Ultrahuman'da Veri Sızıntısı: Hackerlar Kullanıcı Sağlık Verilerine Erişti

Giyilebilir sağlık teknolojileri alanında faaliyet gösteren Hindistan merkezli girişim Ultrahuman, ciddi bir güvenlik ihlali yaşadığını duyurdu. Şirketten yapılan açıklamaya göre, kötü amaçlı yazılımlar aracılığıyla bir çalışanın kimlik bilgilerini ele geçiren bilgisayar korsanları, kullanıcıların sağlık ve wellness verilerinin bulunduğu sistemlere yetkisiz erişim sağladı.

Olayla ilgili olarak etkilenen müşterilere Çarşamba günü e-posta yoluyla bilgi veren şirket, siber saldırının 27 Mart tarihinde gerçekleştiğini bildirdi. Söz konusu ihlalin, şirketin iç analizler için kullandığı özel bir sistem üzerinden yapıldığı belirtildi. Ultrahuman, sızma girişimini hızla tespit ettiklerini, etkilenen sistemi derhal çevrimdışı konuma getirdiklerini ve tüm erişim yetkilerini iptal ederek durumu kontrol altına aldıklarını açıkladı.

2019 yılında kurulan Ultrahuman, özellikle uyku, fiziksel aktivite ve toparlanma gibi kritik sağlık metriklerini takip eden akıllı yüzükler ve metabolik sağlık izleme cihazları ile tanınıyor. Oura Ring ile rekabet eden popüler "Ring Air" modelinin yanı sıra, yakın zamanda gelişmiş sensörler ve artırılmış pil ömrü sunan "Ring Pro" modelini piyasaya sürerek pazar payını genişletmeyi hedefleyen şirket, bu veri sızıntısıyla imaj sarsıntısı yaşıyor.

Konuyla ilgili TechCrunch'a açıklamalarda bulunan Ultrahuman, saldırganların kötü amaçlı yazılım bulaşmış bir çalışan dizüstü bilgisayarından çalınan kimlik bilgilerini kullandığını doğruladı. Şirket, kullanıcı tabanının yaklaşık %0,1'inin wellness verilerine erişildiğini belirtti. Şirketin daha önce raporladığı yaklaşık 700.000 aylık aktif kullanıcı sayısı göz önüne alındığında, bu oranın en az 700 müşterinin hassas sağlık verilerinin açığa çıktığı anlamına geldiği hesaplanıyor. Ultrahuman bu rakamı yalanlamasa da etkilenen müşterilerin kesin sayısını paylaşmayı reddetti.

Güvenlik risklerinin kapsamına dair detay veren şirket, kullanıcı şifrelerinin, ödeme bilgilerinin, ana üretim sistemlerinin veya Ultrahuman Ring cihazlarının kendisinin bu saldırıdan etkilenmediğini vurguladı. Şirket CEO'su Mohit Kumar, TechCrunch'a yaptığı açıklamada, güvenlik uyarı sistemlerinin olayı birkaç saat içinde fark ettiğini ve açığın hızla kapatıldığını belirtti. Kumar ayrıca, düzenleyici kurumlara gerekli bildirimlerin yapıldığını, etkilenen kullanıcılara haber verilmesinin ise olayın tam kapsamının denetlenmesi ve hangi verilerin sızdırıldığının netleştirilmesi amacıyla kısa bir süre ertelendiğini ekledi.

Sürece dair bazı noktalar ise belirsizliğini koruyor. Ultrahuman, saldırıyı gerçekleştiren bilgisayar korsanlarından herhangi bir iletişim alıp almadığına dair bilgi vermediği gibi, sızdırılan "wellness verileri" ifadesinin tam olarak neleri kapsadığını da açıklamadı. Bu durum, kullanıcıların hangi spesifik sağlık verilerinin dışarı sızmış olabileceği konusunda soru işaretleri yaratıyor.

Yaşanan bu olay, Ultrahuman ve Oura gibi wellness takipçisi girişimlerin, kullanıcı verilerini sunucularda nasıl sakladığına dair tartışmaları yeniden alevlendirdi. Bu tür sistemlerin yapısı; çalışanların, hükümetlerin veya kötü niyetli hackerların, kullanıcıların en özel sağlık verilerine erişebileceği riskli bir zemin oluşturabiliyor.

Şirketin web sitesinde yayınladığı Sıkça Sorulan Sorular (SSS) bölümünde, saldırganın etkilenen sisteme yalnızca "salt okunur" (read-only) erişim sağladığı ifade edildi. Ancak şirket, yürütülen incelemeler sonucunda herhangi bir müşteri verisinin sistem dışına çıkarılıp çıkarılmadığının (exfiltration) kesin olarak belirlenip belirlenmediğini onaylamaktan kaçındı.

Finansal açıdan güçlü bir büyüme sergileyen Ultrahuman; Nexus Venture Partners, Steadview Capital ve Blume Ventures gibi önemli yatırımcılara sahip. Tracxn verilerine göre, sağlık teknolojileri pazarındaki konumunu güçlendirmek isteyen girişim, bugüne kadar yaklaşık 103 milyon dolarlık yatırım toplamış durumda.