Ultrahuman — hãng đứng sau chiếc nhẫn thông minh Ultrahuman Ring — vừa gửi email tới người dùng thừa nhận một sự cố bảo mật xảy ra ngày 27/03/2026. CEO Mohit Kumar xác nhận thông tin liên hệ và lịch sử đơn hàng bị ảnh hưởng, nhưng mật khẩu cùng dữ liệu thanh toán nằm ngoài phạm vi rò rỉ. Đây là thông tin đáng lưu ý với cả những người dùng tại Việt Nam đang sở hữu hoặc cân nhắc mua thiết bị wearable theo dõi sức khỏe.
Sự cố ngày 27/03: Truy cập trái phép vào hệ thống phân tích nội bộ
Theo GSMArena, trong email gửi khách hàng, ông Mohit Kumar — nhà sáng lập kiêm CEO Ultrahuman — cho biết một bên thứ ba trái phép đã giành được quyền truy cập "chỉ đọc" (read-only) vào một hệ thống nội bộ dùng cho mục đích phân tích của công ty vào ngày 27/03/2026. Ultrahuman tuyên bố đã phát hiện sự việc nhanh chóng, ngắt kết nối hệ thống bị xâm nhập và thu hồi toàn bộ quyền truy cập liên quan.
CEO của Ultrahuman nhấn mạnh hệ thống này được thiết kế theo nguyên tắc "không cho phép sửa đổi hoặc xóa dữ liệu", do đó phạm vi tấn công bị giới hạn. Đến thời điểm hiện tại, công ty khẳng định chưa phát hiện bằng chứng nào cho thấy dữ liệu rò rỉ bị lạm dụng.
Dữ liệu nào bị ảnh hưởng và dữ liệu nào an toàn?
Trong thông báo gửi người dùng, Ultrahuman phân định rõ phạm vi rò rỉ:
| Phân loại | Nội dung |
|---|---|
| Bị ảnh hưởng | Thông tin liên hệ và tài khoản, lịch sử đơn hàng và giao dịch, một phần dữ liệu fitness liên quan đến việc sử dụng/mua sản phẩm |
| Không bị ảnh hưởng | Mật khẩu, thông tin thanh toán, dữ liệu thẻ tín dụng |
"Mật khẩu, thông tin thẻ và dữ liệu thanh toán hoàn toàn không nằm trong phạm vi rò rỉ, và chúng tôi chưa phát hiện bất kỳ dấu hiệu lạm dụng nào", ông Mohit Kumar khẳng định. Ultrahuman cũng cho biết các thiết bị Ultrahuman Ring đang hoạt động bình thường, dữ liệu sức khỏe (wellness) vẫn được ghi nhận đầy đủ và sự cố không ảnh hưởng đến chức năng phần cứng.
Các biện pháp khắc phục được Ultrahuman triển khai
Sau khi đưa hệ thống bị xâm nhập về trạng thái offline, Ultrahuman cho biết đã triển khai một loạt biện pháp bảo mật bổ sung:
- Siết chặt chính sách kiểm soát truy cập trên toàn bộ hệ thống nội bộ, áp dụng nguyên tắc đặc quyền tối thiểu (least privilege)
- Tăng cường bảo mật endpoint trên thiết bị nhân viên với cấu hình nghiêm ngặt hơn và giám sát liên tục
- Nâng tần suất kiểm toán truy cập trên các công cụ nội bộ
- Triển khai cơ chế phát hiện bất thường và cảnh báo đối với khối lượng dữ liệu được xuất ra từ hệ thống nội bộ
Công ty cho biết đang tiếp tục theo dõi các khu vực công khai trên internet cũng như các kênh khác để phát hiện sớm bất kỳ dấu hiệu nào về việc dữ liệu bị công khai hoặc lạm dụng. Đến nay, chưa có trường hợp nào được ghi nhận.
Người dùng nên làm gì? Cảnh giác với lừa đảo phishing
Ultrahuman khuyến cáo người dùng đặc biệt cảnh giác với các chiêu thức lừa đảo phishing sau sự cố. Cụ thể, người dùng nên thận trọng với những email, SMS hoặc cuộc gọi bất thường nhắc đến Ultrahuman, thông tin đơn hàng hay dữ liệu cá nhân — nhất là các thông điệp tạo cảm giác cấp bách hoặc yêu cầu nhấn vào liên kết lạ.
"Chúng tôi không bao giờ yêu cầu xác minh mật khẩu, thông tin thanh toán hay bất kỳ thông tin cá nhân nào qua email hay SMS", đại diện Ultrahuman nhấn mạnh. Mọi thắc mắc liên quan đến sự cố có thể gửi tới địa chỉ chuyên trách security-2026@ultrahuman.com với tiêu đề "Security Incident". Thông tin chi tiết cũng được công bố tại ultrahuman.com/legal/notice-march-2026.
Nhẫn thông minh là dòng wearable thu thập những dữ liệu sinh trắc học rất riêng tư như nhịp tim, giấc ngủ và nhiệt độ cơ thể. Dù lần này mật khẩu và thông tin thanh toán không bị rò rỉ, người dùng Ultrahuman Ring tại Việt Nam vẫn nên giữ thái độ hoài nghi trước những liên lạc bất thường mạo danh hãng hoặc đơn vị giao hàng. Trong ngắn hạn, biện pháp hợp lý là chờ thông báo cập nhật chính thức và siết chặt thói quen phòng chống phishing.
Thị trường smart ring tăng tốc: Ultrahuman tìm đường trở lại Mỹ
Theo Fortune Business Insights, quy mô thị trường nhẫn thông minh toàn cầu năm 2025 đạt khoảng 416,9 triệu USD (khoảng 10.630 tỷ VND) và dự kiến chạm mốc 3,77 tỷ USD (khoảng 96.135 tỷ VND) vào năm 2034, với tốc độ tăng trưởng kép hàng năm (CAGR) giai đoạn 2026–2034 ở mức 29,30%. Cuộc đua giữa các hãng đang ngày càng khốc liệt.
| Đối thủ chính | Động thái nổi bật năm 2026 |
|---|---|
| Oura | Ra mắt Ring 5 ngày 28/05, nộp hồ sơ IPO ngày 21/05 với mức định giá 11 tỷ USD (khoảng 280.500 tỷ VND) |
| Samsung | Chưa công bố thế hệ kế nhiệm Galaxy Ring, giữ chiến lược không thuê bao và giá 399 USD (khoảng 10.175.000 VND) |
| Ultrahuman | Công bố Ring PRO ngày 27/02, thiết kế lại cho thị trường Mỹ để quay trở lại |
Việc Ultrahuman tung Ring PRO ra thị trường Mỹ xuất phát từ bối cảnh Ủy ban Thương mại Quốc tế Mỹ (ITC) đã ban hành lệnh cấm khiến hoạt động nhập khẩu và bán Ring Air gần như bị đóng băng. Theo TechCrunch, công ty đồng thời cân nhắc khả năng sản xuất Ring Air "Made in USA" tại nhà máy ở Texas.
Với người dùng Việt Nam, Ultrahuman hiện chưa có kênh phân phối chính hãng phổ biến và phần lớn sản phẩm được mua qua đường xách tay hoặc các nền tảng thương mại điện tử như Shopee, Lazada. Do đó, các tài khoản đặt hàng quốc tế nằm trong phạm vi sự cố cũng cần kiểm tra lại email và lịch sử đặt hàng để phòng ngừa các nỗ lực lừa đảo dựa trên thông tin rò rỉ.
Dữ liệu sinh trắc học wearable và khoảng trống pháp lý
Dữ liệu sức khỏe do các thiết bị wearable tiêu dùng — bao gồm nhẫn thông minh — thu thập không thuộc phạm vi bảo vệ của HIPAA tại Mỹ, do đó mức độ bảo vệ liên bang thấp hơn so với dữ liệu y tế từ cơ sở khám chữa bệnh. Sự cố lần này, với dữ liệu liên hệ, lịch sử mua hàng và một phần dữ liệu fitness bị ảnh hưởng, một lần nữa cho thấy khoảng trống pháp lý đang tồn tại.
Những thay đổi đáng chú ý trong năm 2026
- Các bang Indiana, Kentucky và Rhode Island chính thức áp dụng luật bảo vệ quyền riêng tư của người tiêu dùng từ ngày 01/01, nâng tổng số bang có khung luật toàn diện lên 20
- Một số luật bang xếp các chỉ số do wearable thu thập (nhịp tim, nhiệt độ da, giấc ngủ) vào dạng dữ liệu nhạy cảm và cho phép người dùng từ chối (opt-out) việc bán hoặc sử dụng
- Tại châu Á, các quy định về bảo vệ dữ liệu sinh trắc học cũng đang được siết chặt; tại Việt Nam, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã yêu cầu đồng ý rõ ràng với dữ liệu sinh trắc học, một xu hướng pháp lý mà các hãng wearable cần lưu ý nếu muốn mở rộng tại thị trường Đông Nam Á
Ở cấp liên bang Mỹ, dự luật lưỡng đảng Smartwatch Data Act do Thượng nghị sĩ Jacky Rosen (Dân chủ — Nevada) và Bill Cassidy (Cộng hòa — Louisiana) đề xuất đang được thảo luận, với yêu cầu phải có sự đồng ý rõ ràng trước khi dữ liệu sức khỏe từ wearable được bán hoặc chia sẻ.
Q&A nhanh
Hỏi: Mật khẩu và thông tin thanh toán có bị rò rỉ không? Ultrahuman khẳng định mật khẩu, thông tin thẻ tín dụng và dữ liệu thanh toán hoàn toàn không nằm trong phạm vi sự cố. Hệ thống bị truy cập là hệ thống phân tích nội bộ, không chứa dữ liệu thanh toán.
Hỏi: Người dùng bị ảnh hưởng nên làm gì? Cần cảnh giác trước các email, SMS hoặc cuộc gọi đáng ngờ mạo danh Ultrahuman, đặc biệt là những thông điệp yêu cầu nhấn vào liên kết hoặc xác minh thông tin cá nhân. Ultrahuman khẳng định không bao giờ yêu cầu xác minh mật khẩu hay thông tin thanh toán qua email/SMS.
Hỏi: Có thể tiếp tục sử dụng nhẫn Ultrahuman Ring không? Có. Ultrahuman cho biết thiết bị hoạt động bình thường và việc ghi nhận dữ liệu wellness không bị gián đoạn. Sự cố chỉ ảnh hưởng tới dữ liệu trên hệ thống phân tích nội bộ.
