Servizi di test del DNA come 23andMe, Ancestry.com e MyHeritage stanno rendendo più facile per le persone conoscere il proprio patrimonio etnico e il proprio patrimonio genetico. Le persone possono anche utilizzare i risultati dei test genetici per connettersi a potenziali parenti utilizzando siti di terze parti, come GEDmatch, dove possono confrontare le loro sequenze di DNA con altre nel database che hanno caricato i risultati del test.

Ma è possibile anche un lieto fine. I ricercatori dell'Università di Washington hanno scoperto che GEDmatch è vulnerabile a diversi tipi di rischi per la sicurezza. Un avversario può utilizzare solo un piccolo numero di confronti per estrarre i marcatori genetici sensibili di qualcuno. Un utente malintenzionato potrebbe anche costruire un falso profilo genetico per impersonare il parente di qualcuno.

Il team ha pubblicato i suoi risultati il ​​29 ottobre. I ricercatori hanno anche fatto accettare questa ricerca al Network and Distributed System Security Symposium e presenteranno questi risultati a febbraio a San Diego.

"La gente pensa che i dati genetici siano personali, e lo è. Fa letteralmente parte della loro identità fisica, " ha detto l'autore principale Peter Ney, un ricercatore post-dottorato presso la UW Paul G. Allen School of Computer Science &Engineering. "Questo rende particolarmente importante la privacy dei dati genetici. Puoi cambiare il numero della tua carta di credito ma non puoi cambiare il tuo DNA".

L'uso tradizionale dei risultati dei test genetici per la genealogia è un fenomeno relativamente recente. I benefici iniziali potrebbero aver oscurato alcuni rischi sottostanti, dicono i ricercatori.

"Quando abbiamo una nuova tecnologia, che si tratti di automobili intelligenti o dispositivi medici, noi come società iniziamo con "Cosa può fare questo per noi?" Quindi iniziamo a guardarlo da una prospettiva contraddittoria, " ha detto il co-autore Tadayoshi Kohno, un professore della Allen School. "Qui stiamo esaminando questo sistema e ci chiediamo:'Quali sono i problemi di privacy associati alla condivisione di dati genetici online?'"

Per cercare problemi di sicurezza, il team ha creato un account di ricerca su GEDmatch. I ricercatori hanno caricato profili genetici sperimentali che hanno creato mescolando e abbinando dati genetici da più database di profili anonimi. GEDmatch ha assegnato a questi profili un ID che le persone possono utilizzare per fare confronti uno a uno con i propri profili.

Per i confronti uno a uno, GEDmatch produce grafici con informazioni su quanto i due profili corrispondono. Un grafico è una barra per ciascuno dei 22 cromosomi non sessuali. Ogni barra cambia lunghezza a seconda di quanto sono simili i due profili per quel cromosoma. Una barra più lunga mostra che ci sono più regioni corrispondenti, mentre una serie di barre più corte significa che ci sono brevi regioni di somiglianza intervallate da aree differenti.

Il team voleva sapere se un avversario poteva usare quella barra per scoprire una specifica sequenza di DNA all'interno di una regione del profilo di un bersaglio, ad esempio se il bersaglio ha o meno una mutazione che lo rende suscettibile a una malattia. Per questa ricerca, il team ha progettato quattro "profili di estrazione" che potrebbero utilizzare per confronti uno a uno con un profilo di destinazione da loro creato. In base al fatto che la barra sia rimasta intera, indicando che il profilo di estrazione e il bersaglio corrispondessero, o divisa in due barre, indicando nessuna corrispondenza, il team è stato in grado di dedurre la sequenza specifica del bersaglio per quella regione.

"Le informazioni genetiche sono correlate a condizioni mediche e potenzialmente ad altri tratti profondamente personali, " ha detto il co-autore Luis Ceze, un professore della Allen School. "Anche nell'era della condivisione eccessiva delle informazioni, questo è molto probabilmente il tipo di informazioni che non si desidera condividere per motivi legali, ragioni mediche e di salute mentale. Ma man mano che più informazioni genetiche diventano digitali, i rischi aumentano».

Successivamente i ricercatori si sono chiesti se un avversario potesse utilizzare una tecnica simile per acquisire l'intero profilo di un bersaglio. Il team si è concentrato su un altro grafico GEDmatch che descrive la corrispondenza dei profili mostrando una linea di pixel colorati che indicano quanto ogni segmento di DNA nella query corrisponde al target:verde per una corrispondenza completa, giallo per una mezza corrispondenza, quando un filamento di DNA corrisponde ma non l'altro, e rosso per nessuna corrispondenza.

Quindi il team ha giocato un gioco di 20 domande:ha creato 20 profili di estrazione che ha utilizzato per confronti uno a uno su un profilo di destinazione che ha creato. In base a come sono cambiati i colori dei pixel, sono stati in grado di estrarre informazioni sulla sequenza target. Per cinque profili di prova, i ricercatori hanno estratto circa il 92% delle sequenze uniche di un test con una precisione di circa il 98%.

"Quindi in poche parole, tutto ciò che l'avversario deve fare è caricare questi 20 profili e quindi effettuare 20 confronti uno a uno con il target, " Disse Ney. "Potrebbero scrivere un programma che faccia automaticamente questi confronti, scarica i dati e restituisce il risultato. Ci vorrebbero 10 secondi".

Una volta che il profilo di qualcuno viene esposto, l'avversario può utilizzare tali informazioni per creare un profilo per un falso parente. Il team lo ha testato creando un bambino falso per uno dei loro profili sperimentali. Poiché i bambini ricevono metà del loro DNA da ciascun genitore, il profilo del bambino falso aveva le sequenze di DNA che corrispondevano per metà al profilo del genitore. Quando i ricercatori hanno fatto un confronto uno a uno dei due profili, GEDmatch ha stimato una relazione genitore-figlio.

Un avversario potrebbe generare qualsiasi falsa relazione desiderasse modificando la frazione del DNA condiviso, ha detto la squadra.

"Se gli utenti di GEDmatch hanno dubbi sulla privacy dei loro dati genetici, hanno la possibilità di eliminarlo dal sito, " Ha detto Ney. "La scelta di condividere i dati è una decisione personale, e gli utenti devono essere consapevoli che potrebbe esserci qualche rischio ogni volta che condividono i dati. La sicurezza è un problema difficile per le aziende Internet in ogni settore".

Prima di pubblicare i risultati, i ricercatori hanno condiviso le loro scoperte con GEDMatch, che ha lavorato per risolvere questi problemi, secondo il team GEDmatch. I ricercatori UW non sono affiliati a GEDmatch, però, e non posso commentare i dettagli di eventuali correzioni.

"Stiamo solo iniziando a grattare la superficie, " Kohno ha detto. "Queste scoperte sono così fondamentali che le persone potrebbero già farlo e non lo sappiamo. La cosa responsabile per noi è divulgare i nostri risultati in modo da poter coinvolgere una comunità di scienziati e responsabili politici in una discussione su come mitigare questo problema".