La startup de technologie de santé portable Ultrahuman a déclaré que les pirates avaient obtenu un accès non autorisé aux données de bien-être des clients après avoir volé les informations d’identification d’un employé via un logiciel malveillant.
Mercredi, la startup basée en Inde a informé les clients concernés de l’incident par courrier électronique, déclarant que la violation s’était produite le 27 mars et impliquait un système utilisé à des fins d’analyse interne. La société a déclaré avoir détecté l’intrusion rapidement, mis hors ligne le système concerné et révoqué tout accès.
Fondée en 2019, Ultrahuman vend des anneaux intelligents et des appareils de suivi de la santé métabolique qui permettent aux utilisateurs de surveiller des indicateurs tels que le sommeil, l’activité et la récupération. La startup est surtout connue pour son Ring Air, qui concurrence l’Oura Ring, et a récemment présenté le Ring Pro avec des capteurs et une autonomie de batterie améliorés.
Confirmant l’incident, Ultrahuman a déclaré à TechCrunch que les attaquants ont obtenu l’accès en utilisant des informations d’identification volées sur l’ordinateur portable infecté par un logiciel malveillant d’un employé, ce qui a permis d’accéder aux données de bien-être appartenant à environ 0,1 % des utilisateurs.
Sur la base du chiffre précédemment annoncé par l’entreprise d’environ 700 000 utilisateurs actifs mensuels, cela équivaudrait à au moins 700 clients ayant accès à leurs données de santé. Ultrahuman n’a pas contesté ce chiffre, mais a refusé de divulguer le nombre exact de clients concernés. La société a déclaré qu’aucun mot de passe, aucune information de paiement, aucun système de production ou aucun appareil Ultrahuman Ring n’avait été compromis.
« Nos systèmes d’alerte de sécurité ont détecté l’incident en quelques heures et nous avons rapidement corrigé la vulnérabilité », a déclaré Mohit Kumar, PDG d’Ultrahuman, dans une déclaration à TechCrunch.
Kumar a ajouté que la startup informait les régulateurs et avait retardé l’information des utilisateurs concernés pendant qu’elle auditait toute l’étendue de l’incident et déterminait quelles données avaient été affectées.
Ultrahuman a refusé de partager des détails sur la réception ou non de communications des pirates informatiques responsables de l’incident, ni de dire ce qui constitue exactement des « données de bien-être ». La violation met en évidence la façon dont les startups de suivi du bien-être, comme Ultrahuman et Oura, stockent les données des utilisateurs sur leurs serveurs de manière à permettre à leurs employés – ainsi qu’aux gouvernements et aux pirates malveillants – d’accéder aux données de santé des clients.
La startup a déclaré dans une FAQ publiée sur son site Web que l’acteur malveillant avait obtenu un accès « en lecture seule » au système concerné. Cependant, la société a refusé de confirmer si son enquête avait permis de déterminer si des données client avaient été exfiltrées.
Ultrahuman compte parmi ses investisseurs Nexus Venture Partners, Steadview Capital et Blume Ventures. La startup a levé à ce jour environ 103 millions de dollars, selon Tracxn.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
