一个安全漏洞暴露了家谱数据库GEDmatch中超过100万份DNA资料

来源:知道创宇2020.07.23

据外媒BuzzFeed News报道,7月19日,使用GEDmatch网站上传DNA信息、寻找亲属填写家谱的家谱爱好者们得到了一个不愉快的消息。突然间,一直被隐藏起来的100多万份DNA资料,被警察利用该网站找到与犯罪现场DNA部分匹配的资料,供警察搜索。

这个消息破坏了去年12月收购GEDmatch的法医遗传学公司Verogen的努力,使用户相信它将保护他们的隐私,同时追求基于使用遗传谱系帮助解决暴力犯罪的业务。

第二个警报发生在7月21日,总部位于以色列的家谱网站MyHeritage宣布,其部分用户受到钓鱼攻击,以获取他们在该网站的登录信息--显然是针对两天前GEDmatch被攻击时获得的电子邮件地址。

在一份通过电子邮件发给BuzzFeed News并发布在Facebook上的声明中,Verogen解释说,本应对执法部门隐藏的GEDmatch资料突然被揭开,是 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的”。

“由于这个漏洞,所有用户的权限被重置,使得所有用户都能看到所有的档案。这种情况大约持续了3个小时,”声明指出。“在此期间,没有选择参加执法匹配的用户可以进行执法匹配,反之,所有执法档案对GEDmatch用户可见。”

2018年4月,随着被指控为金州杀手的Joseph James DeAngelo被捕,调查性遗传系谱爆发了。DeAngelo上个月承认了13起谋杀案,并承认了数十起其他罪行。调查人员在1980年的一起双重谋杀案现场发现的DNA与GEDmatch上属于凶手远亲的资料进行了部分匹配。通过艰苦的研究,他们建立了家族系谱,最终汇聚到了DeAngelo身上。

此后,又有几十名涉嫌谋杀和强奸的人被以类似的方式确认。但这在家谱界引起了很大的分歧。虽然现在一些家谱学家正在与警方合作,但也有人认为,基因隐私已经受到了损害。

在该网站为了让警方调查一起不太严重的暴力袭击事件而影响自己的规则后,GEDmatch的解决方案是用户必须明确选择接受执法部门的搜索。根据Verogen的数据,在黑客攻击之前,145万份资料中大约有28万份资料已经选择加入。周日的漏洞改变了设置,使145万份DNA资料都选择了执法部门的搜索。

这场争论双方的家谱学家告诉BuzzFeed新闻,他们担心新的安全漏洞会阻止人们将他们的DNA档案放在网上--既伤害了在线家谱社区,也伤害了解决冷门案件的努力。“这是一个全新的坏境,”加利福尼亚州利弗莫尔的家谱学家Leah Larkin是一个直言不讳的基因隐私倡导者,他告诉BuzzFeed News。

“从长远来看,如果人们决定他们对GEDmatch的信心减少,并导致更多的个人资料被删除,这不是一件好事,”Parabon NanoLabs公司的首席谱系学家CeCe Moore告诉BuzzFeed新闻,该公司与警方合作解决暴力犯罪。

目前还不清楚是否有任何未经授权的资料被执法部门搜索过。然而,Moore告诉BuzzFeed News,她的团队负责迄今为止通过基因谱系对犯罪嫌疑人进行的大部分鉴定,当时处于离线状态。她表示:“我们没有看到任何不该看到的东西。”

在最初的黑客攻击之后,GEDmatch的正常服务曾短暂恢复,但在7月20日,Moore注意到所有档案的权限又被调换了,这次是阻止了整个数据库中的执法搜索,但却让标记为 "研究 "的档案变得可见,而这些档案本应在所有搜索中被隐藏。

网站很快就被下线了,取而代之的是一条信息。“gedmatch网站已被关闭进行维护, 目前没有ETA。”

“我们正在与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”Verogen在第二次事件发生后发布的声明中说。

这次泄露事件让Verogen很尴尬,7个月前Verogen收购该网站时,用户希望它能为基因隐私带来更专业的方法。在Verogen之前,GEDmatch由两位业余家谱爱好者Curtis Rogers和John Olson创立并运营。不过,该公司的声明还是让用户放心:"没有用户数据被下载或泄露"。

这一结论在7月21日受到质疑,当时家谱网站MyHeritage警告其客户,那些在GEDmatch拥有账户的人被一封钓鱼邮件盯上了,该邮件将他们发送到一个域名为myheritaqe.com的虚假登录页面--该页面将MyHeritage中的 "g "替换为 "q"--以获取他们的用户名和密码。

“由于GEDmatch在两天前遭遇了数据泄露,我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和姓名,以进行这种滥用行为,”MyHeritage在一篇博客文章中指出。

“我们发现,其中有16人已经成为该网站的受害者,并在其中输入了密码。到目前为止,这个数字可能更高。我们试图分别联系这些用户,警告他们再次更改密码,并在MyHeritage上设置双因素认证。”该公司表示。

与GEDmatch不同,MyHeritage不允许其数据库被警方使用。但没有证据表明这些黑客是由警察实施的,他们试图颠覆对执法搜索的限制。目前黑客攻击的动机尚不清楚。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态