phishing

Banche dati DNA sotto attacco: rischi e implicazioni, non solo privacy

I siti di analisi e profilazione del DNA sono sempre più usati sia dagli utenti alla ricerca delle proprie origini, che dalle forze dell’ordine, per cercare di risolvere i crimini. Ma le violazioni che hanno riguardato GEDmatch e MyHeritage ci fanno capire cosa può andare storto se non si usano le necessarie precauzioni

09 Set 2020
Walter Rocchi

IT Security expert

dna-leak

Due diversi attacchi di phishing hanno colpito nei mesi scorsi due importanti siti che si occupano di ricerca e raccolta di dati genealogici: GEDmatch e MyHeritage.com. Esaminiamo quanto accaduto per riflettere sui rischi legati al furto di DNA, alla mancanza di sicurezza dei programmi di elaborazione del DNA e alle serie implicazioni che ciò comporta.

I fatti

Lo scorso luglio, gli utenti di GEDmatch sono stati presi di mira da attacchi di phishing provenienti da una violazione dei dati su un altro sito di genealogia.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

GEDmatch, società statunitense, è attiva nel campo della dei test del DNA e ricerca sugli alberi genealogici, e più precisamente, si occupa di autosomi.

Un autosoma è un cromosoma che non contiene informazioni genetiche specifiche alla caratterizzazione sessuale dell’individuo. Si tratta di un cromosoma solitamente presente in duplice copia negli individui di entrambi i sessi. Per questo motivo, viene utilizzato per catalogare il DNA inviato dagli utenti dei vari siti Web.

GEDmatch in realtà, è salita alla ribalta delle cronache un paio d’anni fa, quando l’FBI, utilizzando il database della compagnia riuscì a risalre all’identità di Joseph James D’Angelo, meglio noto come il Golden State Killer uno dei più longevi serial killer di cui si abbia notizia.

Ricercato per 40 anni dall’FBI venne identificato nel 2018 per confessare, infine, i suoi crimini solo pochi mesi fa. Viveva poche porte più in là delle sue vittime.

Da allora, gli accessi alle banche dati GEDmatch da parte dell’FBI, non sono più stati utilizzati in alcun modo, ma non sono neanche stati ristretti, facendo sì che degli hacker potessero arrivare a manipolare i dati dei campioni di DNA inviati.

La violazione dei test di MyHaritage

In seguito, alcuni clienti di un’altra società, anch’essa di raccolta dati genetici, chiamata “MyHeritage”, con sede in Israele, hanno ricevuto moltissime e-mail di phishing. È interessante notare come anche My Heritage, nel 2017, avesse subito essa stessa un attacco.

Una violazione del servizio di test del DNA aveva fatto trapelare le informazioni personali di 92 milioni di utenti dopo che un incidente di sicurezza informatica aveva rivelato i loro indirizzi e-mail e password con hash. MyHeritage ha confermato che i dati erano stati violati nell’ottobre 2017, ma ha affermato di essere stata informata dell’incidente solo a giugno dell’anno successivo, quando uno dei ricercatori ha scoperto i file su un server privato esterno all’azienda e li ha segnalati al responsabile della sicurezza delle informazioni della società.

Nel caso di MyHeritage, gli indirizzi email e le password con hash (letteralmente “impronta”) appartenenti a 92.283.889 account, vennero copiati, ma la società ha affermato che non sono stati rubati altri dati sensibili, aggiungendo che il sito Web memorizzava un hash unidirezionale di ciascuna password e che l’hash è diverso per ogni utente, il che significa che anche se qualcuno avesse accesso ai dati, non avrebbe le password effettive. Utilizzando sistemi di pagamento di terze parti, l’azienda, all’epoca dei fatti, affermò che i dati relativi alle carte di credito non erano, ovviamente, raggiungibili e che atri dettagli, come i dati del campione di DNA e gli alberi genealogici, erano stati archiviati su diversi sistemi con livelli di sicurezza aggiuntivi.

Elaborazione del DNA e mancanza di sicurezza: i rischi

Sebbene in questo caso nessun dato sul DNA dei clienti, come campioni di sangue o saliva, sia stato rubato nell’attacco a GEDmatch un rapporto dello scorso anno ha evidenziato la minaccia rappresentata dalla mancanza di sicurezza all’interno dei popolari programmi open source di elaborazione del DNA.

A seguito del furto, dei dati di My Heritage infatti, è stato commissionato uno studio, condotto da ricercatori dell’Università di Washington, che ha scoperto che i programmi comunemente usati non impiegano solide pratiche di sicurezza.

Molti programmi di gestione dei dati relativi al DNA sono scritti in linguaggi di programmazione noti per contenere abitualmente problemi di sicurezza, mentre altri contenevano codice vulnerabile e altri problemi di sicurezza non identificati.

I ricercatori hanno anche esplorato la possibilità di manipolare il codice del DNA e hanno scoperto che potrebbe essere possibile, per un malintenzionato, produrre codice sintetico contenente malware.

Il team di ricerca, inoltre, ha evidenziato la possibilità di poter riprodurre un filamento di DNA contenente codice dannoso, che potrebbe quindi compromettere una macchina utilizzata per il sequenziamento o l’analisi.

In seguito all’incidente, GEDmatch ha implementato nuovi controlli sulla privacy, chiudendo, finalmente, la falla lasciata aperta dall’utilizzo dell’FBI

Tuttavia, la società ha confermato che gli eventi di luglio hanno portato a una modifica delle autorizzazioni a livello di sito, esponendo i dati degli utenti alle forze dell’ordine.

Un laconico commento sulla loro homepage recitava così: “Possiamo assicurarti che le tue informazioni sul DNA non sono state compromesse, poiché GEDmatch non archivia file di DNA grezzi sul sito. Quando carichi i tuoi dati, le informazioni vengono codificate e il file raw cancellato. Questo è uno dei modi in cui proteggiamo le informazioni più sensibili dei nostri utenti”.

La truffa di “myheritaqe.com”

Un post sul blog spiega in che modo gli utenti di MyHeritage sono stati presi di mira con e-mail false che promettevano una “corrispondenza del DNA” che in realtà si collegava a un sito di phishing con un dominio simile.

Questo sito falso, myheritaqe.com, mostrava una homepage identica al vero sito MyHeritage, comprendendo anche una pagina di accesso destinata a rubare le credenziali delle vittime.

“L’e-mail viene sempre inviata in inglese, anche agli utenti la cui lingua su MyHeritage non è l’inglese”, si legge nel post del blog. “L’email viene inviata da info@myheritaqe.com e nota che è MyHeritaqe con una Q e non con una G come dovrebbe essere. Questo è il dominio degli autori.”

“Non sappiamo se hanno inviato un’e-mail (o hanno intenzione di inviare un’e-mail) a tutti gli utenti di GEDmatch o solo a coloro che hanno caricato i dati del DNA su GEDmatch provenienti da MyHeritage”, si legge nel post del blog, datato 21 luglio. “Quello che abbiamo scoperto con tutti gli utenti a cui hanno inviato messaggi di posta elettronica, dopo aver parlato con questi utenti, è che quegli utenti utilizzano tutti GEDmatch”.

“Poiché GEDmatch ha subito una violazione dei dati due giorni fa, sospettiamo che questo sia il modo in cui gli autori hanno ottenuto i loro indirizzi e-mail e nomi per questo abuso”, conclude.

MyHeritage ha anche notato che uno dei suoi utenti ha ricevuto l’e-mail di phishing indirizzata a un nome di account univoco associato solo a GEDmatch, rafforzando così l’idea che gli attacchi siano stati programmati.

Quindi sia i clienti di GEDmatch, sia quelli di MyHeritage sono stati l’obiettivo di una truffa di phishing.

Un’indagine di sicurezza iniziale ha rilevato che almeno 105 utenti di GEDmatch erano stati attirati nel sito di phishing e 16 di essi erano stati indotti con l’inganno a inserire le proprie credenziali.

MyHeritage dice di non essere a conoscenza di dati compromessi sul suo sito web. Da allora il sito di phishing è stato messo offline, sebbene la società abbia consigliato agli utenti di prestare attenzione ai siti Web falsi e di utilizzare password complesse e univoche per diversi servizi Web.

Conclusioni

Qualche considerazione sull’accaduto.

Per quanto queste società non facciano altro che immagazzinare dati relativi al DNA al solo scopo di poter ricostruire il proprio albero genealogico, per cui non in grado di modificare la sequenza del DNA per “creare dei mostri”, particolarissima attenzione va data alla possibilità di furto del DNA stesso (le società in questione – My Heritage è presente sul web anche con interfaccia in lingua italiana). Possiamo immaginare scenari fantascientifici ma non troppo, nei quali qualsiasi iscritto a uno di questi siti Internet, a seguito del furto del proprio DNA (entrambe le società mettono a disposizione degli iscritti un kit di raccolta del DNA) potrebbe, in un domani ipotetico fino a un certo punto, ritrovarsi coinvolto in indagini per omicidio perché il suo DNA era sul luogo del delitto.

Le società in questione, GEDmatch e MyHeritage, sono rispettivamente di origine statunitense e israeliana, ergo i dati – estremamente sensibili – che vengono lasciati dagli utenti, non sono protetti dalla legge europea sulla privacy (Gdpr) e non sappiamo come vengono trattati e per conto di chi. La cautela, in questi casi, è fondamentale

Infine, diffidare delle email che non hanno senso, utilizzare una password diversa e univoca su ogni sito web, non riutilizzare mai la stessa password su più siti web, se si deve contattare l’azienda usare esclusivamente i canali pubblicati sul loro sito web e siate sempre vigili.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati