Tu colocas um pequeno computador no teu dedo e confias-lhe os dados mais íntimos e pessoais que tens: a qualidade do teu sono, o comportamento do teu coração e os teus níveis de stress. Este é o pacto de confiança que fazemos com os modernos smart rings ligados à nossa saúde.
A Ultrahuman, fabricante do popular Ring Air, acaba de quebrar esse pacto de forma estrondosa ao confirmar que piratas informáticos conseguiram aceder aos dados de bem-estar dos seus clientes. O que parecia ser apenas mais um dia normal na sede da empresa, transformou-se num pesadelo de segurança.
Contudo, o que está a gerar uma autêntica onda de indignação não é apenas o facto de o ataque ter acontecido, mas sim a forma como a fabricante está a tentar varrer a gravidade da situação para debaixo do tapete com justificações no mínimo duvidosas.
O que aconteceu realmente nos servidores da empresa
A invasão silenciosa ocorreu no dia 27 de março, tendo como alvo direto um dos sistemas internos de análise da fabricante. Os atacantes não precisaram de quebrar algoritmos complexos de encriptação, bastando-lhes utilizar credenciais de login roubadas a partir do portátil de um funcionário que estava infetado com malware.
Segundo a própria Ultrahuman, os alarmes soaram em poucas horas e o sistema comprometido foi imediatamente desligado para estancar a hemorragia. A empresa garante que a vulnerabilidade foi fechada a sete chaves, mas os danos já estavam feitos na sua reputação.
Os dados que estão a salvo e os que escaparam
A matemática apresentada pela fabricante tenta ser reconfortante, apontando que apenas cerca de 0,1% dos seus utilizadores foram afetados pelo ataque. Se cruzarmos esta percentagem com os seus habituais 700 mil utilizadores ativos mensais, estamos a falar de aproximadamente 700 pessoas cujas métricas mais íntimas ficaram expostas a terceiros.
Para tentar acalmar as hostes, a marca fez questão de clarificar exatamente o raio de impacto desta invasão, detalhando o que os atacantes conseguiram ou não ver:
- Palavras-passe e informações de pagamento: Totalmente seguros e fora do alcance.
- Dispositivos físicos Ring Air: Não foram comprometidos nem acedidos remotamente.
- Sistemas de produção: Mantiveram-se intactos.
- Padrões de sono, recuperação e frequência cardíaca: Acedidos e expostos aos hackers.
É precisamente aqui que a porca torce o rabo. Tu podes perfeitamente mudar uma password comprometida ou cancelar um cartão de crédito em cinco minutos, mas não podes apagar ou alterar o teu histórico permanente de frequência cardíaca em repouso. A invasão deste tipo de dados médicos deixa marcas permanentes na privacidade de qualquer pessoa.
A falsa sensação de segurança do acesso de leitura
A desculpa que mais está a irritar a comunidade tecnológica é a insistência da Ultrahuman de que os piratas informáticos tiveram apenas um acesso de “leitura” (read-only) aos sistemas. A marca tenta vender esta ideia como se fosse um alívio enorme, enquanto afirma que a investigação ainda está a decorrer para perceber se algum ficheiro foi efetivamente copiado.
Este tipo de resposta de Relações Públicas é vergonhosa. Ter um acesso de leitura significa que, durante horas, alguém esteve confortavelmente sentado a analisar o teu ritmo cardíaco e os teus hábitos de sono, sem que a empresa consiga provar que não tiraram capturas de ecrã ou exportaram esses dados valiosos. Num mercado em que a discrição e a privacidade deveriam ser o produto principal, esta leveza a tratar métricas de saúde é inaceitável.
Outros artigos interessantes:
