Ir a contenido

Revelaba información del usuario

Facua alerta de un fallo de seguridad en la plataforma Change

La plataforma no pedía, al firmar peticiones, la validación de las cuentas mediante correo electrónico

El Periódico / Agencias

 Página de inicio de Change.org.

 Página de inicio de Change.org. / Change.org

Facua-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. 

Así lo indicó este martes a través de un comunicado en el que precisó que, con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una persona dada de alta en la plataforma y daba por válida la firma

De este modo, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. 

Suplantación fácil de identidades

A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer vinculado a peticiones que no habría firmado. 

Según Facua, el problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla, ya que no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

Ante esta situación, Facua considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change, por lo que puso su reclamación en conocimiento de la Agencia Española de Protección de Datos

Por otra parte, el pasado 21 de noviembre Facua puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron "de manera inmediata" a tratarlos con la dirección de la empresa en EEUU. 

Change toma medidas

Change indicó que ha "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y, además, que también "deba verificar su cuenta para iniciar una petición". 

Asimismo, ha modificado el sistema para que cualquier persona que se dé de alta en la plataforma "no pueda registrar su firma sin una verificación". 

No obstante, Facua asegura que Change no aceptó la reclamación de la federación de informar a todos sus usuarios acerca del problema de seguridad que venía produciéndose en la plataforma ni accedió a eliminar todas las firmas y comentarios de peticiones por parte de usuarios que no estuvieran correctamente logueados.