A startup de tecnologia vestível para saúde Ultrahuman confirmou um incidente de segurança que resultou no acesso não autorizado a dados de bem-estar de parte de seus clientes. Segundo a empresa, o problema ocorreu após criminosos roubarem credenciais de um funcionário infectado por malware.
A violação aconteceu em 27 de março e foi comunicada aos usuários afetados por e-mail nesta semana. De acordo com a companhia, os invasores acessaram um sistema utilizado para análises internas da empresa, mas não comprometeram sistemas de produção, senhas, informações financeiras ou dispositivos dos clientes.
Como o ataque aconteceu
Segundo a Ultrahuman, os hackers obtiveram acesso após explorarem credenciais armazenadas no laptop de um funcionário infectado por malware. Com essas credenciais, os criminosos conseguiram entrar em um ambiente interno voltado para análises e monitoramento de dados.
A empresa afirma que identificou a atividade suspeita poucas horas após a invasão, desativou o sistema afetado e revogou imediatamente todos os acessos relacionados ao incidente.
Em comunicado enviado ao TechCrunch, o CEO da empresa, Mohit Kumar, declarou:
“Nossos sistemas de alerta de segurança detectaram o incidente em poucas horas e corrigimos a vulnerabilidade rapidamente.”
Apesar disso, a companhia não detalhou qual malware foi utilizado, nem informou se houve contato ou tentativa de extorsão por parte dos invasores.
Quais dados foram afetados
A Ultrahuman informou que aproximadamente 0,1% dos usuários tiveram dados de bem-estar acessados. Considerando números anteriormente divulgados pela própria startup, que apontavam cerca de 700 mil usuários ativos mensais, isso pode representar pelo menos 700 clientes potencialmente impactados.
No entanto, a empresa se recusou a confirmar o número exato de pessoas afetadas.
Também não ficou claro quais tipos específicos de informações foram expostas. A companhia utilizou apenas o termo “dados de bem-estar”, sem detalhar quais métricas estavam disponíveis aos invasores.
Entre os serviços oferecidos pela Ultrahuman estão dispositivos capazes de monitorar:
- Sono;
- Atividade física;
- Recuperação corporal;
- Indicadores metabólicos e fisiológicos.
Esse tipo de informação pode incluir padrões de comportamento, hábitos de saúde e métricas pessoais coletadas continuamente pelos dispositivos vestíveis.
Empresa afirma que acesso foi “somente leitura”
Em uma seção de perguntas frequentes publicada em seu site, a Ultrahuman informou que o acesso obtido pelos criminosos teria sido limitado ao modo “somente leitura”, o que significa que não seria possível modificar ou apagar informações armazenadas.
Ainda assim, a startup evitou confirmar se a investigação conseguiu determinar com precisão se houve exfiltração de dados — ou seja, se as informações foram efetivamente copiadas ou retiradas do ambiente interno.
Essa ausência de detalhes dificulta a avaliação do impacto real do incidente.
O caso reacende debate sobre privacidade em wearables
O episódio reforça uma preocupação crescente envolvendo dispositivos vestíveis de monitoramento de saúde, como anéis inteligentes e relógios conectados: a centralização de dados pessoais em servidores das empresas.
Embora tecnologias como os smart rings ofereçam recursos avançados de monitoramento de saúde e desempenho físico, elas também armazenam informações extremamente detalhadas sobre hábitos diários dos usuários.
Na prática, isso significa que funcionários internos, autoridades governamentais mediante solicitação legal ou criminosos cibernéticos podem potencialmente acessar dados considerados altamente sensíveis caso falhas de segurança ocorram.
A Ultrahuman afirmou estar notificando órgãos reguladores sobre o incidente e disse que atrasou a comunicação aos clientes até concluir uma auditoria interna para compreender a extensão total do problema.
Fundada em 2019, a empresa ganhou destaque no mercado de wearables com o Ring Air, concorrente direto do Oura Ring, e recentemente lançou o Ring Pro, versão equipada com sensores aprimorados e maior duração de bateria.
