Ultrahuman diz que hackers acessaram dados de bem-estar dos clientes por meio de ferramenta interna

Startup de tecnologia de saúde vestível Ultra-humano disse que hackers obtiveram acesso não autorizado aos dados de bem-estar dos clientes após roubar as credenciais de um funcionário por meio de malware.

Na quarta-feira, a startup com sede na Índia informou os clientes afetados sobre o incidente por e-mail, informando que a violação ocorreu em 27 de março e envolveu um sistema usado para análises internas. A empresa disse que detectou a intrusão prontamente, desligou o sistema afetado e revogou todo o acesso.

Fundada em 2019, a Ultrahuman vende anéis inteligentes e dispositivos de monitoramento de saúde metabólica que permitem aos usuários monitorar métricas como sono, atividade e recuperação. A startup é mais conhecida por seu Anel Arque concorre com o Oura Ring, e recentemente apresentou o Ring Pro com sensores atualizados e duração da bateria.

Confirmando o incidente, Ultrahuman disse ao TechCrunch que os invasores obtiveram acesso usando credenciais roubadas do laptop infectado por malware de um funcionário, resultando no acesso a dados de bem-estar pertencentes a cerca de 0,1% dos usuários.

Com base nos números relatados anteriormente pela empresa de cerca de 700.000 usuários ativos mensaisisso equivaleria a pelo menos 700 clientes que tiveram seus dados de saúde acessados. A Ultrahuman não contestou este número, mas recusou-se a divulgar o número exato de clientes afetados. A empresa disse que nenhuma senha, informação de pagamento, sistema de produção ou dispositivo Ultrahuman Ring foi comprometido.

“Nossos sistemas de alerta de segurança detectaram o incidente em poucas horas e eliminamos a vulnerabilidade rapidamente”, disse o CEO da Ultrahuman, Mohit Kumar, em comunicado ao TechCrunch.

Kumar acrescentou que a startup estava notificando os reguladores e atrasou a informação aos usuários afetados enquanto auditava todo o escopo do incidente e determinava quais dados foram afetados.

A Ultrahuman se recusou a compartilhar quaisquer detalhes sobre se recebeu alguma comunicação dos hackers responsáveis ​​pelo incidente, nem disse o que exatamente constitui “dados de bem-estar”. A violação destaca como startups de rastreadores de bem-estar, como Ultrahuman e também Oura, armazenam dados de usuários em seus servidores de uma forma que permite que seus funcionários – bem como governos e hackers mal-intencionados – acessem os dados de saúde dos clientes.

A startup disse em um FAQ publicado em seu site que o autor da ameaça obteve acesso “somente leitura” ao sistema afetado. No entanto, a empresa recusou-se a confirmar se a sua investigação determinou se algum dado do cliente foi exfiltrado.

Ultrahuman conta com Nexus Venture Partners, Steadview Capital e Blume Ventures entre seus investidores. A startup tem arrecadou cerca de US$ 103 milhões até o momento, por Tracxn.