GENEALOGIE

[Mistr Jan]

Zdravím,

od jiných zahraničních kolegů jsem se dozvěděl, že dnes v 4:00 SELČ a následně v 16:00 SELČ mohlo dojít k velkým únikům dat z databáze 23andMe získaných skrze DNA testování.
Vše mělo být zveřejněno na fóru na dark webu. Nejdříve měly být odhaleny pouze výsledky dvou etnických skupin – té židovské a té čínské, následně ale pak měl být uveřejněn CSV soubor s údaji o až 4 milionech lidí, včetně několika známých osobností (Elon Musk, Mark Zuckerberg, Sergey Brin a jiní).
Do rukou se mi také dostalo toto: https://ibb.co/D7TKPqw

Příspěvky na sociální síti Reddit poukazující na možný únik dat byly smazány, stejně tak jsem našel smazaný příspěvek na stránce breachforums.is. 23andMe únik odmítlo a oznámilo, že bude pokračovat v monitorování situace: https://twitter.com/jgreigj/status/1709579399899619624 (https://ibb.co/kQzmnKp) O tom, zda jsou příspěvky mazány proto, že nejsou pravdivé, anebo proto, že 23andMe nechce událost rozmazávat, těžko polemizovat.

Upozorňuji tedy proto, že poněvadž tato událost nebyla dosud potvrzena, nelze to samozřejmě brát za stoprocentně jistou věc.

Faktem ovšem je, že můj známý z Ameriky, který si u 23andMe DNA test udělal, a zároveň má nezanedbatelné množství židovských předků, se nechal v onom souboru vyhledat, a kromě svého vlastního jména a vlastních osobních údajů objevil i jméno a osobní údaje svých rodičů a prarodičů, kteří byli rovněž testováni.
Na druhé straně je třeba zmínit, že zatímco hackeři zmiňují, že mají celá surová (raw) DNA data pro každého z otestovaných, zatím se neukázalo, a to ani pro mého známého, že by onen CSV soubor pro jednotlivé osoby obsahoval více než jejich jméno+příjmení, pohlaví, haploskupinu, lokace a etnický původ. To jsou informace, které jsou volně dostupné pro kohokoliv v případě DNA shody s dotyčným. Celková složka raw DNA dat je pak pro jednotlivce velká asi 20-30 MB, stáhnout toto pro několik milionů lidí by tedy znamenalo opravdu veliké množství času – a vzhledem k ochraně dat, kterou 23andMe zajisté má, by to byla doba až nereálně dlouhá. Zůstává tedy otázkou, zda došlo ke skutečnému útoku hackerů, anebo jen k nějaké chytré oklice a s trochou nadsázky "vymačkání" dat z jednotlivých shod.

Mým cílem ale spíš bylo toto uvést jako kuriozitu a zároveň třeba otevřít diskuzi – přemýšleli jste někdy o možných únicích informací z DNA testů? Mohlo by to mít horší dopad, než únik jiných osobních údajů? Budu rád za vaše názory.

Jan

[Zora]

přemýšleli jste někdy o možných únicích informací z DNA testů? Mohlo by to mít horší dopad, než únik jiných osobních údajů?
Já ano a nejen testů, ale i vzorků.
Proto se také testovat nechci. Z

[zburget]

K úniku může dojít skoro kdekoli a čehokoli, co je v digitální podobě. Jaký to může mít na koho dopad hodně záleží na tom co unikne a k čemu je to zneužitelné. To znamená, že na různé lidi může mít únik stejných dat dost různé dopady.
Vždycky je taky potřeba počítat s tím, jak zajímavá ta která konkrétní data jsou. Daleko zajímavější budou data známých osobností, než data nějakého "obyčejného", "tuctového" člověka. Takže pokud někde neuniknou moje hesla, tak já osobně z nějakých úniků dat velký strach nemám. Není tam nic, co by
1. jiní nevěděli nebo se k těm datům nemohli dostat i jinak,
2. bylo zneužito zrovna proti mě s nějakou reálnou mírou pravděpodobnosti.
Čímž neříkám, že by mi nějaký takový únik udělal vyloženě radost.

Úniku vzorků pro testy DNA bych se nebál vůbec. Buď je laboratoře ničí nebo dobře zabezpečují. Kdyby si někdo chtěl sehnat vzorek mojí DNA, rozhodně si k němu najde daleko snadnější cestu, než ji shánět v genetické laboratoři.

Celková složka raw DNA dat je pak pro jednotlivce velká asi 20-30 MB, stáhnout toto pro několik milionů lidí by tedy znamenalo opravdu veliké množství času – a vzhledem k ochraně dat, kterou 23andMe zajisté má, by to byla doba až nereálně dlouhá

Tohle je chybná úvaha. Organizace spravující větší objemy dat budou určitě připojené poměrně solidními linkami. Konektivita jejich datacentra může být klidně několik gbit/s. Portová konektivita 10 gbps v datacentru může stát klidně třeba jen 500 USD / měsíc. To jsou pro větší organizaci vyloženě drobné. 30 MB pro milion lidí je 30 TB. Stažení takového objemu dat přes jednogigabitovou linku je teoreticky možné za ~67 hodin reálně to bude víc). Pokud nebudu chtít být objeven, protože by si někdo mohl všimnout, že najednou odněkud tři dny tečou nepřetržitě data a 100% vytěžují linku, tak datový tok omezím třeba na 1/3 a mám to doma za týden. Není kam spěchat, dokud si toho někdo nevšimne. A na velkých linkách si toho nikdo nevšimne, když nebudu dělat zbytečné blbosti. No a to klidně jejich datacentrum může být připojené linkou o rychlosti 10 gbit, takže si všechny časy stačí vydělit deseti. Čas stažení řekněme 8 hodin přes noc - na to někdo přijde až ráno, když už budu mít všechno doma. To u toho nebudu ani omezovat rychlost stahování.
Práci a technické zázemí hackerských skupin nelze posuzovat pohledem domácí přípojky k internetu