Χάκερ έκλεψαν δεδομένα ευεξίας της Ultrahuman

Φανταστείτε να φοράτε ένα μικροσκοπικό υπολογιστή στο δάχτυλό σας και να του εμπιστεύεστε τις πιο προσωπικές σας πληροφορίες. Τον τρόπο που κοιμάστε, τους παλμούς της καρδιάς σας και τις στιγμές που το σώμα σας βρίσκεται υπό πίεση. Τι συμβαίνει όμως όταν η εταιρεία που κρατά αυτά τα δεδομένα πέφτει θύμα κυβερνοεπίθεσης και αδυνατεί να εξηγήσει με σαφήνεια το μέγεθος της ζημιάς; Η Ultrahuman επιβεβαίωσε ότι χάκερ απέκτησαν πρόσβαση σε δεδομένα ευεξίας των πελατών της. Η γνωστή εταιρεία κατασκευής έξυπνων δαχτυλιδιών από την Ινδία, η οποία βρίσκεται πίσω από τα δημοφιλή Ring Air και Ring Pro, άρχισε ήδη να στέλνει ενημερωτικά μηνύματα ηλεκτρονικού ταχυδρομείου στους χρήστες που επηρεάστηκαν από το περιστατικό.

Πώς συνέβη το περιστατικό και τι εκλάπη

Η ηλεκτρονική εισβολή πραγματοποιήθηκε στις 27 Μαρτίου και έπληξε ένα εσωτερικό σύστημα στατιστικών αναλύσεων. Η επίθεση δεν επηρέασε άμεσα τα ίδια τα δαχτυλίδια ή το κεντρικό προϊόν της εταιρείας. Οι εισβολείς κατάφεραν να διεισδύσουν χρησιμοποιώντας κωδικούς πρόσβασης που υπέκλεψαν από το μολυσμένο με κακόβουλο λογισμικό λάπτοπ ενός υπαλλήλου.

Η διοίκηση της Ultrahuman αναφέρει ότι εντόπισε την παραβίαση μέσα σε λίγες ώρες. Αμέσως μετά έθεσε το συγκεκριμένο σύστημα εκτός λειτουργίας και ανακάλεσε κάθε δικαίωμα πρόσβασης. Ο διευθύνων σύμβουλος, Mohit Kumar, δήλωσε ότι τα συστήματα ασφαλείας λειτούργησαν γρήγορα και η τρύπα έκλεισε άμεσα.

Ο πραγματικός αριθμός των θυμάτων

Σύμφωνα με τους υπολογισμούς της ίδιας της εταιρείας, η διαρροή επηρέασε περίπου το 0,1% των συνολικών χρηστών της. Το ποσοστό αυτό ακούγεται αμελητέο, αλλά η πραγματικότητα αλλάζει αν μετατρέψουμε το ποσοστό σε απόλυτους αριθμούς.

Η Ultrahuman έχει δηλώσει στο παρελθόν ότι διαθέτει περίπου 700.000 ενεργούς χρήστες τον μήνα. Αυτό σημαίνει ότι τουλάχιστον 700 άνθρωποι είδαν τα προσωπικά δεδομένα υγείας τους να εκτίθενται στα μάτια των χάκερ. Η εταιρεία δεν διέψευσε τον συγκεκριμένο αριθμό, αλλά απέφυγε να διευκρινίσει τον ακριβή αριθμό των πελατών που επηρεάστηκαν.

Από την άλλη πλευρά, η εταιρεία διαβεβαιώνει ότι δεν διέρρευσαν κωδικοί πρόσβασης, στοιχεία πληρωμών ή δεδομένα από τα κεντρικά συστήματα παραγωγής. Η διοίκηση τονίζει επίσης ότι ο επιτιθέμενος είχε μόνο δικαιώματα ανάγνωσης (read-only) στο σύστημα, μια λεπτομέρεια που χρησιμοποιείται έντονα για να μετριάσει τις εντυπώσεις.

Γιατί η δικαιολογία του “Read-Only”
δεν είναι αρκετή

Μια παραβίαση που αφορά 700 άτομα ίσως δεν απασχολήσει τους τίτλους των παγκόσμιων ειδήσεων, αλλά η ουσία της υπόθεσης κρύβεται αλλού. Το πραγματικό πρόβλημα είναι το είδος των πληροφοριών που συλλέγουν αυτές οι συσκευές.

Τα έξυπνα δαχτυλίδια αποθηκεύουν τα δεδομένα σας σε εταιρικούς διακομιστές, προσφέροντας δυνητική πρόσβαση σε υπαλλήλους, κυβερνήσεις ή κακόβουλους τρίτους. Ένα απλό smartwatch καταγράφει τα βήματά σας, αλλά ένα ιατρικό δαχτυλίδι σχεδιάζει το πλήρες βιολογικό σας προφίλ.

Η καθησυχαστική αναφορά της εταιρείας σε πρόσβαση “μόνο για ανάγνωση” αφήνει ένα τεράστιο κενό, καθώς κανείς δεν εγγυάται αν οι χάκερ πρόλαβαν να αντιγράψουν και να κρατήσουν τα δεδομένα αυτά.

Οι αντιδράσεις της κοινότητας των χρηστών στο Reddit αποτυπώνουν την έντονη δυσπιστία. Ένας κάτοχος του δαχτυλιδιού που έλαβε το σχετικό email ανέφερε ότι η Ultrahuman επιμένει πως διέρρευσε μόνο η ηλεκτρονική του διεύθυνση. Ο ίδιος όμως συμπλήρωσε ότι, με βάση το ιστορικό της εταιρείας, στοιχηματίζει ότι οι χάκερ πήραν πολύ περισσότερα πράγματα από όσα παραδέχονται επίσημα.

Αυτή η καχυποψία δεν είναι αδικαιολόγητη. Η Ultrahuman βρίσκεται σε φάση επιθετικής επέκτασης στην αγορά, αντιμετωπίζοντας δικαστικά την ανταγωνίστρια Oura για πατέντες, ενώ ταυτόχρονα τιμολογεί ένα πολυτελές δαχτυλίδι κοντά στα 2.000 δολάρια. Όταν μια επιχείρηση αναπτύσσεται με τόσο γρήγορους ρυθμούς, η ασφάλεια δεν πρέπει να μπαίνει σε δεύτερη μοίρα. Έναν κωδικό πρόσβασης μπορείς να τον αλλάξεις μέσα σε λίγα δευτερόλεπτα, όμως το ιστορικό των καρδιακών σου παλμών δεν αλλάζει ποτέ.