Comment

據外媒BuzzFeed News報導,7月19日,使用GEDmatch網站上傳DNA信息、尋找親屬填寫家譜的家譜愛好者們得到了一個不愉快的消息。突然間,一直被隱藏起來的100多萬份DNA資料,被警察利用該網站找到與犯罪現場DNA部分匹配的資料,供警察搜索。

這個消息破壞了去年12月收購GEDmatch的法醫遺傳學公司Verogen的努力,使用戶相信它將保護他們的隱私,同時追求基於使用遺傳譜系幫助解決暴力犯罪的業務。

第二個警報發生在7月21日,總部位於以色列的家譜網站MyHeritage宣布,其部分用戶受到釣魚攻擊,以獲取他們在該網站的登錄信息–顯然是針對兩天前GEDmatch被攻擊時獲得的電子郵件地址。

DUS4K53)~8_[SYUJO%YCMCN.png

在一份通過電子郵件發給BuzzFeed News並發佈在Facebook上的聲明中,Verogen解釋說,本應對執法部門隱藏的GEDmatch資料突然被揭開,是“通過現有用戶賬戶對我們的一個服務器進行複雜的攻擊而策劃的”。

“由於這個漏洞,所有用戶的權限被重置,使得所有用戶都能看到所有的檔案。這種情況大約持續了3個小時,”聲明指出。“在此期間,沒有選擇參加執法匹配的用戶可以進行執法匹配,反之,所有執法檔案對GEDmatch用戶可見。”

2018年4月,隨著被指控為金州殺手的Joseph James DeAngelo被捕,調查性遺傳系譜爆發了。DeAngelo上個月承認了13起謀殺案,並承認了數十起其他罪行。調查人員在1980年的一起雙重謀殺案現場發現的DNA與GEDmatch上屬於兇手遠親的資料進行了部分匹配。通過艱苦的研究,他們建立了家族系譜,最終匯聚到了DeAngelo身上。

此後,又有幾十名涉嫌謀殺和強奸的人被以類似的方式確認。但這在家譜界引起了很大的分歧。雖然現在一些家譜學家正在與警方合作,但也有人認為,基因隱私已經受到了損害。

在該網站為了讓警方調查一起不太嚴重的暴力襲擊事件而影響自己的規則後,GEDmatch的解決方案是用戶必須明確選擇接受執法部門的搜索。根據Verogen的數據,在黑客攻擊之前,145萬份資料中大約有28萬份資料已經選擇加入。週日的漏洞改變了設置,使145萬份DNA資料都選擇了執法部門的搜索。

這場爭論雙方的家譜學家告訴BuzzFeed新聞,他們擔心新的安全漏洞會阻止人們將他們的DNA檔案放在網上–既傷害了在線家譜社區,也傷害了解決冷門案件的努力。“這是一個全新的壞境,”加利福尼亞州利弗莫爾的家譜學家Leah Larkin是一個直言不諱的基因隱私倡導者,他告訴BuzzFeed News。

“從長遠來看,如果人們決定他們對GEDmatch的信心減少,並導致更多的個人資料被刪除,這不是一件好事,”Parabon NanoLabs公司的首席譜系學家CeCe Moore告訴BuzzFeed新聞,該公司與警方合作解決暴力犯罪。

目前還不清楚是否有任何未經授權的資料被執法部門搜索過。然而,Moore告訴BuzzFeed News,她的團隊負責迄今為止通過基因譜係對犯罪嫌疑人進行的大部分鑑定,當時處於離線狀態。她表示:“我們沒有看到任何不該看到的東西。”

在最初的黑客攻擊之後,GEDmatch的正常服務曾短暫恢復,但在7月20日,Moore注意到所有檔案的權限又被調換了,這次是阻止了整個數據庫中的執法搜索,但卻讓標記為”研究”的檔案變得可見,而這些檔案本應在所有搜索中被隱藏。

網站很快就被下線了,取而代之的是一條信息。“gedmatch網站已被關閉進行維護, 目前沒有ETA。”

“我們正在與一家網絡安全公司合作,進行全面的取證審查,並幫助我們實施最佳的安全措施。”Verogen在第二次事件發生後發布的聲明中說。

這次洩露事件讓Verogen很尷尬,7個月前Verogen收購該網站時,用戶希望它能為基因隱私帶來更專業的方法。在Verogen之前,GEDmatch由兩位業餘家譜愛好者Curtis Rogers和John Olson創立並運營。不過,該公司的聲明還是讓用戶放心:”沒有用戶數據被下載或洩露”。

2[EB[(8SC)AB7)YQ{J~M(BI.png

這一結論在7月21日受到質疑,當時家譜網站MyHeritage警告其客戶,那些在GEDmatch擁有賬戶的人被一封釣魚郵件盯上了,該郵件將他們發送到一個域名為myheritaqe.com的虛假登錄頁面–該頁面將MyHeritage中的”g “替換為”q”–以獲取他們的用戶名和密碼。

“由於GEDmatch在兩天前遭遇了數據洩露,我們懷疑肇事者就是通過這種方式獲得了他們的電子郵件地址和姓名,以進行這種濫用行為,”MyHeritage在一篇博客文章中指出。

“我們發現,其中有16人已經成為該網站的受害者,並在其中輸入了密碼。到目前為止,這個數字可能更高。我們試圖分別聯繫這些用戶,警告他們再次更改密碼,並在MyHeritage上設置雙因素認證。”該公司表示。

與GEDmatch不同,MyHeritage不允許其數據庫被警方使用。但沒有證據表明這些黑客是由警察實施的,他們試圖顛覆對執法搜索的限制。目前黑客攻擊的動機尚不清楚。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料