Новости От ДНК до даркнета: почему генетические тесты привлекают внимание киберпреступников?

NewsMaker

I'm just a script
Премиум
13,853
20
8 Ноя 2022
Возможно, ваш геном уже ждет своего покупателя на прилавках теневого рынка.


olek2o62e2ex2d71nkqhhpd0qlv4471i.jpg


Осенью 2023 года хакер под псевдонимом Golem опубликовал на киберпреступном форуме объявление о взломе базы данных компании 23andMe, одной из крупнейших на рынке ДНК-тестов. Позже Для просмотра ссылки Войди или Зарегистрируйся , что злоумышленник получил доступ к личной информации примерно 6,9 млн пользовательских профилей.

Как выяснилось, атака была нацелена на людей еврейского и китайского происхождения, но Golem особенно хвастался доступом к огромному количеству профилей Для просмотра ссылки Войди или Зарегистрируйся . После новостей о взломе, произошедшем 6 октября, у экспертов возникли опасения, что у атаки могли быть антисемитские мотивы.

В сообщении предлагалась к продаже следующая информация: распределение по этническим группам, оценки происхождения, детали гаплогрупп, сведения о фенотипе, фотографии, ссылки на сотни потенциальных родственников и, что важнее всего, файлы с исходными, не интерпретированными генетическими данными. Был указан прайс-лист с пошаговым увеличением цены — от 1000 долларов за 100 профилей до 100 000 долларов за 100 000 профилей.

Более того, за последнее время подобные ситуации с Для просмотра ссылки Войди или Зарегистрируйся повторялись несколько раз.

Миллионы людей в надежде узнать подробности о своих предках и здоровье прислали ДНК-тесты, сделанные на дому, в 23andMe. Многие делают это исключительно из любопытства, ведь домашние тесты работают очень просто, иногда их даже дарят друзьям и родственникам на праздники. Заявленная миссия компании — «помочь людям получить доступ к данным о человеческом геноме, понять их и извлечь пользу».

Специалист по кибербезопасности Бретт Кэллоу отмечает, что утечки случаются постоянно: «Подобные инциденты очень распространены, и ни одна компания не застрахована от них». Однако генетическая информация — это особый вид данных: в отличие от паролей и финансовых сведений, свою ДНК невозможно изменить. «Если ваши генетические данные взломают, вы абсолютно ничего не сможете с этим поделать», — говорит Кэллоу.

Он также отмечает, что утечка ДНК-сведений может иметь очень серьезные последствия в долгосрочной перспективе: «Невозможно предугадать, кто получит к ним доступ в будущем, сколько человек смогут ими воспользоваться и с какой целью. Генетические тесты зачастую указывают на предрасположенность к определенным заболеваниям. Это может повлиять на трудоустройство человека, продолжительность его жизни или инвалидность. Такая конфиденциальная информация представляет интерес для недобросовестных работодателей и страховых компаний».

В эпоху, когда все больше финансовых решений принимается алгоритмами на основе анализа всей доступной информации о человеке, утечка также может привести к серьезным финансовым потерям и дискриминации. Например, страховщики могут отказать в выдаче полиса или увеличить ставки, ссылаясь на генетические риски.

23andMe утверждает, что взлом не затронул сами профили ДНК, однако хакер получил доступ к отчетам о происхождении, географическому местоположению, семейным древам и других генетических особенностях.

«Каждый раз, когда наши личные данные попадают в руки киберпреступников, это способствует распространению воровства», — предупреждает эксперт по кибербезопасности Лили Хай Ньюман. По её словам, даже такие общие сведения как местоположение и этническая принадлежность могут быть использованы мошенниками для целевых атак на конкретных людей.

В результате утечки компания 23andMe столкнулась с несколькими Для просмотра ссылки Войди или Зарегистрируйся . В январе она признала, что получить доступ к учётным записям хакеры могли ещё в апреле 2023 года. Более того, любой мог беспрепятственно использовать уязвимость в системе в течение пяти месяцев, прежде чем проблема была обнаружена.

«Конфиденциальность и безопасность наших клиентов по-прежнему является главным приоритетом для 23andMe, и мы продолжим инвестировать в защиту наших систем», — заявляет организация. Теперь для доступа к аккаунтам сайт компании требует двухфакторную аутентификацию.

Исследователи обнаружили и другие способы незаконного получения генетических данных из баз потребительских генетических сервисов. В одном из исследований учёные из Калифорнийского университета в Дейвисе продемонстрировали, что, загружая в корпоративную систему большое количество поддельных генетических профилей, можно найти совпадения с реальными пользователями и таким образом восстановить фрагменты их геномов.

Даже если удастся надёжно защитить столь конфиденциальную информацию, как генетический код, от хакеров, нет гарантий, что она не попадет в чужие руки. Если компанию, в которую мы отправляем свои тесты, решат продать, информация перейдёт к новым владельцам.

«Помимо обработки генетических данных, у таких компаний по сути нет других ценных активов и направлений бизнеса. Их доходы построены на хранении и анализе ДНК клиентов, — отмечает Кэллоу. —Теперь генетические сведения можно продавать, покупать и обменивать, как любую другую интеллектуальную собственность. Права на ДНК принадлежат компании, а не вам».

Так, в 2020 году инвестиционная компания Blackstone приобрела за 4,7 млрд долларов Ancestry — одного из основных конкурентов 23andMe.

Несмотря на потенциальные риски, связанные с передачей ДНК-материалов частным компаниям, многие не жалеют о своем решении пройти тестирование. Полученные знания о предках и генетических связях для них настолько ценны, что перевешивают все опасения по поводу конфиденциальности. Но даже если вы сами не проходили подобный тест, кто-то из ваших близких родственников мог это сделать. А значит, очень близкая копия вашего генетического кода уже может храниться в корпоративном архиве неизвестной организации.

Возможно, ваши гены уже ждут своего покупателя на прилавках темных рынков. И неизвестно, где они окажутся в итоге.
 
Источник новости
www.securitylab.ru

Похожие темы