据外媒 Techspot 报道,像 GEDmatch 这样的私人 DNA 剖析公司通过向人们提供探索其家族史和健康风险的能力而大受欢迎。最近,这些公司中的许多公司开始向法医基因组学市场扩张,为执法部门建立 DNA 档案,但往往没有一个坚实的网络安全策略来保护用户的数据。7 月 19 日,一起重大安全漏洞事件促使 DNA 分析服务 GEDmatch 的所有者将网站下线。
经过初步调查,他们发现有一个 DNA 资料的宝库被提供给执法部门搜索(并延伸到该服务的所有其他用户)。该事件暴露了其数据库中不少于 130 万条 DNA 记录。该公司在其 Facebook 页面上证实了这一点,并将其描述为 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的安全漏洞”。
GEDmatch 允许用户上传他们的 DNA 资料,以帮助追溯他们的祖先树。漏洞的发生是由于用户可以选择与执法部门分享他们的数据。这本来是一种隐私控制,因为该服务在 2018 年被用来寻找臭名昭著的 “金州杀手 “的身份。
该公司在一份公开声明中解释说,这次泄露事件只是导致用户权限被重置,没有实际的用户数据被泄露或下载。然而,DNA 测试公司 MyHeritage 周二报告称,其用户已经成为钓鱼攻击的目标,可能与 GEDmatch 事件有关。
攻击者创建了一个名为 myheritaqe.com 的假网站(与 myheritage.com 几乎没有区别),并利用电子邮件活动吸引人们前往该网站,并获得他们的登录信息。MyHeritage 在联系了几位收到邮件的人后,发现他们都是 GEDmatch 的用户,他们的邮件地址和姓名都已经被泄露。
MyHeritage 建议用户设置双因素认证,并指出攻击者可能很快就会针对 23andMe 和 Ancestry 等其他家谱服务。与此同时,GEDmatch 的网站已经关闭,直到公司能够 “绝对确定用户数据受到保护,不受潜在攻击。我们正在与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”
拥有 GEDmatch 的公司 Verogen 表示,在攻击发生之前,只有 28 万用户选择与执法部门分享他们的数据。在周日的泄露事件中,其他人都在不知情的情况下被选择了,这可能会降低对家谱服务的整体信任度。
加州大学法律教授的 Elizabeth Joh 告诉 TechCrunch:“这不仅仅是 GEDmatch 的问题:一个遗传家谱数据库的隐私泄露凸显了在公民自由的新舞台上,对最敏感信息的监管保障措施严重不足。”
虽然像 MyHeritage 这样的服务不会与当局分享民众的 DNA 资料,但其他公司却热衷于将其出售给 FBI 等机构。像 FamilyTreeDNA 这样的公司则进一步凸显了这个问题,他们实行的是一种选择退出的方式,并认为这是防止虚假定罪的一种方式。
最新评论