Утечка данных производителя «умных колец»
Стартап Ultrahuman сообщил об утечке данных в результате хакерской атаки. Инцидент привел к утечке данных о состоянии здоровья части клиентов.
В среду, 3 июня, индийский стартап Ultrahuman, занимающийся разработкой носимых устройств в сфере медицинских технологий, сообщил о хакерской атаке, случившейся после компрометации аккаунта сотрудника в результате загрузки вируса.
В результате инцидента была скомпрометирована информация о здоровье небольшой части клиентов. Ultrahuman признается, что кибератака в конце марта затронула систему внутренней аналитики. Как утверждает компания, она оперативно, в течение нескольких часов, выявила вторжение, отключила взломанную систему и заблокировала доступ к ней.
Компания Ultrahuman, зарегистрированная в 2019 году, продает умные устройства, позволяющие пользователям контролировать сон, активность и восстановление организма. Самый известный продукт стартапа — «умное кольцо» Ring Air, которое отслеживает ряд показателей во время сна (температура тела, ритм сердца, характер восстановления и т.д,.). Недавно компания представила кольцо Ring Pro с оптимизированными датчиками и продленным временем автономной работы.
Спикер Ultrahuman рассказал журналистам, что злоумышленникам удалось получить данные о состоянии здоровья примерно 0,1% пользователей. Ранее компания сообщала, что количество активных пользователей ее устройств составляет порядка 700 тыс. человек в месяц. Исходя из этой оценки можно предположить, что в руки нарушителей попали данные порядка 700 пользователей. В Ultrahuman не опровергли эту цифру, но отказались сообщить, сколько пользователей пострадали от взлома. Компания заявила, что пароли, платежные данные, производственные системы и устройства Ultrahuman Ring не были затронуты в ходе инцидента.
Гендиректор Ultrahuman Мохит Кумар (Mohit Kumar) рассказал, что стартап уведомил об киберинциденте уполномоченные органы Индии.
Компания Ultrahuman также не стала отвечать на вопрос о том, получала ли она какие-либо требования от хакеров, устроивших кибераткаку, и не уточнила, что именно она имела в виду под «данными о здоровье». Этот взлом со всей остротой поднимает проблему обеспечения конфиденциальности данных со стороны стартапов, занимающихся отслеживанием показателей здоровья. Такие компании, как Ultrahuman и Oura, размещают пользовательские данные на своих серверах в таком режиме, что доступ к информации пользователей могут получить сотрудники, а также правительственные агентства и внешние злоумышленники.
В разделе FAQ на своем сайте Ultrahuman заявил, что хакер получил доступ к внутренней системе аналитики только в режиме для чтения. Однако компания пока не подтвердила, удалось ли ее специалистам по кибербезопасности установить факт копирования каких-либо пользовательских данных.
Источник: TechCrunch