Ultrahuman 创投公司披露了 2026 年 3 月 27 日发生的数据泄露事件。黑客利用一名员工的凭证访问了内部数据库。
被感染的笔记本电脑成为入口点
攻击者通过一种经典但有效的方式侵入了 Ultrahuman 的系统。这家印度初创公司的一名员工正在使用一台被恶意软件感染的笔记本电脑,该恶意软件旨在窃取登录凭证。这些数据使入侵者能够访问内部分析工具,从而暴露了该平台部分用户健康相关的信息。事件发生在 2026 年 3 月 27 日,比该公司公开通知用户早了两个多月。
公司表示,他们迅速检测到了入侵,并立即使受影响的系统离线,同时撤销了所有访问权限。“我们的安全警报系统在几小时内就检测到了事件,我们迅速关闭了漏洞,”Ultrahuman 创始人兼首席执行官 Mohit Kumar 在发给 TechCrunch 的一份声明中说。(Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
黑客能够查看的内容
根据 Ultrahuman 在其网站上发布的官方页面,攻击者获得了对受损系统的“只读”访问权限。具体来说,可能暴露的信息包括账户数据、联系方式和交易历史。但是,密码、银行卡数据和支付信息均未受到影响,Ultrahuman Ring 的生产系统和设备本身也未受影响。
“2026 年 3 月 27 日,我们发生了一起安全事件,但最重要的事实是:没有涉及密码、卡号或支付数据,我们也未发现任何滥用证据,”Kumar 在发送给受影响用户的电子邮件中表示。(On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
首席执行官将此次泄露描述为像“一张订单收据丢失在街上”一样:可以查看身份和联系信息,但没有财务敏感信息。该公司表示,在事件发生后,已加强了内部控制政策和员工设备上的终端安全。
事件规模和未解之谜
根据 Ultrahuman 提供的数字,约有 0.1% 的用户受到影响。这家初创公司在 2026 年 3 月的月活跃用户约为 70 万,这意味着受影响的人数至少为 700 人。该公司没有否认这一计算,但拒绝透露确切数字。
仍有许多未解之谜。Ultrahuman 未能说明是否确实泄露了生物识别数据,还是仅被查看,也未说明攻击者是否与该公司取得联系。此外,该公司也未澄清在此特定背景下“健康数据”的具体含义,这使得评估受影响用户的实际风险变得困难。该公司还承认,为了审计事件的确切范围并确定具体涉及的数据,推迟了通知用户。在此过程中,已通知相关监管机构。
发送给用户的警报电子邮件邀请他们警惕网络钓鱼企图,这是此类事件后的一种常规预防措施,因为暴露的联系数据可能被用于有针对性的网络钓鱼活动。
整个行业的结构性问题
此事件超出了 Ultrahuman 的个案,并表明了健康可穿戴设备市场固有的脆弱性。从 Oura 到三星,再到 Fitbit,智能戒指和手表制造商在其服务器上集中存储着高度私密的生物识别数据:睡眠数据、心率、心率变异性、皮肤温度、月经周期跟踪。这种集中化意味着,无论是来自员工、政府还是恶意团体的未经授权访问,在技术上始终是可能发生的。
Ultrahuman 成立于 2019 年,总部位于班加罗尔,凭借其 Ring Air(Oura Ring 的直接竞争对手),以及最近推出的 Ring Pro(配备了改进的传感器和更长的电池续航时间),逐渐在该竞争激烈的市场中站稳脚跟。该公司迄今已筹集了约 1.03 亿美元,获得了 Nexus Venture Partners、Steadview Capital 和 Blume Ventures 等投资者的支持。该公司宣称其方法侧重于保护隐私,但此次事件对其立场构成了考验。值得注意的是,Ultrahuman 和 Oura 这两家公司早在 2024 年就曾在国际贸易委员会的一起专利侵权案中对簿公堂,这场诉讼凸显了这家印度初创公司的一些可疑商业行为。
用户对智能健康平台的信任,取决于这些公司保护最私密数据之一的能力。此次事件提醒我们,内部分析工具,通常被认为是公司安全架构中的次要部分,却可能成为大规模暴露个人信息的足够入口点。受影响的 Ultrahuman 用户最好在未来几周内密切关注潜在的欺诈性联系尝试,并查阅公司发布的官方信息页面,以获取与其数据相关的具体信息。