1 poin oleh GN⁺ 2023-12-06 | 1 komentar | Bagikan ke WhatsApp
  • Awalnya akun yang diketahui terdampak langsung diperkirakan sekitar 14.000, tetapi melalui jaringan koneksi DNA Relatives total dampaknya membesar menjadi 6,9 juta orang
  • Sekitar 5,5 juta pengguna yang memilih ikut serta terekspos nama, tahun lahir, label hubungan, persentase DNA yang dibagikan dengan kerabat, laporan leluhur, dan lokasi yang dilaporkan sendiri
  • Sekitar 1,4 juta lainnya juga mengalami akses pada informasi profil Family Tree, termasuk nama tampilan, label hubungan, lokasi, dan apakah mereka memilih berbagi informasi
  • 23andMe menyatakan akses ke akun dimungkinkan karena pelanggan menggunakan ulang kata sandi, sehingga kata sandi bocor dari layanan lain bisa dipakai untuk masuk
  • Satu pembobolan akun dapat berujung pada terbukanya informasi kerabat yang terhubung, sehingga skala korban mencapai sekitar setengah dari total 14 juta pelanggan yang dilaporkan 23andMe

Pelanggaran data 23andMe membesar menjadi 6,9 juta orang

  • Pada hari Jumat, 23andMe mengumumkan bahwa peretas mengakses data pribadi milik sekitar 0,1% pelanggan, atau sekitar 14.000 orang
  • Saat itu perusahaan mengatakan bahwa melalui akun-akun ini, peretas juga dapat mengakses “sejumlah besar” berkas yang berisi informasi leluhur pengguna lain, tetapi tidak mengungkap jumlah “pengguna lain” yang terdampak
  • Setelah itu, juru bicara 23andMe mengonfirmasi bahwa total korban mencapai 6,9 juta orang
  • Angka ini setara dengan sekitar setengah dari total 14 juta pelanggan yang dilaporkan 23andMe

Informasi yang terekspos di DNA Relatives dan Family Tree

  • Sekitar 5,5 juta orang adalah pengguna yang memilih ikut serta dalam fitur DNA Relatives milik 23andMe
    • Fitur ini memungkinkan pelanggan secara otomatis membagikan sebagian data kepada pengguna lain
    • Data yang diakses peretas mencakup nama, tahun lahir, label hubungan, persentase DNA yang dibagikan dengan kerabat, laporan leluhur, dan lokasi yang dilaporkan sendiri
  • Sekitar 1,4 juta pengguna lain yang ikut serta di DNA Relatives juga mengalami akses pada informasi profil Family Tree
    • Informasi yang termasuk di dalamnya adalah nama tampilan, label hubungan, tahun lahir, lokasi yang dilaporkan sendiri, dan apakah pengguna memilih untuk berbagi informasi
  • Karena DNA Relatives mencocokkan pengguna dengan kerabat, satu akun yang diretas dapat mengekspos data pribadi bukan hanya pemilik akun, tetapi juga kerabat yang terhubung
  • Struktur koneksi ini membuat cakupan dampaknya jauh lebih besar dibanding jumlah akun yang dibobol secara langsung

Unggahan di forum peretasan dan petunjuk keaslian data

  • Pada awal Oktober, seorang peretas mengklaim di forum peretasan terkenal bahwa ia mencuri informasi DNA milik pengguna 23andMe
  • Sebagai bukti pelanggaran, ia membocorkan data yang diklaim milik 1 juta pengguna berdarah Yahudi Ashkenazi dan 100.000 pengguna Tiongkok
  • Peretas tersebut menawarkan untuk menjual data dengan harga 1 hingga 10 dolar per akun
  • Dua minggu kemudian, peretas yang sama kembali mengiklankan data tambahan yang diklaim berisi catatan milik 4 juta orang di forum peretasan yang sama
  • Di forum peretasan lain, juga ditemukan indikasi bahwa paket yang diklaim sebagai data pelanggan 23andMe sudah lebih dulu diiklankan dua bulan sebelum iklan yang lebih dikenal luas itu
  • Ketika data bocor dari beberapa bulan sebelumnya dianalisis, sebagian catatan cocok dengan data genetik yang dipublikasikan secara online oleh peneliti hobi dan peneliti silsilah
    • Kedua set data memiliki format yang berbeda, tetapi sebagian data pengguna unik dan data umum di dalamnya sama
    • Karena itu, setidaknya sebagian data yang dibocorkan peretas kemungkinan memang merupakan data pelanggan 23andMe yang asli

Penyebab pelanggaran menurut 23andMe

  • Dalam pengungkapan pelanggaran pada Oktober, 23andMe menunjuk penggunaan ulang kata sandi oleh pelanggan sebagai penyebabnya
  • Para peretas dapat menggunakan kata sandi yang terungkap dari pelanggaran data perusahaan lain untuk mengakses akun korban melalui metode credential stuffing
  • Akses ke satu akun kemudian menjalar melalui jaringan koneksi DNA Relatives ke informasi pengguna lain, sehingga cakupan dampaknya membesar secara signifikan

1 komentar

 
GN⁺ 2023-12-06
Komentar Hacker News
  • Insiden ini adalah contoh tandingan yang sempurna untuk ucapan, “Kenapa kamu begitu peduli soal privasi? Kalau aku berbagi, itu tidak berdampak padamu, dan kalau tidak suka ya jangan lakukan”
    Jika seorang kerabat mengunggah informasi genomik ke 23andMe, informasi tentang saya juga ikut terungkap terlepas dari pilihan saya
    Saya berharap orang-orang menyadari bahwa hal yang sama juga berlaku ketika mengumpulkan data perilaku dari orang-orang yang memiliki latar belakang yang sama

    • Saya setuju dengan bantahan itu sendiri, tetapi saya tidak yakin orang-orang benar-benar mengatakannya seperti itu
      Yang lebih sering terdengar hanyalah “kenapa kamu begitu peduli soal privasi?”, dan sering kali mereka memang tidak memahami mengapa privasi itu penting sejak awal
      Bahkan kasus ini pun sulit menjadi bantahan yang lebih kuat dibanding insiden kebocoran lain sampai ada kerugian nyata yang terlihat
      Saya penasaran apa yang menurut Anda akan benar-benar terjadi pada orang-orang yang data terkait leluhurnya dicuri kali ini
    • Secara pribadi, saya pikir kebocoran Equifax adalah contoh tandingan yang lebih baik
      Dengan 23andMe, pelanggan setidaknya bisa memutuskan apakah akan menggunakan layanannya dan mempertimbangkan plus-minusnya, tetapi Equifax memaksa orang masuk ke sistem penilaian yang memengaruhi segala hal mulai dari pengajuan pinjaman hingga lamaran kerja, lalu menyedot data yang dijual pihak ketiga dan menyimpan informasi pribadi saya
      Setelah kebocoran pun tidak ada pemulihan yang efektif, dan meski kemungkinan pencurian identitas sangat tinggi, alih-alih mengakui kesalahan mereka hanya menawarkan ‘pemantauan kredit’ yang formalitas
      Pada akhirnya, lembaga pemeringkat kredit yang menciptakan masalah ini membagikan dan mendistribusikan informasi tanpa persetujuan, tetapi tidak menanggung tanggung jawab apa pun
      Menurut saya ini adalah logika yang bodoh dan merusak diri sendiri, di mana sikap abai yang meremehkan privasi justru membuat orang lain ikut berada dalam posisi yang lebih buruk
    • Saya mendukung privasi dan cenderung menghindari berbagi, bahkan dengan menanggung lebih banyak ketidaknyamanan dibanding kebanyakan orang, tetapi saya juga menganggap pilihan individu penting
      Saya sulit membayangkan model privasi yang bisa mencegah orang lain membagikan informasi mereka sendiri hanya karena sebagian informasi itu tumpang tindih dengan saya
    • Tepatnya, bukan data genomik yang dilaporkan dicuri
      Data yang bocor tampaknya lebih dekat ke data silsilah dan kekerabatan
      Data yang dicuri disebut mencakup nama, tahun lahir, label hubungan, persentase DNA yang dibagikan dengan kerabat, laporan leluhur, dan lokasi yang dilaporkan sendiri
    • Setuju
      Demikian pula, kita bisa bertanya “berapa penghasilanmu?”, “bolehkah aku membaca surat-suratmu?”, “bolehkah aku memegang kunci rumahmu?”
      Ada orang yang kesulitan memahami gagasan abstrak, tetapi ketika dibawa ke dunia fisik, semua orang langsung memahami rasa tidak nyamannya
  • Saya penasaran seberapa besar kaitannya dengan perubahan ketentuan layanan yang dikirim pada Hari Thanksgiving, waktu yang sangat tepat agar terkubur di kotak masuk semua orang
    Perubahan ini mencoba melarang gugatan kelompok, mewajibkan prosedur “informal” selama 60 hari sebelum tindakan hukum, dan menggiring pengguna ke arbitrase yang mengikat
    Berdasarkan klausul yang dibuat pengacara 23andMe, sebagai pelanggan praktis tidak ada hak hukum yang berarti

    • Apakah ini akan sah di pengadilan?
      Setidaknya di Jerman, kontrak yang terlalu menguntungkan satu pihak akan dibatalkan jika sampai ke pengadilan
    • Saya baru saja menerima pembaruan email, dan sepertinya ada opsi menolak ketentuan baru
      Saya tidak begitu tahu apa konsekuensinya
      “Kami menyarankan Anda membaca seluruh Ketentuan baru. Jika Anda tidak menyetujui Ketentuan tersebut, beri tahu kami dalam waktu 30 hari sejak tanggal Anda menerima email ini. Jika demikian, Ketentuan Layanan yang ada akan tetap berlaku. Jika Anda tidak memberi tahu kami dalam 30 hari, Anda akan dianggap telah menyetujui Ketentuan baru.”
      Email pemberitahuan: legal@23andme.com
    • Jika 6,9 juta pengguna memulai prosedur arbitrase, mungkin 23andMe justru akan lebih memilih gugatan kelompok
  • Saya penasaran apakah ada orang yang percaya bahwa privasi dalam arti yang nyata masih mungkin dipertahankan ke depan
    Algoritme machine learning sedang belajar cara mengidentifikasi orang hanya dari cara berjalan, tanpa pengenalan wajah, dan juga bergerak ke arah menguraikan teks yang diketik hanya dari suara ketukan keyboard
    Jika ada petunjuk menyeluruh dari semua data publik dan algoritme yang cukup maju, adakah cara untuk mempertahankan privasi yang hari ini kita anggap wajar tanpa menerapkan semua tindakan ekstrem tanpa terlewat?
    Saya tidak sedang membuat penilaian nilai; maksudnya, tren yang sedang berlangsung memang terlihat seperti itu

    • Mungkin sulit, tetapi itu bukan alasan untuk menyerah membahas seperti apa seharusnya privasi di masa depan
      Kalau kita diam saja, mereka menang, tetapi jika dibahas secara terbuka, setidaknya ada kemungkinan membuat pengaman
      Tentu saja, jujur saja, semuanya sudah kacau dan EvilCorp akan menang, jadi mungkin kita hanya menghabiskan energi untuk melawan dan membuat diri sendiri gila
      Perlawanan itu sia-sia
    • Sekitar 10 tahun lalu, saya mengenal orang-orang yang meneliti algoritme computer vision untuk mengenali orang bukan dari wajah, melainkan dari bentuk telinga, cara berjalan, dan ciri tubuh
      Alasannya, perusahaan seperti Fortinet ingin membuat “doorman otomatis” yang menaruh kamera di pintu masuk apartemen atau kondominium lalu memindai dan menganalisis orang yang lewat
      Saya hampir tidak melihat kesadaran etis dari siapa pun yang terlibat
      Yang dibutuhkan adalah legislasi kuat yang mengkodifikasi hak untuk dilupakan
      Saya tidak menganggap otomatisasi identifikasi itu sendiri pada dasarnya salah, tetapi upaya perusahaan untuk mengidentifikasi sebanyak mungkin manusia tanpa persetujuan menurut saya sangat keliru
    • Pemerintah Inggris tampaknya sudah meneliti cara berjalan yang menjaga privasi sejak puluhan tahun lalu: https://youtu.be/eCLp7zodUiI
    • Saya setuju, tetapi privasi juga merupakan abstraksi di atas hal-hal yang sebenarnya dikhawatirkan orang
      Jawaban atas “mengapa ingin menyembunyikan informasi ini” pada akhirnya bermuara pada ketakutan bahwa “[seseorang atau kelompok tertentu] dapat menggunakan [data privat] untuk menciptakan [akibat buruk] bagi saya”
      Yang benar-benar dipedulikan orang bukan datanya itu sendiri, melainkan risiko akibat buruk
      Jika tren ini benar, fokusnya harus pada pencegahan ketimpangan kekuasaan asimetris dalam transaksi sosial yang dapat menciptakan akibat buruk seperti itu
    • Secara pribadi, saya tidak melihatnya sebagai sesuatu yang bisa dipertahankan
      Dulu membayangkan dokumen rahasia bocor saja sudah membuat saya hampir gila, tetapi setelah melihat betapa kacaunya data pribadi ditangani, saya sadar itu hampir pasti terjadi
      Bahkan di Australia, yang hukum privasinya relatif baik, peretasan besar Optus membuat informasi kartu kredit sekitar separuh populasi dicuri, dan peretasan Medibank membocorkan data sebagian besar pelanggan asuransi kesehatan swasta
      Saat mengajukan KPR, saya mengetahui bahwa bahkan broker hipotek kecil di lingkungan sekitar menerima ratusan hingga ribuan dokumen identitas sensitif lewat email setiap tahun, dan tidak menghapusnya setelah transaksi selesai
      Banyak perusahaan di Australia memverifikasi identitas hanya dengan nama, alamat, dan tanggal lahir, yang biasanya mudah ditemukan dengan pencarian 5 menit
      Saya memasang PIN di akun Telstra selama bertahun-tahun agar perubahan administrasi tidak bisa dilakukan, tetapi suatu hari ketika saya menelepon, mereka memprosesnya begitu saja tanpa menanyakan kata sandi
      Agar privasi dihormati, menurut saya satu-satunya cara adalah membebankan tanggung jawab penipuan kepada perusahaan, yaitu korban yang sebenarnya
      Lelucon lama bahwa “identitas saya dicuri” sebenarnya bukan berarti identitasnya dicuri, melainkan prosedur verifikasi perusahaan gagal dan mereka mengalihkan tanggung jawab untuk menghindari menanggung kerugian
      Karena itu belakangan ini saya hanya memakai kartu kredit
      Jika terjadi penggunaan tidak sah, saya bisa melakukan chargeback, dan itu hampir satu-satunya mekanisme yang secara praktis dapat mencegah akses tidak sah ke uang saya
  • Belakangan ini ada kejadian yang cukup menyeramkan
    Rumah sakit yang saya kunjungi beberapa bulan lalu menelepon dan meminta saya ikut dalam program analisis DNA
    Mereka bilang, “Bagian terbaiknya, Anda tidak perlu melakukan apa pun. Kami bisa memakai sampel darah yang diambil terakhir kali”
    Tentu saja saya menolak, tetapi tidak masuk akal bahwa mereka menyimpan sampel biologis yang terhubung dengan saya tanpa memberi tahu saya, dan bahkan bisa melakukan analisis DNA setelahnya
    Rasanya seperti bukti bahwa hukum privasi di AS pada dasarnya tidak ada
    Di UE, sampel tidak boleh dibekukan dan disimpan tanpa persetujuan, dan sampel yang tidak dibekukan pun hanya diizinkan selama beberapa hari

    • Di Swedia ada registri sampel darah semua orang yang lahir di Swedia sejak 1975: https://sv.wikipedia.org/wiki/PKU-registret
      Artikel Wiki itu hanya tersedia dalam bahasa Swedia
      Seperti yang bisa diduga, atau mungkin menariknya, polisi tidak dapat mengakses data ini sampai setelah seorang menteri pemerintah dibunuh pada 2003, lalu mereka memperoleh sampel tersangka
      Sejauh yang diketahui, data itu tidak pernah digunakan lagi setelahnya
      Kita bisa memandangnya secara sinis, tetapi sejauh ini penggunaan registri oleh polisi belum menjadi praktik mapan dan masih dikendalikan pengadilan
    • Meski begitu, rumah sakit menelepon untuk meminta izin penggunaan, dan jika mereka mematuhi hukum, mereka tidak akan benar-benar memakai sampel itu
      Jadi bukankah itu berarti hukum privasi memang ada?
      Bisa jadi itu juga merupakan salah satu tahap dalam proses merapikan hasil atau sampel lama
  • Ada sesuatu yang tidak nyambung
    “23andMe mengatakan kebocoran data terjadi karena penggunaan ulang kata sandi oleh pelanggan,” tapi kalau 14.000 akun jebol sekaligus, dari mana asal kata sandi itu?
    Apakah mungkin ada kebocoran lain yang terkait, seperti LastPass?
    Selain itu, jika peretas mengakses informasi pribadi 6,9 juta orang lewat fitur “DNA Relatives”, berarti tiap 14.000 akun yang awalnya jebol punya sekitar 492 kerabat unik
    Apa yang saya lewatkan?

    • Fakta bahwa 14.000 akun jebol sendiri tidak terlalu mengejutkan, kecuali masalah teknis bahwa mereka tidak membatasi atau mendeteksi percobaan login terus-menerus ke akun yang berbeda
      Penyerang mungkin saja mengeruk data lewat jaringan terdistribusi berskala besar, tetapi kemungkinan besar sejak awal memang tidak ada deteksi atau perlindungan
      Namun ketika saya login untuk mengecek jumlah kerabat di akun saya, 23andMe memblokir login dengan alasan penggunaan ulang kata sandi dan meminta reset
      Untuk akun ini saya selalu memakai kata sandi yang sangat kuat, tidak pernah dipakai ulang di mana pun, dan autentikasi dua faktor juga aktif
      Tampaknya perusahaan itu sendiri juga tidak sepenuhnya nyaman dengan penjelasan bahwa penyebabnya adalah kata sandi yang digunakan ulang
      Setelah mereset kata sandi yang tidak pernah saya gunakan ulang, saya cek dan panel kerabat DNA memiliki 60 halaman, masing-masing menampilkan 25 orang, jadi total 1.500 kerabat bisa diambil
      Jika ini dikeruk dari 14.000 akun acak, itu bisa membentuk jaringan yang sangat besar
    • Sama sekali tidak mengejutkan
      Daftar besar yang menggabungkan berbagai kebocoran kata sandi lama tersedia secara publik, dan mudah diakses bukan hanya oleh penyerang tetapi oleh siapa saja
      Dari lebih dari 14 juta pengguna, sangat masuk akal jika 14.000 orang, yaitu 0,1%, menggunakan ulang kata sandi yang bocor di tempat lain
      Apalagi jika, seperti diskusi HN kemarin tentang karya Troy Hunt, kata sandi seperti itu tidak secara eksplisit dideteksi dan dinonaktifkan
    • Kalau kebocoran ini disebabkan penggunaan ulang kata sandi, artinya pasangan nama pengguna dan kata sandi pasti bocor dari tempat lain
      Kalau nama pengguna dan kata sandi itu bocor dari 23andMe, maka ini bukan masalah penggunaan ulang, melainkan sekadar menemukan dan meretas daftar kredensial 23andMe
      Sama sekali tidak mengejutkan kalau ada 14.000 pengguna 23andMe yang tumpang tindih dengan daftar kebocoran situs web lain atau daftar gabungan dari banyak kebocoran situs
    • Jika situasi 23andMe saya mendekati rata-rata dalam hal jumlah kerabat DNA dan kerentanan kerabat terhadap peretasan, ini masuk akal
      Kalau dicari, pelanggan 23andMe berjumlah 14 juta, dan kebocoran 14.000 akun berarti 1 dari 1.000 akun jebol
      Daftar kerabat DNA saya menampilkan sedikit lebih dari 1.500 orang
      Jika setiap akun punya peluang 1/1000 untuk diretas, probabilitas tidak satu pun kerabat saya diretas adalah (1-1/1000)^1500 = 0,223
      Probabilitas setidaknya satu kerabat diretas menjadi 0,777
      Dengan asumsi saya rata-rata, orang yang memiliki akun yang diretas sebagai kerabat diperkirakan sekitar 10,8 juta, dan ini tampaknya cukup dekat dengan angka 6,9 juta
  • Saya tidak pernah serius mempertimbangkan memakai 23andMe
    Bukan karena peretas, melainkan karena bagaimana pemerintah akan menggunakan informasi itu
    Saya tidak ingin bertanggung jawab membuat kerabat acak dicurigai melakukan kejahatan hanya karena saya penasaran dengan silsilah keluarga

    • Berkat 23andMe, saya mengetahui bahwa ayah saya ternyata bukan ayah biologis saya, dan bahwa saya punya saudari tiri serta kelompok besar kerabat yang bahkan tidak saya ketahui keberadaannya
      Saya sangat sadar akan kekhawatiran soal privasi dan informasi pengenal pribadi, tetapi bagi saya nilainya jelas ada: saya jadi lebih memahami siapa diri saya, dan menemukan kerabat yang menyambut saya dengan sangat hangat
      Pada akhirnya ini adalah trade-off
    • Saya sebenarnya sangat penasaran dengan informasi 23andMe saya, tetapi saya beranggapan suatu hari nanti data itu akan diretas atau dijual ke organisasi tidak tepercaya yang ingin cepat menghasilkan uang dengan mengorbankan pengguna
      Kalau setelah tes dilakukan dan hasil dikirim, data pengujian dan informasi di pihak perusahaan dihancurkan, atau jika ada tes rumahan yang datanya tidak keluar dari rumah, saya akan mencobanya
      Sulit bagi saya memahami mengapa perusahaan-perusahaan terus menyimpan data ini
      Itu beban tanggung jawab yang sangat besar
      Dalam kasus ini mungkin karena fitur identifikasi hubungan kekerabatan, tetapi saya ragu fitur itu cukup berharga untuk menanggung risikonya
    • Apakah pernah ada kasus basis data seperti ini dipakai untuk mengajukan tuduhan selain pembunuhan atau pemerkosaan?
      Kasus-kasus yang saya lihat diselesaikan dengan teknologi ini adalah hal-hal yang membuat saya akan dengan senang hati merasa lega jika tindakan saya membantu menghentikan orang yang melakukan hal sangat buruk
    • Kalau itu satu-satunya kekhawatiran, Anda perlu membaca lebih banyak tentang Nazi
      Bayangkan apa yang akan mereka lakukan jika mendapatkan basis data informasi genetik
  • Kebetulan kemarin saya membaca komentar bagus dari adameasterling di thread lain tentang serangan credential stuffing [1]
    Isinya: “Troy Hunt benar-benar sosok yang sangat berharga. Jika Anda pengembang aplikasi web, tidak ada alasan untuk tidak melindungi diri dari serangan credential stuffing. Pertahanan terbaik mungkin autentikasi dua faktor, tetapi mencocokkan dengan basis data kata sandi ter-hash milik Hunt juga sangat bagus dan tidak meminta tindakan tambahan dari pengguna”
    Komentar itu berasal dari 60 hari lalu, tetapi sudah menyebut 23andMe [2] sebagai contoh, dan insiden ini juga disebut dalam artikel TechCrunch
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • Pada titik ini, rasanya perusahaan mana pun yang mengumpulkan data suatu saat akan diretas
    Bukan soal “apakah akan terjadi”, melainkan kapan terjadi

    • Kecuali ada alasan yang sangat kuat, sanksi harus cukup berat agar situs dan aplikasi tidak mengumpulkan lebih dari alamat email
      Keinginan mengirim materi pemasaran bukan alasan yang kuat
    • Jika pemerintah ingin menerima atau mengubah data, data itu bahkan tidak perlu diretas
    • Bukan karena melindungi diri itu sulit
      Melainkan karena berinvestasi dalam keamanan biasanya bukan prioritas bisnis
      Ini berlaku bukan hanya bagi manajemen, tetapi juga bagi praktisi melalui paksaan dan insentif
      Sebagian besar peretasan besar seperti ini berasal dari ancaman yang sudah dikenal dan bisa tertangkap hanya dengan audit umum yang dilakukan dengan niat baik
  • “Untungnya, kini kami menyediakan layanan pemantauan genom. Cukup $79,99 per bulan, Anda akan mendapat notifikasi setiap kali seseorang mencoba mengakses catatan genetik Anda!” — 23andMe

  • “Kalau tidak ada yang disembunyikan, apa yang perlu ditakutkan?”
    Yang saya takutkan adalah orang-orang bodoh yang berada di posisi berkuasa
    DNA matching sebagai teknik pemecahan kejahatan memang sejak awal punya banyak masalah
    “Bukti DNA tidak seterpercaya yang diyakini banyak orang”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “Janji palsu tes DNA”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “Bagaimana bukti DNA forensik dapat berujung pada vonis keliru”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/