一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料-风君雪科技博客

  据外媒 BuzzFeed News 报道,7 月 19 日,使用 GEDmatch 网站上传 DNA 信息、寻找亲属填写家谱的家谱爱好者们得到了一个不愉快的消息。突然间,一直被隐藏起来的 100 多万份 DNA 资料,被警察利用该网站找到与犯罪现场 DNA 部分匹配的资料,供警察搜索。

  这个消息破坏了去年 12 月收购 GEDmatch 的法医遗传学公司 Verogen 的努力,使用户相信它将保护他们的隐私,同时追求基于使用遗传谱系帮助解决暴力犯罪的业务。

  第二个警报发生在 7 月 21 日,总部位于以色列的家谱网站 MyHeritage 宣布,其部分用户受到钓鱼攻击,以获取他们在该网站的登录信息–显然是针对两天前 GEDmatch 被攻击时获得的电子邮件地址。

一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料-风君雪科技博客

  在一份通过电子邮件发给 BuzzFeed News 并发布在 Facebook 上的声明中,Verogen 解释说,本应对执法部门隐藏的 GEDmatch 资料突然被揭开,是 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的”。

  “由于这个漏洞,所有用户的权限被重置,使得所有用户都能看到所有的档案。这种情况大约持续了 3 个小时,”声明指出。“在此期间,没有选择参加执法匹配的用户可以进行执法匹配,反之,所有执法档案对 GEDmatch 用户可见。”

  2018 年 4 月,随着被指控为金州杀手的 Joseph James DeAngelo 被捕,调查性遗传系谱爆发了。DeAngelo 上个月承认了 13 起谋杀案,并承认了数十起其他罪行。调查人员在 1980 年的一起双重谋杀案现场发现的 DNA 与 GEDmatch 上属于凶手远亲的资料进行了部分匹配。通过艰苦的研究,他们建立了家族系谱,最终汇聚到了 DeAngelo 身上。

  此后,又有几十名涉嫌谋杀和强奸的人被以类似的方式确认。但这在家谱界引起了很大的分歧。虽然现在一些家谱学家正在与警方合作,但也有人认为,基因隐私已经受到了损害。

  在该网站为了让警方调查一起不太严重的暴力袭击事件而影响自己的规则后,GEDmatch 的解决方案是用户必须明确选择接受执法部门的搜索。根据 Verogen 的数据,在黑客攻击之前,145 万份资料中大约有 28 万份资料已经选择加入。周日的漏洞改变了设置,使 145 万份 DNA 资料都选择了执法部门的搜索。

  这场争论双方的家谱学家告诉 BuzzFeed 新闻,他们担心新的安全漏洞会阻止人们将他们的 DNA 档案放在网上–既伤害了在线家谱社区,也伤害了解决冷门案件的努力。“这是一个全新的坏境,”加利福尼亚州利弗莫尔的家谱学家 Leah Larkin 是一个直言不讳的基因隐私倡导者,他告诉 BuzzFeed News。

  “从长远来看,如果人们决定他们对 GEDmatch 的信心减少,并导致更多的个人资料被删除,这不是一件好事,”Parabon NanoLabs 公司的首席谱系学家 CeCe Moore 告诉 BuzzFeed 新闻,该公司与警方合作解决暴力犯罪。

  目前还不清楚是否有任何未经授权的资料被执法部门搜索过。然而,Moore 告诉 BuzzFeed News,她的团队负责迄今为止通过基因谱系对犯罪嫌疑人进行的大部分鉴定,当时处于离线状态。她表示:“我们没有看到任何不该看到的东西。”

  在最初的黑客攻击之后,GEDmatch 的正常服务曾短暂恢复,但在 7 月 20 日,Moore 注意到所有档案的权限又被调换了,这次是阻止了整个数据库中的执法搜索,但却让标记为 “研究 “的档案变得可见,而这些档案本应在所有搜索中被隐藏。

  网站很快就被下线了,取而代之的是一条信息。“gedmatch 网站已被关闭进行维护, 目前没有 ETA。”

  “我们正在与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”Verogen 在第二次事件发生后发布的声明中说。

  这次泄露事件让 Verogen 很尴尬,7 个月前 Verogen 收购该网站时,用户希望它能为基因隐私带来更专业的方法。在 Verogen 之前,GEDmatch 由两位业余家谱爱好者 Curtis Rogers 和 John Olson 创立并运营。不过,该公司的声明还是让用户放心:”没有用户数据被下载或泄露”。

一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料-风君雪科技博客

  这一结论在 7 月 21 日受到质疑,当时家谱网站 MyHeritage 警告其客户,那些在 GEDmatch 拥有账户的人被一封钓鱼邮件盯上了,该邮件将他们发送到一个域名为 myheritaqe.com 的虚假登录页面–该页面将 MyHeritage 中的 “g “替换为 “q”–以获取他们的用户名和密码。

  “由于 GEDmatch 在两天前遭遇了数据泄露,我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和姓名,以进行这种滥用行为,”MyHeritage 在一篇博客文章中指出。

  “我们发现,其中有 16 人已经成为该网站的受害者,并在其中输入了密码。到目前为止,这个数字可能更高。我们试图分别联系这些用户,警告他们再次更改密码,并在 MyHeritage 上设置双因素认证。”该公司表示。

  与 GEDmatch 不同,MyHeritage 不允许其数据库被警方使用。但没有证据表明这些黑客是由警察实施的,他们试图颠覆对执法搜索的限制。目前黑客攻击的动机尚不清楚。