Totul a început pe 27 martie, când sistemele de securitate ale Ultrahuman au detectat o activitate suspectă. Atacatorii, folosind acreditări furate de pe laptopul unui angajat infectat cu malware, au pătruns într-un sistem intern de analiză. Compania a reacționat prompt: a scos sistemul afectat din rețea, a revocat toate accesele și a început o investigație. Abia miercuri, 26 aprilie, clienții afectați au fost notificați prin e-mail, după ce startup-ul a finalizat auditul intern.
„Sistemele noastre de alertă au detectat incidentul în câteva ore, iar noi am închis rapid vulnerabilitatea”, a declarat pentru TechCrunch Mohit Kumar, CEO-ul Ultrahuman. El a adăugat că autoritățile de reglementare au fost informate și că notificarea utilizatorilor a fost întârziată intenționat pentru a evalua amploarea completă a breșei.
Conform companiei, aproximativ 0,1% dintre utilizatori au fost afectați. Având în vedere că Ultrahuman raportase anterior aproximativ 700.000 de utilizatori activi lunar, asta înseamnă cel puțin 700 de persoane ale căror date de wellness – cum ar fi somnul, activitatea fizică și recuperarea – au fost expuse. Compania nu a confirmat numărul exact, dar nici nu l-a contestat.
Ultrahuman subliniază că nu au fost compromise parole, informații de plată, sisteme de producție sau dispozitivele în sine (inelele inteligente). Atacatorii au avut acces „doar pentru citire” la sistemul afectat, dar compania a refuzat să spună dacă datele au fost și exfiltrate (descărcate). De asemenea, nu a dezvăluit dacă hackerii au încercat să comunice sau să ceară răscumpărare.
Fondat în 2019, Ultrahuman este un jucător important pe piața wearables-urilor, concurând direct cu Oura prin inelul său Ring Air și, recent, Ring Pro. Startup-ul a strâns până acum aproximativ 103 milioane de dolari de la investitori precum Nexus Venture Partners, Steadview Capital și Blume Ventures. Breșa actuală nu este doar o problemă pentru Ultrahuman, ci un semnal de alarmă pentru întreaga industrie a dispozitivelor purtabile.
Ce înseamnă „date de wellness”?
Termenul este vag. Ultrahuman nu a oferit o definiție clară, dar, de obicei, astfel de date includ măsurători ale somnului, frecvenței cardiace, nivelului de activitate, stresului și, în cazul dispozitivelor metabolice, glicemiei. Aceste informații sunt extrem de personale și, în mâini greșite, pot fi folosite pentru discriminare, șantaj sau chiar manipulare.
De ce este această breșă mai gravă decât pare?
Un aspect critic este modul în care datele sunt stocate. Ultrahuman, la fel ca Oura și alți producători de wearables, păstrează datele utilizatorilor pe servere proprii, accesibile angajaților. Asta înseamnă că nu doar hackerii, ci și propriii salariați – sau guvernele, prin cereri legale – pot vedea datele tale de sănătate. Odată ce acreditările unui angajat sunt compromise, întregul sistem devine vulnerabil.
În plus, faptul că Ultrahuman a descris accesul ca fiind „read-only” nu este liniștitor. Chiar și doar citirea datelor poate avea consecințe grave: un angajat rău intenționat sau un atacator poate identifica persoane cu afecțiuni, poate vinde informațiile pe dark web sau le poate folosi pentru campanii de phishing extrem de personalizate.
Comparație cu Oura
Oura, rivalul principal, a avut și el probleme de securitate. În 2022, un cercetător a descoperit că inelul Oura trimitea date sensibile prin conexiuni necriptate. Deși Oura a remediat rapid problema, incidentul a arătat că industria wearables-urilor este încă departe de standarde de securitate riguroase. Ultrahuman, deși mai tânăr, pare să aibă aceleași vulnerabilități de bază.
Lecții pentru startup-uri și utilizatori
Pentru startup-uri, această breșă este un reminder dureros: securitatea nu trebuie să fie o gândire ulterioară. Autentificarea multi-factor, izolarea sistemelor interne, criptarea end-to-end și audituri regulate sunt esențiale. De asemenea, transparența – Ultrahuman a anunțat breșa abia după o lună – nu este de admirat.
Pentru utilizatori, mesajul este clar: nu aveți încredere absolută în companiile care colectează date de sănătate. Chiar dacă dispozitivele sunt sigure, serverele nu sunt. Limitați la minimum datele pe care le partajați și folosiți parole puternice.
De ce este important:
Această breșă nu este doar o problemă izolată pentru Ultrahuman. Ea relevă o vulnerabilitate structurală a industriei wearables: dependența de stocarea centralizată a datelor de sănătate, accesibile angajaților și, prin extensie, atacatorilor. Pe măsură ce tot mai mulți oameni își monitorizează somnul, pulsul și glicemia, aceste date devin o țintă valoroasă. Incidentul subliniază necesitatea unor standarde mai stricte de securitate, a criptării end-to-end și a unor legi care să protejeze confidențialitatea datelor biomedicale. Pentru consumatori, este un semnal de alarmă: sănătatea ta digitală nu este la fel de sigură pe cât crezi.
