Công ty khởi nghiệp công nghệ y tế có thể đeo Ultrahuman cho biết tin tặc đã truy cập trái phép vào dữ liệu sức khỏe của khách hàng sau khi đánh cắp thông tin đăng nhập của nhân viên thông qua phần mềm độc hại.
Vào thứ Tư, công ty khởi nghiệp có trụ sở tại Ấn Độ đã thông báo cho khách hàng bị ảnh hưởng về vụ việc qua email, cho biết vụ vi phạm xảy ra vào ngày 27 tháng 3 và liên quan đến một hệ thống được sử dụng để phân tích nội bộ. Công ty cho biết họ đã phát hiện sự xâm nhập kịp thời, đưa hệ thống bị ảnh hưởng ngoại tuyến và thu hồi mọi quyền truy cập.
Được thành lập vào năm 2019, Ultrahuman bán nhẫn thông minh và thiết bị theo dõi sức khỏe trao đổi chất cho phép người dùng theo dõi các số liệu như giấc ngủ, hoạt động và quá trình phục hồi. Công ty khởi nghiệp này nổi tiếng với Ring Air, cạnh tranh với Oura Ring và gần đây đã giới thiệu Ring Pro với cảm biến và thời lượng pin được nâng cấp.
Xác nhận sự việc, Ultrahuman nói với TechCrunch rằng những kẻ tấn công đã giành được quyền truy cập bằng cách sử dụng thông tin đăng nhập bị đánh cắp từ máy tính xách tay bị nhiễm phần mềm độc hại của nhân viên, dẫn đến dữ liệu sức khỏe của khoảng 0,1% người dùng bị truy cập.
Dựa trên con số được báo cáo trước đây của công ty về khoảng 700.000 người dùng hoạt động hàng tháng, con số đó sẽ tương đương với ít nhất 700 khách hàng đã truy cập dữ liệu sức khỏe của họ. Ultrahuman không phủ nhận con số này nhưng từ chối tiết lộ chính xác số lượng khách hàng bị ảnh hưởng. Công ty cho biết không có mật khẩu, thông tin thanh toán, hệ thống sản xuất hoặc thiết bị Ultrahuman Ring nào bị xâm phạm.
Giám đốc điều hành Ultrahuman Mohit Kumar cho biết trong một tuyên bố với TechCrunch: “Hệ thống cảnh báo bảo mật của chúng tôi đã phát hiện ra sự cố trong vòng vài giờ và chúng tôi đã nhanh chóng đóng lỗ hổng này”.
Kumar nói thêm rằng công ty khởi nghiệp này đã thông báo cho các cơ quan quản lý và đã trì hoãn việc thông báo cho những người dùng bị ảnh hưởng trong khi kiểm tra toàn bộ phạm vi của vụ việc và xác định dữ liệu nào đã bị ảnh hưởng.
Ultrahuman từ chối chia sẻ bất kỳ chi tiết nào về việc liệu họ có nhận được bất kỳ thông tin liên lạc nào từ các tin tặc chịu trách nhiệm về vụ việc hay không, cũng như cho biết chính xác những gì cấu thành “dữ liệu sức khỏe”. Vi phạm nêu bật cách các công ty khởi nghiệp theo dõi sức khỏe, như Ultrahuman và Oura, lưu trữ dữ liệu của người dùng trên máy chủ của họ theo cách cho phép nhân viên của họ – cũng như chính phủ và tin tặc độc hại – truy cập dữ liệu sức khỏe của khách hàng.
Công ty khởi nghiệp cho biết trong Câu hỏi thường gặp được công bố trên trang web của mình rằng tác nhân đe dọa đã có được quyền truy cập “chỉ đọc” vào hệ thống bị ảnh hưởng. Tuy nhiên, công ty từ chối xác nhận liệu cuộc điều tra của họ có xác định được liệu có bất kỳ dữ liệu khách hàng nào bị rò rỉ hay không.
Ultrahuman tính cả Nexus Venture Partners, Steadview Capital và Blume Ventures trong số các nhà đầu tư của mình. Cho đến nay, công ty khởi nghiệp này đã huy động được khoảng 103 triệu USD, theo Tracxn.
Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi.