Due diversi attacchi di phishing hanno colpito nei mesi scorsi due importanti siti che si occupano di ricerca e raccolta di dati genealogici: GEDmatch e MyHeritage.com. Esaminiamo quanto accaduto per riflettere sui rischi legati al furto di DNA, alla mancanza di sicurezza dei programmi di elaborazione del DNA e alle serie implicazioni che ciò comporta.
I fatti
Lo scorso luglio, gli utenti di GEDmatch sono stati presi di mira da attacchi di phishing provenienti da una violazione dei dati su un altro sito di genealogia.
GEDmatch, società statunitense, è attiva nel campo della dei test del DNA e ricerca sugli alberi genealogici, e più precisamente, si occupa di autosomi.
Un autosoma è un cromosoma che non contiene informazioni genetiche specifiche alla caratterizzazione sessuale dell’individuo. Si tratta di un cromosoma solitamente presente in duplice copia negli individui di entrambi i sessi. Per questo motivo, viene utilizzato per catalogare il DNA inviato dagli utenti dei vari siti Web.
GEDmatch in realtà, è salita alla ribalta delle cronache un paio d’anni fa, quando l’FBI, utilizzando il database della compagnia riuscì a risalre all’identità di Joseph James D’Angelo, meglio noto come il Golden State Killer uno dei più longevi serial killer di cui si abbia notizia.
Ricercato per 40 anni dall’FBI venne identificato nel 2018 per confessare, infine, i suoi crimini solo pochi mesi fa. Viveva poche porte più in là delle sue vittime.
Da allora, gli accessi alle banche dati GEDmatch da parte dell’FBI, non sono più stati utilizzati in alcun modo, ma non sono neanche stati ristretti, facendo sì che degli hacker potessero arrivare a manipolare i dati dei campioni di DNA inviati.
La violazione dei test di MyHaritage
In seguito, alcuni clienti di un’altra società, anch’essa di raccolta dati genetici, chiamata “MyHeritage”, con sede in Israele, hanno ricevuto moltissime e-mail di phishing. È interessante notare come anche My Heritage, nel 2017, avesse subito essa stessa un attacco.
Una violazione del servizio di test del DNA aveva fatto trapelare le informazioni personali di 92 milioni di utenti dopo che un incidente di sicurezza informatica aveva rivelato i loro indirizzi e-mail e password con hash. MyHeritage ha confermato che i dati erano stati violati nell’ottobre 2017, ma ha affermato di essere stata informata dell’incidente solo a giugno dell’anno successivo, quando uno dei ricercatori ha scoperto i file su un server privato esterno all’azienda e li ha segnalati al responsabile della sicurezza delle informazioni della società.
Nel caso di MyHeritage, gli indirizzi email e le password con hash (letteralmente “impronta”) appartenenti a 92.283.889 account, vennero copiati, ma la società ha affermato che non sono stati rubati altri dati sensibili, aggiungendo che il sito Web memorizzava un hash unidirezionale di ciascuna password e che l’hash è diverso per ogni utente, il che significa che anche se qualcuno avesse accesso ai dati, non avrebbe le password effettive. Utilizzando sistemi di pagamento di terze parti, l’azienda, all’epoca dei fatti, affermò che i dati relativi alle carte di credito non erano, ovviamente, raggiungibili e che atri dettagli, come i dati del campione di DNA e gli alberi genealogici, erano stati archiviati su diversi sistemi con livelli di sicurezza aggiuntivi.
Elaborazione del DNA e mancanza di sicurezza: i rischi
Sebbene in questo caso nessun dato sul DNA dei clienti, come campioni di sangue o saliva, sia stato rubato nell’attacco a GEDmatch un rapporto dello scorso anno ha evidenziato la minaccia rappresentata dalla mancanza di sicurezza all’interno dei popolari programmi open source di elaborazione del DNA.
A seguito del furto, dei dati di My Heritage infatti, è stato commissionato uno studio, condotto da ricercatori dell’Università di Washington, che ha scoperto che i programmi comunemente usati non impiegano solide pratiche di sicurezza.
Molti programmi di gestione dei dati relativi al DNA sono scritti in linguaggi di programmazione noti per contenere abitualmente problemi di sicurezza, mentre altri contenevano codice vulnerabile e altri problemi di sicurezza non identificati.
I ricercatori hanno anche esplorato la possibilità di manipolare il codice del DNA e hanno scoperto che potrebbe essere possibile, per un malintenzionato, produrre codice sintetico contenente malware.
Il team di ricerca, inoltre, ha evidenziato la possibilità di poter riprodurre un filamento di DNA contenente codice dannoso, che potrebbe quindi compromettere una macchina utilizzata per il sequenziamento o l’analisi.
In seguito all’incidente, GEDmatch ha implementato nuovi controlli sulla privacy, chiudendo, finalmente, la falla lasciata aperta dall’utilizzo dell’FBI
Tuttavia, la società ha confermato che gli eventi di luglio hanno portato a una modifica delle autorizzazioni a livello di sito, esponendo i dati degli utenti alle forze dell’ordine.
Un laconico commento sulla loro homepage recitava così: “Possiamo assicurarti che le tue informazioni sul DNA non sono state compromesse, poiché GEDmatch non archivia file di DNA grezzi sul sito. Quando carichi i tuoi dati, le informazioni vengono codificate e il file raw cancellato. Questo è uno dei modi in cui proteggiamo le informazioni più sensibili dei nostri utenti”.
La truffa di “myheritaqe.com”
Un post sul blog spiega in che modo gli utenti di MyHeritage sono stati presi di mira con e-mail false che promettevano una “corrispondenza del DNA” che in realtà si collegava a un sito di phishing con un dominio simile.
Questo sito falso, myheritaqe.com, mostrava una homepage identica al vero sito MyHeritage, comprendendo anche una pagina di accesso destinata a rubare le credenziali delle vittime.
“L’e-mail viene sempre inviata in inglese, anche agli utenti la cui lingua su MyHeritage non è l’inglese”, si legge nel post del blog. “L’email viene inviata da info@myheritaqe.com e nota che è MyHeritaqe con una Q e non con una G come dovrebbe essere. Questo è il dominio degli autori.”
“Non sappiamo se hanno inviato un’e-mail (o hanno intenzione di inviare un’e-mail) a tutti gli utenti di GEDmatch o solo a coloro che hanno caricato i dati del DNA su GEDmatch provenienti da MyHeritage”, si legge nel post del blog, datato 21 luglio. “Quello che abbiamo scoperto con tutti gli utenti a cui hanno inviato messaggi di posta elettronica, dopo aver parlato con questi utenti, è che quegli utenti utilizzano tutti GEDmatch”.
“Poiché GEDmatch ha subito una violazione dei dati due giorni fa, sospettiamo che questo sia il modo in cui gli autori hanno ottenuto i loro indirizzi e-mail e nomi per questo abuso”, conclude.
MyHeritage ha anche notato che uno dei suoi utenti ha ricevuto l’e-mail di phishing indirizzata a un nome di account univoco associato solo a GEDmatch, rafforzando così l’idea che gli attacchi siano stati programmati.
Quindi sia i clienti di GEDmatch, sia quelli di MyHeritage sono stati l’obiettivo di una truffa di phishing.
Un’indagine di sicurezza iniziale ha rilevato che almeno 105 utenti di GEDmatch erano stati attirati nel sito di phishing e 16 di essi erano stati indotti con l’inganno a inserire le proprie credenziali.
MyHeritage dice di non essere a conoscenza di dati compromessi sul suo sito web. Da allora il sito di phishing è stato messo offline, sebbene la società abbia consigliato agli utenti di prestare attenzione ai siti Web falsi e di utilizzare password complesse e univoche per diversi servizi Web.
Conclusioni
Qualche considerazione sull’accaduto.
Per quanto queste società non facciano altro che immagazzinare dati relativi al DNA al solo scopo di poter ricostruire il proprio albero genealogico, per cui non in grado di modificare la sequenza del DNA per “creare dei mostri”, particolarissima attenzione va data alla possibilità di furto del DNA stesso (le società in questione – My Heritage è presente sul web anche con interfaccia in lingua italiana). Possiamo immaginare scenari fantascientifici ma non troppo, nei quali qualsiasi iscritto a uno di questi siti Internet, a seguito del furto del proprio DNA (entrambe le società mettono a disposizione degli iscritti un kit di raccolta del DNA) potrebbe, in un domani ipotetico fino a un certo punto, ritrovarsi coinvolto in indagini per omicidio perché il suo DNA era sul luogo del delitto.
Le società in questione, GEDmatch e MyHeritage, sono rispettivamente di origine statunitense e israeliana, ergo i dati – estremamente sensibili – che vengono lasciati dagli utenti, non sono protetti dalla legge europea sulla privacy (Gdpr) e non sappiamo come vengono trattati e per conto di chi. La cautela, in questi casi, è fondamentale
Infine, diffidare delle email che non hanno senso, utilizzare una password diversa e univoca su ogni sito web, non riutilizzare mai la stessa password su più siti web, se si deve contattare l’azienda usare esclusivamente i canali pubblicati sul loro sito web e siate sempre vigili.
