遗传信息遭攻击!DNA数据库黑客时代已经到来

遗传信息遭攻击!DNA数据库黑客时代已经到来
2020年08月27日 12:44 人工智能读芯术
图源:unsplash

GEDmatch是一种族谱工具,允许用户上传由基因检测服务(例如23andMe,Ancestry和MyHeritage)生成的DNA资料并搜索亲属。不久前,GEDmatch遭到了黑客的攻击,因而暂时允许警察搜索以前无法由执法部门访问的超过100万用户的个人资料。

从GEDmatch意识到这一漏洞,到将网站完全关闭花费了大约3小时。用户必须允许其个人资料纳入警方的搜索范围,但这一违规行为凌驾于隐私设置之上,并使网站上的用户档案对所有其他用户都可见,包括使用该网站的执法人员。

这一漏洞很可能会破坏用户对数据库的信任。该数据库已然成为悬案(比如备受瞩目的“金州杀手”案件)的执法工具,这也预示着也许即将会发生的事情:DNA数据库遭到更多的黑客入侵,其中包含大量极其隐私的信息,例如家庭关系,血统和潜在的健康风险。

“我们的银行一直在被嗅探,我们的DNA也可能会被嗅探,”遗传学家和遗传隐私倡导者利亚·拉金博士说,他经营着一家帮助人们寻找亲戚的DNA Geek公司。

图源:Tek图像/科学图片库/ Getty图像

圣地亚哥法医遗传学公司Verogen在去年12月收购了GEDmatch,在其网站7月20日发表的声明中说,没有证据表明在入侵期间有任何用户数据遭到破坏或下载。

但是在7月21日,基因检测公司MyHeritage在一篇博客文章中报道说,黑客似乎已经从GEDmatch检索了用户电子邮件,以便策划下一次攻击。MyHeritage说,作案者建立了一个假的MyHeritage网站,并向用户发送了一封钓鱼邮件,表面上是让他们登录该网站,实则是为了让黑客窃取密码。

至少有16人成了假网站的受害者。MyHeritage表示,他已经尝试联系收到钓鱼邮件的100多名用户。尚不清楚黑客是否使用这些密码来访问用户的MyHeritage帐户。

攻击的动机也不清楚。黑客可能一直在寻找密码,电子邮件或信用卡信息,也可能是想要获取家谱数据或遗传信息。

“任何一家公司的消费者资料都可能包含丰富的个人信息,”总部位于华盛顿特区的“未来隐私论坛”(Future ofPrivacy)的健康政策顾问拉切尔·亨德里克斯·斯特鲁普说,黑客攻击基因数据的一个可能的原因是伪造病人档案并提出欺诈性保险索赔。

如果从遗传数据中收集的敏感信息落入坏人手中,也可能被用于勒索或企业间谍活动。一个犯罪企业或许希望访问数据库以查明他们是否有亲属。即使数据库中有第二个或第三个表亲,警察也可以将罪犯与犯罪联系起来。

图源:unsplash

Verogen发言人说道,GEDmatch会对用户上传的DNA数据进行编码,然后删除原始DNA文件。但仍有大量的GEDmatch信息可能会引起黑客的兴趣。例如,你可以看到人们的家谱和用户共享的DNA数量。

查看家族联系的能力使GEDmatch成为强大的取证工具。为了找到“金州杀手”,警方从嫌疑犯那里上传了犯罪现场的DNA,并现场与其几名远亲进行了匹配。在那之后,研究人员与家谱学家BarbaraRae-Venter一起使用公开记录整理了他的家谱。

最终,他们确定了约瑟夫·詹姆斯·迪安杰洛为嫌疑犯。警方于2018年4月逮捕了他,上个月,迪安杰洛承认了他上世纪70和80年代在加州各地犯下的13起谋杀案。

发掘出GEDmatch在调查中的作用后,该网站的创始人更改了服务条款,以告知用户执法部门可以使用该数据库调查凶杀和强奸案。最初,它的所有用户都自动选择了进入执法部门的搜索。但当GEDmatch为一起暴力袭击案破例时,它因扩大数据库的用途以调查更广泛的犯罪而受到了抨击。

因此,GEDmatch改变了其策略,用户必须主动选择加入,以便在警方的搜索中显示他们的个人资料。Verogen说道,在目前的近150万用户中,约有28万选择了执法匹配。Verogen在其网站上表示,该数据库已用于解决70多个悬案。

但最近的入侵行为可能会危及该网站作为取证工具的有用性。数据库中选择参与执法匹配的人员越多,警察获得相对匹配并识别嫌疑犯的可能性就越大。与执法部门合作的家谱服务机构Identifinders International的创始人科琳·菲茨帕特里克博士说,这一入侵行为几乎肯定会导致一些用户在短期内从该站点删除他们的DNA资料,但她认为数据库最终会恢复。

她说:“我们生活的网络世界存在风险。既然发生了这种情况,安全性就会提高。”如果Verogen能够向用户保证它正在采取措施解决这些安全问题,那么人们将继续使用GEDmatch。

Verogen在得知这起事件后联系了联邦调查局,并通知了欧洲监管机构。该公司声称它正在与一家网络安全公司签订合同,该公司将提供持续的分析和监控,并推送安全协议,当该公司存在任何潜在的威胁时提醒它。GEDmatch于7月25日重新上线。

这不是GEDmatch的缺陷第一次被曝光。去年,遗传学家Graham Coop博士和Michael Edge博士警告GEDmatch和消费者基因检测公司,在允许上传DNA数据的网站上可能会出现隐私和安全问题。他们发现这有可能将一个人的大部分基因组拼凑在一起,或者挑选出具有与特定特征(如阿尔茨海默病)相关的基因变异的人。

在通知了这些公司之后,他们把他们的研究结果作为预印本发布在网上,然后继续让同行评审论文,并在1月份发表了。

图源:unsplash

华盛顿大学的另一个研究小组也在网上发布的一篇论文中警告GEDmatch存在一系列相关的隐私问题。研究人员说,有可能确定其他用户的精细遗传信息,也可以上传看起来像真人的假DNA档案。伪造的个人资料可能被用来冒充亲属,诈骗他人,或者掩盖嫌疑人的未经确认的DNA,从而使警方更难识别此人。

Edge说,大多数公司都非常重视隐私问题。“尽管他们不一定能完全消除我们提到的隐私风险,但他们确实考虑到了这些风险,并说明了已经采取了哪些措施来减轻风险。”

但值得注意的是,GEDmatch没有对加州大学戴维斯分校论文中提到的隐私问题做出回应。预印本问世后,他们做了一些积极的改变,但这些改变不足以保护隐私。

去年12月,Verogen收购GEDmatch时,该公司表示它增加了安全协议,以消除基于“已知漏洞”的攻击可能性。Verogen的一位发言人说:“去年年底我们执掌GEDmatch时,最担心的是通过向网站上传假工具包造成的安全威胁。这种类型的攻击过去曾使GEDmatch暴露在外,我们有努力消除这种性质的威胁。”

Edge说,他没有看到任何迹象表明最近的入侵行为与文件中概述的方法有关,任何人都可能遭遇黑客攻击。Fitzpatrick不相信黑客是在寻找基因数据,她认为他们这么做可能只是为了“制造恐慌的乐趣”。

但基因隐私倡导者拉金不这么肯定,如果真是这样的话,还有很多其他网站可以被黑客选择去进行攻击,她希望Verogen能够加强安全性,推出一份知情同意书,明确列出使用GEDmatch的风险。

图源:unsplash

她说:“我相信还会继续有黑客企图入侵,这将归结于如何确保这些数据库的安全。如果你知道如何使用这些数据,那么它是有价值的。”

而这一价值会起到什么样的作用或产生什么样的后果,取决于什么样的人掌握了它,这样的风险让我们不得不警惕。

财经自媒体联盟

新浪首页 语音播报 相关新闻 返回顶部