Bezpieczeństwo - GEDmatch zhackowane

pawel_po · Post autor: **pawel_po** » pt 24 lip 2020, 15:00

Szanowni genetyczni genealodzy,

Niebezpiecznik.pl właśnie opublikował ciekawy artykuł o "awarii" Gedmatch i potencjalnym wycieku danych dotyczących profili DNA.

https://niebezpiecznik.pl/post/profile- ... -scigania/

Pozdrawiam,
Paweł

Marek70 · Post autor: **Marek70** » pt 24 lip 2020, 19:05

GEDmatch poinformował już o tym zainteresowanych mail'em kilka dni temu.

Sroczyński_Włodzimierz

Dzięki Pawle za informacje.
Chyba nie wszyscy zainteresowani mieli okazję, Marku.

Z pobieżnej analizy, delikatnej sugestii niebezpiecznych, to wręcz celowy backdoor
ciekawe ze względu na zbieżność rozstrzygnięć sądowych nt bezpieczeństwa danych przekazywanych poza UE
https://thednageek.com/gedmatch-goes-haywire/

pawel_po · Post autor: **pawel_po** » pt 24 lip 2020, 21:18

Marku - to była pewnie wiadomość tylko dla subskrybentów lub użytkowników serwisu. Osoby które dopiero rozważają taką usługę mogą o sprawie nie wiedzieć tak więc warto taki temat poruszyć lub po prostu wziąć pod rozwagę.
W przypadku takich "awarii" warto również zobaczyć jak na sprawę patrzą inni, niezwiązani z firmą, specjaliści. Możemy wtedy odnieść się do tego trochę bez PRowskich formułek i okrągłych zdań od biznesowych zespołów zarządzania kryzysem.

Pozdrawiam,
Paweł

Sroczyński_Włodzimierz

Ciekawe (oprócz koincydencji z wyrokiem dotyczącym kwestii przekazywania danych poza UE a RODO) jest też to, że dopóki był to niezależny serwis, produkt pasji dwóch ludzi i otoczenia - było OK.
"Korporacyjne" nie zawsze znaczy lepiej chronione i nie wykorzystywane inaczej niż miało być.

sirdaniel · Post autor: **sirdaniel** » pt 24 lip 2020, 22:51

No ale ktoś kto wrzuca swój profil DNA na obce strony to chyba nie podaje swoich danych imię, nazwisko, pełne drzewo gedcom, adres zamieszkania numer konta ite pe i tede? Przynajmniej nie wszystko na raz.

To co od razu można skojarzyć to profil DNA z mailem. Więc jeśli ktoś używa unikalnych adresów mailowych do różnych stron, może czuć się bezpieczny nie wiadomo co by się działo.

Nie wiem, jeśli do kojarzenia DNA wymagane są bliższe dane do podania na tych stronach to słabo.

Łucja · Post autor: **Łucja** » sob 25 lip 2020, 13:05

Myślę głośno, że może chodzić o to, że strona Gedmatch daje użytkownikom niesamowite możliwości, praktycznie za darmo, wersja płatna jest, ale w wersji bezpłatnej też te możliwości są spore. Możliwości analiz. Powstała w czasie kiedy genealogia genetyczna była domeną amatorów, bo w sumie trudno zajmować się tym dla celów zawodowych, czyli robić takie analizy innym. Ale z czasem rynek się zmienia, teraz powstało już wiele firm, które zajmują się tym zawodowo, oferują usługi za duże pieniądze. Dla nich taki Gedmatch to niebezpieczna konkurencja. Barierą jest tylko to, że aby posługiwać się Gedmatch trzeba trochę się nauczyć, bardzo łatwe to nie jest. Nie mówię o firmach, które korzystają z Gedmatch i w ten sposób te usługi wykonują dla innych (czyli bazują jakby tylko na tym, że jest to jednak dość trudne, wymaga nauki, samonauki). Tylko o innych, firmach, np. takich, które chciałyby to co Gedmatch daje za darmo lub za niewielką opłatą (tam jest płatny miesięczny abonament na rozszerzone funkcje) sprzedawać za większe pieniądze. Mogę powiedzieć na swoim przykładzie, że korzystanie z Gedmatch w sprawach archeologicznych jest dla mnie za trudne, ale archeolodzy korzystają, im łatwiej. Jest firma, która za duże pieniądze oferuje w sumie dużo mniej niż Gedmatch w tej dziedzinie, ale w sposób przystępny dla laika, czyli dla mnie (dlatego tej firmie zapłacę, bo dla mnie to mniej jest więcej). Firma nie oferuje tego co można uzyskać z Gedmatch i teraz gdyby chciała dać swoim klientom aż tyle ile daje Gedmatch (za opłatą), to ma do czynienia z bardzo poważną konkurencją Gedmatch. Podałam to jako przykład komu może zależeć na hakowaniu strony Gedmatch. Druga sprawa. Większość uczestników Gedmatch nie zezwoliła na udostępnianie policji swoich danych, ale co to za przeszkoda dla policji, przecież może wgrać DNA przestępcy, którego poszukuje, nie oficjalnie, ale za czyimś pośrednictwem, prawda? Może zatrudnić detektywa do znalezienia przestępcy i udostępnić mu DNA przestępcy. Czyli to raczej nie chodzi o ten kierunek. Tylko może jednak o podważenie zaufania do firmy, którą się postrzega jako konkurencję. Po trzecie. Zdaje się, ale pewna nie jestem, że można tam wgrać dane bez możliwości porównań z innymi uczestnikami (np. tylko dla innych celów, etniczne, archeologiczne) i chyba to również zostało przez hakera (tak nazwijmy) zmienione, że te profile stały się publiczne. Czyli w sumie nic takiego się nie stało dla tych, którzy korzystają z Gedmatch dla celów stricte genealogicznych, ja tak myślę. Nie wstrzeliłam się w te 3 godziny kiedy serwis działał na innych zasadach i nie wiem jak to wyglądało. Tylko gdybam i trzymam kciuki "Gedmatch wróć!"

Łucja