Włamanie do bazy DNA, dane tysięcy klientów na sprzedaż. Firmy biotechnologiczne coraz częściej na celowniku hakerów
Wśród wrażliwych danych, jakie o swoich użytkownikach mogą zbierać serwisy, jako najwrażliwsze wymienia się te dotyczące pochodzenia. Jednocześnie internauci dobrowolnie dzielą się bardzo szczegółowymi informacjami na ten temat, łącznie z fizycznym dystrybuowaniem własnego DNA. Gorzej, gdy administrator takiej bazy zostanie zhakowany.
Wyślij DNA i dowiedz się, kim jesteś
Na całym świecie popularność zyskują usługi firm biotechnologicznych, które na podstawie nadesłanej próbki DNA ustalają pochodzenie etniczne danej osoby. Wystarczy zamówić zestaw umożliwiający pobranie próbki śliny, pobrać ją, odesłać, a firma przyśle pakiet z informacjami odnośnie pochodzenia . Zazwyczaj w formie: jesteś w 10% Y, w 20% X, a w 70% Z. Według danych z jednego najpopularniejszych portali świadczących podobne usługi, w tej chwili całość kosztuje promocyjnie 39 euro.
Pochodzenie ustalane jest na podstawie analizy porównawczej. Aby więc badanie było dokładne, firmy świadczące usługi muszą gromadzić duże ilości DNA. Im więcej, tym dokładniejsze będą wyniki. I choć praktyczna przydatność informacji, że w 20. pokoleniu jest się przodkiem osoby, która była na przykład Grekiem wydaje się mała, to nie odstrasza to chętnych od tego, by dowiedzieć się więcej o tym, skąd się wzięli. Rzecz w tym, że ta zabawa z czasem może okazać się dość ryzykowna .
Incydent w 23andMe
O wycieku danych poinformowała właśnie firma 23andMe, która zajmuje się komercyjną analizą porównawczą DNA. Według oficjalnego komunikatu nie doszło do bezpośredniego włamania na serwery firmy , a dostęp do wrażliwych danych uzyskano poprzez włamanie na konta poszczególnych użytkowników. Według dotychczasowych ustaleń było to możliwe, gdyż hakerzy wykorzystali do włamań dane uwierzytelniające pochodzące z wcześniejszych wycieków. Użytkownicy stosowali po prostu te same dane w wielu serwisach.
Dane trafiły już na darknetowe forma i każdy może je sobie kupić . Cena waha się od 1 tys. dolarów za 100 profilów do 100 tys. dolarów za 100 tys. profilów – zgodnie z zasadą, że cena maleje proporcjonalnie do wielkości paczki. Każdy z wykradzionych rekordów zawiera informację na temat pochodzenia etnicznego, przypuszczalnego pochodzenia geograficznego, szczegóły haplogrupy, fenotoptypu oraz potencjalnych członków rodziny, jeśli również mieli oni konto w serwisie.
Czy można było temu zapobiec?
Kradzież z 23andMe jest wyjątkowa właśnie za sprawą zakresu przejętych danych – przyzwyczailiśmy się, że już, że w zasadzie codziennie ciekną adresy mailowe, adresy fizyczne, numery telefonów, loginy i hasła, jednak rzadziej słyszy się, aby ktoś ukradł dane genetyczne. Należy przy tym zaznaczyć, że w żadnym wypadku nie wyciekło niczyje DNA – na takie scenariusze ataku rodem z science fiction przyjdzie jeszcze poczekać, choć pewnie to także jest raczej kwestią czasu niż prawdopodobieństwa.
Osobną kwestię stanowi to, że incydentu – rzez jasna jeśli faktycznie wersja administratorów portalu jest prawdziwa i przejęte zostały konta, a nie serwery – można było łatwo uniknąć. Przede wszystkim, nie należy stosować tych samych danych uwierzytelniających w różnych serwisach. Z pomocą przychodzą przeglądarki, które same generują silne hasła i od razu zapamiętują je w menedżerach . Ponadto serwis 23andMe obsługuje uwierzytelnianie wielkoskładnikowe, które – gdyby było włączone – jeśli nie uniemożliwiło, to przynajmniej utrudniłoby atak.