Los teléfonos de prueba de dos tiendas de Xiaomi en España exponen datos de ventas y clientes en sus móviles de prueba, según informa Teknautas.
Xiaomi, la tercera marca que vende más teléfonos en España, cuenta con once tiendas en España repartidas por Madrid, Granada, Barcelona, Zaragoza y Valencia. El problema solo afecta a dos en Madrid: Mi Store Sol y Mi Store La Vaguada. Ambas tiendas son franquicias a nombre de Balmore Atlantic.
Si entramos en una de estas tiendas, podremos acceder libremente a varios smartphones a disposición de los clientes que quieran probarlos. Según Teknautas, así es como se puede acceder a la información confidencial:
Para acceder a ella solo hay que abrir la aplicación de Gmail. La mayoría de dichos móviles tienen configurada en la ‘app’ la cuenta de correo electrónico vinculada a la propia tienda, así que, si alguien entra en la carpeta de ‘Enviados’, podrá ver los correos que son enviados desde dicha cuenta. Ahí se puede ver cómo a diario, desde el correo de la propia tienda, se envían los datos de facturación y registro de caja a otra cuenta de correo, vinculada a la franquicia.
Pero aún existen más fallos, ya que en algunos de los correos se exponen los datos personales de los empleados de dichas tiendas, así como, en ocasiones, los de algunos clientes.
Según declaraciones del jurista Samuel Parra a Teknautas: “Si tienes unos terminales expuestos para que los clientes puedan realizar pruebas con ellos no tiene ningún sentido que puedas encontrar información de carácter personal de otros clientes y mucho menos información de carácter económico o comercial sobre las ventas realizadas por cada trabajador. No es un caso en el que violando algún sistema de seguridad se haya tenido acceso a información confidencial. La información se encuentra a simple vista y accesible para cualquiera que pasa por allí”.
Por todo esto, la organización de los derechos de consumidores Facua ya ha pedido a la Agencia Española de Protección de Datos (AEPD) que abra expediente sancionador contra la empresa Balmore Atlantic, por posible incumplimiento de la Ley Orgánica de Protección de Datos (LOPD).
Xiaomi, ha emitido un comunicado en el que asegura que la compañía “se toma la privacidad y seguridad de los usuarios de sus dispositivos muy en serio. Cumplimos con el GDPR así como con todo el marco legal de los mercados en los que operamos”.
Además, “tan pronto como ha llegado a nuestro conocimiento este incidente hemos alertado a nuestros partners para requerirles urgentemente la máxima atención a la hora de garantizar de inmediato que sus procedimientos cumplen por completo con el GDPR y advertirles que no pueden incumplir las políticas de privacidad y protección de datos en relación con la información de nuestros clientes. Nos tomamos este tipo de problemas como un tema serio y vamos a dar los pasos necesarios para evitar nuevas situaciones como esta”.
Esta negligencia nos sirve para recordar que tenemos que extremar las medidas de seguridad cuando utilizamos dispositivos compartidos, ya sean estos un móvil en pruebas (como en este caso), un ordenador en un cibercafé o biblioteca o una wifi publica, ya que no sabemos quién lo puede utilizar después o quién puede estar espiando lo que hacemos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario