Протягом останніх років мільйони особистих генетичних даних, наданих користувачами для аналізу свого етнічного походження, були скомпрометовані і потрапили у руки хакерів. Це сталося, коли Голем, відомий хакер, оприлюднив витік цих даних з відомого сервісу 23andMe, який спеціалізується на аналізі ДНК.
Після розслідування стало відомо, що хакер мав доступ до особистої інформації 6,9 мільйонів користувачів цієї платформи. Здається, що ця атака була спрямована на певну етнічну групу, зокрема на осіб ашкеназького єврейського походження. Голем виставив на продаж ці дані та навіть пропонував їхнє покупцеві у зазначеному обсязі з точними оцінками походження, гаплогрупами, фенотипом та іншою особистою інформацією. Ціни на ці дані коливалися від 1000 до 100 000 доларів США, залежно від кількості профілів.
Це викликало серйозну загрозу для особистої приватності та безпеки багатьох осіб, оскільки генетичні дані є одними з найбільш особистих інформаційних ресурсів, які можуть бути використані для ідентифікації та зловживання. Це також викликало обурення через можливість використання цих даних з антисемітськими мотивами, що стало предметом розмов у засобах масової інформації та громадськості. Попри те, що пост з пропозицією було видалено, цей випадок підкреслює необхідність посилення заходів з безпеки та захисту особистих даних в онлайн середовищі.
Понад чотирнадцять мільйонів осіб обрали шлях відправки своїх ДНК-зразків до 23andMe з метою отримання інформації про своє походження та стан здоров’я.
Такі генетичні тести часто стають популярними подарунками на свята, проте небагато хто задумується про потенційні ризики, пов’язані з цим вибором.
Один із користувачів, який також пройшов тест на 23andMe, здивувався, виявивши своє ашкеназьке єврейське походження. Проте тепер його дані можуть бути серед тих, які намагався продати хакер.
Це викликало питання щодо безпеки збереження такої конфіденційної інформації, як генетичні дані, в Інтернеті. Експерти у галузі кібербезпеки підкреслюють, що хоча крадіжки даних відбуваються регулярно, генетична інформація є надзвичайно особливою, оскільки вона незмінна.
“Коли ваші генетичні дані стають жертвою злому, ви нічого не можете з цим зробити”, – підкреслює Бретт Каллоу, аналітик з кібербезпеки компанії Emsisoft.
Також стається заглиблене обурення щодо можливості переслідування етнічних груп на підставі їхніх генетичних даних. Декілька високопоставлених американських посадовців висловили занепокоєння стосовно ризику атак на осіб єврейського та китайського походження через витік інформації з 23andMe.
Порушення антисемітських теорій конспірації найчастіше виникають через здатність євреїв “приховувати свою ідентичність” серед інших. Історично, під час Голокосту, нацисти примушували євреїв носити жовті зірки, щоб легше впізнати їх.
Витік даних з сайту міг призвести до ситуації, коли євреї, які здавали генетичний тест, отримали цифровий “знак відмінності” поруч із своїми особистими даними, фотографіями та місцезнаходженням.
Проте атака на сайт 23andMe не обмежилася лише даними євреїв-ашкеназі. У подальших публікаціях на форумі хакерів, Голем також називав пропозиції стосовно інформації про користувачів з Великобританії, Німеччини та Китаю.
Зловмисник також намагався продати дані від керівництва компанії 23andMe, зокрема виконавчої директорки Енн Войчицкі, її колишнього чоловіка та співзасновника Google Сергія Бріна, а також Ілона Маска та членів британської королівської родини.
Бретт Каллоу, експерт з кібербезпеки від компанії Emsisoft, вважає, що ця атака не має антисемітських мотивів. “Згадки про євреїв у цих публікаціях, швидше за все, мали на меті привернути увагу”, – пояснює він.
Представники компанії 23andMe відмовилися від інтерв’ю, але опублікували заяву на своєму сайті. У заяві зазначено, що “хакери отримали доступ до менше ніж 0,1% або приблизно 14 000 профілів з 14 мільйонів, що є на сайті”. Компанія також пояснила, що злам стався через те, що клієнти 23andMe повторно використовували паролі, які хакерам вдалося отримати з інших сайтів. Однак, отримавши доступ до цих облікових записів, кіберзлочинці отримали набагато більше інформації, оскільки кожен клієнт мав свою мережу генетичних родичів, з якими сайт дозволяє зв’язатися.
Це популярна функція, оскільки багато людей роблять такі тести, щоб знайти своїх родичів. У відповідь на запити журналістів від TechCrunch у грудні 2023 року, 23andMe визнали, що фактично вкрадено дані 6,9 мільйонів користувачів – приблизно кожен другий, хто надав свою ДНК компанії.
Коли бази даних містять дуже конфіденційну інформацію, для доступу до неї зазвичай потрібен не лише один пароль, схожий на те, як ви заходите у свій онлайн-банкінг. Більшість з нас вже звикли до двофакторної аутентифікації, коли для входу потрібен додатковий код. Але до жовтня 2023 року це не було обов’язковим для доступу до облікового запису на 23andMe, навіть якщо він містив інформацію про генетичне походження, а також географічну та біографічну інформацію.
Історія з витоком генетичних даних не нова, особливо для компаній, які спеціалізуються на тестуванні ДНК. У 2018 році хакери отримали доступ до електронних адрес і паролів понад 92 мільйонів користувачів MyHeritage.
Проте вперше в жовтні 2023 року генетичні дані були пропоновані на продаж.
Незалежно від мотиву злому, крадіжка генетичних даних має широкий спектр наслідків.
“У багатьох випадках генетичні дані можуть розкривати інформацію про стан здоров’я особи, що може вплинути на її можливість отримати роботу на довготривалій основі, ризик передчасної смерті або схильність до певних хвороб. Такі дані можуть зацікавити роботодавців або страхові компанії”, – пояснюється.
У світі, де все більше фінансових рішень приймаються за допомогою алгоритмів, які враховують усю можливу інформацію про людину, існує серйозний ризик фінансових втрат і дискримінації внаслідок витоку генетичних даних.
У США медичним страховим компаніям заборонено використовувати генетичну інформацію для розрахунку ризику, але відсутній федеральний закон, що забороняв би її використання компаніями зі страхування життя.
Легко уявити сценарій, коли витік генетичних даних може призвести до підвищення страхових внесків або відмови у страховому покритті на підставі генетичних характеристик.
Також існує ризик відмови у виділенні довгострокового кредиту або іпотеки, оскільки витік даних може свідчити про підвищений ризик хвороби Альцгеймера або іншої захворюваності, що може призвести до проблем з погашенням кредиту.
У зв’язку з витоком даних проти 23andMe було порушено кілька колективних позовів у США. У січні компанія визнала, що хакери почали отримувати доступ до облікових записів її клієнтів ще в квітні 2023 року, і, можливо, ця діяльність тривала протягом п’яти місяців.
Тепер для доступу до своїх облікових записів сайт вимагає двоетапної ідентифікації клієнтів. Подібний захист вже мають його конкуренти – Ancestry та MyHeritage. До жовтня 2023 року жодна з цих компаній не вимагала подібних заходів безпеки.
Навіть якщо генетичні дані, які ми надаємо корпораціям, можна захистити від хакерів, немає гарантії, що після передачі їх корпорації вони залишаться у безпеці.
“Ці компанії можуть бути куплені – і таким чином отримати цю інформацію”, – зауважує експерт з кібербезпеки Каллоу.
У грудні 2020 року нью-йоркська інвестиційна компанія Blackstone придбала Ancestry, одного з головних конкурентів 23andMe, за 4,7 мільярда доларів.
“Крім даних, ці компанії насправді мають дуже невелику цінність”, – додає Каллоу.
“Але генетичну інформацію тепер можна продавати і купувати разом з іншою корпоративною інтелектуальною власністю та активами. ДНК має цінність, і ця цінність належить компанії, а не вам”.
Blackstone відмовила коментувати це для BBC.
Хоча ідея того, що мої гени стали корпоративним активом, дещо дратує, я розуміла, на що пішла, коли надала тест ДНК в Ancestry та 23andMe.
Ніхто з людей, які я знала із розмов, не пошкодував про своє рішення пройти домашній ДНК-тест.
Знання про своє походження та зв’язок зі світом, що змінює життя, варте будь-якого потенційного ризику.
Навіть якщо ви особисто не робили таких тестів, є ймовірність, що у вас є близький родич, який це зробив, і ваша генетична інформація може бути в корпоративній базі даних.
Можливо, ваші гени вже там. І хто знає, де вони можуть використати?
