XIAOMI es el fabricante mayoritario de smartphones en China y tercero más grande a nivel mundial. Con unas excelentes estadísticas de ventas y grandes planes de futuro dentro del mercado de los «móviles chinos» la compañía se ha ganado la confianza de un gran público, pero ¿hasta qué punto deben los usuarios confiar en esta empresa?
Hace dos meses que se descubrió cómo XIAOMI enviaba datos privados y personales de los usuarios a sus propios servidores donde quedaban almacenados «de forma segura». Aunque lo más moral habría sido no recopilar datos personales, esta empresa tenía recopilados todo tipo de datos de sus clientes, incluidos los mensajes de texto que se enviaban a través de determinadas compañías telefónicas. Mientras estos datos se almacenaran de forma segura este asunto quedaría como «una pequeña violación de privacidad«, sin embargo, un ataque contra los servidores expondría una gran cantidad de datos personales de los clientes del fabricante.
Y así ha sido. Una empresa de seguridad de Taiwan ha encontrado una vulnerabilidad zero-day en la página web principal de XIAOMI que le ha permitido acceder a los servidores de la compañía y obtener así los datos y credenciales de millones de clientes. Podéis visitar nuestro unboxing del sistema WiFi Mesh Xiaomi Mesh System AX3000.
Entre los datos obtenidos de la base de datos se encuentran los credenciales de las «cuentas MI» de XIAOMI. Cualquier usuario con estos credenciales será capaz de localizar geográficamente un smartphone, hacerlo sonar, bloquearlo e incluso borrarlo completamente de forma remota. Igualmente se podrá acceder a toda la información almacenada en la nube de la compañía tal como fotos, contactos, documentos, etc. Podéis visitar nuestro tutorial para configurar repetidor WiFi Xiaomi Mi WiFi Repeater 2.
Esta empresa de seguridad ha facilitado a los redactores de The Hacker News una pequeña parte de la base de datos obtenida desde los servidores de XIAOMI con 2000 entradas con todo tipo de información de los clientes de la compañía.
El recomendable que todos los usuarios de dispositivos XIAOMI con cuentas en su plataforma cambien la contraseña lo antes posible para evitar posibles males mayores. Debemos tener en cuenta que los piratas informáticos estarán ahora mismo intentando explotar esta u otras vulnerabilidades y, de conseguirlo, las cuentas se verían comprometidas seriamente.
Este acceso no autorizado a los datos, aunque en esta ocasión ha sido llevado a cabo por una empresa de seguridad sin fines maliciosos, es posible que anteriormente haya sido explotado por un pirata informático, donde los daños podrían ser muy superiores a los esperados.
Con planes de expansión en India y otros países habrá que ver cómo afecta esto a las ventas de la compañía. Sin duda, que una empresa envíe información personal y privada de sus clientes para almacenarlo en sus servidores no es una gran estrategia de mercado que le ha costado y le costará la fidelidad de un gran número de clientes. Por el momento la compañía está migrando sus servidores a la India ya que, según afirman, desde allí podrán ofrecer un mejor servicio y mayor privacidad para los datos de los usuarios.
¿Hasta qué punto crees que las compañías recopilan datos privados de los usuarios?