Hackers acessaram dados de bem-estar de clientes da Ultrahuman após roubar credenciais de um funcionário por meio de malware em um laptop. O incidente, detectado em 27 de março de 2026 e divulgado em junho, atingiu cerca de 0,1% da base de usuários do fabricante de anéis inteligentes, expondo métricas de saúde como sono, atividade e recuperação.
Como ocorreu o ataque
A intrusão começou quando um atacante infectou o laptop de um funcionário da Ultrahuman com malware, roubando suas credenciais de acesso. Com essas credenciais, o invasor obteve acesso a um sistema interno de analytics usado pela empresa para monitorar dados de bem-estar dos usuários. A Ultrahuman informou que o acesso foi “somente leitura”, mas não confirmou se houve exfiltração dos dados.
O ataque ocorreu em 27 de março de 2026 e foi detectado pelo sistema de alerta de segurança da empresa em questão de horas. O sistema afetado foi desconectado e todo o acesso foi revogado. A empresa afirmou que senhas, informações de pagamento e sistemas de produção não foram comprometidos.
Escopo dos dados expostos
Com base nos cerca de 700 mil usuários ativos mensais reportados pela Ultrahuman, os 0,1% afetados representam no mínimo 700 clientes. A startup não divulgou o número exato nem detalhou quais métricas específicas compõem os “dados de bem-estar” acessados. O CEO Mohit Kumar afirmou que a empresa está notificando reguladores e que atrasou a comunicação aos usuários enquanto auditava o escopo completo.
| Tipo de dado | Status |
|---|---|
| Métricas de sono e atividade | Potencialmente acessados |
| Dados de recuperação metabólica | Potencialmente acessados |
| Senhas de conta | Não comprometidas |
| Dados de pagamento | Não comprometidos |
| Dispositivos (aneis inteligentes) | Não afetados |
Riscos de dados biométricos
O vazamento de dados de saúde levanta preocupações que vão além de credenciais ou números de cartão. Dados biométricos e métricas de bem-estar podem ser usados para perfilamento detalhado de indivíduos, discriminação por seguradoras e chantagem. Diferente de uma senha, padrões de sono e atividade física não podem ser redefinidos.
O incidente também evidencia uma questão estrutural: empresas de wearables armazenam dados sensíveis de saúde em servidores acessíveis remotamente por funcionários. Esse modelo concentra risco e cria superfícies de ataque amplas. Casos como o vazamento da RCI que expôs dados de 40 mil pessoas reforçam que o acesso interno é um dos vetores mais explorados.
Proteção recomendada
Se você é usuário da Ultrahuman, verifique se recebeu o e-mail de notificação da empresa (endereço security-2026@ultrahuman.com). Monitore suas contas por atividade suspeita e considere solicitar à empresa a exclusão dos seus dados de bem-estar caso não os utilize. Para usuários de qualquer wearable, revise as permissões de coleta de dados no aplicativo, desative o compartilhamento desnecessário e mantenha a autenticação em dois fatores ativada em todas as contas vinculadas a dispositivos de saúde.