Giyilebilir sağlık teknolojileri geliştiren Hindistan merkezli Ultrahuman, bir çalışanının cihazına bulaşan virüs nedeniyle müşteri verilerinin yetkisiz kişiler tarafından ele geçirildiğini açıkladı. Şirket, saldırganların çalışan bilgilerini ele geçirerek kurum içi analiz sistemlerinden birine erişim sağladığını duyurdu.
Ultrahuman tarafından etkilenen kullanıcılara gönderilen bilgilendirme mesajına göre olay 27 Mart’ta meydana geldi. Şirket, ihlalin tespit edilmesinin ardından ilgili sistemi çevrim dışı bıraktığını ve tüm erişimleri iptal ettiğini belirtti.
2019 yılında kurulan Ultrahuman, kullanıcıların uyku, fiziksel aktivite ve toparlanma gibi sağlık göstergelerini takip edebildiği akıllı yüzükler ve metabolik sağlık cihazları geliştiriyor. Şirket, özellikle Oura Ring’e rakip olarak konumlandırdığı Ring Air modeliyle tanınırken kısa süre önce daha gelişmiş sensörler ve artırılmış pil ömrü sunan Ring Pro modelini de piyasaya sürmüştü.
Şirketin yaptığı açıklamaya göre hackerlar, virüs bulaşan bir dizüstü bilgisayardaki çalışan hesabını kullanarak sisteme giriş yaptı. Bu erişim sonucunda kullanıcıların yaklaşık %0,1’ine ait sağlık ve yaşam tarzı verileri görüntülendi.
Ultrahuman’ın daha önce paylaştığı 700 bin aylık aktif kullanıcı verisi dikkate alındığında siber saldırıdan en az 700 kullanıcının etkilenmiş olabileceği tahmin ediliyor. Öte yandan şirket, etkilenen kişi sayısını net olarak paylaşmayı reddetti. Buna karşılık şifrelerin, ödeme bilgilerinin, üretim sistemlerinin veya Ultrahuman cihazlarının etkilenmediği vurgulandı.
Şirketin CEO’su Mohit Kumar, güvenlik sistemlerinin olayı saatler içerisinde tespit ettiğini ve açığın hızlı şekilde kapatıldığını söyledi. Kumar ayrıca, olayın kapsamını ve hangi verilerin etkilendiğini belirlemek için yürütülen inceleme süreci nedeniyle kullanıcıların geç bilgilendirildiğini ifade etti.
Ultrahuman’ın saldırganlarla iletişim kurup kurmadığı belirtilmezken erişilen sağlık verilerinin tam olarak hangi bilgileri içerdiği de açıklanmadı. Şirketin internet sitesinde olayla ilgili yayınlanan bölümde ise sisteme yalnızca salt okunur erişim elde edildiği belirtildi. Buna rağmen müşteri verilerinin sistem dışına çıkarılıp çıkarılmadığı yine belirsizlikte olan durumlar arasında.
Olay, sağlık teknolojileri ve giyilebilir cihaz sektöründe faaliyet gösteren şirketlerin kullanıcı verilerini merkezi sunucuda saklamasının yarattığı riskleri yeniden gündeme taşıdı. Uzmanlar, bu tür sistemlerde çalışanların erişim yetkileri ve siber saldırılar nedeniyle hassas sağlık verilerinin üçüncü tarafların eline geçebileceğine dikkat çekiyor.
