Xiaomi Responde ao Circular da Força Aérea Indiana que a Marca como uma Ameaça à Segurança

Hoje mais cedo, um relatório do The Sunday Standard começou a circular no Twitter citando um circular da Força Aérea Indiana (IAF) que marca a Xiaomi como uma ameaça à segurança. O circular foi aparentemente enviado pela IAF ao seu pessoal e seus familiares, alertando-os para não usarem os dispositivos e aparelhos fabricados pelo gigante tecnológico emergente. A Xiaomi respondeu descartando as preocupações.

Em seu circular, a IAF acusou a Xiaomi de enviar dados de usuários para servidores remotos localizados na China. A nota foi preparada pela unidade de inteligência com base nas informações da Equipe de Resposta a Emergências de Computadores da Índia (CERT-In), e cita vários relatórios no passado que levantaram questões sobre o manuseio dos dados privados dos usuários pela Xiaomi.

“A F-secure, uma empresa líder em soluções de segurança, recentemente realizou um teste do Xiaomi Redmi 1s, o smartphone econômico da empresa, e descobriu que o telefone estava encaminhando o nome da operadora, número de telefone, IMEI (o identificador do dispositivo) além de números da agenda e mensagens de texto de volta para Pequim,” diz a nota da IAF.

Falando ao Technology Personalized, Manu Jain, gerente geral e chefe das operações da Índia da Xiaomi, tentou defender a empresa e esclarecer algumas coisas.

Em primeiro lugar – somos extremamente cautelosos em proteger os dados dos usuários; estamos 100% em conformidade com todas as leis locais, incluindo aquelas relacionadas à segurança de dados.

Isso é bastante semelhante ao que a Xiaomi tem dito desde que as preocupações surgiram no início deste ano. Manu continuou dizendo:

Oferecemos vários serviços baseados na internet, como Mi Cloud, mensagens baseadas em nuvem etc., que requerem que os dados sejam armazenados na nuvem. No entanto, tomamos medidas rigorosas para garantir que os dados sejam criptografados e seguros enquanto são enviados para o servidor, e não são armazenados além do tempo necessário. Na verdade, fizemos mudanças em nosso sistema para garantir que o Mi Cloud esteja desativado por padrão e não envie dados para servidores automaticamente. Somente quando um consumidor ativa conscientemente os serviços do Mi Cloud, os dados são salvos.

As mudanças que ele menciona acima vieram logo após o relatório da F-secure em agosto deste ano, que a IAF cita em sua nota. Abaixo estão os dois posts de blog de Hugo Barra, o rosto global da Xiaomi, que detalham as mudanças feitas.

30 de julho de 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
20 de agosto de 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
A F-secure esclareceu em um relatório seguinte que a OTA lançada pela Xiaomi havia, de fato, abordado as preocupações de privacidade, especificamente aquela que girava em torno do serviço de mensagens do Mi Cloud. Não temos certeza de quando exatamente a nota da IAF foi liberada, mas não inclui as referências às mudanças feitas pela empresa desde agosto deste ano. Curiosamente, Hugo Barra acabou de postar sobre a decisão da Xiaomi de mover seus centros de dados e servidores para fora da China. É uma mera coincidência ou a Xiaomi foi forçada a anunciar isso após a divulgação da nota da IAF? Seu palpite é tão bom quanto o meu. Em seu post, Hugo Barra explica-

No início de 2014, iniciamos um grande esforço interno para expandir nossa infraestrutura de servidores globalmente a fim de melhor atender os fãs da Mi em todos os lugares… Nosso objetivo principal ao mover para uma arquitetura de servidor multi-site era melhorar o desempenho de nossos serviços para os fãs da Mi ao redor do mundo, reduzir a latência e diminuir as taxas de falha. Ao mesmo tempo, isso também nos equipa melhor para manter altos padrões de privacidade e cumprir com as regulamentações locais de proteção de dados. A Xiaomi está planejando o processo de migração de servidores e dados em três fases – migração de e-commerce, migração de serviços MIUI e centros de dados locais. Para alcançar isso, a Xiaomi está buscando mover os servidores de dados para a Amazon Web Services (AWS) com sede na Califórnia, EUA. Até o final deste ano, espera-se que os serviços MIUI e os dados correspondentes de todos os usuários não chineses sejam movidos de Pequim para os centros de dados da Amazon AWS em Oregon (EUA) e Cingapura. Esta é uma mudança significativa para abordar as preocupações de privacidade dos usuários. O mercado indiano é bastante significativo para a Xiaomi e eles simplesmente não podem continuar com preocupações de segurança e privacidade pairando sobre suas cabeças. É verdade que a empresa respondeu rapidamente para liberar correções para a maioria dessas questões, mas não conseguiu realmente explicar ou se defender sobre por que tal problema estava presente em primeiro lugar. Atualmente, a empresa está enfrentando uma investigação de cibersegurança em Taiwan por razões semelhantes. De acordo com a lei na China continental, as empresas que armazenam dados em solo chinês devem cumprir qualquer solicitação de dados do governo. Ao mover os dados completamente para fora dos territórios chineses, a Xiaomi demonstrará a seriedade associada a tais questões. Embora tenha iniciado suas operações na Índia em grande estilo, a Xiaomi tem uma grande tarefa pela frente para se livrar completamente de suas etiquetas chinesas e ser vista como uma empresa global. De acordo com Hugo Barra, em 2015, a empresa planeja trabalhar com provedores locais de centros de dados para localizar completamente a infraestrutura de servidores, particularmente na Índia e no Brasil. Além de acelerar o serviço para os usuários nesses mercados, pode, esperançosamente, cortar a conexão chinesa, pelo menos até certo ponto. Meras conversas sobre valorizar a segurança dos dados dos usuários simplesmente não serão suficientes. Ações reais, como planejado acima, são muito necessárias.