Abstammungsbezogene Zugangskontrollen von Internetseiten über die 23andMe-API


Auf GitHub tauchte ein Projekt auf, welches dazu genutzt werden kann, mittels API-Abfrage beim privaten Gentest-Labor 23andMe aufgrund der dort hinterlegten Daten zur genetischen Abstammung dem Benutzer den Zugriff auf eine Internetseite zu gewähren oder zu verweigern.

Die Programmierschnittstelle des Dienstes kann verwendet werden, um Abstammung, beziehungsweise Zugehörigkeit zu einer Völkergruppe, Geschlecht und vieles mehr zu erfahren, hierzu muss der Benutzer allerdings erstens bei dem Dienst angemeldet sein und eine Analyse durchgeführt haben und zweitens ausdrücklich der Nutzung seiner Daten durch die externe Anwendung zustimmen.

OAuth-Authentifizierung mit dem 23andMe-Profil
OAuth-Authentifizierung mit dem 23andMe-Profil

Das Projekt „Generic Access Control“ der „Offensive Application Programming Initiative“ eignet sich laut Selbstbeschreibung, um den Zugriff basierend auf Geschlecht, Abstammung, Krankheitsanfälligkeit, sowie beliebigen anderen genetischen Eigenschaften, die über SNPs (Einzelnukleotid-Polymorphismen) feststellbar sind zu beschränken.
Die Authentifizierung erfolgt über die OAuth2-Schnittstelle, die 23andMe unterstützt.

Das auf GitHub derzeit auffindbare Projekt fragt über ein Python-Script allerdings nur die Zugehörigkeit zu allen europäischen Populationen ab, ausdrücklich ausgenommen sind hier allerdings „Ashkenazi“ bzw. Aschkenasim, also europäische Juden. Die API gibt hier pro Population eine Zahl zwischen 0 und 1 zurück, außerdem ein Wert, wie sicher diese Angabe ist (ebenfalls zwischen 0 und 1). Gehört man einer der „erlaubten“ Populationen zu mindestens 51% mit einer Sicherheit von 75% an, wird der Zugriff erlaubt, ansonsten nicht.

Zugriff verwehrt, basierend auf Abstammung
Zugriff verwehrt, basierend auf Abstammung
Zugriff gewährt, basierend auf Abstammung
Zugriff gewährt, basierend auf Abstammung

23andMe ist verständlicherweise wenig begeistert von diesem Ansatz, Menschen aufgrund von Abstammung oder anderen genetischen Merkmalen zu „sortieren“ und auszuschließen oder zuzulassen und schließt diese Diskriminierung auch in den Bedingungen der API aus. Der Entwicklerzugang zu der API (der bisher übrigens auch nur wenige Zugriffe erlaubte) wurde zurückgezogen, das Programm funktioniert also mit den angegebenen Auth-Codes nicht mehr (soweit ich das sehe, kann man sich allerdings einfach selbst als Entwickler registrieren und Auth-Codes anfordern, die dann wieder stark limitiert Zugriff auf die API gewähren).

Das ganze zeigt recht schön, wie schnell solche Daten, wenn sie denn einmal gesammelt und nutzbar sind für Dinge genutzt werden können, die sicherlich nicht im Sinne der Kunden liegen. Auch wenn 23andMe hier eingeschritten ist, wenn die Möglichkeit einmal besteht, wird sie auch irgendwie genutzt werden. Und es gibt inzwischen mehr Labors, die derartige Typisierungen anbieten, als nur 23andMe, irgendwer wird irgendwann die Daten für andere Zwecke verkaufen oder zugänglich machen.

Via: FastCompany


2 Antworten zu “Abstammungsbezogene Zugangskontrollen von Internetseiten über die 23andMe-API”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert