據(jù)外媒 BuzzFeed News 報(bào)道，7 月 19 日，使用 GEDmatch 網(wǎng)站上傳 DNA 信息、尋找親屬填寫家譜的家譜愛好者們得到了一個(gè)不愉快的消息。突然間，一直被隱藏起來的 100 多萬份 DNA 資料，被警察利用該網(wǎng)站找到與犯罪現(xiàn)場 DNA 部分匹配的資料，供警察搜索。

　　這個(gè)消息破壞了去年 12 月收購 GEDmatch 的法醫(yī)遺傳學(xué)公司 Verogen 的努力，使用戶相信它將保護(hù)他們的隱私，同時(shí)追求基于使用遺傳譜系幫助解決暴力犯罪的業(yè)務(wù)。

　　第二個(gè)警報(bào)發(fā)生在 7 月 21 日，總部位于以色列的家譜網(wǎng)站 MyHeritage 宣布，其部分用戶受到釣魚攻擊，以獲取他們?cè)谠摼W(wǎng)站的登錄信息--顯然是針對(duì)兩天前 GEDmatch 被攻擊時(shí)獲得的電子郵件地址。

　　在一份通過電子郵件發(fā)給 BuzzFeed News 并發(fā)布在 Facebook 上的聲明中，Verogen 解釋說，本應(yīng)對(duì)執(zhí)法部門隱藏的 GEDmatch 資料突然被揭開，是 “通過現(xiàn)有用戶賬戶對(duì)我們的一個(gè)服務(wù)器進(jìn)行復(fù)雜的攻擊而策劃的”。

　　“由于這個(gè)漏洞，所有用戶的權(quán)限被重置，使得所有用戶都能看到所有的檔案。這種情況大約持續(xù)了 3 個(gè)小時(shí)，”聲明指出。“在此期間，沒有選擇參加執(zhí)法匹配的用戶可以進(jìn)行執(zhí)法匹配，反之，所有執(zhí)法檔案對(duì) GEDmatch 用戶可見。”

　　2018 年 4 月，隨著被指控為金州殺手的 Joseph James DeAngelo 被捕，調(diào)查性遺傳系譜爆發(fā)了。DeAngelo 上個(gè)月承認(rèn)了 13 起謀殺案，并承認(rèn)了數(shù)十起其他罪行。調(diào)查人員在 1980 年的一起雙重謀殺案現(xiàn)場發(fā)現(xiàn)的 DNA 與 GEDmatch 上屬于兇手遠(yuǎn)親的資料進(jìn)行了部分匹配。通過艱苦的研究，他們建立了家族系譜，最終匯聚到了 DeAngelo 身上。

　　此后，又有幾十名涉嫌謀殺和強(qiáng)奸的人被以類似的方式確認(rèn)。但這在家譜界引起了很大的分歧。雖然現(xiàn)在一些家譜學(xué)家正在與警方合作，但也有人認(rèn)為，基因隱私已經(jīng)受到了損害。

　　在該網(wǎng)站為了讓警方調(diào)查一起不太嚴(yán)重的暴力襲擊事件而影響自己的規(guī)則后，GEDmatch 的解決方案是用戶必須明確選擇接受執(zhí)法部門的搜索。根據(jù) Verogen 的數(shù)據(jù)，在黑客攻擊之前，145 萬份資料中大約有 28 萬份資料已經(jīng)選擇加入。周日的漏洞改變了設(shè)置，使 145 萬份 DNA 資料都選擇了執(zhí)法部門的搜索。

　　這場爭論雙方的家譜學(xué)家告訴 BuzzFeed 新聞，他們擔(dān)心新的安全漏洞會(huì)阻止人們將他們的 DNA 檔案放在網(wǎng)上--既傷害了在線家譜社區(qū)，也傷害了解決冷門案件的努力。“這是一個(gè)全新的壞境，”加利福尼亞州利弗莫爾的家譜學(xué)家 Leah Larkin 是一個(gè)直言不諱的基因隱私倡導(dǎo)者，他告訴 BuzzFeed News。

　　“從長遠(yuǎn)來看，如果人們決定他們對(duì) GEDmatch 的信心減少，并導(dǎo)致更多的個(gè)人資料被刪除，這不是一件好事，”Parabon NanoLabs 公司的首席譜系學(xué)家 CeCe Moore 告訴 BuzzFeed 新聞，該公司與警方合作解決暴力犯罪。

　　目前還不清楚是否有任何未經(jīng)授權(quán)的資料被執(zhí)法部門搜索過。然而，Moore 告訴 BuzzFeed News，她的團(tuán)隊(duì)負(fù)責(zé)迄今為止通過基因譜系對(duì)犯罪嫌疑人進(jìn)行的大部分鑒定，當(dāng)時(shí)處于離線狀態(tài)。她表示：“我們沒有看到任何不該看到的東西。”

　　在最初的黑客攻擊之后，GEDmatch 的正常服務(wù)曾短暫恢復(fù)，但在 7 月 20 日，Moore 注意到所有檔案的權(quán)限又被調(diào)換了，這次是阻止了整個(gè)數(shù)據(jù)庫中的執(zhí)法搜索，但卻讓標(biāo)記為 "研究 "的檔案變得可見，而這些檔案本應(yīng)在所有搜索中被隱藏。

　　網(wǎng)站很快就被下線了，取而代之的是一條信息。“gedmatch 網(wǎng)站已被關(guān)閉進(jìn)行維護(hù)， 目前沒有 ETA。”

　　“我們正在與一家網(wǎng)絡(luò)安全公司合作，進(jìn)行全面的取證審查，并幫助我們實(shí)施最佳的安全措施。”Verogen 在第二次事件發(fā)生后發(fā)布的聲明中說。

　　這次泄露事件讓 Verogen 很尷尬，7 個(gè)月前 Verogen 收購該網(wǎng)站時(shí)，用戶希望它能為基因隱私帶來更專業(yè)的方法。在 Verogen 之前，GEDmatch 由兩位業(yè)余家譜愛好者 Curtis Rogers 和 John Olson 創(chuàng)立并運(yùn)營。不過，該公司的聲明還是讓用戶放心："沒有用戶數(shù)據(jù)被下載或泄露"。

　　這一結(jié)論在 7 月 21 日受到質(zhì)疑，當(dāng)時(shí)家譜網(wǎng)站 MyHeritage 警告其客戶，那些在 GEDmatch 擁有賬戶的人被一封釣魚郵件盯上了，該郵件將他們發(fā)送到一個(gè)域名為 myheritaqe.com 的虛假登錄頁面--該頁面將 MyHeritage 中的 "g "替換為 "q"--以獲取他們的用戶名和密碼。

　　“由于 GEDmatch 在兩天前遭遇了數(shù)據(jù)泄露，我們懷疑肇事者就是通過這種方式獲得了他們的電子郵件地址和姓名，以進(jìn)行這種濫用行為，”MyHeritage 在一篇博客文章中指出。

　　“我們發(fā)現(xiàn)，其中有 16 人已經(jīng)成為該網(wǎng)站的受害者，并在其中輸入了密碼。到目前為止，這個(gè)數(shù)字可能更高。我們?cè)噲D分別聯(lián)系這些用戶，警告他們?cè)俅胃拿艽a，并在 MyHeritage 上設(shè)置雙因素認(rèn)證。”該公司表示。

　　與 GEDmatch 不同，MyHeritage 不允許其數(shù)據(jù)庫被警方使用。但沒有證據(jù)表明這些黑客是由警察實(shí)施的，他們?cè)噲D顛覆對(duì)執(zhí)法搜索的限制。目前黑客攻擊的動(dòng)機(jī)尚不清楚。

總結(jié)

以上是生活随笔為你收集整理的一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。