Стартап у сфері носимих пристроїв для здоров’я Ultrahuman повідомив, що хакери отримали несанкціонований доступ до даних про стан здоров’я клієнтів після викрадення облікових даних співробітника за допомогою шкідливого ПЗ.
У середу індійський стартап розіслав постраждалим клієнтам листи, в яких зазначив, що інцидент стався 27 березня й торкнувся системи внутрішньої аналітики. Компанія заявила, що швидко виявила проникнення, відключила уражену систему від мережі та скасувала всі доступи.
Ultrahuman, заснована у 2019 році, продає «розумні» кільця та пристрої для відстеження метаболічного здоров’я, які дозволяють користувачам моніторити такі показники, як сон, активність і відновлення. Стартап найбільш відомий своїм кільцем Ring Air, що конкурує з Oura Ring, а нещодавно представив модель Ring Pro з оновленими сенсорами та збільшеним часом роботи від батареї.
Підтверджуючи інцидент, Ultrahuman повідомила TechCrunch, що зловмисники отримали доступ, використавши облікові дані, викрадені з ноутбука співробітника, зараженого шкідливим ПЗ. У результаті було переглянуто дані про здоров’я приблизно 0,1% користувачів.
Виходячи з раніше озвученої компанією цифри близько 700 000 активних користувачів на місяць, це означає щонайменше 700 клієнтів, чиї дані про здоров’я були переглянуті. В Ultrahuman не заперечили цю оцінку, але відмовилися назвати точну кількість постраждалих. Компанія заявила, що паролі, платіжна інформація, виробничі системи та самі кільця Ultrahuman Ring не були скомпрометовані.
«Наші системи безпекового моніторингу виявили інцидент упродовж кількох годин, і ми оперативно закрили вразливість», — сказав генеральний директор Ultrahuman Мохіт Кумар у коментарі для TechCrunch.
Кумар додав, що стартап повідомляє про інцидент регуляторів і відклав інформування користувачів, доки проводив аудит, щоб визначити повний масштаб події та з’ясувати, які саме дані були заторкнуті.
Ultrahuman відмовилася розкривати, чи отримувала якісь повідомлення від хакерів, відповідальних за інцидент, а також не уточнила, що саме компанія розуміє під терміном «дані про добробут» (wellness data). Цей витік підкреслює, що сервіси трекінгу здоров’я, такі як Ultrahuman та Oura, зберігають дані користувачів на своїх серверах у спосіб, який дозволяє співробітникам компаній — а також урядовим структурам і зловмисникам — отримувати доступ до інформації про стан здоров’я клієнтів.
Стартап повідомив у розділі з поширеними запитаннями (FAQ) на своєму сайті, що зловмисник отримав «доступ лише для читання» до ураженої системи. Водночас компанія відмовилася підтвердити, чи встановило розслідування факт вивантаження (екфільтрації) будь-яких даних клієнтів.