La startup de tecnología de salud portátil Ultrahuman anunció que los piratas informáticos obtuvieron acceso no autorizado a los datos de salud de los clientes después de robar las credenciales de los empleados mediante malware.
La startup con sede en India notificó a los clientes afectados sobre el incidente por correo electrónico el miércoles, diciendo que la violación ocurrió el 27 de marzo e involucró sistemas utilizados para análisis internos. La compañía dijo que detectó inmediatamente la intrusión, desconectó los sistemas afectados y revocó todo acceso.
Fundada en 2019, Ultrahuman vende anillos inteligentes y dispositivos de seguimiento de la salud metabólica que permiten a los usuarios controlar métricas como el sueño, la actividad y la recuperación. La startup es mejor conocida por Ring Air, que compite con Oura Ring, y recientemente anunció el Ring Pro con sensores y duración de batería mejorados.
Ultrahuman confirmó el incidente y le dijo a TechCrunch que los atacantes obtuvieron acceso utilizando credenciales robadas de la computadora portátil infectada con malware de un empleado, lo que resultó en el acceso a datos de salud pertenecientes a aproximadamente el 0,1% de los usuarios.
Al menos 700 clientes tuvieron acceso a sus datos de salud, según el número informado anteriormente por la compañía de aproximadamente 700.000 usuarios activos mensuales. Ultrahuman no cuestionó esta cifra, pero se negó a revelar el número exacto de clientes afectados. La compañía dijo que no se vieron comprometidas contraseñas, información de pago, sistemas de producción o dispositivos Ultrahuman Ring.
«Nuestro sistema de alerta de seguridad detectó el incidente en cuestión de horas y resolvió rápidamente la vulnerabilidad», dijo el director ejecutivo de Ultrahuman, Mohit Kumar, en un comunicado a TechCrunch.
Kumar agregó que la startup había notificado a los reguladores y hubo un retraso en notificar a los usuarios afectados mientras la compañía auditaba el alcance total del incidente para determinar qué datos se vieron afectados.
Ultrahuman se negó a proporcionar detalles sobre si había recibido alguna comunicación del hacker responsable del incidente, ni dijo qué constituían exactamente «datos de salud». La violación puso de relieve cómo las nuevas empresas de seguimiento de la salud como Ultrahuman y Oura almacenan los datos de los usuarios en sus servidores, haciendo que los datos de salud de los clientes sean accesibles no sólo para los empleados sino también para los gobiernos y los piratas informáticos maliciosos.
La compañía dijo en una pregunta frecuente publicada en su sitio web que los atacantes obtuvieron acceso de «sólo lectura» a los sistemas afectados. Sin embargo, la compañía no dijo si la investigación determinó si los datos de los clientes se habían visto comprometidos.
Ultrahuman cuenta con Nexus Venture Partners, Steadview Capital y Blume Ventures entre sus inversores. La startup ha recaudado alrededor de 103 millones de dólares hasta la fecha, según Tracxn.
Si compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta la independencia editorial.
Source link
