Startup de tecnologia de saúde vestível Ultra-humano disse que hackers obtiveram acesso não autorizado aos dados de bem-estar dos clientes após roubar as credenciais de um funcionário por meio de malware.
Na quarta-feira, a startup com sede na Índia informou os clientes afetados sobre o incidente por e-mail, informando que a violação ocorreu em 27 de março e envolveu um sistema usado para análises internas. A empresa disse que detectou a intrusão prontamente, desligou o sistema afetado e revogou todo o acesso.
Fundada em 2019, a Ultrahuman vende anéis inteligentes e dispositivos de monitoramento de saúde metabólica que permitem aos usuários monitorar métricas como sono, atividade e recuperação. A startup é mais conhecida por seu Ring Air, que concorre com o Oura Ring, e recentemente lançou o Ring Professional com sensores atualizados e duração de bateria.
Confirmando o incidente, Ultrahuman disse ao TechCrunch que os invasores obtiveram acesso usando credenciais roubadas do laptop computer infectado por malware de um funcionário, resultando no acesso a dados de bem-estar pertencentes a cerca de 0,1% dos usuários.
Com base no número relatado anteriormente pela empresa de cerca de 700.000 usuários ativos mensais, isso equivaleria a pelo menos 700 clientes que tiveram seus dados de saúde acessados. A Ultrahuman não contestou este número, mas recusou-se a divulgar o número exato de clientes afetados. A empresa disse que nenhuma senha, informação de pagamento, sistema de produção ou dispositivo Ultrahuman Ring foi comprometido.
“Nossos sistemas de alerta de segurança detectaram o incidente em poucas horas e eliminamos a vulnerabilidade rapidamente”, disse o CEO da Ultrahuman, Mohit Kumar, em comunicado ao TechCrunch.
Kumar acrescentou que a startup estava notificando os reguladores e atrasou a informação aos usuários afetados enquanto auditava todo o escopo do incidente e determinava quais dados foram afetados.
A Ultrahuman se recusou a compartilhar quaisquer detalhes sobre se recebeu alguma comunicação dos hackers responsáveis pelo incidente, nem disse o que exatamente constitui “dados de bem-estar”. A violação destaca como startups de rastreadores de bem-estar, como Ultrahuman e também Oura, armazenam dados de usuários em seus servidores de uma forma que permite que seus funcionários – bem como governos e hackers mal-intencionados – acessem os dados de saúde dos clientes.
A startup disse em um FAQ publicado em seu web site que o autor da ameaça obteve acesso “somente leitura” ao sistema afetado. No entanto, a empresa recusou-se a confirmar se a sua investigação determinou se algum dado do cliente foi exfiltrado.
Ultrahuman conta com Nexus Enterprise Companions, Steadview Capital e Blume Ventures entre seus investidores. A startup tem arrecadou cerca de US$ 103 milhões até o momento, por Tracxn.
Quando você compra por meio de hyperlinks em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
