堆代码讯 可穿戴健康科技初创公司 Ultrahuman 表示，黑客通过恶意软件窃取了一名员工的登录凭证后，未经授权访问了客户的健康数据。周三，这家总部位于印度的初创公司通过电子邮件将此事告知了受影响的客户，称数据泄露发生在 3 月 27 日，涉及一个用于内部分析的系统。该公司表示，他们迅速检测到了入侵行为，将受影响的系统下线，并撤销了所有访问权限。

Ultrahuman 成立于 2019 年，销售智能戒指和代谢健康追踪设备，使用户能够监测睡眠、活动和恢复等指标。这家初创公司以其 Ring Air 最为知名，该产品与 Oura Ring 竞争；公司近期还推出了搭载升级版传感器和更长电池续航的 Ring Pro。Ultrahuman向记者证实了这一事件，并表示攻击者使用从一名员工受恶意软件感染的笔记本电脑上窃取的凭证获得了访问权限，导致约 0.1% 用户的健康数据被访问。

根据该公司此前公布的月活跃用户数约 70 万的数据推算，这意味着至少有 700 名客户的健康数据遭到访问。Ultrahuman 未对这一数字提出异议，但拒绝透露受影响客户的具体人数。该公司表示，没有密码、支付信息、生产系统或 Ultrahuman Ring 设备遭到泄露。“我们的安全警报系统在数小时内检测到了这一事件，我们迅速堵住了漏洞。”Ultrahuman 首席执行官 Mohit Kumar 在给 TechCrunch 的一份声明中表示。

Kumar 补充说，这家初创公司正在通知监管机构，并推迟了通知受影响用户的时间，以便对事件的整体范围进行审计并确定哪些数据受到了影响。Ultrahuman 拒绝透露是否收到来自事件相关黑客的任何沟通信息，也没有说明“健康数据”具体包含哪些内容。此次泄露事件凸显了像 Ultrahuman 和 Oura 这样的健康追踪初创公司如何将用户数据存储在其服务器上，从而使得其员工、政府以及恶意黑客能够访问客户的健康数据。

这家初创公司在其网站上发布的 FAQ 中表示，威胁行为者获得了对受影响系统的“只读”访问权限。不过，该公司拒绝证实其调查是否已确定有任何客户数据被外泄。Ultrahuman 的投资方包括 Nexus Venture Partners、Steadview Capital 和 Blume Ventures。根据 Tracxn 的数据，这家初创公司迄今已融资约 1.03 亿美元。