據(jù)外媒 BuzzFeed News 報道，7 月 19 日，使用 GEDmatch 網(wǎng)站上傳 DNA 信息、尋找親屬填寫家譜的家譜愛好者們得到了一個不愉快的消息。突然間，一直被隱藏起來的 100 多萬份 DNA 資料，被警察利用該網(wǎng)站找到與犯罪現(xiàn)場 DNA 部分匹配的資料，供警察搜索。

　　這個消息破壞了去年 12 月收購 GEDmatch 的法醫(yī)遺傳學公司 Verogen 的努力，使用戶相信它將保護他們的隱私，同時追求基于使用遺傳譜系幫助解決暴力犯罪的業(yè)務。

　　第二個警報發(fā)生在 7 月 21 日，總部位于以色列的家譜網(wǎng)站 MyHeritage 宣布，其部分用戶受到釣魚攻擊，以獲取他們在該網(wǎng)站的登錄信息--顯然是針對兩天前 GEDmatch 被攻擊時獲得的電子郵件地址。

　　在一份通過電子郵件發(fā)給 BuzzFeed News 并發(fā)布在 Facebook 上的聲明中，Verogen 解釋說，本應對執(zhí)法部門隱藏的 GEDmatch 資料突然被揭開，是 “通過現(xiàn)有用戶賬戶對我們的一個服務器進行復雜的攻擊而策劃的”。

　　“由于這個漏洞，所有用戶的權限被重置，使得所有用戶都能看到所有的檔案。這種情況大約持續(xù)了 3 個小時，”聲明指出。“在此期間，沒有選擇參加執(zhí)法匹配的用戶可以進行執(zhí)法匹配，反之，所有執(zhí)法檔案對 GEDmatch 用戶可見。”

　　2018 年 4 月，隨著被指控為金州殺手的 Joseph James DeAngelo 被捕，調(diào)查性遺傳系譜爆發(fā)了。DeAngelo 上個月承認了 13 起謀殺案，并承認了數(shù)十起其他罪行。調(diào)查人員在 1980 年的一起雙重謀殺案現(xiàn)場發(fā)現(xiàn)的 DNA 與 GEDmatch 上屬于兇手遠親的資料進行了部分匹配。通過艱苦的研究，他們建立了家族系譜，最終匯聚到了 DeAngelo 身上。

　　此后，又有幾十名涉嫌謀殺和強奸的人被以類似的方式確認。但這在家譜界引起了很大的分歧。雖然現(xiàn)在一些家譜學家正在與警方合作，但也有人認為，基因隱私已經(jīng)受到了損害。

　　在該網(wǎng)站為了讓警方調(diào)查一起不太嚴重的暴力襲擊事件而影響自己的規(guī)則后，GEDmatch 的解決方案是用戶必須明確選擇接受執(zhí)法部門的搜索。根據(jù) Verogen 的數(shù)據(jù)，在黑客攻擊之前，145 萬份資料中大約有 28 萬份資料已經(jīng)選擇加入。周日的漏洞改變了設置，使 145 萬份 DNA 資料都選擇了執(zhí)法部門的搜索。

　　這場爭論雙方的家譜學家告訴 BuzzFeed 新聞，他們擔心新的安全漏洞會阻止人們將他們的 DNA 檔案放在網(wǎng)上--既傷害了在線家譜社區(qū)，也傷害了解決冷門案件的努力。“這是一個全新的壞境，”加利福尼亞州利弗莫爾的家譜學家 Leah Larkin 是一個直言不諱的基因隱私倡導者，他告訴 BuzzFeed News。

　　“從長遠來看，如果人們決定他們對 GEDmatch 的信心減少，并導致更多的個人資料被刪除，這不是一件好事，”Parabon NanoLabs 公司的首席譜系學家 CeCe Moore 告訴 BuzzFeed 新聞，該公司與警方合作解決暴力犯罪。

　　目前還不清楚是否有任何未經(jīng)授權的資料被執(zhí)法部門搜索過。然而，Moore 告訴 BuzzFeed News，她的團隊負責迄今為止通過基因譜系對犯罪嫌疑人進行的大部分鑒定，當時處于離線狀態(tài)。她表示：“我們沒有看到任何不該看到的東西。”

　　在最初的黑客攻擊之后，GEDmatch 的正常服務曾短暫恢復，但在 7 月 20 日，Moore 注意到所有檔案的權限又被調(diào)換了，這次是阻止了整個數(shù)據(jù)庫中的執(zhí)法搜索，但卻讓標記為 "研究 "的檔案變得可見，而這些檔案本應在所有搜索中被隱藏。

　　網(wǎng)站很快就被下線了，取而代之的是一條信息。“gedmatch 網(wǎng)站已被關閉進行維護， 目前沒有 ETA。”

　　“我們正在與一家網(wǎng)絡安全公司合作，進行全面的取證審查，并幫助我們實施最佳的安全措施。”Verogen 在第二次事件發(fā)生后發(fā)布的聲明中說。

　　這次泄露事件讓 Verogen 很尷尬，7 個月前 Verogen 收購該網(wǎng)站時，用戶希望它能為基因隱私帶來更專業(yè)的方法。在 Verogen 之前，GEDmatch 由兩位業(yè)余家譜愛好者 Curtis Rogers 和 John Olson 創(chuàng)立并運營。不過，該公司的聲明還是讓用戶放心："沒有用戶數(shù)據(jù)被下載或泄露"。

　　這一結論在 7 月 21 日受到質疑，當時家譜網(wǎng)站 MyHeritage 警告其客戶，那些在 GEDmatch 擁有賬戶的人被一封釣魚郵件盯上了，該郵件將他們發(fā)送到一個域名為 myheritaqe.com 的虛假登錄頁面--該頁面將 MyHeritage 中的 "g "替換為 "q"--以獲取他們的用戶名和密碼。

　　“由于 GEDmatch 在兩天前遭遇了數(shù)據(jù)泄露，我們懷疑肇事者就是通過這種方式獲得了他們的電子郵件地址和姓名，以進行這種濫用行為，”MyHeritage 在一篇博客文章中指出。

　　“我們發(fā)現(xiàn)，其中有 16 人已經(jīng)成為該網(wǎng)站的受害者，并在其中輸入了密碼。到目前為止，這個數(shù)字可能更高。我們試圖分別聯(lián)系這些用戶，警告他們再次更改密碼，并在 MyHeritage 上設置雙因素認證。”該公司表示。

　　與 GEDmatch 不同，MyHeritage 不允許其數(shù)據(jù)庫被警方使用。但沒有證據(jù)表明這些黑客是由警察實施的，他們試圖顛覆對執(zhí)法搜索的限制。目前黑客攻擊的動機尚不清楚。

總結

以上是生活随笔為你收集整理的一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。