Індійський стартап у сфері носимих технологій для здоров’я Ultrahuman повідомив про несанкціонований доступ до даних своїх клієнтів. Інцидент трапився після того, як зловмисники отримали облікові дані співробітника компанії через шкідливе програмне забезпечення.
Про це розповідає ProIT
Подробиці кібератаки та реакція Ultrahuman
У листах, що були надіслані постраждалим користувачам, Ultrahuman уточнила, що інцидент стався 27 березня та стосувався системи внутрішньої аналітики. Компанія оперативно виявила несанкціонований доступ, після чого відключила уражену систему та анулювала всі доступи до неї.
Ultrahuman, заснована у 2019 році, спеціалізується на виробництві розумних кілець та пристроїв для моніторингу метаболічного здоров’я, які відстежують такі показники, як сон, фізична активність та відновлення організму. Найбільш відомою є модель Ring Air, яка конкурує з Oura Ring. Нещодавно компанія презентувала пристрій Ring Pro із поліпшеними сенсорами та збільшеною автономністю.
Масштаб і наслідки порушення безпеки
За словами Ultrahuman, хакери отримали доступ до даних про стан здоров’я приблизно 0,1% користувачів через облікові дані, викрадені з інфікованого ноутбука співробітника. Виходячи з раніше оприлюднених даних про 700 тисяч активних користувачів щомісяця, це означає, що щонайменше 700 людей могли постраждати від витоку персональних даних. Точну кількість постраждалих Ultrahuman не розкриває, але зазначає, що паролі, платіжна інформація, виробничі системи та пристрої Ultrahuman Ring залишилися у безпеці.
“Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly,” Ultrahuman CEO Mohit Kumar said in a statement to TechCrunch.
Генеральний директор Ultrahuman Мохіт Кумар також додав, що компанія повідомила регуляторів про подію. Оголошення для користувачів було затримано через необхідність аудиту та визначення обсягу скомпрометованої інформації.
Ultrahuman не розкрила інформацію щодо контактів із хакерами, а також не деталізувала, які саме дані підпадають під визначення «дані про стан здоровʼя». Порушення підкреслює ризики зберігання особистих даних користувачів на серверах таких компаній, адже до них можуть отримати доступ не тільки співробітники, а й зовнішні зловмисники чи державні органи.
У поширеному на сайті FAQ компанія повідомила, що зловмисники отримали лише «доступ для читання» до системи, проте не підтвердила, чи було здійснено експорт даних користувачів.
Серед інвесторів Ultrahuman — такі фонди, як Nexus Venture Partners, Steadview Capital та Blume Ventures. За даними Tracxn, компанія залучила близько 103 мільйонів доларів інвестицій.