• Kompanija 23andMe je krajem 2023. godine doživjela cybernapad kada su ukradeni genetički podaci osoba koje su koristile njihovu platformu. Ovo se dogodilo nakon godina i godina upozoravanja kako ovi sistemi i baze podataka nisu baš sigurni.
  • 23andMe je doživio masivno probijanje koje je zahvatilo 6,9 miliona korisničkih računa, gotovo 50% ukupnih korisnika.
  • Hakeri su iskoristili mogućnosti funkcije DNA Relatives, pristupajući podacima o rođenju i porijeklu pogođenih korisnika.

Da krenemo redom.

23andMe je kompanija za genetičko i zdravstveno testiranje koja pruža pojedincima priliku da istraže svoje porijeklo i genetičke karakteristike putem jednostavnog testa DNK. Korisnici šalju uzorak pljuvačke, koji se analizira kako bi pružio uvid u njihovo etničko porijeklo, porodične veze i potencijalne genetičke sklonosti ka određenim zdravstvenim stanjima. Kompanija koristi ove podatke kako bi generisala izvještaje o porijeklu, genetičkim rizicima za zdravlje, da li osoba može biti nosioc određenih bolesti i drugim  nasljednim karakteristikama.

Kompaniju su 2006. osnovali Linda Avey, Paul Cusenza i Anne Wojcicki kako bi ponudili nešto što do tada individualnim potrošačima nije bilo dostupno: genetičko testiranje i sekvencioniranje genoma ili određenog dijela genoma iz udobnosti doma. Samo ime kompanije evocira broj hromosoma naše vrste: imamo 23 para hromosoma u svakoj tjelesnoj stanici i ove strukture su zapravo način na koji je DNK tj. genetička informacija, raspoređena u našim ćelijama.

Kada bi se „razmotala“, DNK unutar samo jedne ljudske ćelije bi imala dužinu od oko 2m, a geni, te upute za sintezu proteina u našem organizmu, raspoređeni su na oko 700 000 lokacija na toj DNK. Možemo reći da jedna molekula DNK u ljudskom genomu, što je termin koji označava cjelokupnu genetičku informaciju unutar jedne ćelije, ima oko 6 milijardi parova „slova“, čiji raspored diktira način sinteze proteina, molekula koje grade organizam. I tu su skrivene i naše mane i prednosti.

Iz farmaceutskog giganta GlaxoSmithKline (GSK) 2018. je stigla vijest da investiraju 300 miliona dolara u kompaniju koja se bavi sekvencioniranjem ljudskog genoma 23andMe. Cilj saradnje ove dvije kompanije je rad na otkrivanju novih djelotvornih terapija koje bi mogle unaprijediti živote miliona ljudi. Spomenute kompanije su već sarađivale na istraživanjama i analizama vezanim za LRRK2 gen, koji je povezan sa nekim slučajevima Parkinsonove bolesti. GSK je nastojao razviti lijek specijalno namijenjen pacijentima sa Parkinsonovom bolešću koji imaju rizičnu varijantu spomenutog gena, što bi omogućilo da terapija za njih bude ciljana i efikasnija. Međutim, za testiranje lijeka im je bilo potrebno oko 100 pacijenta sa ovim specifičnim i relativnom rijetkim oblikom bolesti. Ono što je za GSK bilo skoro pa nemoguće, za 23andMe je bilo na dohvat ruke, jer su u bazi podataka već imali oko 250 korisnika sa upravo ovom varijantom gena. 

No, obavještenje o saradnji je dočekano veoma ambivaletno kako u naučnoj zajednici, tako i u široj javnosti. Suštinski, GlaxoSmithKline ovim potezom želi dobiti prava na korištenje baza podataka 23andMe, koja je ujedno i jedna od najvećih baza podataka o genetici i varijacijama gena čovjeka ustanovljena do danas.

Onda, krajem 2023. godine saznajemo za skandal oko hakiranja i krađe genetičkih podataka skoro 7 miliona korisnika 23andMe. U novembru 2023. kompanija potvrđuje da je došlo do cybernapada u oktobru. 23andMe je objavio u početku da su hakeri pristupili osobnim podacima 0,1% korisnika, odnosno otprilike 14.000 osoba. Tvrtka je također izjavila da su hakeri, pristupanjem tim računima, također mogli pristupiti znatnom broju datoteka koje sadrže profilne informacije o porijeklu drugih korisnika. No, 23andMe nije želio reći koliko je “drugih korisnika” bilo pogođeno ovim probijanjem podataka koje je tvrtka prvotno otkrila početkom oktobra. Kako se ispostavilo, mnogo je “drugih korisnika” koji su postali žrtve ovog hakiranja podataka: ukupno 6,9 miliona pogođenih pojedinaca.

U e-pošti poslanoj TechCrunchu kasno u subotu, glasnogovornica 23andMe, Katie Watson, potvrdila je da su hakeri pristupili osobnim podacima otprilike 5,5 miliona ljudi koji su se prijavili za 23andMe-ovu značajku DNA Relatives, koja omogućuje korisnicima automatsko dijeljenje nekih svojih podataka s drugima. Ukradeni podaci uključivali su ime osobe, godinu rođenja, oznake veza, postotak dijeljenog DNK-a s rodbinom, izvještaje o porijeklu i samoprijavljenu lokaciju.

Izvor: 23andMe, Financial Times

 

Početkom oktobra 2023., jedan haker je tvrdio da je ukrao DNK informacije korisnika 23andMe u objavi na poznatom hakirajućem forumu. Kao dokaz probijanja, haker je objavio navodne podatke milion korisnika  aškenaskog porijekla i 100.000 kineskih korisnika, tražeći od potencijalnih kupaca između 1 i 10 dolara za podatke po pojedinačnom računu. Dvije sedmice kasnije, isti haker oglašavao je navodne podatke još četiri miliona ljudi na istom hakirajućem forumu.

Šta bi neko mogao uraditi s ovim podacima? Svašta. Ali vratimo se na to zašto je ova kompanija osnovana i zašto je proboj koji su načinili važan.

Nastanak kompanija koje nude sekvencioniranje genoma rezultat je fantastičnog napretka genetike i tehnika sekvencioniranja. HGP (Human Genom project) je bio internacionalni naučni projekat određivanja sekvenci koje čine ljudsku DNK, tj. sekvencioniranja ljudskog genoma, a trajao je od 1990. do 2003. godine. Upravo je ovaj projekat, desetak godina nakon svog završetka, dao „zalet“ kompanijama poput 23andMe – prije ovog projekta nije bilo ni teoretske mogućnosti da neko na tržište izbaci kućne testove pomoću kojih bi korisnici mogli testirati svoju DNK. O ovome se nije moglo ni sanjati.

Međutim, činjenica da je Anne Wojcicki bila udata za Sergeya Brina (razveli su se 2015.), suosnivača kompanije Google, te da je njena sestra Susan Wojcicki CEO kompanije Youtube, ponukala je mnoge da se zapitaju koliko kompanija 23andMe želi zaštititi privatnost svojih klijenata, a koliko tu privatnost „posuditi“ Googleu, koji je bio jedan od investitora u kompaniju. Podaci o genomima klijenata 23andMe bi bili interesatni farmaceutskim kompanijama, naučnim institutima, osiguravajućim kućama i poslodavcima.

Primjerice, osiguravajuće kuće bi uvidom u ove privatne podatke mogle određivati visinu polise osiguranja – oni kod kojih postoje varijante gena povezane sa višim rizikom za određenu bolest ili stanje bi morali plaćati veće polise, a poslodavci bi mogli vršiti diskriminaciju prilikom zapošljavanja. To bi značilo da bi praktično svi bili više ili manje diskriminisani i oštećeni, jer svi mi imamo neke varijante gena koji nose određene rizike. Međutim, imati „riskantnu“ varijantu gena ne znači uvijek i da ćete oboljeti od neke bolesti jer druge varijante gena, kao i okolina, način na koji živimo, mogu amortizirati negativni efekat određenog gena.

Postoje još i epigenetičke varijacije, koje uslovljavaju aktivnost određenih gena u nekom trenutku te tako neka „loša“ varijanta gena može biti inaktivna. Sve u svemu, interpretacija podataka dobijenih sekvencioniranjem DNK pojedinca je prilično težak posao i ostavlja dosta prostora za različita tumačenja.

Upravo je to bio jedan od razloga da 2013. Američka agencija za hranu i lijekove (Federal Drug Administration – FDA) zabrani marketing Personaliziranog genomskog servisa (PGS) koji je koštao 99$. FDA je u zvaničnom izvještaju obrazložila da ih brine upotreba PGS kompanije 23andMe jer lažno pozitivni ili lažno negativni rezultati analize mogu korisnike navesti na to da donesu važne odluke vezane za svoje zdravlje na osnovu netačnih rezultata kućnog testa ili čak na osnovu nedovoljno dobro urađene interpretacije rezultata. FDA je tom prilikom obrazložila da ovakvi testovi potpadaju u pravni domen ove agencije jer se radi o proizvodima vezanim za zdravlje.

Sami testovi i sekvencioniranja su, ipak, u relativno kratkom vremenskom roku postali veoma tražena roba. Postalo je stvar prestiža sekvencionirati genom, bilo kod 23andMe, bilo kod neke druge kompanije koja isto ovo radi, kao što su to ponude Geno 2.0 Next Generation od National Geographic. Jednostavno, ljudi su htjeli nešto naučiti o svom porijeklu ili saznati ako im DNK skriva neke rizike. Puka radoznalost je pobijedila strah otkrivanja ličnih podataka i korištenja ovih podataka od strane nekog trećeg. U izvještaju koji dobijete u online formi nakon testiranja, možete naći da li imate povećan rizik za obolijevanja od, primjerice Parkinsonove bolesti, da li ste skloni gojaznosti, ali i da li ste eventualno u srodstvu sa nekim drugim korisnikom 23andMe. Ovo je za neke bila mogućnost da eventualno nađu neke daleke rođake, ali i saznaju mnogo zanimljivih stvari o sebi, primjerice, da li imaju sklonost da kišu ako vide sunce ili kakav tip ušnog voska imaju. 2014. godine, 23andMe je imala oko 300 000 korisnika, u junu 2015. je genotipizirano oko milion genoma, dok je u aprilu 2017. taj broj dostigao čak 2 miliona profila. Procjenjuje se da 2018. godine kompanija ima čak 5 miliona korisnika. Dobro odabrano ime i vizuelni identitet 23andMe, te dobra marketinška kampanja su stavile ovu kompaniju u malu prednost, ispred ostalih koji su nudili slične usluge.

Jedna od stvari koju kompanija nudi jeste i to da klijenti prihvate opciju da se njihovi lični podaci koriste u naučne svrhe, a oko 80-90% korisnika prihvata ovu opciju. Kompanija je objavila niz naučnih radova, koji su prošli potrebne preglede prije objavljivanja, a u kojima je opisano preko 180 novih genetičkih osobina. U kolaboraciji za farmaceutskom kompanijom Pfizer, 23andMe je objavila rad u časopisu Human Molecular Genetics o tome koje varijante gena korespondiraju sa češćim i učestalijim ugrizima komaraca.


Baza podataka korisnika ovakvih usluga – ne samo 23andMe, nego i drugih kompanija koje rade sekvencioniranje ljudskog genoma i genotipizaciju, predstavlja pravo blago za naučna istraživanja, a naročito istraživanja koja bi mogla zanimati farmaceutiku. Naime, radi se o brojčano najvećim kohortama različitih ljudskih populacija i analizom podataka se može doći do različitih zaključaka. Stoga nije ni čudno ovoliko interesovanje farmacije za ove baze podataka te pritisak da se podaci učine ekskluzivnim samo za određene kompanije, što se postiže „kupovinom prava na upotrebu podataka“.



Slučaj iz aprila 2018, kada su istražitelji uhapsili izvjesnog Josepha Jamesa DeAngela, osumnjičenog za seriju ubistava i silovanja u Kaliforniji u periodu od 1976. do 1986. godine, podigao je buru prašine oko „kućnih“ testova DNK. Naime, DeAngelo je identifikovan i lociran preko GEDmatch.com, open-source platforme za dijeljenje rezultata testova genetičkog sekvencioniranja.

Iako kompanije koje sekvencioniraju genom nisu učestovovale u ovome, nego korisnici koji dobiju rezultate slobodno, bez ikakve prisile uploaduju te rezultate na GEDmatch platformu, u nadi da će naći neku daleku rodbinu, ovaj slučaj je još jednom pokazao koliko je sekvencioniranje genoma moćan alat.

Iako je platforma korištena u cilju postizanja pravde, mnoge je zabrinula pomisao da policija može iskoristiti njihove podatke. Naime, DeAngelo nije uploadovao svoje podatke na GEDmatch, nego je to učinio jedan njegov dalji rođak. Istražitelji iz Sakramenta su pratili ovaj trag, koji ih je odveo natrag do pra-pra-prapretka počinitelja zločina. Potom je potraga sužena kako bi se pronašla ona osoba koja je najvjerovatnije počinila ove stravične zločine, što je istragu na kraju dovelo do DeAngela.

Jedan od razloga za zabrinutost vezano za korištenje ovakvih testova je i to što bi neko, davši svoje podatke na uvid, mogao dati uvid i u podatke svoje rodbine koja nije pristala na takvo korištenje podataka. Drugi razlog je i to što većina od onih 80-90% korisnika koji se slože da se njihovi podaci mogu u buduće koristiti u medicinska istraživanja, zapravo u tom trenutku nije ni bila svjesna šta to znači. A izgleda da znači to da korisnici plate 23andMe testiranje (obično je to 69$, 99$ ili 199$, u zavisnosti od toga šta se testira – samo rodoslovlje ili i zdravstvena komponenta), a zatim kompanija praktično preproda ove podatke za 300 miliona dolara. Nije sporno to da će neka od istraživanja na ovoj kohorti korisnika donijeti i neka saznanja od kojih će medicina imati koristi, ali osjećaj da su vaši podaci, vi sami, na ovakav način „preprodati“, većini korisnika stvara malu knedlu u grlu. Zapravo, u osnovi, vi platite da bi se vaši podaci prodali.



Ne treba zaboraviti ni trend personalizirane medicine i personaliziranog wellnessa, za koji u ovoj priči ima itekako mjesta. Naime, neki od oblika naturopatske, „komplementarne“ te tzv. „integrativne“ i „energetske“ medicine – što su obično samo drugačiji nazivi za različite oblike šarlatanstva, traže od svojih korisnika da urade sekvencioniranje DNK, kako bi program dijeta, terapija ili wellnessa što više „prilagodili individualnim potrebama“. 
 
Upravo su ovi korisnici ujedno i oni koji više naginju strahu od kontrole koju sprovode bilo državne institucije, bilo korporacije. Upravo su korisnici ovih netradicionalnih praksi koje obećavaju zdravlje i ljepotu više skloni tome da zagovaraju teorije kako „farmakomafija“ krije lijekove iz prirode ili jednostavne jeftine lijekove. Čak se ovakva pseudonauka upotrebljava u cilju stvaranja “opravdanja” za nevakcinisanje djece, prema tekstu u LA Times.

Stoga je prirodno da upravo ova populacija bude i najviše zabrinuta usljed poslovnog dogovora GlaxoSmithKline i 23andMe. Ipak, treba naglasiti kako se u ovakvim istraživanjima koriste de-identificirani rezultati sekvencioniranja tj. bez imena, prezimena i lokacije, kao i to da korisnici mogu u bilo kojem trenutku promijeniti odabir dobrovoljnog pristanka na korištenje podataka u svrhu medicinskih istraživanja.
Međutim, treba imati na umu da možda grupa korisnika 23andMe i nije toliko reprezentativna: naime, iako je kohorta velika, ona predstavlja uglavnom pripadnike gornjeg i srednjeg sloja društva, one kojima je cijena ove analize prihvatljiva. U ovoj bazi podataka neće biti podataka marginaliziranih skupina, niti ljudi pogođenih ekonomskom krizom, niti mnogo djece i mladih osoba jer ove grupe nemaju platežnu moć da si priušte luksuz testiranja DNK.

Upravo su dogovor sa GlaxoSmithKline i slučaj pronalaska serijskog ubice bili glavni okidači da 31. jula 2018. godine 23andMe, zajedno sa još nekoliko sličnih kompanija, napravi dokument koji nudi smjernice za dijeljenje informacija korisnika sa institucijama poput sudstva i policije ili drugim kompanijama, poput onih iz oblasti farmacije. Dokument opisuje kako se ovi podaci pohranjuju i koriste, pri čemu se misli na privatnost korisnika, na sigurnost podataka i pravni proces dijeljenja ovih podataka sa policijom. U smjernicama se zabranjuje dijeljenje podataka korisnika sa uposlenicima osiguravajućih kuća. No, nisu računali na druge mogućnosti – poput toga da mnogi korisnici zapravo ne mijenjau šifre i da koriste iste šifre za različite račune. Neko ko je dobio šifru od jednog računa tako može provaliti i na neki drugi. Ovo se stalno ponavlja kao sigurnosni rizik, ali ljudi nikako da shvate. No, kompanije mogu forsirati korisnike da koriste različite šifre da ih mijenjaju i da koriste jake šifre. 

„Kućno“ sekvencioniranje genoma je sasvim nova oblast biznisa i usluga te je stoga potrebno pronaći nove pravne okvire zaštite i korisnika i kompanija koje se ovom djelatnošću bave. Iako se već godinama priča o tome, ova kompanije, ali ni ostale koje se ovim bave nisu poduzele dovoljno da zaštite podatke klijenata. 
Tek je ovaj skandal potaknuo 23andMe da aktivno radi na jačanju protokola cyber sigurnosti i umirivanju korisnika u vezi s poboljšanim mjerama zaštite. Ovo probijanje potiče kritičko vrednovanje sigurnosne infrastrukture oko genetičkih podataka, pri čemu je jasno kako su osjetljive informacije u digitalnom dobu itekako ugrožene.