Noch ein kleiner Nachtrag zu einem Sicherheitsvorfall, der mich bereits vorige Woche erreicht hat. Beim indischen Anbieter Ultrahuman hat es einen Sicherheitsvorfall gegeben. Allerdings bereits am 27. März 2026 – öffentlich wurde der Vorfall zum 3. Juni 2026. Ein betroffener Leser hatte mich informiert (danke).
Wer ist Ultrahuman
Der Blog-Leser schrieb mir: "Ultrahuman ist ein indischer Anbieter von diversen Fitnessüberwachungsprodukten." Der Anbieter sieht sich als die weltweit umfassendste Plattform zur Selbstquantifizierung.
Der Leser meinte dazu: "Das ist ein indischer Anbieter von diversen Produkten zur Fitnessüberwachung. Am bekanntesten wird der Ring sein. Ein Sport-/Schlaftracker, ähnlich wie Oura, aber ohne Abo. Andere Produkte sind (nicht-Medizinprodukt) Hautpflaster zur Glucoseüberwachung für Sportler." Der Anbieter sagt dazu:
- Zu den Produkten von Ultrahuman gehören der Ultrahuman Ring AIR – ein Wearable zur Schlafüberwachung;
- Ultrahuman M1 – eine Plattform zur kontinuierlichen Blutzuckermessung;
- Ultrahuman Home – ein Gesundheitsgerät für zu Hause, das Umweltfaktoren überwacht, die die Gesundheit täglich beeinflussen;
Das in privater Hand befindliche Unternehmen wurde 2020 gegründet, residiert in Bangalore (Indien) und hat dort laut einem LinkedIn-Eintrag zwischen 51 und 200 Beschäftigte.
Ein Leserhinweis auf einen Sicherheitsvorfall
Blog-Leser Wolfgang O. hatte mich am Nachmittag des 3. Juni 2026 per Mail kontaktiert, weil er als Kunde über einen Sicherheitsvorfall beim Anbieter Ultrahuman informiert wurde. Dazu schrieb der Leser, dass der Vorfall am 27. März 2026 stattfand, aber erst am 3. Juni 2026 öffentlich bekannt geworden sei. Der Leser wollte mir die Ultrahuman-Meldung weiterleiten, was aber nicht passierte ist (wohl ein technischer Fehler).
Eine weitere Meldung
Auf reddit.com hat jemand den Thread Ultrahuman Security Incident eröffnet und die Meldung von Ultrahuman aus deren E-Mail veröffentlicht.
Das Unternehmen stellte am 27. März 2026 einen nicht autorisierten Zugriff eines Dritten auf seine internen Systeme, die für Auswertungen genutzt werden, fest. Die Systeme wurden sofort abgeschaltet, und die Zugriffsdaten widerrufen. Ultrahuman schreibt, dass die betroffenen Systeme aufgrund der Konzeption keine Änderung oder Löschung von Daten erlaubten.
Auch seien weder Passwörter noch Kreditkartendaten oder Zahlungsdaten betroffen. Es wurden auch keine Gesundheitsdaten gestohlen, der Fitness-Ring arbeite wie bisher weiter. Es geben bisher auch keine Hinweise auf einen Missbrauch. Die auf reddit.com und auch hier online gestellte Nachricht von Ultrahuman listet Maßnahmen auf, die das Unternehmen im Nachgang durchgeführt hat, um die Sicherheit zu verbessern.
Aus dem Reddit.com-Post geht nicht hervor, welche Daten wirklich abgeflossen sind. Techcrunch hat in diesem Artikel aber die Ultrahuman FAQ von deren Webseite verlinkt. Dort heißt es:
Die Informationen, die für die unbefugte Person sichtbar waren, variierten je nach Konto. Der Datensatz, auf den zugegriffen wurde, enthielt je nach Nutzer Kontakt- und Kontodaten, Bestell- und Transaktionsverlauf sowie – bei einer kleineren Gruppe von Nutzern – einige fitnessbezogene Daten im Zusammenhang mit ihrer Produktnutzung und ihren Einkäufen.
Wie üblich, warnt Ultrahuman jetzt die Betroffenen vor Phishing-Versuchen mit den erbeuteten Daten.
MVP: 2013 – 2016
