GedMatch在向警方提供用户DNA档案数据后确认数据泄露

该网站允许用户上传他们的DNA档案数据，以追踪他们的家谱和祖先。2018年，在执法部门在没有事先告知公司的情况下，利用该网站将一名连环谋杀案嫌疑人的DNA与网站数据库中100多万份DNA档案进行匹配后，该网站一夜成名。

GedMatch向其用户发布了隐私警告，并加入了新的控制措施，允许用户选择将其DNA包括在警方搜索中。

但用户周日报告称，这些设置在未经他们许可的情况下发生了变化，他们的DNA档案被提供给执法部门进行搜索。

在周三的一份声明中，该公司通过电子邮件告诉用户，它在7月19日和7月20日遭到了两次安全漏洞的攻击。

“不久之后，我们意识到了这一情况，并立即将该网站撤下。作为这次入侵的结果，所有用户权限都被重置，所有用户都可以看到所有的个人资料，“这封电子邮件写道。“这种情况持续了大约3个小时。在此期间，没有选择参加执法配对的用户也可以进行执法配对，相反，GedMatch的用户可以看到所有的执法资料。“。

声明说，第二次入侵导致用户设置重置，允许执法部门搜索之前选择退出的用户的个人资料数据。

DNA图谱分析公司越来越受到用户的欢迎，他们试图通过发现新的和祖先的家庭成员来了解他们的文化和种族背景。但执法部门越来越多地推动访问基因数据库，试图从犯罪现场遗留的DNA中破获犯罪。

该公司发言人周三表示，该公司已向当局报告了这一事件。该公司告诉TechCrunch，在为期两天的事件中，它没有收到或回应任何执法请求。

GedMatch没有公布执法部门寻求访问该公司数据的频率。它的竞争对手，如23andMe和Ancestry.com，已经发布了这些所谓的透明度报告。今年早些时候，Ancestry.com透露，它拒绝了州外的警方逮捕令，这表明警方仍在继续使用DNA图谱和分析网站获取信息。

加州大学戴维斯分校法学院(University of California，Davis School of Law)法学教授伊丽莎白·乔(Elizabeth Joh)告诉TechCrunch：“承认一个问题是一个开始，但如果‘解决方案’意味着简单地纠正错误，那么还有很多问题需要解决。”

“例如，GedMatch是否知道是否有执法机构访问了这些标记不当的用户？他们是否会透露此次入侵的进一步细节？当然，这不仅仅是GedMatch的问题：在一个公民自由的新领域，基因谱系数据库中的隐私泄露事件突显了对最敏感信息的监管保障严重不足。“这里一团糟。”

更新于7月22日，确认了安全漏洞。7月19日美国东部时间下午5点38分首次出版。