11:57
24/7/2020

Hasło po wycieku można zmienić. Swojego DNA łatwo się nie zmieni. Dlatego właśnie incydent, który 19 lipca przydarzył się serwisowi GEDmatch jest poważny. I bardzo tajemniczy zarazem.

Twój profil DNA wgrany do internetu został ujawniony

O serwisie GEDmatch pisaliśmy rok temu, kiedy na jaw wyszło, że amerykańskie służby wykorzystały go do namierzenia seryjnego mordercy (Golden State Killer). Zabójca wpadł dlatego, że choć sam na serwisowi GEDmatch nie przesłał próbki swojego DNA, to z usług serwisu skorzystali jego bliscy. Służby namierzyły ich profile ze względu na “duży stopień podobieństwa” do śladów DNA, które przez lata zbierali z miejsc zbrodni.

Po nitce (nitce DNA, hehe) do kłębka, można by rzec. Przy czym za nitkę pociągnąć nie każdy mógł. GEDmatch udostępniał profile DNA użytkowników organom ścigania — ale tylko te, których właściciele wyrazili na to zgodę. Wedle serwisu, było to około 10% użytkowników z ponad milionowej grupy.

No właśnie, było… bo kilka dni temu, wszystkie z profili nagle zostały przekonfigurowane tak, że stały się publicznie dostępne i przeszukiwalne. Przez każdego. Dzięki temu, dopasowanie do wzorca mogły stwierdzić nie tylko służby, ale w zasadzie każdy inny użytkownik serwisu.

all user permissions were reset, making all profiles visible to all users. This was the case for approximately 3 hours, During this time, users who did not opt in for law enforcement matching were available for law enforcement matching and, conversely, all law enforcement profiles were made visible to GEDmatch users.

Co ciekawe, w wyniku tej “awarii” jawne stały się też profile DNA, które na serwis wgrały organy ścigania — czyli te, należące do osób podejrzanych o różne przestępstwa. Tak, wreszcie mieliście szansę odkryć, co Wasz wujek Zdzisiek, który zawsze wyglądał podejrzanie, robił podczas swoich podróży zagranicznych.

Błąd został usunięty, ale znów nas zhackowano…

Serwis “błąd” usunął. Ale dzień później, konta użytkowników znów zostały zrekonfigurowane tak, aby można było je przeszukiwać. GEDmatch utrzymuje, że żadne dane użytkowników nie zostały wykradzione. Firma rozpoczęła też “współpracę z firmą zajmującą się cyberbezpieczeństwem”… Obecnie, 5 dni po incydencie, na stronie głównej wciąż widać tylko tyle:

Dane jednak wykradziono?

Wiele wskazuje na to, że część danych ujawniona w ramach incydentu w GEDmatch jednak została wykradziona (lub przynajmniej zcrawlowana). Dzień po drugim ataku na GEDmatch, serwis MyHeritage, poinformował o ataku wymierzonym w jego użytkowników.

Ktoś ich phishował, używając domeny myheritaqe.com (widzicie literówkę?). Atakujący wykorzystał w e-mailu informacje, które użytkownicy podali na swój temat tylko w GEDmatch.

Dzięki hotlinkingowi obrazka, MyHeritage mógł wykryć kto padł ofiarą tego ataku. Serwis twierdzi, że z setki osób, które otrzymały e-maila, podejść dało się co najmniej 16 użytkowników.

Kto i po co?

Po co ktoś atakuje serwis z profilami DNA, a potem rozciąga atak na serwis genealogiczny? I kim ta osoba jest? To doskonałe pytania, na które nie znamy odpowiedzi. Czy może to być silnie zdeterminowany osobnik, który za wszelką cenę chce odnaleźć spokrewnione ze sobą osoby? Może nigeryjski książę szukający spadkobierców swojej fortuny wszedł na wyższy poziom poszukiwań? A może to robota służb?

GEDmatch udostępnia swoją bazę służbom (ale nie z każdego kraju i nawet zaprzyjaźnione służby mogą przeszukiwać tylko te profile, które explicite wydały na to zgodę). Chwilowe “udzielenie” zgody przez każdy z profili mogło faktycznie pomóc służbom. Ale czego służby szukać miały by jeszcze na MyHeritage? To doskonałe pytanie. Może poznamy na nie kiedyś odpowiedź…

Póki co, pod rozwagę zostawiamy Wam kwestię tego, czy warto swoje próbki DNA przesyłać różnym firmom do badań. Coraz więcej “internetowych inicjatyw” kusi wzięciem udziału w badaniach genetycznych po niższych cenach lub całkiem za darmo. Mało kto czyta regulamin i politykę prywatności, która często enigmatycznie informuje do czego przesłane dane zostaną wykorzystane. GEDmatch uspokaja, że “surowe” zapis DNA kasuje zaraz po otrzymaniu i wyznaczeniu z niego tych elementów, które są potrzebne do ustalania pokrewieństwa.

Pamiętajcie, że wyniki badań i Wasz profil genetyczny będzie gdzieś składowany w formie cyfrowej, nie zawsze “zaszyfrowanej” lub “skróconej”. A ta lubi zmieniać właściciela.

Dziś ciężko powiedzieć, jakie negatywne skutki w przyszłości może mieć dostęp do czyjegoś DNA “na żądanie”. Z czasem liczba informacji, jakie będzie się dało łatwo (“w warunkach domowych”) wyczytać z cudzego DNA wzrośnie i nagle ktoś może Was zacząć traktować inaczej.

Przeczytaj także:



19 komentarzy

Dodaj komentarz
  1. DNA bym świadomie nikomu nie udostępnił, tylko co mi po tym, skoro mogą to zrobić moi kuzyni i inni odlegli krewni, których nie znam? Okazuje się, że DNA to bardzo specyficzny rodzaj danych osobowych. Niezwykle szczegółowy i zawierający mnóstwo wrażliwych danych (możliwość namierzenia przez służby to tylko wierzchołek góry lodowek), a jednocześnie w dużej mierze dzielony pomiędzy ludźmi – w skrajnym przypadku bliźniąt jednojajowych w 100%. I teraz pytanie, czy ujawniając swój materiał genetyczny (na przykład podając go do publicznej wiadlmości) ujawniam też dane osobowe moich bliskich? Czy jeśli dwójka bliźniaków jednojajowych wyśle swoje DNA do badania i jedno zaznaczy zgodę na przekazanie służbom, a drugie nie, to czy firma ma prawo je przesłać? Obawiam się, że to jeden z takich przypadków, gdzie obecne regulacje prawne są po prostu niewystarczające i, prawdę mówiąc, nie mam pojęcia jak można by to zmienić. W końcu już dawno naukowcy wykazali, że cała obecna populacja miała wspólnego przodka (tzw. mitochondrialna Ewa), więc nasz dane DNA zawsze są ze sobą powiązane, pytanie jedynie w jakim stopniu.

    • To tak jak z google. Co z tego, że nie mam tam konta i zarejestrowanego tam smartfona, jak mam koleżanki blondynki, które swoje książki telefoniczne z moim numerem, moimi SMSami, mailami i zdjęciami w Google umieszczają? :-)))))))))))))))))))))))

    • Zgadza się, ale jednak masz pewną kontrolę nad tym komu przekazujesz swój numer, jakie wysyłasz do tej osoby smsy, maile czy zdjęcia. Oczywiście, każdy może publikować dane na temat innych, jeśli je posiada, więc uchronienie się w stu procentach jest raczej trudne, chociaż może nie całkiem niemożliwe, za to z całą pewnością wymaga wysokiego stopnia paranoi :)
      Rzecz w tym, że z danymi dotyczącymi kodu genetycznego jest nieco inaczej. Po pierwsze nie ma żadnej kontroli nad tym kto je posiada (w końcu rodziny się nie wybiera), a po drugie jeżeli ktoś publikuje swój własny kod DNA, trudno mu zarzucić, że dzieli się danymi innych osób (bo co bardziej do nas przynależy niż DNA?). Tymczasem jest dokładnie na odwrót, bo de facto publikuje szczegółowe dane dotyczące swoich krewnych, a jeśli zrobi to bliźniak jednojajowy, 100% tych danych. Wychodzi z tego ciekawy paradoks prywatności, na który moim zdaniem nie ma jednoznacznej odpowiedzi.

    • Przez całkowity brak kontroli nad tym kto posiada dane dotyczące naszego DNA rozumiem oczywiście dane cząstkowe, posiadane przez naszych krewnych (nie jednojajowych) :)

  2. Nigdy nie wiadomo do czego komuś przyda się taka baza DNA. Dziś mamy takie czasy, a za 30 lat my lub nasze dzieci możemy być potencjalnymi dawcami organów – niekoniecznie dobrowolnie. Swoją drogą w Izraelu skąd jest MyHeritage kwitnie nielegalny czarny rynek transplantologiczny. U Chińczyków to już w ogóle kroją Ujgurów na całego. Z rozrzewnieniem przypominam sobie któryś odcinek “Z Archiwum X” z przed ćwierćwiecza, gdzie bohaterowie znaleźli we wnętrzu jakiejś góry kilometry kartotek, gdzie zgromadzono akta dotyczące całej populacji USA. W teczkach były m.in. profile genetyczne. Oficjalnie na wypadek potrzeby identyfikacji obywateli po wojnie nuklearnej. A nieoficjalnie chodziło o szukanie idealnych kandydatów do tworzenia ludzkich hybryd. Wiecie jak to się mówi – przyszłość jest teraz stary człowieku.

    • Trochę bardziej realna wersja.
      W biurze podróży dostaję podejrzanie tanią ofertę wycieczki krajoznawczej do Izraela.
      Hasło reklamowe “zostawisz tutaj cząstkę siebie”.

    • No co wy, moze nie bedzie tak zle?
      Moze tylko szukaja antychrysta? xD

  3. w dobie pandemii tej czy kolejnych (zapewne już planowanych) próbki DNA zostaną pobrane wraz z wymazami ze śluzówki jamy ustnej/gardła, a tym samym DNA coraz większej liczby osób trafią do baz danych, a z nich wywiady i służby (czyli powiedzmy szczerze – mafia) będą czerpać jak ze studni mądrości. Zobaczą kto swój, na czyją prapraprababcię zapatrzył się lokalny żydowski sklepikarz. Przede wszystkim na nowo przedefiniuje się przynależność etniczną miliardów ludzi. Otworzy się tym samym cały wachlarz możliwości jakie daje nowoczesna eugenika… można będzie kontrolować liczebność populacji najmniej efektywnych bądź przydatnych. Niesamowite

    • Mogą nawet wprowadzić testy koszerności na wysokie stanowiska np. w wyborach do knesejmu.

  4. Wyglada to troche jak wpadka przy ostatnio slynnym bezpiecznym backdoor’że dla sluzb…

    Służby “chciały dobrze” a teraz ludziska potraca nerki?

  5. Ja bym zapytał jakiegoś specjalistę zajmującego się DNA jakie “niemożliwe”, czy “niewyobrażalne” rzeczy można dzięki takim danym dostępnym na tym portalu zrobić. To, że dzięki tym danym można kogoś z kimś powiązać, to jedno, ale czy dzięki takim danym da się też stworzyć jakąś broń skierowaną tylko wobec konkretnym osobom? Czy może to tylko zasłona dymna, dla rzeczy o których na chwilę obecną nie mamy wiedzy.

    • Ilosc sposobow na ktory mozna wykorzystac czyjs profil genetyczny zeby tej osobie zaszkodzic jest wrecz niewyobrazalna i ciagle rosnie (wykladniczo – bo oprocz sposobow rosnie dostepnosc (cena) i uzytecznosc (% populacji)). Wiec po co ten belkot? Brak prywatnosci, pracy czy ubezpieczenia ci nie wystarczy?

    • Prosty przykład: przychodzisz w corpo do szefa i pytasz się dlaczego młodszy stażem i z gorszymi osiągnięciami kolega dostał awans a nie Ty. A szef na to: “Pana rodzice i dziadkowie zmarli przed 50. DNA pana kuzynów wykazuje obciążenie chorobą nowotworową. Strony internetowe, jakie niestety pan ogląda w pracy, wykazują pana zainteresowanie chorobami dziedzicznymi. Nasza firma nie będzie inwestować w szkolenia i staże kogoś, kto najprawdopodobniej nie dożyje 50 lat. Niech się pan cieszy, że mam miękkie serce i jestem litościwy, bo w zasadzie powinienem pana zwolnić, a nie tylko pominąć w awansie”… Przykład bardziej makabryczny: jakiś albański mafiozo czy dyrektor izraelskiego wywiadu z bardzo rzadką zgodnością tkankową będzie potrzebował wątroby do przeszczepu i tylko Ty będziesz miał odpowiednią… :-))))))))))))))))))))))))

  6. Ubezpieczyciele za takie dane dali by rozne rzeczy odciac – tyle ze nie koniecznie sobie

    • Poniekąd tak robią. Jak ubezpieczasz się na życie, to obok dokładnych badań, ubezpieczyciele sprawdzają po dostępnych rejestrach ile żyli Twoi rodzice, dziadkowie i krewni, których dane uda im się znaleźć… I tu jakoś nie ma RODO… :-)))))))))))))))))))))))

    • Co nie znaczy ze z sytuacji zlej powinnismy robic jeszcze gorsza udostepniajac im jeszcze wiecej danych…

    • “Poniekąd tak robią. Jak ubezpieczasz się na życie, to obok dokładnych badań, ubezpieczyciele sprawdzają po dostępnych rejestrach ile żyli Twoi rodzice, dziadkowie i krewni, których dane uda im się znaleźć… I tu jakoś nie ma RODO…”
      ależ jest – nie RODO (jeśli “żyli” a już nie żyją, to nie ma ochrony danych osobowych, bo nie ma kodeksowo osób) ale formy ochrony informacji o zmarłych istnieją (np 80 lat cezura czasowa- taki okres musi upłynąć, by informacje z akt zgonów były dostępne, a i tam nie ma informacji o potomkach)
      Przy nieprzeciętnie wysokich kwotach i tak większy sens mają badania medyczne, a przy niższych pozyskanie masowo informacji o tym, w jakim wieku zmarli rodzice czy dziadkowie ..chyba jednak nie ma miejsca w Polsce. Te dane nie są łatwo i legalnie dostępne w formie łatwoobrabialnej. Chyba, że do takich zaliczymy formularz zgłoszenia chęci zawarcia umowy:)

  7. Teraz dzieci samotnych matek i “honorowych dawców” mogą namierzyć swoich tatusiów. To jest trochę śmieszne ale i straszne.

    • Realizacja ustawowego prawa do informacji o pochodzeniu. Zresztą zdroworozsądkowego, bo każdy człowiek ma biologicznego ojca i biologiczną matkę. Jeszcze nie robi się ludzi w fabrykach (odpukać!).

Odpowiadasz na komentarz Dad

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: