Xiaomi отвечает на циркуляр ВВС Индии, называющий его угрозой безопасности

Сегодня ранее отчет из The Sunday Standard начал распространяться в Twitter, ссылаясь на циркуляр ВВС Индии (IAF), который называет Xiaomi угрозой безопасности. Циркуляр, по всей видимости, был отправлен IAF своим сотрудникам и членам их семей, предупреждая их о том, чтобы они не использовали мобильные телефоны и устройства, произведенные этим развивающимся технологическим гигантом. Xiaomi ответила, отвергнув эти опасения.

В своем циркуляре IAF обвинила Xiaomi в отправке пользовательских данных на удаленные серверы, расположенные в Китае. Записка была подготовлена разведывательным подразделением на основе информации от Индийской команды реагирования на компьютерные чрезвычайные ситуации (CERT-In) и цитирует несколько отчетов в прошлом, которые ставили под сомнение обработку личных данных пользователей компанией Xiaomi.

“F-secure, ведущая компания по обеспечению безопасности, недавно провела тестирование Xiaomi Redmi 1s, бюджетного смартфона компании, и обнаружила, что телефон пересылал имя оператора, номер телефона, IMEI (идентификатор устройства) и номера из адресной книги и текстовых сообщений обратно в Пекин,” говорится в заметке IAF.

Говоря с Technology Personalized, Ману Джайн, генеральный директор и глава операций Xiaomi в Индии, попытался защитить компанию и прояснить несколько моментов.

Прежде всего – мы крайне осторожны в защите пользовательских данных; мы на 100% соответствуем всем местным законам, включая те, которые касаются безопасности данных.

Это довольно похоже на то, что Xiaomi говорит с тех пор, как эти опасения возникли ранее в этом году. Ману продолжил:

Мы предлагаем различные интернет-сервисы, такие как Mi Cloud, облачные сообщения и т. д., которые требуют хранения данных в облаке. Однако мы принимаем строгие меры, чтобы гарантировать, что данные шифруются и защищаются во время передачи на сервер, и не хранятся дольше необходимого времени. На самом деле, мы внесли изменения в нашу систему, чтобы гарантировать, что Mi Cloud по умолчанию деактивирован и не отправляет данные на серверы автоматически. Только когда потребитель сознательно активирует услуги Mi Cloud, данные резервируются.

Изменения, о которых он упоминает выше, были внесены сразу после отчета F-secure в августе этого года, на который ссылается IAF в своей заметке. Ниже приведены два блога от Хуго Барры, глобального представителя Xiaomi, которые подробно описывают внесенные изменения.

30 июля 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
20 августа 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secure уточнила в следующем отчете, что OTA, выпущенная Xiaomi, на самом деле решила проблемы конфиденциальности, в частности, касающиеся службы обмена сообщениями Mi Cloud. Мы не уверены, когда именно была выпущена заметка IAF, но она не включает ссылки на изменения, внесенные компанией с августа этого года. Интересно, что Хуго Барра только что опубликовал информацию о решении Xiaomi перенести свои центры обработки данных и серверы за пределы Китая. Это простое совпадение или Xiaomi была вынуждена объявить об этом после того, как новости о заметке IAF стали известны? Ваше предположение так же хороши, как и мое. В своем посте Хуго Барра объясняет-

В начале 2014 года мы начали масштабную внутреннюю работу по расширению нашей серверной инфраструктуры по всему миру, чтобы лучше обслуживать фанатов Mi повсюду… Наша основная цель при переходе на многосайтовую серверную архитектуру заключалась в улучшении производительности наших услуг для фанатов Mi по всему миру, сокращении задержек и снижении уровня отказов. В то же время это также лучше позволяет нам поддерживать высокие стандарты конфиденциальности и соответствовать местным нормам защиты данных. Xiaomi планирует процесс миграции серверов и данных в три этапа – миграция электронной коммерции, миграция услуг MIUI и локальные центры обработки данных. Для достижения этого Xiaomi планирует перенести серверы данных в Amazon Web Services (AWS), расположенные в Калифорнии, США. К концу этого года услуги MIUI и соответствующие данные всех пользователей, не являющихся китайскими, должны быть перенесены из Пекина в центры обработки данных Amazon AWS в Орегоне (США) и Сингапуре. Это значительный шаг для решения проблем конфиденциальности пользователей. Индийский рынок довольно важен для Xiaomi, и они просто не могут продолжать с проблемами безопасности и конфиденциальности, нависающими над их головой. Верно, что компания быстро отреагировала, выпустив исправления для большинства этих проблем, но она не смогла действительно объяснить или защитить себя, почему такая проблема возникла в первую очередь. В настоящее время компания сталкивается с расследованием кибербезопасности на Тайване по аналогичным причинам. Согласно закону на материковом Китае, компании, хранящие данные на территории Китая, должны выполнять любые запросы данных от правительства. Перемещая данные полностью за пределы китайских территорий, Xiaomi продемонстрирует серьезность, связанную с такими проблемами. Хотя она начала свои операции в Индии с размахом, Xiaomi предстоит огромная задача избавиться от своих китайских ярлыков и быть воспринятой как глобальная компания. По словам Хуго Барры, в 2015 году компания планирует работать с местными поставщиками центров обработки данных, чтобы полностью локализовать серверную инфраструктуру, особенно в Индии и Бразилии. В дополнение к ускорению обслуживания пользователей на этих рынках, это, надеюсь, может устранить китайский аспект, по крайней мере, в какой-то степени. Простые разговоры о ценности безопасности данных пользователей просто не сработают. Реальные действия, как запланировано выше, крайне необходимы.