Ultrahuman, produsen cincin pintar Ring Air dan Ring Pro, mengumumkan bahwa peretas berhasil mengakses sistem analitik internal perusahaan setelah mencuri kredensial login dari laptop karyawan yang terinfeksi malware. Perusahaan yang berbasis di Bengaluru, India, itu baru memberi tahu pengguna yang terdampak melalui surel pada Rabu (pekan ini), hampir dua pekan setelah insiden terjadi.
Pendiri dan CEO Ultrahuman, Mohit Kumar, mengatakan kepada TechCrunch bahwa sistem keamanan perusahaan mendeteksi intrusi dalam hitungan jam setelah terjadi pada 27 Maret. "Kami segera menutup celah dan mencabut semua akses," ujarnya. Namun, perusahaan memilih menunda pemberitahuan publik hingga audit internal selesai dilakukan.
Data yang diakses mencakup informasi kesehatan sekitar 0,1 persen dari total pengguna aktif bulanan yang dilaporkan mencapai 700.000 orang. Ultrahuman menolak mengungkap angka pasti jumlah korban, tetapi tidak membantah perkiraan minimal 700 akun terdampak.
Ultrahuman menegaskan tidak ada kata sandi, informasi pembayaran, sistem produksi, atau perangkat Ring yang dikompromikan. Namun, perusahaan enggan merinci secara spesifik apa yang dimaksud dengan "data kesehatan" dalam pernyataan resminya. Dalam FAQ yang diterbitkan di situs web, perusahaan menyebut peretas hanya mendapatkan akses "read-only" ke sistem yang terdampak.
Pertanyaan kritis yang belum terjawab: apakah data tersebut benar-benar diunduh atau hanya dilihat? Ultrahuman menolak mengonfirmasi apakah investigasi internal telah menentukan adanya eksfiltrasi data pelanggan. Perusahaan juga enggan berbagi detail apakah ada komunikasi dengan peretas di balik insiden ini.
Insiden ini membuka kembali perdebatan tentang bagaimana perusahaan wearable——baik Ultrahuman maupun kompetitor seperti Oura——menyimpan data pengguna di server mereka. Model ini memungkinkan karyawan internal, pemerintah, hingga peretas jahat untuk mengakses informasi kesehatan yang seharusnya bersifat privat.
Ultrahuman menyatakan telah memberi tahu regulator terkait dan akan terus memperbarui pengguna yang terdampak. Perusahaan yang telah mengumpulkan total pendanaan sekitar 103 juta dolar AS dari Nexus Venture Partners, Steadview Capital, dan Blume Ventures ini kini menghadapi ujian kepercayaan terbesarnya.
CEO Kumar berjanji akan meningkatkan protokol keamanan, tetapi belum merinci langkah konkret seperti enkripsi end-to-end atau audit keamanan pihak ketiga. Bagi pengguna Indonesia yang menggunakan Ring Air atau Ring Pro, tidak ada indikasi bahwa pasar lokal menjadi target spesifik——namun celah yang sama tetap bisa dieksploitasi kapan pun.
Ultrahuman mengatakan sistem yang diretas sudah dimatikan dan akses kredensial telah dicabut total. Namun, tanpa transparansi penuh soal jenis data yang bocor dan apakah data benar-benar diambil, pengguna hanya bisa menunggu hasil investigasi lebih lanjut.