Wat is er gebeurd?
De Indiase wear‑able startup Ultrahuman heeft bevestigd dat een groep cyberaanvallers op 27 maart ongeoorloofd toegang kreeg tot de wellness‑gegevens van een aantal klanten. De inbreuk vond plaats via een intern analytics‑systeem dat door medewerkers werd gebruikt om gebruiksstatistieken te analyseren. Het bedrijf ontdekte het lek vrijwel meteen, schakelde de getroffen omgeving offline en trok alle toegangsrechten in.
Hoe de hackers slaagden
Volgens een verklaring van Ultrahuman werden de hackers in staat gesteld om in te loggen dankzij inloggegevens die waren gestolen van een medewerker. Die medewerker had een laptop waarop malware was geïnstalleerd, waardoor de aanvallers de wachtwoorden konden onderscheppen. Met deze gestolen credentials verkregen zij "read‑only" rechten op de interne tool, waardoor ze de wellness‑data konden inzien, maar naar eigen zeggen niet konden wijzigen of downloaden.
Omvang van de schade
Ultrahuman schat haar maandelijks actieve gebruikersbestand op ongeveer 700.000. Het bedrijf meldde dat circa 0,1 % van deze gebruikers – zo’n 700 personen – mogelijk hun gezondheids‑informatie hebben moeten zien. De precieze aantallen blijven echter onduidelijk, omdat het bedrijf de exacte cijfers niet heeft vrijgegeven. Belangrijk om te weten is dat geen wachtwoorden, betaalgegevens, productiesystemen of fysieke Ring‑apparaten zijn aangetast.
Reactie van het management
CEO Mohit Kumar stelde in een interview dat de eigen beveiligingsmonitoring het incident binnen enkele uren detecteerde en dat de kwetsbaarheid snel werd afgesloten. Het bedrijf heeft de autoriteiten op de hoogte gebracht en heeft tijd genomen om een volledige audit uit te voeren voordat de getroffen klanten werden geïnformeerd. Een FAQ op de website geeft aan dat de aanvallers alleen lees‑toegang hadden en dat er geen bevestiging is dat data is geëxporteerd.
Impliceert crisis voor wellness‑trackers
De gebeurtenis onderstreept een groeiend risico voor bedrijven die sensorgegevens van consumenten verzamelen. Net als bij Oura en andere gezondheids‑trackers, slaat Ultrahuman data op centrale servers, waardoor zowel interne medewerkers als externe actoren potentiële toegangspunten hebben. Het incident zet de discussie over privacy‑normen en beveiligingsstandaarden voor wear‑ables opnieuw op de kaart.