Startup de tecnología de salud portátil muy humano dijo que los piratas informáticos obtuvieron acceso no autorizado a los datos de salud de los clientes después de robar las credenciales de los empleados mediante malware.
El miércoles, la startup con sede en India notificó a los clientes afectados sobre el incidente por correo electrónico, indicando que la infracción ocurrió el 27 de marzo e involucró sistemas utilizados para análisis internos. La compañía dijo que detectaron inmediatamente la intrusión, desconectaron los sistemas afectados y revocaron todo acceso.
Fundada en 2019, Ultrahuman vende anillos inteligentes y dispositivos de seguimiento de la salud metabólica que permiten a los usuarios controlar métricas como el sueño, la actividad y la recuperación. La startup es mejor conocida por su Ring Air, que compite con el Oura Ring, y recientemente presentó el Ring Pro con sensores y duración de la batería mejorados.
Al confirmar el incidente, Ultrahuman le dijo a TechCrunch que los atacantes obtuvieron acceso utilizando credenciales robadas de las computadoras portátiles de los empleados infectadas con malware, lo que resultó en el acceso a datos de salud pertenecientes a aproximadamente el 0,1% de los usuarios.
Según las cifras publicadas anteriormente por la empresa, es decir, alrededor de 700.000 usuarios activos mensuales, esa cifra equivale a al menos 700 clientes a cuyos datos de salud se accedió. Ultrahuman no cuestionó esta cifra, pero se negó a revelar el número exacto de clientes afectados. La compañía dijo que no se vieron comprometidas contraseñas, información de pago, sistemas de producción ni dispositivos Ultrahuman Ring.
“Nuestro sistema de alerta de seguridad detectó el incidente en unas horas y cerramos la vulnerabilidad rápidamente”, dijo el director ejecutivo de Ultrahuman, Mohit Kumar, en un comunicado a TechCrunch.
Kumar agregó que la startup notificó a los reguladores y retrasó la notificación a los usuarios afectados mientras auditan el alcance total del incidente y determinan qué datos se vieron afectados.
Ultrahuman se negó a proporcionar detalles sobre si recibió alguna comunicación del hacker responsable del incidente, ni a decir qué se entiende exactamente por “datos de salud”. La infracción pone de relieve cómo las nuevas empresas de seguimiento de la salud, como Ultrahuman y Oura, almacenan datos de los usuarios en sus servidores de una manera que permite a sus empleados (así como a los gobiernos y piratas informáticos maliciosos) acceder a los datos de salud de los clientes.
La startup dijo en una pregunta frecuente. publicado en su sitio que el actor de amenazas obtuvo acceso de “solo lectura” a los sistemas afectados. Sin embargo, la compañía se negó a confirmar si su investigación había determinado si se exfiltró algún dato del cliente.
Ultrahuman cuenta con Nexus Venture Partners, Steadview Capital y Blume Ventures entre sus inversores. La startup lo tiene recaudó alrededor de $103 millones hasta ahora, según Tracxn.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
