Startup Ultrahuman mengungkapkan kebocoran data kesehatan yang terjadi pada 27 Maret 2026. Peretas mengeksploitasi kredensial karyawan untuk mengakses basis data internal.
Laptop yang terinfeksi sebagai titik masuk
Melalui vektor klasik namun efektif, penyerang berhasil menembus sistem Ultrahuman. Seorang karyawan startup India menggunakan laptop yang terkompromi oleh malware yang dirancang untuk mencuri kredensial login. Data ini memungkinkan penyusup untuk mengakses alat analisis internal, sehingga mengekspos informasi kesejahteraan milik sebagian pengguna platform. Insiden tersebut terjadi pada 27 Maret 2026, lebih dari dua bulan sebelum perusahaan memberitahukan secara publik kepada penggunanya.
Perusahaan menyatakan bahwa mereka mendeteksi intrusi dengan cepat dan segera menonaktifkan sistem yang bersangkutan, sambil mencabut semua akses. « Sistem peringatan keamanan kami mendeteksi insiden tersebut dalam beberapa jam dan kami segera menutup kerentanan tersebut, » kata Mohit Kumar, pendiri dan CEO Ultrahuman, dalam sebuah pernyataan yang dikirimkan ke TechCrunch. (Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
Apa yang bisa dilihat oleh peretas
Menurut halaman resmi yang diterbitkan Ultrahuman di situsnya, penyerang memperoleh akses « hanya baca » ke sistem yang terkompromi. Secara konkret, informasi yang berpotensi terekspos meliputi data akun, informasi kontak, dan riwayat transaksi. Namun, kata sandi, data kartu bank, dan informasi pembayaran tidak terpengaruh, begitu pula sistem produksi dan perangkat Ultrahuman Ring itu sendiri.
« Pada 27 Maret 2026, kami mengalami insiden keamanan, tetapi fakta terpenting terlebih dahulu: tidak ada kata sandi, detail kartu, atau data pembayaran yang terlibat, dan kami tidak menemukan bukti penyalahgunaan, » kata Kumar dalam email yang dikirim ke pengguna yang terkena dampak. (On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
CEO tersebut menggambarkan paparan tersebut seperti struk pesanan yang hilang di jalan: informasi identitas dan kontak terlihat, tetapi tidak ada yang sensitif secara finansial. Perusahaan menyatakan bahwa mereka telah memperkuat kebijakan kontrol internal dan keamanan titik akhir pada perangkat karyawan setelah insiden tersebut.
Skala insiden dan area abu-abu
Menurut angka yang dikomunikasikan oleh Ultrahuman, sekitar 0,1% penggunanya terkena dampak. Startup tersebut memiliki sekitar 700.000 pengguna aktif bulanan pada Maret 2026, yang berarti jumlah orang yang terkena dampak setidaknya 700 orang. Perusahaan tidak menyangkal perhitungan ini, tetapi menolak untuk mengungkapkan angka yang tepat.
Area abu-abu tetap signifikan. Ultrahuman tidak menyatakan apakah data biometrik benar-benar diekstraksi atau hanya dilihat, atau apakah penyerang telah menghubungi perusahaan. Startup tersebut juga tidak mengklarifikasi secara tepat apa yang dimaksud dengan « data kesehatan » dalam konteks ini, yang mempersulit penilaian risiko nyata bagi pengguna yang terkena dampak. Perusahaan juga mengakui telah menunda pemberitahuan kepada pengguna sambil mengaudit cakupan pasti insiden tersebut dan mengidentifikasi data yang tepat yang terlibat. Regulator yang berwenang telah diberitahu sebagai bagian dari proses ini.
Email peringatan yang dikirim ke pengguna mengundang mereka untuk tetap waspada terhadap upaya phishing, tindakan pencegahan standar setelah insiden semacam ini, karena data kontak yang terekspos dapat digunakan untuk kampanye phishing yang ditargetkan.
Pertanyaan struktural untuk seluruh sektor
Insiden ini melampaui kasus khusus Ultrahuman dan menggambarkan kerentanan yang melekat pada pasar perangkat kesehatan yang dapat dikenakan (wearable health). Produsen cincin dan jam tangan pintar, dari Oura hingga Samsung dan Fitbit, secara definisi memusatkan data biometrik yang sangat pribadi di server mereka: data tidur, detak jantung, variabilitas detak jantung, suhu kulit, pelacakan siklus menstruasi. Sentralisasi ini berarti bahwa akses yang tidak sah, baik berasal dari karyawan, pemerintah, atau kelompok jahat, selalu secara teknis memungkinkan.
Didirikan pada tahun 2019 di Bengaluru, Ultrahuman secara bertahap telah memantapkan dirinya di pasar yang kompetitif ini berkat Ring Air-nya, pesaing langsung Oura Ring, dan baru-baru ini dengan Ring Pro, yang dilengkapi dengan sensor yang ditingkatkan dan daya tahan baterai yang lebih baik. Startup ini telah mengumpulkan sekitar 103 juta dolar sejauh ini, dengan dukungan dari investor seperti Nexus Venture Partners, Steadview Capital, dan Blume Ventures. Perusahaan mengklaim pendekatan yang berfokus pada privasi, sebuah postur yang diuji oleh insiden ini. Perlu dicatat bahwa kedua pemain, Ultrahuman dan Oura, telah berselisih pada tahun 2024 dalam kasus pelanggaran paten di depan Komisi Perdagangan Internasional AS, sebuah sengketa yang menyoroti beberapa praktik komersial startup India yang dipertanyakan.
Kepercayaan pengguna pada platform kesehatan yang terhubung bergantung pada kemampuan perusahaan-perusahaan ini untuk melindungi data yang paling intim. Insiden ini mengingatkan bahwa alat analisis internal, yang sering dianggap periferal dalam arsitektur keamanan perusahaan, dapat menjadi titik masuk yang cukup untuk mengekspos informasi pribadi dalam skala besar. Pengguna Ultrahuman yang terkena dampak sangat disarankan untuk memantau setiap potensi upaya kontak penipuan dalam beberapa minggu mendatang, dan untuk berkonsultasi dengan halaman informasi resmi yang diterbitkan oleh perusahaan untuk mendapatkan rincian tentang data yang berkaitan dengan mereka.