أعلنت شركة Ultrahuman، الشركة الناشئة الهندية المتخصصة في تقنيات الصحة القابلة للارتداء، عن حادث أمني وقع في 27 مارس 2026. تمكن المهاجمون من الوصول غير المصرح به إلى بيانات "العافية" (wellness data) لبعض العملاء بعد سرقة بيانات اعتماد موظف عبر برمجية خبيثة (malware) على جهاز لابتوب. أثر الحادث على نحو 0.1% فقط من المستخدمين النشطين شهرياً (حوالي 700 عميل من أصل 700 ألف)، وكان الوصول "للقراءة فقط" (read-only).
تفاصيل الاستجابة من الشركة
اكتشفت Ultrahuman الاختراق خلال ساعات قليلة بفضل أنظمة الإنذار الأمنية، ثم أوقفت النظام المتضرر فوراً عن العمل وسحبت جميع الصلاحيات المسروقة. أرسلت الشركة إشعارات عبر البريد الإلكتروني إلى العملاء المتأثرين في 3 يونيو 2026 (بعد أكثر من شهرين)، لإتاحة الوقت لإجراء تدقيق شامل يحدد النطاق الدقيق للبيانات المتضررة. أكد الرئيس التنفيذي Mohit Kumar أن الشركة أخطرت الجهات التنظيمية، وطبقت إجراءات أمنية إضافية مثل تعزيز التحكم في الوصول، وتحسين أمن الأجهزة الطرفية، وزيادة عمليات التدقيق، وكشف الشذوذ في تصدير البيانات.
نوع البيانات المتأثرة
شملت البيانات المسروقة معلومات الاتصال وحسابات العملاء، وسجل الطلبات والمعاملات، بالإضافة إلى بيانات العافية المرتبطة باستخدام المنتجات مثل أنماط النوم، مستويات النشاط، درجات التعافي، وقراءات الصحة الأيضية. لم يتم اختراق كلمات المرور، أو معلومات الدفع، أو الأنظمة الإنتاجية، أو أجهزة الحلقات (Rings) نفسها. لم تكشف الشركة تفاصيل دقيقة عن "بيانات العافية"، ولم تؤكد ما إذا تم تصدير البيانات خارجياً (exfiltration)، لكنها لم ترَ دليلاً على إساءة الاستخدام حتى الآن.
نبذة عن Ultrahuman
تأسست الشركة في 2019، وجمعت تمويلاً يقارب 103 ملايين دولار من مستثمرين مثل Nexus Venture Partners وSteadview Capital وBlume Ventures. تُعرف Ultrahuman بحلقاتها الذكية، خاصة Ring Air التي تنافس Oura Ring، وأطلقت مؤخراً Ring Pro بمستشعرات محسنة وعمر بطارية أطول. تركز الشركة على تتبع النوم، النشاط، والتعافي، وتخزن بيانات المستخدمين على خوادمها – وهو أمر يفتح الباب أمام الوصول من قبل الموظفين أو الحكومات أو المهاجمين.
التداعيات والدروس المستفادة
يبرز الحادث مخاطر تخزين البيانات الصحية على الخوادم في قطاع التكنولوجيا الصحية. يُنصح المستخدمون بالحذر من محاولات التصيد (phishing) التي قد تستخدم تفاصيل الطلبات أو البيانات الصحية لتبدو أكثر مصداقية. توصي Ultrahuman بعدم الرد على رسائل أو مكالمات مشبوهة، ودائماً الدخول إلى الحساب عبر التطبيق الرسمي أو الموقع المباشر. يعزز الحادث أهمية حماية النقاط النهائية (endpoints)، والاستجابة السريعة، والإفصاح الشفاف عن الحوادث الأمنية.
ليست هناك تعليقات:
إرسال تعليق