安全漏洞暴露主要系谱数据库100多万份DNA档案

2020-07-23 04:57:00

约瑟夫·詹姆斯·迪安吉洛(中),被指控为金州杀手,于6月份出庭。刑事调查人员使用GEDMatch确认了DeAngelo的身份。

7月19日,使用GEDMatch网站上传自己的DNA信息并寻找亲人填写家谱的家谱爱好者得到了一个不愉快的惊喜。突然间,警方可以搜索100多万份隐藏起来的DNA图谱,这些DNA图谱是警方使用该网站查找与犯罪现场DNA部分匹配的。

这一消息削弱了去年12月收购GEDMatch的法医遗传学公司Verogen的努力,该公司试图让用户相信,它将保护用户的隐私,同时追求一项基于基因谱系帮助解决暴力犯罪的业务。

第二个警报出现在7月21日,总部位于以色列的家谱网站MyHeritage宣布,它的一些用户受到了网络钓鱼攻击,目的是获取他们在该网站的登录详细信息-显然是针对两天前在GEDMatch上的攻击中获得的电子邮件地址。

在通过电子邮件发送给BuzzFeed新闻并发布在Facebook上的一份声明中,Verogen解释说,突然揭开本应对执法部门隐藏的GEDMatch个人资料是“通过通过现有用户账户对我们的一台服务器进行复杂的攻击而策划的”。

“由于这次入侵,所有用户权限都被重置,所有用户都可以看到所有配置文件。这种情况持续了大约3个小时,“声明说。“在此期间,没有选择参与执法配对的用户可以进行执法配对,相反,GEDMatch用户可以看到所有执法配置文件。”

2018年4月,随着被指控为金州杀手的约瑟夫·詹姆斯·迪安吉洛(Joseph James DeAngelo)被捕,调查基因系谱爆炸式增长。上个月,迪安吉洛承认了13起谋杀案,并承认了数十起其他罪行。调查人员已经将1980年一起双重谋杀案现场发现的DNA与GEDMatch上属于肇事者远亲的个人资料进行了部分匹配。通过艰苦的研究,他们建立了家谱,最终汇聚在迪安吉洛。

从那时起,数十名被指控的谋杀犯和强奸犯也以类似的方式被确认。但这在家谱学界造成了很大的分歧。虽然一些系谱学家现在正在与警方合作,但另一些人认为基因隐私已经受到损害。

GEDMatch的解决方案是,用户必须明确选择接受执法部门的搜索。在一起有争议的事件发生后,GEDMatch修改了自己的规则,允许警方调查一起不那么严重的暴力袭击事件。根据Verogen的数据,在黑客攻击之前,145万个个人资料中约有28万个被选中。周日的入侵事件改变了设置,因此所有145万份DNA图谱都被选择用于执法搜查。

这场激烈辩论双方的系谱学家告诉BuzzFeed新闻,他们担心新的安全漏洞会阻碍人们将自己的DNA档案放到网上-这既会损害在线家谱社区,也会损害破获悬案的努力。

加州利弗莫尔的家谱学家莉亚·拉金(Leah Larkin)直言不讳地倡导遗传隐私,她告诉BuzzFeed新闻:“这是一个全新的糟糕水平。”

Parabon NanoLabs公司的首席系谱学家CeCe Moore告诉BuzzFeed News:“从长远来看,如果人们认为他们对GEDMatch没有信心,这会导致更多的个人资料被删除,这不是一件好事。”Parabon NanoLabs公司与警方合作解决暴力犯罪。

目前还不清楚执法部门是否搜查了任何未经授权的个人资料。然而,摩尔告诉BuzzFeed新闻,到目前为止,她的团队负责通过基因系谱确定大部分犯罪嫌疑人的身份,当时处于离线状态。“我们没有看到任何我们不应该看到的东西,”她说。

在最初的黑客攻击后,GEDMatch的正常服务曾短暂恢复,但在7月20日,摩尔注意到所有个人资料的权限再次被切换,这一次阻止了整个数据库的执法搜索,但使标记为“研究”的个人资料可见,这些个人资料本应对所有搜索隐藏。

该网站很快就离线了,取而代之的是一条消息:“GedMatch网站正在停机进行维护--目前没有预计到达时间。”

“我们正在与一家网络安全公司合作,进行全面的法医审查,并帮助我们实施尽可能好的安全措施,”维罗根在第二起事件后发布的声明称。

这起入侵事件让Verogen感到尴尬,用户在七个月前收购该网站时,曾希望该公司能为基因隐私带来更专业的方式。在Verogen之前,GEDMatch由两名业余家谱爱好者柯蒂斯·罗杰斯(Curtis Rogers)和约翰·奥尔森(John Olson)创立并运营。

尽管如此,该公司的声明向用户保证:“没有用户数据被下载或泄露。”

一封发送给MyHeritage用户的钓鱼电子邮件将他们发送到myheritaqe.com域名上的一个虚假登录页面。

这一结论在7月21日遭到质疑,当时家谱网站MyHeritage警告其客户,那些在GEDMatch拥有账户的人正成为一封钓鱼电子邮件的目标,这封电子邮件将他们发送到myheritaqe.com域名的一个虚假登录页面-该网站将MyHeritage中的“g”替换为“q”-以获取他们的用户名和密码。

MyHeritage在一篇博客文章中指出:“因为GEDMatch在两天前遭遇了数据泄露,我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和名字。”

“[W]我们发现其中16人已经成为该网站的受害者,并在网站上输入了他们的密码。现在这个数字可能会更高。我们试图单独联系这些用户,警告他们再次更改密码,并在MyHeritage上设置双因素身份验证。“该公司表示。

与GEDMatch不同,MyHeritage不允许警方使用其数据库。但没有证据表明,这些黑客攻击是由试图颠覆执法搜查限制的流氓警察实施的。

袭击的动机尚不清楚。科琳·菲茨帕特里克(Colleen Fitzpatrick)是一名系谱学家,也是与执法部门合作的Identifinders International的总裁。她说,她怀疑黑客是在“兜风”。

菲茨帕特里克在接受BuzzFeed新闻采访时表示:“他们看到了一些他们可以扰乱的东西,然后坐下来看新闻。”