Тест на національність. Чим ми ризикуємо, коли здаємо аналіз ДНК з цікавості

За останні роки особисті дані мільйонів людей, які надіслали зразки своєї ДНК компаніям, що аналізують етнічне походження, потрапили в руки хакерів. Чим ви ризикуєте, якщо ваші генетичні дані вкрали? Яку найбільш особисту річ у вас можуть вкрасти? Вашу обручку? Ваш телефон? А як щодо вашого генетичного коду?

Восени 2023 року хакер на ім’я Голем опублікував на відомій платформі кіберзлочинців повідомлення про вкрадені дані з сайту 23andMe, одного з найвідоміших сервісів аналізу ДНК на національність. Пізніше компанія визнала, що хакер отримав доступ до особистої інформації у 6,9 мільйона профілів її користувачів.

Як виглядало, атака була спрямована на певну етнічну групу. Голем хвалився, що має доступ до облікових записів людей ашкеназького єврейського походження, і пропонував продати цю інформацію будь-кому, хто готовий заплатити.

Зʼявилися навіть новини про те, що витік даних 6 жовтня 2023 року міг мати антисемітські мотиви.

Голем, або той, хто так себе називав, пропонував на продаж "підібрані етнічні групи, індивідуалізовані набори даних, точні оцінки походження, деталі гаплогруп, інформацію про фенотип, фотографії, посилання на сотні потенційних родичів і, що найважливіше, профілі необроблених даних".

Ціни на особисті дані, які пропонував хакер, варіювалися від 1000 доларів США за сотню профілів до 100 000 доларів США за 100 тисяч профілів.

В описі пропозиції йшлося, що тут можна придбати "ДНК мільйонів людей - від світових бізнес-магнатів до династій, про які часто говорять пошепки". Пост з того часу видалили.

Чотирнадцять мільйонів людей плюнули у флакон і надіслали свою ДНК у 23andMe, щоби знайти інформацію про своє походження та здоров'я.

Такі тести часто дарують друзям і родичам на свята, але мало хто замислюється про те, що саме вони дарують.

Я зробила тест на 23andMe, і він виявив моє ашкеназьке єврейське походження. Але тепер мої дані цілком можуть бути у пакеті, який намагався продати хакер.

Це змусило мене задуматися, чи можна таку конфіденційну інформацію, як наш генетичний код, безпечно тримати в інтернеті.

АВТОР ФОТО,GETTY IMAGES

Крадіжки даних відбуваються постійно, каже Бретт Каллоу, аналітик з кібербезпеки компанії Emsisoft.

Але генетична інформація - це дуже особливий вид даних. Ви можете змінити свої паролі, номер кредитної картки чи банківські реквізити, якщо вони потрапили в руки хакера, але ви не можете змінити послідовність своєї ДНК.

"Коли ваші дані ДНК зламали, ви абсолютно нічого не можете з цим вдіяти", - каже Каллоу.

Переслідування етнічних груп на основі їхніх даних ДНК викликає глибоке занепокоєння.

Декілька високопоставлених американських чиновників порушили питання про ризик атак на людей єврейського і китайського походження через витік даних у 23andMe.

В основі антисемітських теорій змови лежить здатність євреїв "видавати себе" за білих. Під час Голокосту нацисти змушували євреїв носити жовті зірки, щоб їх можна було одразу впізнати.

Витік даних з сайту потенційно міг означати, що євреї, які пройшли тест ДНК, отримали цифрову "жовту зірку" поруч зі своїми іменами, фотографіями та географічним розташуванням.

Але злам сайту 23andMe торкнувся не лише даних євреїв-ашкеназі. У наступних публікаціях на форумі хакерів Голем начебто також пропонував інформацію про британських, німецьких і китайських користувачів.

Хакер також намагався продати дані виконавчої директорки компанії 23andMe Енн Войчицкі, її колишнього чоловіка та засновника Google Сергія Бріна, Ілона Маска та членів британської королівської родини.

Каллоу не думає, що цей напад був антисемітським. "Згадки про євреїв у цій публікації скоріше за все мали на меті привернути увагу".

Компанія 23andMe відмовилася дати інтерв’ю, але на своєму сайті опублікувала заяву. У ній зазначили, що "хакери отримали доступ до менш ніж 0,1%, або приблизно 14 000 профілів, з 14 мільйонів, які існують на сайті". Компанія також пояснила злам тим, що клієнти 23andMe повторно використовували паролі, які хакерам вдалося отримати з інших сайтів.

АВТОР ФОТО,GETTY IMAGES

Але отримавши доступ до цих акаунтів, кіберзлочинці змогли зібрати набагато більше даних, адже кожен з клієнтів мав свою мережу генетичних родичів, з якими сайт дозволяє звʼязатися.

Це популярна функція, тому що багато людей роблять такі тести саме для пошуку родичів. У відповідь на запити журналістів TechCrunch у грудні 2023 року 23andMe визнала, що фактично зламаними були 6,9 мільйона користувачів – приблизно кожен другий, хто надіслав компанії свою ДНК.

Коли бази даних містять дуже конфіденційну інформацію, для доступу до неї зазвичай потрібен не один пароль, згадайте, як ви входити, наприклад, у свій онлайн-банкінг.

Більшість із нас вже звикли до двофакторної ідентифікації, коли для входу потрібен додатковий код. Але до жовтня 2023 року це не було необхідною вимогою для доступу до облікового запису на 23andMe, навіть якщо він містив дані про генетичне походження, а також географічну та біографічну інформацію.

І це вже не перший випадок, коли зламують бази даних компаній, які збирають тести ДНК. У 2018 році хакери отримали електронні адреси і паролі понад 92 мільйонів користувачів MyHeritage.

Однак на продаж генетичні дані запропонували вперше у жовтні 2023 року.

Хоч якою була мета зламу, крадіжка генетичних даних має різноманітні наслідки.

"У багатьох випадках генетичні дані можуть свідчити про стан здоров’я людини, звідки можна припускати вплив на довгострокове працевлаштування чи ймовірність передчасної смерті, чи перенесення виснажливої хвороби. Потенційно такі дані можуть цікавити роботодавців або страховиків".

АВТОР ФОТО,GETTY IMAGES

У часи, коли все більше фінансових рішень ухвалюють за допомогою алгоритмів, що збирають усю можливу інформацію про людину, є серйозний ризик фінансових втрат і дискримінації через витік генетичних даних.

Медичним страховим компаніям у США заборонено використовувати генетичну інформацію для розрахунку ризику, але немає федерального закону, який би забороняв використовувати її компаніям зі страхування життя.

Легко уявити сценарій, коли витік генетичних даних може призвести до підвищення страхових платежів або клієнтам відмовлять у страховому покритті лише через їхні гени.

Їм також можуть відмовити у довгостроковій банківській позиці чи іпотеці, адже витік даних може свідчити про вищий ризик того, кредитор захворіє на хворобу Альцгеймера і помре раніше, ніж погасить кредит.

Через витік даних проти 23andMe відкрили кілька групових позовів у США. У січні компанія визнала, що хакери почали проникати в облікові записи її клієнтів ще у квітні 2023 року та можливо продовжували це робити протягом п’яти місяців.

Тепер сайт вимагає двоетапної ідентифікації клієнтів для доступу до своїх акаунтів. Такий же захист мають його конкуренти - Ancestry та MyHeritage. До жовтня 2023 року жодна з цих компаній не вимагала цього.

Навіть якщо такі конфіденційні дані, як наш генетичний код, і можна захистити від хакерів, немає жодної гарантії, що після того, як ми погодилися віддати їх корпорації, вони залишаться в її розпорядженні.

"Ці компанії можна купити – і таким чином отримати цю інформацію", - фахівець із кібербезпеки Каллоу.

У грудні 2020 року нью-йоркська інвестиційна компанія Blackstone купила Ancestry, одного з найбільших конкурентів 23andMe, за 4,7 мільярда доларів.

"Крім даних, ці компанії насправді мають дуже невелику цінність", - додає Каллоу.

"Але генетичну інформацію тепер можна продавати й купувати разом з іншою корпоративною інтелектуальною власністю та активами. ДНК має цінність, і ця цінність належить компанії, а не вам".

Blackstone відмовилась дати коментар BBC.

Хоча ідея про те, що мої гени тепер стали корпоративним активом, дещо дратує, я знала, на що я йду, коли відсилала тест ДНК в Ancestry та 23andMe.

Ніхто з людей, з якими я спілкувався для матеріалу, не пошкодував, що зробив домашній ДНК-тест.

Знання про своє походження і зв’язок зі світом, яке змінило життя, варте будь-якого потенційного ризику.

Навіть якщо ви самі й не робили цих тестів, цілком імовірно, у вас є близький родич, який їх пройшов, і дуже близька версія вашого генетичного коду може існувати у корпоративній базі даних.

Можливо ваші гени вже десь там. І хто знає, куди вони можуть потрапити?