Enorme base de datos de ADN esperando a Big Ol & # 039; Cortar a tajos

La genealogía y la seguridad están chocando una vez más, esta vez a través de la base de datos de ADN masiva de crowdsourcing GEDmatch. MIT Technology Review informes que los investigadores en ciencias de la computación diseñaron ataques dirigidos que violaron la base de datos GEDmatch al hacer cadenas de búsqueda complejas que les permitieron adivinar gran parte del ADN de los usuarios.

El fundador de GEDmatch, Curtis Rogers, dijo Revisión de tecnología no está tan sorprendido, porque la genealogía siempre ha implicado compartir información y compararla directamente con otros para encontrar puntos en común. Esto ha sido explotado en el pasado por la ingeniería social, la forma de piratería de baja tecnología pero efectiva que implica buscar contraseñas escritas, hacer preguntas personales para obtener pistas de seguridad, y más.

Todos nos piden apellido de soltera de nuestra madre, que es un anacronismo en cientos de formas en 2019, y mucho menos que sea fácil de encontrar en cualquier sitio de genealogía. Incluso los sitios que intentan usar otra información aún solicitan apellidos y relaciones, probablemente porque los usuarios que no entienden la importancia de una contraseña segura tampoco perderán tiempo ni energía para hacer contraseñas seguras, y mucho menos recordarlas sin una pista accesible.

Ahora, los servicios como Ancestry o los datos del genoma de los usuarios del banco 23andMe y la acumulación de más y más datos de muestra permiten que sus resultados se vuelvan más específicos y precisos al reducir el margen de error. Pero estos servicios también son probables vender su genoma a las compañías farmacéuticas o incluso aseguradoras. Parece que hay una paradoja en la seguridad de la información en la que los usuarios están tan seguros de que se les robará su identidad o se venderán sus datos que eligen no preocuparse por ello o intentar evitarlo.

Ingrese a GEDmatch, una base de datos de origen del usuario diseñada para ayudar a relacionar personas con parientes desconocidos. Debido a la apertura y accesibilidad del proyecto, también está disponible para la aplicación de la ley. (El año pasado, la policía de California reveló que usaron GEDmatch para finalmente identificar el famoso asesino de Golden State.) Sin su permiso expreso, la policía solo puede obtener su ADN si lo arrestan por un delito relacionado. Pero los departamentos están comenzando a recolectar muestras de comunidades enteras como una forma de, supuestamente, excluir a los inocentes.

Con eso en mente, es fácil ver por qué la vulnerabilidad que los investigadores encontraron en GEDmatch es tan preocupante. Crearon un perfil de ADN y lo subieron al sitio, lo que a su vez desbloqueó la capacidad de buscar coincidencias cercanas. GEDmatch está dirigido por voluntarios que, aparentemente, han hecho también buen trabajo construyendo su interfaz de usuario y capacidad de búsqueda; Este tipo específico de ataque solo funciona en su sistema, no en sitios comerciales como Ancestry o 23andMe.

Los expertos dijeron Revisión de tecnología que una de las grandes formas en que se puede explotar una base de datos abierta es que los extraños pueden afirmar ser parientes para obtener una ventaja. Piense en la clásica estafa del "príncipe nigeriano", pero con un brillo aún más tentador de credulidad científica basada en el ADN compartido. La razón por la que los sitios de prueba comerciales no son vulnerables es que no permiten que los usuarios compartan sus propios datos. Si alguien intentara defraudar a 23andMe de la misma manera, tendría que hacer algo como tomar una muestra de otra persona y presentarla como propia.

Si GEDmatch es como un banco de datos, en este momento el banco ni siquiera tiene un guardia de seguridad dormitando junto a la puerta principal. Hace años, los usuarios de Internet en corporaciones o universidades compartían información de tarjetas de crédito corporativas o números de cuenta de FedEx en sitios web públicos que simplemente asumían que desconocidos no tendrían razón para mirar, y este desajuste de audiencia e intención no es nada nuevo. Esperemos que otros servicios puedan aprender de este truco y proteger mejor su información.