Dane genetyczne są na sprzedaż. "Powiedzą firmom wszystko, czym sami nie chcemy się dzielić"

– To bezprecedensowy przypadek. Firma bankrutuje po wielkim skandalu, a dane genetyczne stają się masą upadłościową, którą ktoś kupuje – mówi mi Gosia Fraser, redaktorka naczelna TECHSPRESSO.CAFE, która zajmuje się tematem cyberbezpieczeństwa.

Z usług 23andMe korzystały miliony ludzi. W szczycie popularności, opowiadali o niej m.in. Snoop Dogg czy Oprah Winfrey. Firma przeprowadzała komercyjne testy DNA, które umożliwiały klientom poznanie swojego pochodzenia, cech genetycznych oraz predyspozycji zdrowotnych.

Pierwsza fala zainteresowania testami szybko opadła. To było jednak jednorazowe doświadczenie – bez sensu jest przecież wracać po te same wyniki. Problemy firmy dodatkowo pogłębił atak hakerski z 2023 roku. Wyciekły dane ok. 7 milionów klientów.

– Główną linią obrony 23andMe było to, że są to anonimowe dane. W tym samym roku przeprowadzono jednak badanie, które to obaliło. Sztuczna inteligencja, mając dane genetyczne osoby była w stanie z 83 proc. dokładnością odtworzyć jej twarz. A to już bardzo dużo.

– Do czego można użyć takich danych?

– W przypadku wycieku w 23andMe chodziło o dane określonej grupy etnicznej. Można je przecież wykorzystać do targetowania konkretnych reklam, które będą warunkowane rasowo. Proponować dopasowane kuracje, które nie działają, sprzedawać fake’owe leki – tłumaczy mi Gosia Fraser.

Atak hakerski i kryzys wizerunkowy z nim związany szybko doprowadził do problemów finansowych firmy. W końcu 23andMe – w marcu tego roku – ogłosiło upadłość.

Prezeska i współzałożycielka firmy Anne Wojcicki złożyła rezygnację ze skutkiem natychmiastowym. To córka pochodzącego z Polski profesora fizyki Stanleya Wojcickiego, którą wkurzało, że "lekarze mają monopol na wiedzę o naszym zdrowiu".

Pojawił się jednak kolejny problem – wraz ze sprzedażą 23andMe, nowy nabywca wszedłby w posiadanie danych genetycznych jej klientów. Wzbudziło to obawy milionów klientów i amerykańskich władz. Stan Kalifornia oficjalnie ostrzegał Amerykanów, aby usunęli swoje konta na 23andMe i dane, a internet zalały przewodniki instruujące, jak to zrobić. 

– Dzięki tym danym można przecież odtworzyć drzewo genealogiczne każdej z tych osób, dowiedzieć się, na jakie choroby cierpi, wyłudzić świadczenia medyczne, wykorzystać dane do przeprowadzania nieautoryzowanych badań medycznych, modelowania polityk. Albo wpływać na procesy rekrutacyjne i rozwijać broń biologiczną – wymienia Gosia Fraser.

W końcu okazało się, że 23andMe oraz dane genetyczne jej klientów za 256 mln dolarów kupuje firma biotechnologiczna Regeneron Pharmaceuticals.

Choć kwota może robić wrażenie, to jednak niewiele w porównaniu z tym, ile firma była warta w szczytowym okresie popularności – w 2021 roku było to 6 mld dolarów.

Teoretycznie 23andMe zapewnia, że dane Amerykanów są bezpieczne, a nowy nabywca zobowiązał się do przestrzegania polityki prywatności firmy. Jak podaje Regeneron Pharmaceuticals, dane genetyczne Amerykanów mają posłużyć koncernowi w poszukiwaniu molekularnych przyczyn chorób, produkcji nowych leków i projektowaniu badań. Firma już wcześniej sekwencjonowała DNA prawie trzech milionów osób i korzystała z nich na dużą skalę.

Każda ze stron deklaruje "dołożenie wszelkich starań, by dane były bezpieczne". Jednak ataki hakerskie mogą się zdarzyć. Już dziś ich ofiarą padają banki, firmy, a nawet instytucje publiczne. W ręce hakerów trafiają numery PESEL, dowodów osobistych czy dane logowania.

Takie informacje zawsze można jednak zastrzec, kartę zablokować, a hasło zmienić. Ale dane genetyczne "przydzielane" są nam raz i zostają na zawsze. 

– Jakiś czas temu agencja Reutersa opisał proceder gromadzenia danych genetycznych kobiet z USA i Europy przez chińską firmę BGI Group powiązaną z wojskiem, która sprzedaje rozbudowane testy prenatalne – opowiada dalej Gosia Fraser.

– Te dane były wykorzystywane do mapowania populacji żeńskiej pod kątem problemów zdrowotnych. Jako że firma podlega chińskiemu prawu, musi udostępniać dane na żądanie wywiadu. Tym samym służby mają dostęp do szczegółowych informacji o stanie zdrowia kobiet z Zachodu. Dane genetyczne mówią wszystko to, czym nie chcemy się dzielić.

Historia 23andMe rzuca światło na nowy rodzaj danych, które mogą stać się przedmiotem handlu.

Dotyczy to również danych biometrycznych, takich jak odcisk palca, skan tęczówki oka, ale również głos. Szczególnie łatwa wydaje się kradzież i wykorzystanie tego ostatniego. 

W Polsce odnotowano wiele prób wyłudzenia pieniędzy, wykorzystując skradziony głos bliskiej osoby czy kontrahenta firmy, którzy "dzwonią" i proszą o pilny przelew.

Magazyn WIRED opisał z kolei niedawno historię Marka Browna, YouTubera zajmującego się grami, który twierdzi, że jego głos został sklonowany i wykorzystany przez inny kanał na YouTube do prowadzenia narracji w filmach.

Jeszcze głośniejszym przypadkiem podobnej kradzieży jest ten z ubiegłego roku, kiedy to Scarlett Johansson oskarżyła firmę OpenAI o wykorzystanie głosu łudząco podobnego do jej w systemie ChatGPT. Mimo że wcześniej odrzuciła ofertę użyczenia swojego głosu. Ostatecznie firma zgodziła się na wycofanie go z użytku.

Johansson podkreślała wówczas potrzebę wprowadzenia przepisów chroniących ludzi przed nieautoryzowanym wykorzystaniem ich tożsamości przez technologie AI.

Ale czy takie dane da się faktycznie ochronić, uniemożliwić próbkowania naszego własnego głosu?

– Oczywiście, że nie. Wszyscy polubiliśmy media społecznościowe, a nasz głos często jest publicznie dostępny – odpowiada Gosia Fraser. – Firmy technologiczne i rządy wmówiły nam, że nasze dane nie mają wartości. My w to uwierzyliśmy.

Informacje o pojedynczej osobie może i nie mają większego zastosowania, ale jak zestawimy je z informacjami o kilku milionach osób w konkretnym przedziale wiekowym, skorelujemy to z danymi o wykształceniu, pracy i wyznaniu nagle tworzy nam się ogromna baza. Może stać się narzędziem do inwigilacji całej populacji – dodaje.

Źródło: Reuters, WIRED