Умное кольцо под ударом: какие данные клиентов Ultrahuman увидели хакеры
Хакеры получили доступ к wellness-данным клиентов Ultrahuman через внутренний инструмент
RusPhotoBank
Стартап Ultrahuman сообщил о киберинциденте, в результате которого злоумышленники получили доступ к части wellness-данных клиентов. По данным компании, причиной стала компрометация учетных данных одного из сотрудников: они были похищены через вредоносное ПО на его ноутбуке.
Как произошел инцидент
Ultrahuman уведомила затронутых пользователей по электронной почте. В сообщении компания указала, что нарушение произошло 27 марта и затронуло систему, которая использовалась для внутренней аналитики.
По версии стартапа, система безопасности обнаружила подозрительную активность в течение нескольких часов. После этого доступ к затронутой системе был закрыт, а все разрешения — отозваны.
Что известно о масштабах
Компания подтвердила, что доступ был получен к данным примерно 0,1% пользователей. С учетом ранее озвученной оценки в около 700 тысяч ежемесячных активных пользователей это может означать не менее 700 затронутых клиентов.
При этом Ultrahuman не стала раскрывать точное число пострадавших пользователей. В компании отдельно подчеркнули, что пароли, платежная информация, производственные системы и устройства Ultrahuman Ring не были скомпрометированы.
Какие данные могли быть затронуты
Ultrahuman заявила, что речь идет о wellness-данных, однако не уточнила, какие именно категории информации включает этот термин. Также компания не сообщила, удалось ли расследованию установить факт выгрузки пользовательских данных злоумышленниками.
В FAQ на своем сайте стартап указал, что злоумышленник получил доступ к затронутой системе только в режиме чтения.
Почему это важно
Ultrahuman работает на рынке носимых устройств для здоровья. Компания продает умные кольца и устройства для отслеживания метаболических показателей, позволяя пользователям контролировать сон, активность и восстановление.
Наиболее известный продукт стартапа — Ring Air, конкурирующий с Oura Ring. Недавно компания также представила Ring Pro с улучшенными сенсорами и увеличенным временем работы от батареи.
Этот случай снова показывает, насколько чувствительной остается инфраструктура сервисов, которые собирают и хранят данные о здоровье. Даже если атака затрагивает небольшую долю пользователей, доступ к таким сведениям делает инцидент особенно значимым.
Что делает компания
Генеральный директор Ultrahuman Мохит Кумар сообщил TechCrunch, что компания быстро закрыла уязвимость после срабатывания систем оповещения. Он также пояснил, что стартап уведомляет регуляторов.
По его словам, компания не сразу сообщила пользователям об инциденте, поскольку сначала проводила аудит, чтобы определить полный масштаб произошедшего и понять, какие данные могли быть затронуты.