MyHeritageのフィッシング詐欺につながるGEDmatchデータ違反
これを書いている時点で、DNAプロファイルを比較するためのオンラインプラットフォームであるGEDmatchのWebサイトにアクセスしようとすると、「gedmatchサイトがメンテナンスのため停止しています-現在、ETAはありません」という簡潔なメッセージが表示されます。その背後にある物語は何ですか?
Table of Contents
GEDmatchは、数日のうちに2つのセキュリティ侵害に見舞われます
すべては7月19日、GEDmatchが深刻なセキュリティ侵害に見舞われたときに始まりました。 DNA比較プラットフォームの公式情報によると、サイバー犯罪者は登録ユーザーアカウントを使用して、GEDmatchのサーバーの1つに侵入し、数百万人のユーザーのプライバシー設定を変更しました。
GEDmatchは、法執行官がユーザーのDNAレコードを調べ、暴力犯罪の加害者を探すことができるこの種のオンラインサービスの1つであることで有名です。 2018年に、ウェブサイトでホストされているDNAデータがゴールデンステートキラーの捕獲につながったことを知らせました。逮捕はまた、捜査当局が事前の捜査令状なしにユーザーのDNAデータを調査することのプライバシーへの影響に関する激しい議論を巻き起こし、最終的に、GEDmatchは厳密なオプトインポリシーが問題を解決すると決定しました。サイトがオフラインになるまで、自分のDNAプロファイルをアップロードしたすべてのユーザーは、警察が自分のデータにアクセスできることに同意することを具体的に述べる必要があります。
しかし、プラットフォームが7月19日にハッキングされると、サイバー犯罪者はこれらの設定を制御するツールにアクセスし、すべてのプロファイルを法執行機関の照合に利用できるようにしました。これに加えて、警察官に属していたすべてのプロファイルが一般ユーザーに表示されました。
GEDmatchのオーナーであるVerogenが状況を理解すると、すぐにWebサイトが停止し、問題の解決に取り掛かりました。数時間後、GEDmatchがオンラインに戻り、その後Facebookの投稿で何が起こったかが説明されました。その中で、Verogenのセキュリティ専門家は、問題が修正されたことに「自信がある」と述べた。
BuzzFeedNewsによると、一部のプロファイルの設定が再び切り替えられたことに気づいた月曜日に彼らの自信は衰えました。今回、警察によるデータベースへのアクセスは完全に遮断されました。 GEDmatchのセキュリティチームは、ウェブサイトを再び停止し、脆弱性が解決されたことが確認されるまで、ウェブサイトを再開しないことを決定しました。
ハッカーはDNAデータを盗みましたか?
設定は比較的短期間で変更され、現在のところ、事件のために暴力犯罪で逮捕されたという証拠はありません。それでも、GEDmatchユーザーは心配しています。
結局のところ、彼らは、自分たちのDNAプロファイルを、一度ではなく数日のうちに2回攻撃されたプラットフォームにアップロードしたことを知りました。感度に関しては、DNAプロファイルが他のほとんどすべての要素を上回っています。
ただし、GEDmatchは、攻撃のこの特定の側面については心配する必要はないと述べています。声明のなかで、プラットフォームは、ユーザーがDNAプロファイルをアップロードすると暗号化され、生データは削除されると述べた。言い換えれば、犯罪者は遺伝情報を入手する方法がありませんでした。
犯罪者がMyHeritageユーザーに対してフィッシングキャンペーンを開始
当初、GEDmatchはハッカーが個人情報に一切アクセスしていないと考えていました。 7月21日からの別のFacebookの投稿によると、「ユーザーデータがダウンロードされたり、侵害されたりしたことはありません」。
また、7月21日に、別のオンライン系統プラットフォームであるMyHeritageは、ラウンドを行っている巧妙なフィッシングキャンペーンについてユーザーに警告しました。どうやら、フィッシャーは類似ドメインを登録し、悪意のあるログインフォームを設定し、MyHeritageユーザーにいくつかの説得力のあるメールを送信しました。 MyHeritageは、詐欺師がGEDmatchからメールアドレスやその他の個人情報を入手したと確信しているようで、GEDmatchはこの主張を否定しようとはしていません。
GEDmatchがユーザーに送信する電子メールは、攻撃中に個人情報が侵害されなかったという主張を省略し、MyHeritageにもサブスクライブしているGEDmatchユーザーがフィッシング詐欺の標的となる可能性があることを認めています。
受け取った電子メールをより注意深くするという義務的なアドバイスは、これまで以上に有効です。