Компания Ultrahuman утверждает, что хакеры получили доступ к данным о состоянии здоровья клиентов через внутренний инструмент.

Стартап Ultrahuman, занимающийся разработкой носимых медицинских технологий, сообщил, что хакеры получили несанкционированный доступ к данным о состоянии здоровья клиентов, украв учетные данные сотрудника с помощью вредоносного ПО.

В среду индийский стартап уведомил пострадавших клиентов об инциденте по электронной почте, заявив, что взлом произошел 27 марта и затронул систему, используемую для внутренней аналитики. Компания сообщила, что оперативно обнаружила вторжение, отключила затронутую систему и заблокировала весь доступ.

Компания Ultrahuman, основанная в 2019 году, продает умные кольца и устройства для отслеживания метаболизма, позволяющие пользователям контролировать такие показатели, как сон, активность и восстановление. Стартап наиболее известен своим кольцом Ring Air, которое конкурирует с кольцом Oura Ring, а недавно представил Ring Pro с улучшенными датчиками и увеличенным временем автономной работы.

Подтверждая инцидент, компания Ultrahuman сообщила TechCrunch, что злоумышленники получили доступ, используя учетные данные, украденные с зараженного вредоносным ПО ноутбука сотрудника, в результате чего были получены данные о состоянии здоровья примерно 0,1% пользователей.

Исходя из ранее сообщенной компанией цифры в примерно 700 000 ежемесячно активных пользователей, это означает, что доступ к медицинским данным как минимум 700 клиентов был получен. Компания Ultrahuman не опровергла эту цифру, но отказалась раскрыть точное количество пострадавших клиентов. Компания заявила, что пароли, платежная информация, производственные системы или устройства Ultrahuman Ring не были скомпрометированы.

«Наши системы оповещения о происшествиях обнаружили инцидент в течение нескольких часов, и мы оперативно устранили уязвимость», — заявил генеральный директор Ultrahuman Мохит Кумар в заявлении для TechCrunch.

Кумар добавил, что стартап уведомляет регулирующие органы и откладывает информирование пострадавших пользователей, пока проводит аудит всего масштаба инцидента и определяет, какие данные были затронуты.

Компания Ultrahuman отказалась сообщить какие-либо подробности о том, получала ли она какие-либо сообщения от хакеров, ответственных за инцидент, и не уточнила, что именно представляет собой «данные о состоянии здоровья». Этот инцидент демонстрирует, как стартапы, занимающиеся отслеживанием показателей здоровья, такие как Ultrahuman и Oura, хранят данные пользователей на своих серверах таким образом, что их сотрудники, а также правительства и злонамеренные хакеры, получают доступ к данным о здоровье клиентов.

В разделе часто задаваемых вопросов на своем веб-сайте стартап сообщил, что злоумышленник получил доступ к системе только для чтения. Однако компания отказалась подтвердить, удалось ли в ходе расследования установить факт кражи каких-либо данных клиентов.

В число инвесторов Ultrahuman входят Nexus Venture Partners, Steadview Capital и Blume Ventures. По данным Tracxn, на сегодняшний день стартап привлек около 103 миллионов долларов.

Источник: techcrunch.com