Ultrahuman, startup indiana specializzata in tecnologia per il benessere, ha confermato una violazione dei dati dei propri clienti. Gli hacker hanno ottenuto accesso non autorizzato a un tool interno utilizzato per analisi, sfruttando credenziali rubate a un dipendente tramite malware.
L'incidente, avvenuto il 27 marzo, ha compromesso dati relativi a metriche del benessere come sonno, attività e recupero. Ha interessato circa lo 0,1% degli utenti, stimati in circa 700 persone, basandosi sui 700.000 utenti attivi mensili precedentemente dichiarati da Ultrahuman.
L'azienda ha rilevato l'intrusione in poche ore, disattivando il sistema compromesso e revocando tutti gli accessi.
Ultrahuman ha specificato che password, dati di pagamento, sistemi produttivi o dispositivi Ultrahuman Ring non sono stati compromessi. Mohit Kumar, CEO dell'azienda, ha dichiarato: “I nostri sistemi di alerting sulla sicurezza hanno rilevato l’incidente in poche ore e abbiamo chiuso la vulnerabilità tempestivamente.”
L'azienda sta notificando le autorità competenti e ha informato gli utenti solo dopo un audit completo per determinare l'esatta portata dell'incidente e i dati coinvolti. Non è stato chiarito se i dati siano stati esfiltrati né cosa includa esattamente la categoria "wellness data".
Rischi dei dati nei dispositivi indossabili
Fondata nel 2019, Ultrahuman è conosciuta per i suoi anelli intelligenti, il Ring Air e il più recente Ring Pro, che monitorano il metabolismo, il sonno e l'attività fisica, competendo con prodotti come l'Oura Ring. Questa violazione evidenzia un rischio crescente nel settore dei dispositivi indossabili: anche se non strettamente sanitari, i dati raccolti possono essere estremamente sensibili per gli utenti e richiedono la massima protezione, specialmente quando coinvolgono sistemi interni accessibili ai dipendenti.
Il precedente del caso Hims & Hers
Un episodio simile si è verificato ad aprile con Hims & Hers, un'azienda americana di telemedicina. La sua piattaforma di supporto clienti, gestita da terzi, ha subito una violazione tra il 4 e il 7 febbraio.
I criminali hanno avuto accesso a ticket di supporto contenenti nomi, contatti e dettagli delle richieste. Tuttavia, cartelle cliniche e comunicazioni mediche non sono state compromesse.
Il gruppo estorsore ShinyHunters è stato identificato come responsabile. Ha utilizzato tecniche di social engineering e phishing per compromettere account Single Sign-On (SSO) gestiti tramite Okta, ottenendo così accesso a piattaforme SaaS come Zendesk. Questo fenomeno sottolinea la vulnerabilità intrinseca nella catena di fornitura che include provider esterni.
Strategie per rafforzare la sicurezza
L'incidente di Ultrahuman evidenzia la necessità di rafforzare i controlli interni: sistemi di monitoraggio degli accessi, autenticazione multifattoriale, segmentazione dei privilegi e audit costanti sono essenziali per prevenire che una singola compromissione esponga dati delicati.
Il caso Hims & Hers aggiunge un'ulteriore lezione: l'affidamento a servizi esterni, pur offrendo vantaggi operativi, espone a nuove superfici di attacco. Strategie come la minimizzazione dei dati nei sistemi di supporto, rigidi limiti ai privilegi di accesso e una formazione continua del personale diventano quindi fondamentali.
In entrambi gli scenari, sebbene con dinamiche diverse (una violazione interna tramite malware e una esterna via SSO compromesso), emergono punti comuni: la centralità dei dati di benessere come asset prezioso, le vulnerabilità nei canali di supporto o interni e l'importanza di una comunicazione trasparente verso utenti e autorità. Ultrahuman si trova ora di fronte alla sfida cruciale di ripristinare la fiducia dei clienti, sorvegliando con rigore i propri sistemi e rafforzando la sicurezza dei suoi wellness data, sempre più critici in un settore health tech esposto a crescenti rischi cyber.
