Осенью 2023 года хакер под псевдонимом Golem опубликовал на киберпреступном форуме объявление о взломе базы данных компании 23andMe, одной из крупнейших на рынке ДНК-тестов. Позже руководство признало , что злоумышленник получил доступ к личной информации примерно 6,9 млн пользовательских профилей.
Как выяснилось, атака была нацелена на людей еврейского и китайского происхождения, но Golem особенно хвастался доступом к огромному количеству профилей ашкеназских евреев . После новостей о взломе, произошедшем 6 октября, у экспертов возникли опасения, что у атаки могли быть антисемитские мотивы.
В сообщении предлагалась к продаже следующая информация: распределение по этническим группам, оценки происхождения, детали гаплогрупп, сведения о фенотипе, фотографии, ссылки на сотни потенциальных родственников и, что важнее всего, файлы с исходными, не интерпретированными генетическими данными. Был указан прайс-лист с пошаговым увеличением цены — от 1000 долларов за 100 профилей до 100 000 долларов за 100 000 профилей.
Более того, за последнее время подобные ситуации с 23andMe повторялись несколько раз.
Миллионы людей в надежде узнать подробности о своих предках и здоровье прислали ДНК-тесты, сделанные на дому, в 23andMe. Многие делают это исключительно из любопытства, ведь домашние тесты работают очень просто, иногда их даже дарят друзьям и родственникам на праздники. Заявленная миссия компании — «помочь людям получить доступ к данным о человеческом геноме, понять их и извлечь пользу».
Специалист по кибербезопасности Бретт Кэллоу отмечает, что утечки случаются постоянно: «Подобные инциденты очень распространены, и ни одна компания не застрахована от них». Однако генетическая информация — это особый вид данных: в отличие от паролей и финансовых сведений, свою ДНК невозможно изменить. «Если ваши генетические данные взломают, вы абсолютно ничего не сможете с этим поделать», — говорит Кэллоу.
Он также отмечает, что утечка ДНК-сведений может иметь очень серьезные последствия в долгосрочной перспективе: «Невозможно предугадать, кто получит к ним доступ в будущем, сколько человек смогут ими воспользоваться и с какой целью. Генетические тесты зачастую указывают на предрасположенность к определенным заболеваниям. Это может повлиять на трудоустройство человека, продолжительность его жизни или инвалидность. Такая конфиденциальная информация представляет интерес для недобросовестных работодателей и страховых компаний».
В эпоху, когда все больше финансовых решений принимается алгоритмами на основе анализа всей доступной информации о человеке, утечка также может привести к серьезным финансовым потерям и дискриминации. Например, страховщики могут отказать в выдаче полиса или увеличить ставки, ссылаясь на генетические риски.
23andMe утверждает, что взлом не затронул сами профили ДНК, однако хакер получил доступ к отчетам о происхождении, географическому местоположению, семейным древам и других генетических особенностях.
«Каждый раз, когда наши личные данные попадают в руки киберпреступников, это способствует распространению воровства», — предупреждает эксперт по кибербезопасности Лили Хай Ньюман. По её словам, даже такие общие сведения как местоположение и этническая принадлежность могут быть использованы мошенниками для целевых атак на конкретных людей.
В результате утечки компания 23andMe столкнулась с несколькими коллективными исками . В январе она признала, что получить доступ к учётным записям хакеры могли ещё в апреле 2023 года. Более того, любой мог беспрепятственно использовать уязвимость в системе в течение пяти месяцев, прежде чем проблема была обнаружена.
«Конфиденциальность и безопасность наших клиентов по-прежнему является главным приоритетом для 23andMe, и мы продолжим инвестировать в защиту наших систем», — заявляет организация. Теперь для доступа к аккаунтам сайт компании требует двухфакторную аутентификацию.
Исследователи обнаружили и другие способы незаконного получения генетических данных из баз потребительских генетических сервисов. В одном из исследований учёные из Калифорнийского университета в Дейвисе продемонстрировали, что, загружая в корпоративную систему большое количество поддельных генетических профилей, можно найти совпадения с реальными пользователями и таким образом восстановить фрагменты их геномов.
Даже если удастся надёжно защитить столь конфиденциальную информацию, как генетический код, от хакеров, нет гарантий, что она не попадет в чужие руки. Если компанию, в которую мы отправляем свои тесты, решат продать, информация перейдёт к новым владельцам.
«Помимо обработки генетических данных, у таких компаний по сути нет других ценных активов и направлений бизнеса. Их доходы построены на хранении и анализе ДНК клиентов, — отмечает Кэллоу. —Теперь генетические сведения можно продавать, покупать и обменивать, как любую другую интеллектуальную собственность. Права на ДНК принадлежат компании, а не вам».
Так, в 2020 году инвестиционная компания Blackstone приобрела за 4,7 млрд долларов Ancestry — одного из основных конкурентов 23andMe.
Несмотря на потенциальные риски, связанные с передачей ДНК-материалов частным компаниям, многие не жалеют о своем решении пройти тестирование. Полученные знания о предках и генетических связях для них настолько ценны, что перевешивают все опасения по поводу конфиденциальности. Но даже если вы сами не проходили подобный тест, кто-то из ваших близких родственников мог это сделать. А значит, очень близкая копия вашего генетического кода уже может храниться в корпоративном архиве неизвестной организации.
Возможно, ваши гены уже ждут своего покупателя на прилавках темных рынков. И неизвестно, где они окажутся в итоге.
Источник: SecurityLab