Η ινδική startup Ultrahuman παραδέχθηκε κυβερνοεπίθεση που οδήγησε σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ευεξίας μέρους των χρηστών της. Το περιστατικό αναδεικνύει τις δομικές αδυναμίες ασφαλείας στην ταχέως αναπτυσσόμενη αγορά wearables υγείας.
Η ινδική εταιρεία health-tech Ultrahuman, γνωστή για τα έξυπνα δαχτυλίδια παρακολούθησης υγείας, ανακοίνωσε ότι χάκερ απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ευεξίας ορισμένων πελατών της. Η πρόσβαση επιτεύχθηκε μέσω κλεμμένων διαπιστευτηρίων εργαζομένου, του οποίου ο φορητός υπολογιστής είχε μολυνθεί με κακόβουλο λογισμικό.
Πώς έγινε η επίθεση και ποιοι επηρεάστηκαν
Σύμφωνα με την εταιρεία, το περιστατικό σημειώθηκε στις 27 Μαρτίου και αφορούσε εσωτερικό σύστημα αναλυτικών δεδομένων. Η Ultrahuman υποστηρίζει ότι εντόπισε την εισβολή μέσα σε λίγες ώρες, απέσυρε το σύστημα από το δίκτυο και ανακάλεσε όλα τα σχετικά δικαιώματα πρόσβασης.
Η παραβίαση φέρεται να επηρέασε περίπου το 0,1% της βάσης χρηστών της. Με δεδομένο ότι η εταιρεία αναφέρει περίπου 700.000 μηνιαίους ενεργούς χρήστες, αυτό αντιστοιχεί κατ’ ελάχιστον σε εκατοντάδες πελάτες των οποίων τα δεδομένα ευεξίας εκτέθηκαν. Η Ultrahuman δεν γνωστοποίησε ακριβή αριθμό, ούτε εξειδίκευσε τι ακριβώς περιλαμβάνει ο όρος «wellness data», πέραν του ότι πρόκειται για δεδομένα που σχετίζονται με ύπνο, δραστηριότητα και ανάκαμψη.
Η εταιρεία τονίζει ότι δεν επηρεάστηκαν κωδικοί πρόσβασης, στοιχεία πληρωμών, συστήματα παραγωγής ή οι ίδιες οι συσκευές Ultrahuman Ring. Σε ενημερωτικό κείμενο στην ιστοσελίδα της αναφέρει ότι ο επιτιθέμενος απέκτησε «read-only» πρόσβαση, χωρίς όμως να διευκρινίζει εάν διαπιστώθηκε εξαγωγή δεδομένων.
Ευρύτερες επιπτώσεις για την αγορά wearables υγείας
Η υπόθεση αναδεικνύει τον αυξανόμενο κίνδυνο γύρω από τις πλατφόρμες παρακολούθησης υγείας, οι οποίες συγκεντρώνουν εξαιρετικά ευαίσθητα προσωπικά δεδομένα σε κεντρικούς διακομιστές. Η δυνατότητα πρόσβασης σε αυτά τα δεδομένα όχι μόνο από εργαζομένους, αλλά και από κρατικές αρχές ή κακόβουλους παράγοντες, δημιουργεί σοβαρά ερωτήματα για τη διακυβέρνηση και την προστασία της ιδιωτικότητας.
Η Ultrahuman, η οποία ιδρύθηκε το 2019 και έχει αντλήσει περίπου 103 εκατ. δολάρια από επενδυτές όπως οι Nexus Venture Partners, Steadview Capital και Blume Ventures, βρίσκεται σε φάση έντονης ανάπτυξης με τα προϊόντα Ring Air και Ring Pro να ανταγωνίζονται απευθείας λύσεις όπως το Oura Ring. Σε αυτό το περιβάλλον, κάθε περιστατικό ασφαλείας μπορεί να πλήξει την εμπιστοσύνη των χρηστών και να επιταχύνει ρυθμιστικές παρεμβάσεις σε παγκόσμιο επίπεδο.
Η εταιρεία δηλώνει ότι ενημερώνει τις αρμόδιες ρυθμιστικές αρχές, ενώ καθυστέρησε την ειδοποίηση των χρηστών μέχρι να ολοκληρωθεί ο αρχικός έλεγχος του περιστατικού και να προσδιοριστεί η έκταση των δεδομένων που επηρεάστηκαν.
Σχόλιο 
: Η διαρροή στην Ultrahuman επιβεβαιώνει ότι το αδύναμο σημείο παραμένει ο ανθρώπινος παράγοντας και τα εσωτερικά εργαλεία πρόσβασης. Για τις ευρωπαϊκές και ελληνικές αρχές, που ήδη εφαρμόζουν αυστηρό πλαίσιο GDPR, τέτοια περιστατικά αποτελούν προειδοποίηση ότι τα wearables υγείας χρειάζονται πολύ ισχυρότερα μοντέλα «ελάχιστης πρόσβασης» και κρυπτογράφησης, πριν η αγορά ωριμάσει σε κλίμακα μαζικής υιοθέτησης.
#Ultrahuman #Κυβερνοασφάλεια #Wearables #ΔεδομέναΥγείας #Ιδιωτικότητα
