文章摘要:据外国媒体报道,像GEDmatch这样的私人基因分析公司很受欢迎,因为它们能让人们探索自己的家族史和健康风险。最近,这些公司开始向法医基因组学市场扩张,并为执法部门建立DNA文件,但它们通常没有可靠的网络安全策略来保护用户的数据。7月19日,一个重大的安全漏洞促使基因分析服务公司GEDmatch的用户数据泄露。推荐阅读:企业部署文件加密软件能否防止数据泄露?经过初步调查,他们发现一个DNA数据宝库
据外国媒体报道,像GEDmatch这样的私人基因分析公司很受欢迎,因为它们能让人们探索自己的家族史和健康风险。最近,这些公司开始向法医基因组学市场扩张,并为执法部门建立DNA文件,但它们通常没有可靠的网络安全策略来保护用户的数据。7月19日,一个重大的安全漏洞促使基因分析服务公司GEDmatch的用户数据泄露。
推荐阅读:企业部署文件加密软件能否防止数据泄露?
经过初步调查,他们发现一个DNA数据宝库被提供给执法部门进行搜索(并扩展到该服务的所有其他用户)。该事件暴露了其数据库中不少于130万条基因记录。该公司在其Facebook页面上证实了这一点,并将其描述为“通过一个现有用户账户对我们的一台服务器进行复杂攻击而计划的一个安全漏洞。”
GEDmatch允许用户上传他们的基因数据来帮助追踪他们的祖先树。漏洞的出现是因为用户可以选择与执法机构共享他们的数据。这原本是一种隐私控制,因为这项服务在2018年被用来寻找臭名昭著的“金州杀手”的身份。
在一份公开声明中,该公司解释说,泄漏只是导致用户权利被重置,并没有真正的用户数据被泄露或下载。然而,基因测试公司MyHeritage周二报告称,其用户已成为网络钓鱼攻击的目标,这可能与GEDmatch事件有关。
攻击者创建了一个名为myheritage.com的假网站(与myheritage.com几乎没有什么不同),并使用电子邮件活动来吸引人们访问该网站并获取他们的登录信息。在联系了几个收件人后,我的遗产发现他们都是GEDmatch用户,他们的电子邮件地址和名字都被泄露了。
MyHeritage建议用户设置双因素身份验证,并指出攻击者可能很快会攻击其他系谱服务,如23andMe和祖先。与此同时,GEDmatch的网站已经关闭,直到该公司能够“绝对肯定用户数据受到保护,免受潜在的攻击。”我们正与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”
拥有GEDmatch的Verogen公司表示,在攻击发生之前,只有28万用户选择与执法机构分享他们的数据。在周日的泄密事件中,其他人都是在不知情的情况下被选中的,这可能会降低对家谱服务的整体信任。加州大学的法学教授Elizabeth Joh表示,这不仅仅是GEDmatch的问题:基因谱系数据库的隐私泄露凸显出在公民自由的新阶段,对最敏感信息的监管保障严重不足。
