Et GEDmatch dataovertrædelse førte til en MyHeritage phishing-svindel

I skrivende stund, hvis du prøver at besøge webstedet til GEDmatch, en online platform til sammenligning af DNA-profiler, vil du se en kort besked, der siger 'Gedmatch-webstedet er nede for vedligeholdelse - I øjeblikket ingen ETA.' Hvad er historien bag det?

GEDmatch lider af to sikkerhedsbrud i løbet af få dage

Det hele startede den 19. juli, hvor GEDmatch led et alvorligt sikkerhedsbrud. I henhold til de officielle oplysninger fra DNA-sammenligningsplatformen brugte en cyberkriminel en registreret brugerkonto til at hacke sig ind i en af GEDmatchs servere og ændre privatlivets indstillinger for millioner af brugere.

GEDmatch er berømt for at være en af onlinetjenesterne af denne art, der lader retshåndhævende myndigheder gå gennem brugernes DNA-poster og se efter gerningsmænd til voldelige forbrydelser. Det gjorde nyheden i 2018, da DNA-data, der blev hostet af webstedet, førte til indfangning af Golden State Killer. Anholdelsen udløste også en opvarmet debat om privatlivets konsekvenser af at få retshåndhævende myndigheder til at ruste gennem brugernes DNA-data uden en forudgående søgningskendelse, og til sidst besluttede GEDmatch, at en streng opt-in-politik ville løse problemet. Indtil webstedet gik offline, skulle enhver bruger, der havde uploadet deres DNA-profiler, specifikt oplyse, at de er enige med at have deres data tilgængelige for politiet.

Da platformen blev hacket den 19. juli, fik cyberkriminel dog adgang til værktøjerne, der kontrollerer disse indstillinger og stillede alle profiler til rådighed for retshåndhævelsesmatchning. Derudover blev alle de profiler, der hørte til politibetjente, synlige for almindelige brugere.

Da Verogen, GEDmatchs ejer, blev klog af situationen, tog den straks webstedet ned og begyndte at løse problemet. Efter et par timer var GEDmatch tilbage online, og senere forklarede et Facebook-indlæg, hvad der var sket. I det sagde Verogens sikkerhedsfolk, at de var "sikre" på, at problemet er rettet.

Ifølge BuzzFeedNews aftaget deres tillid mandag, da de indså, at indstillingerne for nogle af profilerne var blevet ændret igen. Denne gang blev politiets adgang til databasen fuldstændigt afbrudt. GEDmatchs sikkerhedsteam tog webstedet ned igen og besluttede ikke at bringe det op igen, indtil de er sikre på, at sårbarheden er blevet adresseret.

Stjal hackerne nogen DNA-data?

Indstillingerne blev ændret i en relativt kort periode, og lige nu er der ingen bevis for, at nogen bliver arresteret for en voldelig forbrydelse på grund af hændelsen. Ikke desto mindre er GEDmatch-brugere bekymrede og med rette.

De lærte trods alt, at de havde uploadet deres DNA-profil på en platform, der blev angrebet ikke en gang, men to gange i løbet af et par dage. Og når det kommer til følsomhed, topper DNA-profiler stort set alt andet.

GEDmatch siger dog, at netop dette aspekt af angrebet ikke burde bekymre dem. I en erklæring sagde platformen, at når en bruger først uploader deres DNA-profil, bliver den krypteret, og de rå data slettes. Med andre ord, de kriminelle havde ingen måde at få genetisk information på.

Kriminelle lancerer en phishing-kampagne mod MyHeritage-brugere

Oprindeligt troede GEDmatch, at hackerne ikke havde adgang til nogen personlige oplysninger overhovedet. Et andet Facebook-indlæg fra 21. juli sagde, at "ingen brugerdata blev downloadet eller kompromitteret," men det ser ud til, at platformens sikkerhedsspecialister sprang pistolen med denne konklusion.

Også den 21. juli advarede MyHeritage, en anden online genealogisk platform, sine brugere om en smart phishing-kampagne, der gennemførte runderne. Tilsyneladende havde phisherne registreret et lookalike-domæne, oprettet en ondsindet loginformular og sendt et par overbevisende e-mails til MyHeritage-brugere. MyHeritage ser ud til at være overbevist om, at skurkerne fik e-mail-adresserne og andre personlige oplysninger fra GEDmatch, og GEDmatch gør ingen forsøg på at modbevise denne påstand.

E-mailen GEDmatch sender til sine brugere udelader påstandene om, at ingen personlige oplysninger blev kompromitteret under angrebet og anerkender, at GEDmatch-brugere, der også er abonneret på MyHeritage, kunne målrettes med en phishing-fidus.

Det obligatoriske råd til at være mere forsigtig med de e-mails, du modtager, er mere gyldigt end nogensinde.