В последние годы миллионы личных генетических данных, предоставленных пользователями для анализа своего этнического происхождения, были скомпрометированы и попали в руки хакеров. Это произошло, когда Голем, известный хакер, обнародовал утечку этих данных из известного сервиса 23andMe, специализирующегося на анализе ДНК.
После расследования стало известно, что хакер имел доступ к личной информации 6,9 миллиона пользователей этой платформы. Кажется, что эта атака была направлена на определенную этническую группу, в частности лиц ашкеназского еврейского происхождения. Голем выставил на продажу эти данные и даже предлагал покупателю в указанном объеме с точными оценками происхождения, гаплогруппами, фенотипом и другой личной информацией. Цены на эти данные колебались от 1000 до 100 000 долларов США в зависимости от количества профилей.
Это вызвало серьезную угрозу для личной конфиденциальности и безопасности многих лиц, поскольку генетические данные являются одними из наиболее личных информационных ресурсов, которые могут быть использованы для идентификации и злоупотребления. Это также вызвало возмущение из-за возможности использования данных с антисемитскими мотивами, что стало предметом разговоров в средствах массовой информации и общественности. Несмотря на то, что пост с предложением был удален, этот случай подчеркивает необходимость усиления мер по безопасности и защите личных данных в онлайн-среде.
Более четырнадцати миллионов человек избрали путь отправки своих ДНК-образцов в 23andMe с целью получения информации о своем происхождении и состоянии здоровья.
Такие генетические тесты часто становятся популярными подарками на праздники, однако немногие задумываются о потенциальных рисках, связанных с этим выбором.
Один из пользователей, также прошедший тест на 23andMe, удивился, обнаружив свое ашкеназское еврейское происхождение. Однако теперь его данные могут быть среди тех, кто пытался продать хакер.
Это вызвало вопрос безопасности сохранения такой конфиденциальной информации, как генетические данные, в Интернете. Эксперты в области кибербезопасности подчеркивают, что хотя кражи данных происходят регулярно, генетическая информация очень особенная, поскольку она неизменна.
"Когда ваши генетические данные становятся жертвой взлома, вы ничего не можете с этим поделать", - подчеркивает Бретт Каллоу, аналитик по кибербезопасности компании Emsisoft.
Также происходит углубленное возмущение возможности преследования этнических групп на основании их генетических данных. Несколько высокопоставленных американских чиновников выразили обеспокоенность риском атак на лиц еврейского и китайского происхождения из-за утечки информации из 23andMe.
Нарушения антисемитских теорий конспирации чаще всего возникают из-за способности евреев "скрывать свою идентичность" среди других. Исторически во время Холокоста нацисты заставляли евреев носить желтые звезды, чтобы легче узнать их.
Утечка данных с сайта могла привести к ситуации, когда евреи, сдавшие генетический тест, получили цифровой "знак отличия" рядом со своими личными данными, фотографиями и местонахождением.
Однако атака на сайт 23andMe не ограничилась только данными евреев-ашкенази. В дальнейших публикациях на форуме хакеров, Голем также называл предложения по информации о пользователях из Великобритании, Германии и Китая.
Злоумышленник также пытался продать данные от руководства компании 23andMe, в частности, исполнительного директора Энн Войчицки, ее бывшего мужа и соучредителя Google Сергея Брина, а также Илона Маска и членов британской королевской семьи.
Бретт Каллоу, эксперт по кибербезопасности от компании Emsisoft, считает, что у этой атаки нет антисемитских мотивов. "Упоминания о евреях в этих публикациях, скорее всего, имели целью привлечь внимание", - объясняет он.
Представители компании 23andMe отказались от интервью, но опубликовали заявление на своем сайте. В заявлении указано, что "хакеры получили доступ к менее чем 0,1% или примерно 14 000 профилей из 14 миллионов, имеющихся на сайте". Компания также объяснила, что взлом произошел из-за того, что клиенты 23andMe повторно использовали пароли, которые хакерам удалось извлечь из других сайтов. Однако, получив доступ к этим аккаунтам, киберпреступники получили гораздо больше информации, поскольку каждый клиент имел свою сеть генетических родственников, с которыми сайт позволяет связаться.
Это популярная функция, так как многие делают такие тесты, чтобы найти своих родственников. В ответ на запросы журналистов от TechCrunch в декабре 2023 года, 23andMe признали, что фактически украдены данные 6,9 миллиона пользователей – примерно каждый второй, кто предоставил свою ДНК компании.
Когда базы данных содержат очень конфиденциальную информацию, для доступа к ней обычно требуется не только один пароль, похожий на то, как вы заходите в свой онлайн-банкинг. Большинство из нас уже привыкли к двухфакторной аутентификации, когда для входа требуется дополнительный код. Но до октября 2023 года это не было обязательным для доступа к аккаунту на 23andMe, даже если он содержал информацию о генетическом происхождении, а также географическую и биографическую информацию.
История с утечкой генетических данных не нова, особенно для компаний, специализирующихся на тестировании ДНК. В 2018 году хакеры получили доступ к электронным адресам и паролям более 92 миллионов пользователей MyHeritage.
Однако впервые в октябре 2023 года генетические данные предлагались на продажу.
Независимо от мотива взлома, воровство генетических данных имеет широкий спектр последствий.
“Во многих случаях генетические данные могут раскрывать информацию о состоянии здоровья человека, что может повлиять на его возможность получить работу на длительной основе, риск преждевременной смерти или предрасположенность к определенным болезням. Такие данные могут заинтересовать работодателей или страховые компании”, – разъясняется.
В мире, где все больше финансовых решений принимаются с помощью алгоритмов, учитывающих всю возможную информацию о человеке, существует серьезный риск финансовых потерь и дискриминации по причине утечки генетических данных.
В США медицинским страховым компаниям запрещено использовать генетическую информацию для расчета риска, но отсутствует федеральный закон, запрещающий ее использование компаниями по страхованию жизни.
Легко представить сценарий, когда утечка генетических данных может привести к повышению страховых взносов или отказу в страховом покрытии на основании генетических характеристик.
Также существует риск отказа в выделении долгосрочного кредита или ипотеки, поскольку утечка данных может свидетельствовать о повышенном риске болезни Альцгеймера или другой заболеваемости, что может привести к проблемам погашения кредита.
В связи с утечкой данных против 23andMe было возбуждено несколько коллективных исков в США. В январе компания признала, что хакеры начали получать доступ к аккаунтам ее клиентов еще в апреле 2023 года, и, возможно, эта деятельность продолжалась в течение пяти месяцев.
Теперь для доступа к своим аккаунтам сайт требует двухэтапной идентификации клиентов. Подобную защиту уже имеют конкуренты – Ancestry и MyHeritage. До октября 2023 года ни одна из этих компаний не требовала подобных мер безопасности.
Даже если генетические данные, предоставляемые корпорациям, можно защитить от хакеров, нет гарантии, что после передачи их корпорации они останутся в безопасности.
"Эти компании могут быть куплены - и таким образом получить эту информацию", - отмечает эксперт по кибербезопасности Каллоу.
В декабре 2020 года нью-йоркская инвестиционная компания Blackstone приобрела Ancestry, одного из главных конкурентов 23andMe, за 4,7 миллиарда долларов.
“Помимо данных, эти компании действительно имеют очень небольшую ценность”, – добавляет Каллоу.
“Но генетическую информацию теперь можно продавать и покупать вместе с другой корпоративной интеллектуальной собственностью и активами. ДНК имеет ценность и эта ценность принадлежит компании, а не вам”.
Blackstone отказала комментировать это для BBC.
Хотя идея того, что мои гены стали корпоративным активом, несколько раздражает, я понимала, на что пошла, когда дала тест ДНК в Ancestry и 23andMe.
Никто из людей, которых я знала из разговоров, не пожалел о своем решении пройти домашний ДНК-тест.
Знание о своем происхождении и связи с изменяющим жизнь миром стоит любого потенциального риска.
Даже если вы лично не делали таких тестов, есть вероятность, что у вас есть близкий родственник, который это сделал и ваша генетическая информация может быть в корпоративной базе данных.
Может быть, ваши гены уже там. И кто знает где они могут использовать?
