Ultrahuman memberi tahu pengguna bahwa sistem internalnya mengalami pelanggaran keamanan. Namun, perusahaan menegaskan tidak ada kata sandi, data pembayaran, maupun nomor kartu kredit yang terdampak.
Informasi yang terpapar mencakup detail kontak dan akun pelanggan, riwayat pesanan dan transaksi, serta sebagian data terkait kebugaran. Perusahaan juga menyatakan belum menemukan bukti adanya penyalahgunaan atas data yang diakses secara tidak sah itu.
Pemberitahuan tersebut disampaikan langsung oleh pendiri sekaligus CEO Ultrahuman, Mohit Kumar, melalui email kepada pengguna. Dalam penjelasannya, insiden itu terjadi pada 27 Maret 2026 ketika pihak ketiga yang tidak berwenang memperoleh akses ke sistem internal yang digunakan untuk analitik.
Akses tersebut disebut bersifat read-only atau hanya-baca. Dengan desain sistem seperti itu, data tidak bisa diubah atau dihapus oleh pihak yang masuk secara tidak sah.
Ultrahuman mengatakan insiden berhasil diidentifikasi dengan cepat. Setelah itu, sistem yang terdampak langsung dimatikan sementara dan seluruh akses dicabut.
Data apa yang terdampak
Untuk akun pengguna, kumpulan data yang terdampak disebut berisi detail kontak dan akun. Selain itu, ada juga riwayat pesanan dan transaksi, serta sebagian data kebugaran yang terkait dengan penggunaan produk dan pembelian.
Di sisi lain, Ultrahuman menekankan bahwa kata sandi tidak termasuk dalam data yang dapat diakses dalam insiden ini. Informasi pembayaran dan nomor kartu kredit juga disebut tidak dapat diakses dan tidak terdampak.
Perusahaan juga menyampaikan bahwa Ultrahuman Ring tetap berfungsi normal. Perangkat itu disebut terus merekam informasi kebugaran secara akurat meski insiden terjadi pada sistem analitik internal.
Langkah yang diambil perusahaan
Setelah menemukan pelanggaran, Ultrahuman menyebut telah melakukan serangkaian langkah perbaikan. Salah satunya adalah memperkuat kebijakan kontrol akses di seluruh sistem internal, termasuk peninjauan akses berbasis prinsip least-privilege.
Perusahaan juga memperketat keamanan endpoint di seluruh perangkat karyawan. Langkah itu dibarengi dengan kontrol konfigurasi yang lebih ketat dan pemantauan berkelanjutan.
Selain itu, Ultrahuman meningkatkan frekuensi audit akses berkala pada berbagai alat internal. Perusahaan juga menerapkan deteksi anomali volume ekspor data beserta sistem peringatannya di sistem internal.
Langkah lain yang dijalankan adalah pemantauan aktif terhadap kanal publik dan berbagai saluran internet lain. Tujuannya untuk mendeteksi apakah ada publikasi data atau penyalahgunaan lanjutan dari informasi yang sempat diakses.
Hingga saat pemberitahuan dikirim, Ultrahuman mengatakan belum menemukan adanya publikasi maupun penyalahgunaan tersebut. Pernyataan ini menjadi salah satu poin utama yang ditekankan perusahaan kepada pengguna.
Risiko yang perlu diperhatikan pengguna
Meski belum ada bukti penyalahgunaan, Ultrahuman tetap meminta pengguna waspada terhadap upaya phishing. Imbauan ini dinilai penting karena data kontak, riwayat pesanan, dan sebagian informasi akun termasuk dalam data yang terdampak.
Pengguna diminta berhati-hati jika menerima email, SMS, atau panggilan telepon tak terduga yang menyebut nama Ultrahuman, pesanan, atau data pribadi mereka. Kewaspadaan perlu ditingkatkan terutama bila pesan tersebut terkesan mendesak atau meminta pengguna mengeklik tautan.
Perusahaan menegaskan bahwa Ultrahuman tidak akan meminta pengguna mengonfirmasi kata sandi, detail pembayaran, atau informasi pribadi lain melalui email maupun SMS. Pernyataan itu menjadi panduan praktis bagi pengguna untuk memilah komunikasi resmi dan potensi penipuan.
Saluran bantuan yang disediakan
Bagi pengguna yang memiliki pertanyaan, Ultrahuman menyediakan alamat email khusus di security-2026@ultrahuman.com. Perusahaan meminta pengguna menuliskan subjek “Security Incident” saat menghubungi timnya.
Ultrahuman juga menyediakan informasi tambahan melalui laman notice yang dipublikasikan di situs resminya. Saluran tersebut disiapkan sebagai rujukan bagi pengguna yang ingin memahami detail insiden dan respons perusahaan.
Dalam pesannya, Mohit Kumar menyebut perusahaan memandang insiden ini dengan serius. Ia juga menegaskan bahwa langkah-langkah yang telah diambil dirancang untuk mencegah kejadian serupa terulang.
Kasus ini menyoroti pentingnya transparansi perusahaan teknologi kesehatan saat menghadapi insiden keamanan. Di saat yang sama, penegasan bahwa kata sandi dan data pembayaran tetap aman menjadi informasi paling krusial bagi pengguna yang khawatir terhadap dampak langsung pada akun dan transaksi mereka.
