致力於家譜研究的 DNA 測試非常流行,包括在法國。不幸的是,用戶資料的安全性不一定能應付挑戰。該行業的公司之一 MyHeritage DNA 剛剛透露龐大的資料洩露。確實在某處找到了 9,200 萬用戶的識別符“在私人伺服器上”一位安全研究人員向該公司發出了警報。法國用戶很可能也受到了這一事件的影響,因為法國也提供 MyHeritage 優惠,即使理論上我們國家禁止銷售 DNA 測試。
這次資料外洩發生於2017年10月26日,但目前尚不清楚事件的細節。特別是,目前尚不清楚 MyHeritage 的伺服器是否遭到駭客攻擊,或者是否是內部人員的行為。該公司強調 DNA 數據不受影響,銀行數據也不受影響。只有識別碼被盜,在本例中是電子郵件和密碼。該公司解釋說,後者已經被“散列”,也就是說轉化為加密指紋,理論上不可能從中找到原始密碼。
密碼安全無法保證
但人們對這些印刷品的可靠性仍有疑問。 MyHeritage 沒有指定使用什麼技術來散列這些密碼。該公司僅解釋說「每個用戶的哈希密鑰都是不同的」。這建議使用“加密鹽”,這是一種在計算指紋之前向密碼添加隨機字元的技術。這會減慢暴力攻擊的速度,但這並不總是足夠的。指紋的安全性也取決於所使用的演算法。不幸的是,MyHeritage 沒有提供此資訊。因此,用戶非常希望盡快更改密碼。
為了讓使用者放心,MyHeritage 指定很快就會提供雙重驗證選項。這很好,因為它加強了身份驗證過程並限制了丟失密碼的風險。然而,這並不能保護該公司的 DNA 資料庫免於駭客攻擊。在其新聞稿中,它強調這些都已存儲“在不同的系統上”受益於“額外的安全層”。希望這是真的。
最近,隨著美國一起謀殺案的解決,DNA檢測引起了廣泛關注。為了識別兇手,警方將依賴 DNA 資料庫開源稱為 GEDmatch。
