Ultrahuman ha confermato che degli hacker sono riusciti ad arrivare ai dati sul benessere dei suoi clienti, e il modo in cui l’azienda ha gestito la comunicazione lascia parecchi dubbi. Parliamo di uno smart ring, quel piccolo computer che ti infili al dito e a cui affidi le informazioni più intime che possiedi: come dormi, come batte il tuo cuore, quando il corpo va sotto stress. E quando chi custodisce tutta questa roba viene violato, e poi non riesce nemmeno a spiegarti bene quanto sia grave la faccenda, qualche domanda viene spontanea.
Cosa è successo davvero con la violazione degli smart ring
L’azienda indiana dietro Ring Air e il più recente Ring Pro ha iniziato a inviare email agli utenti colpiti mercoledì 3 giugno. L’attacco vero e proprio risale al 27 marzo e ha colpito un sistema interno di analisi dei dati, non gli anelli né il prodotto principale. Gli aggressori sono entrati usando le credenziali di accesso rubate dal laptop di un dipendente, infettato da un malware.
Secondo Ultrahuman, la falla è stata individuata nel giro di poche ore: il sistema colpito è stato messo offline e gli accessi revocati. Il CEO Mohit Kumar ha spiegato che i sistemi di allerta hanno segnalato l’incidente in fretta e che il buco è stato chiuso. Fin qui, sulla carta, una gestione rapida. Il problema arriva dopo.
Quante persone sono state colpite, e perché conta
Stando ai calcoli della stessa azienda, la violazione ha riguardato circa lo 0,1% degli utenti. Sembra un’inezia, finché non si fa la conversione. Ultrahuman ha dichiarato in passato di avere intorno a 700.000 utenti attivi mensili, il che significa almeno 700 persone con i dati sanitari finiti sotto gli occhi di qualcuno. L’azienda non ha contestato quel numero, ma nemmeno ha voluto dire quanti clienti siano stati colpiti con precisione.
Cosa è confermato al sicuro. Nessuna password, nessuna informazione di pagamento, nessun sistema di produzione e nessun anello fisico è stato compromesso. Ultrahuman sostiene inoltre che l’aggressore avesse soltanto un accesso in sola lettura al sistema. E qui sta il punto delicato, perché quel “sola lettura” sembra messo lì per tranquillizzare un po’ troppo.
Una violazione che tocca 700 persone non finirà sui giornali di tutto il mondo, e proprio per questo vale la pena parlarne. La vera storia è cosa sanno di te questi dispositivi. Gli smart ring come quelli di Ultrahuman, o del rivale Oura, conservano i dati sanitari sui server aziendali in un modo che li rende potenzialmente raggiungibili da dipendenti, governi e malintenzionati. Uno smartwatch conta i passi. Un anello sanitario profila il corpo.
La reazione di chi possiede gli anelli racconta da sola la vicenda. Su Reddit, un utente che ha ricevuto l’email ha scritto che Ultrahuman insiste sul fatto che sia trapelata solo l’email. Ma ha aggiunto che, visto lo storico dell’azienda, scommetterebbe che sia stato portato via molto più di quanto venga ammesso. Uno scetticismo che non nasce dal nulla. Ultrahuman è in piena fase di espansione aggressiva. Si scontra con Oura in tribunale sui brevetti e ha messo in vendita un anello di lusso a quasi 1.700 euro.
Quando un’azienda cresce così in fretta, la sicurezza non può essere un dettaglio secondario, perché i dati che gestisce sono permanenti in un modo che una password trapelata non è mai. Una password si può cambiare. Lo storico del battito cardiaco a riposo no. E il problema non è la violazione in sé, perché prima o poi tutti vengono colpiti. È che Ultrahuman non conferma se i dati abbiano davvero lasciato l’edificio. L’accesso in sola lettura significa comunque che qualcuno si è seduto a guardare le tue fasi del sonno e i dati cardiaci, e l’azienda non sa dirti se ne ha portato via una copia.