Was passiert ist
Das indische Gesundheits‑Tech‑Unternehmen Ultrahuman meldete, dass eine Gruppe von Cyberkriminellen unberechtigten Zugriff auf die Wellness‑Daten seiner Nutzer erlangte. Der Angriff erfolgte über ein internes Analyse‑Tool, das durch gestohlene Anmeldedaten eines Mitarbeiters kompromittiert wurde. Laut Angaben des Unternehmens fand das Eindringen am 27. März statt und wurde innerhalb weniger Stunden von den eigenen Sicherheitssystemen entdeckt.
Wie der Hacker eindrang
Die Angreifer nutzten Malware, die das Laptop eines Angestellten infizierte und dort die Zugangsdaten ausspähte. Mit diesen Informationen konnten sie sich als legitime Nutzer anmelden und lediglich lesenden Zugriff auf das fragliche System erhalten. Die Datenbank enthielt Informationen zu Schlaf, Aktivität und Regeneration – also persönliche Gesundheitskennzahlen, die von den smarten Ringen des Unternehmens erfasst werden.
Umfang des Vorfalls
Ultrahuman schätzt, dass rund 0,1 % seiner monatlich aktiven Kundschaft betroffen waren. Bei etwa 700.000 aktiven Nutzern entspricht das mindestens 700 Personen, deren wellness‑bezogene Daten potenziell eingesehen wurden. Das Unternehmen betont, dass keine Passwörter, Zahlungsinformationen, Produktionssysteme oder physische Ring‑Geräte kompromittiert wurden.
Reaktion des Unternehmens
Sofort nach Entdeckung wurde das betroffene Tool offline genommen und sämtliche Zugriffe widerrufen. Der CEO Mohit Kumar erklärte, dass die internen Alarmsysteme den Vorfall innerhalb weniger Stunden gemeldet hätten und dass das Unternehmen die Lücke rasch geschlossen habe. Gleichzeitig informierte Ultrahuman die Aufsichtsbehörden und begann, die betroffenen Kunden per E‑Mail zu benachrichtigen, wobei die Benachrichtigung erst nach einer internen Prüfung erfolgte.
Folgen für die Branche
Der Zwischenfall wirft ein grelles Licht auf die Sicherheitsarchitektur von Wearable‑Start‑ups. Da Gesundheits‑ und Fitness‑Tracker massenhaft sensible Daten sammeln, wird zunehmend diskutiert, wie stark Unternehmen ihre internen Systeme isolieren und welche Rechte Mitarbeiter auf Kundendaten haben. Auch Konkurrenten wie Oura stehen im Fokus, da ähnliche Modelle zur Datenspeicherung eingesetzt werden.
Ausblick
Obwohl Ultrahuman bislang nicht bestätigt hat, ob Daten tatsächlich exfiltriert wurden, bleibt die Frage offen, welche Informationen die Angreifer eventuell weiterverwendet haben könnten. Experten raten Nutzern, ihre Zugangsdaten regelmäßig zu ändern und bei Verdacht auf ungewöhnliche Aktivitäten sofort den Support zu kontaktieren.