Sağlık teknolojileri alanında öne çıkan girişimlerden Ultrahuman, bir çalışanının kimlik bilgilerinin kötü amaçlı yazılım aracılığıyla ele geçirilmesi sonucu kullanıcıların sağlık verilerine yetkisiz erişim sağlandığını duyurdu.
Hindistan merkezli şirket, etkilenen müşterilerebu durumu Çarşamba günü e-posta ile bildirdi. İhlalin 27 Mart’ta gerçekleştiği ve iç analizler için kullanılan bir sistemle ilgili olduğu belirtildi. Şirket, saldırıyı hızla tespit ettiklerini, etkilenen sistemi devre dışı bıraktıklarını ve tüm erişimleri iptal ettiklerini açıkladı.
Ultrahuman ve Ürünleri
2019 yılında kurulan Ultrahuman, kullanıcıların uyku, aktivite ve iyileşme gibi verileri izlemelerine olanak tanıyan akıllı yüzükler ve metabolik sağlık izleme cihazları satışı yapmaktadır. Şirketin en bilinen ürünü Ring Air’dir; bu ürün Oura Ring ile rekabet etmektedir. Ultrahuman, son olarak güncellenmiş sensörler ve pil ömrü sunan Ring Pro modelini tanıttı.
Olayı doğrulayan Ultrahuman, TechCrunch’a yaptığı açıklamada, saldırganların bir çalışanın kötü amaçlı yazılım bulaşmış dizüstü bilgisayarından çalınan kimlik bilgileriyle sisteme girdiğini ve yaklaşık %0.1 oranında kullanıcının sağlık verilerine erişim sağlandığını bildirdi.
Etkilenen Kullanıcılar ve Güvenlik Önlemleri
Şirketin daha önce bildirdiği yaklaşık 700,000 aktif kullanıcı sayısına dayanarak, bu durum en az 700 müşterinin sağlık verilerinin ele geçirildiği anlamına gelmektedir. Ultrahuman, bu rakamı yalanlamadı, ancak etkilenen kullanıcıların sayısını kesin olarak belirtmekten kaçındı. Şirket, şifrelerin, ödeme bilgilerinin, üretim sistemlerinin veya Ultrahuman Ring cihazlarının tehlikeye girmediğini vurguladı.
Ultrahuman CEO’su Mohit Kumar, “Güvenlik uyarı sistemlerimiz olayı birkaç saat içinde tespit etti ve açıklık hızla kapatıldı.” şeklinde bir açıklama yaptı.
Kumar ayrıca, şirketin düzenleyici kurumları bilgilendirdiğini ve etkilenen kullanıcılara bilgi vermeyi, olayın tam kapsamını denetleyip hangi verilerin etkilendiğini belirlemek için ertelediklerini sözlerine ekledi.
Siber Saldırının Etkileri ve Gelecek
Ultrahuman, olaya neden olan hackerlarla herhangi bir iletişim kurup kurmadığına dair bilgi vermezken, “sağlık verisi” tanımını netleştirmekte de isteksiz davranıyor. Bu ihlal, Ultrahuman ve Oura gibi sağlık izleme girişimlerinin kullanıcı verilerini sunucularda saklama biçiminin, çalışanlar yanı sıra devletler ve kötü niyetli hackerler tarafından erişilebilir hale geldiğini bir kez daha gözler önüne seriyor.
Şirket, web sitesinde yayınladığı bir SSS’de, saldırganların etkilenen sisteme “salt-okunur” erişim elde ettiğini belirtti. Ancak şirket, yürüttüğü soruşturmanın müşteri verilerinin sızdırılıp sızdırılmadığını belirleyip belirlemediğini doğrulamaktan kaçındı.
Ultrahuman, yatırımcıları arasında Nexus Venture Partners, Steadview Capital ve Blume Ventures’ı bulunduruyor. Şirket, Tracxn’a göre bugüne kadar yaklaşık 103 milyon dolar fon elde etti.
Bu olay, siber güvenlik açısından ne gibi önlemler almanız gerektiğini düşünmenize neden oluyor mu?
