La startup de tecnología de salud portátil Ultrahuman dijo que los piratas informáticos obtuvieron acceso no autorizado a los datos de bienestar de los clientes después de robar las credenciales de un empleado mediante malware.
El miércoles, la startup con sede en India informó a los clientes afectados sobre el incidente por correo electrónico, indicando que la infracción ocurrió el 27 de marzo e involucró un sistema utilizado para análisis internos. La compañía dijo que detectó la intrusión rápidamente, desconectó el sistema afectado y revocó todo acceso.
Fundada en 2019, Ultrahuman vende anillos inteligentes y dispositivos de seguimiento de la salud metabólica que permiten a los usuarios controlar métricas como el sueño, la actividad y la recuperación. La startup es mejor conocida por su Ring Air, que compite con el Oura Ring, y recientemente presentó el Ring Pro con sensores y duración de batería mejorados.
Al confirmar el incidente, Ultrahuman le dijo a TechCrunch que los atacantes obtuvieron acceso utilizando credenciales robadas de la computadora portátil infectada con malware de un empleado, lo que resultó en el acceso a datos de bienestar pertenecientes a aproximadamente el 0,1% de los usuarios.
Según la cifra previamente informada por la compañía de aproximadamente 700.000 usuarios activos mensuales, eso equivaldría a al menos 700 clientes a los que se accedió a sus datos de salud. Ultrahuman no cuestionó esta cifra, pero se negó a revelar el número exacto de clientes afectados. La compañía dijo que no se vieron comprometidas contraseñas, información de pago, sistemas de producción ni dispositivos Ultrahuman Ring.
«Nuestros sistemas de alerta de seguridad detectaron el incidente en cuestión de horas y cerramos la vulnerabilidad rápidamente», dijo el director ejecutivo de Ultrahuman, Mohit Kumar, en un comunicado a TechCrunch.
Kumar agregó que la startup estaba notificando a los reguladores y había retrasado informar a los usuarios afectados mientras auditaba el alcance total del incidente y determinaba qué datos se habían visto afectados.
Ultrahuman se negó a compartir detalles sobre si recibió alguna comunicación de los piratas informáticos responsables del incidente, ni a decir qué constituyen exactamente «datos de bienestar». La violación destaca cómo las nuevas empresas de seguimiento del bienestar, como Ultrahuman y Oura, almacenan los datos de los usuarios en sus servidores de una manera que permite a sus empleados, así como a los gobiernos y piratas informáticos maliciosos, acceder a los datos de salud de los clientes.
La startup dijo en una pregunta frecuente publicada en su sitio web que el actor de amenazas obtuvo acceso de «solo lectura» al sistema afectado. Sin embargo, la compañía se negó a confirmar si su investigación había determinado si se exfiltró algún dato del cliente.
Ultrahuman cuenta con Nexus Venture Partners, Steadview Capital y Blume Ventures entre sus inversores. La startup ha recaudado alrededor de 103 millones de dólares hasta la fecha, según Tracxn.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
