DNA分析服务GEDmatch遭遇数据泄露事件 暴露了130万份资料

       据外媒Techspot报道，像GEDmatch这样的私人DNA剖析公司通过向人们提供探索其家族史和健康风险的能力而大受欢迎。最近，这些公司中的许多公司开始向法医基因组学市场扩张，为执法部门建立DNA档案，但往往没有一个坚实的网络安全策略来保护用户的数据。7月19日，一起重大安全漏洞事件促使DNA分析服务GEDmatch的所有者将网站下线。

经过初步调查，他们发现有一个DNA资料的宝库被提供给执法部门搜索（并延伸到该服务的所有其他用户）。该事件暴露了其数据库中不少于130万条DNA记录。该公司在其Facebook页面上证实了这一点，并将其描述为 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的安全漏洞”。

GEDmatch允许用户上传他们的DNA资料，以帮助追溯他们的祖先树。漏洞的发生是由于用户可以选择与执法部门分享他们的数据。这本来是一种隐私控制，因为该服务在2018年被用来寻找臭名昭著的 "金州杀手 "的身份。

该公司在一份公开声明中解释说，这次泄露事件只是导致用户权限被重置，没有实际的用户数据被泄露或下载。然而，DNA测试公司MyHeritage周二报告称，其用户已经成为钓鱼攻击的目标，可能与GEDmatch事件有关。

攻击者创建了一个名为myheritaqe.com的假网站（与myheritage.com几乎没有区别），并利用电子邮件活动吸引人们前往该网站，并获得他们的登录信息。MyHeritage在联系了几位收到邮件的人后，发现他们都是GEDmatch的用户，他们的邮件地址和姓名都已经被泄露。

MyHeritage建议用户设置双因素认证，并指出攻击者可能很快就会针对23andMe和Ancestry等其他家谱服务。与此同时，GEDmatch的网站已经关闭，直到公司能够 “绝对确定用户数据受到保护，不受潜在攻击。我们正在与一家网络安全公司合作，进行全面的取证审查，并帮助我们实施最佳的安全措施。”

拥有GEDmatch的公司Verogen表示，在攻击发生之前，只有28万用户选择与执法部门分享他们的数据。在周日的泄露事件中，其他人都在不知情的情况下被选择了，这可能会降低对家谱服务的整体信任度。

加州大学法律教授的Elizabeth Joh告诉TechCrunch：“这不仅仅是GEDmatch的问题：一个遗传家谱数据库的隐私泄露凸显了在公民自由的新舞台上，对最敏感信息的监管保障措施严重不足。”

虽然像MyHeritage这样的服务不会与当局分享民众的DNA资料，但其他公司却热衷于将其出售给FBI等机构。像FamilyTreeDNA这样的公司则进一步凸显了这个问题，他们实行的是一种选择退出的方式，并认为这是防止虚假定罪的一种方式