Xiaomi expone por error datos confidenciales en móviles de sus tiendas

Xiaomi ha desembarcado en España por todo lo grande en el último año. Son ya más de una decena las tiendas repartidas por la geografía española desde este mes de agosto, en las cuales podemos probar sus últimos productos. Sin embargo, un fallo de seguridad de la compañía ha permitido a los clientes acceder a información confidencial interna de la compañía desde los móviles de exposición.

Xiaomi ha expuesto datos de trabajadores y clientes en las tiendas de Sol y La Vaguada

Entre esta información se encuentran datos de los empleados y de los clientes, así como los registros de caja y lo ingresado por ventas en cada tienda, según ha desvelado Teknautas. Este fallo ha ocurrido, al menos, en dos de las tiendas de Xiaomi ubicadas en Madrid (en concreto, las de Sol y La Vaguada).

En la mayoría de estos móviles estaba configurado el correo de Gmail de la tienda, lo cual permitía a cualquier persona que abriese la app de Gmail acceder a todos los correos de ella si entraba en la parte de Enviados. Desde cada tienda se envía a diario a una cuenta vinculada de Xiaomi el cierre de caja para mostrar lo ingresado cada día.

Además, había datos de clientes como facturas generadas posteriores a la compra, en la cual se recogían datos como su nombre completo o su dirección.

Este tipo de fallos pueden parecer algo que no va más allá de la curiosidad, pero en realidad Xiaomi podría haber incumplido la Ley Orgánica de Protección de Datos (LOPD). Por ello, la AEPD podría investigar este fallo, y proceder a sancionar a Xiaomi si los encuentran culpables de tal fallo. Así, podría iniciarlo ya sea por la denuncia de un usuario o porque lo lean en los medios.

Xiaomi no es quien abre las tiendas, por lo que podría no ser responsable

Las compañías son responsables del tratamiento seguro de los datos de clientes y trabajadores, y deben garantizar que personas no autorizadas no tengan acceso a ellos. El fallo probablemente haya sido culpa de los empleados, los cuales no habrían recibido la formación adecuada.

Sin embargo, la responsabilidad sobre la culpa es algo difícil de determinar en este caso. Y es que Xiaomi no es quien monta las tiendas, sino que son franquicias que pagan una licencia a Xiaomi para abrir las Xiaomi Mi Store oficiales, compartiendo ingresos y beneficios con la matriz. Esto explica que el fallo no se haya replicado en más tiendas aparte de la de Sol y la de la Vaguada, ya que cada tienda envía los datos de ventas y comunicaciones de manera diferente. Las tiendas afectadas de Madrid son franquiciadas a Balmore Atlantic, administradas por Víctor Planas Bas.

Xiaomi ya conoce la existencia de este fallo, y está apresurándose para subsanarlo lo antes posible y evitar que los datos confidenciales sigan estando accesibles a través de sus teléfonos móviles de exposición.

Actualización: Comunicado oficial de Xiaomi

Xiaomi se toma la privacidad y seguridad de los usuarios de sus dispositivos muy en serio. Cumplimos con el GDPR así como con todo el marco legal de los mercados en los que operamos. Tan pronto como ha llegado a nuestro conocimiento este incidente, hemos alertado a nuestros partners para requerirles urgentemente la máxima atención a la hora de garantizar de inmediato que sus procedimientos cumplen por completo con el GDPR y advertirles que no pueden incumplir las políticas de privacidad y protección de datos en relación con la información de nuestros clientes. Nos tomamos este tipo de problemas como un tema serio y vamos a dar los pasos necesarios para evitar nuevas situaciones como ésta.

Fuente: adslzone