Alerta dun fallo de seguridade que permit铆a suplantar identidades para asinar petici贸ns en Change

Con s贸 introducir un nome falso e un correo electr贸nico, a plataforma identificaba se o mail pertenc铆a a un dos seus mill贸ns de usuarios e revelaba a s煤a identidade, localidade, profesi贸n e foto de perfil
Publicado por o d铆a 04/12/2018 na sección de FACUA,Internet,Social

Alerta dun fallo de seguridade que permit铆a  suplantar identidades para asinar petici贸ns en  Change

FACUA-Consumidores en Acci贸n solicitou 谩 Axencia Espa帽ola de Protecci贸n de Datos (Aepd) que aval铆e un fallo de seguridade na plataforma Change. org que permit铆a suplantar identidades para asinar e comentar petici贸ns. A asociaci贸n considera que se produciu unha vulneraci贸n do Regulamento xeral de protecci贸n de datos da UE e que a empresa debe comunicar o problema a todos os usuarios que te帽en unha conta en Change.
Con s贸 introducir un nome, un apelido e unha direcci贸n de correo electr贸nico en calquera das s煤as petici贸ns e pulsar o bot贸n para asinala, Change. org identificaba se o mail pertenc铆a a unha das mill贸ns de persoas dadas de alta na plataforma e daba por v谩lida a firma. As铆, a铆nda que o nome e apelido introducidos fosen falsos, a suposta adhesi贸n 谩 petici贸n por parte do titular da conta pasaba a ser p煤blica sen solicitarlle antes que a validase.
Ademais, a plataforma revelaba ao suplantador o nome e apelidos do usuario vinculado 谩 direcci贸n de correo electr贸nico que introducira, a s煤a localidade, profesi贸n e fotograf铆a de perfil. A partir desa primeira firma, a suplantaci贸n pod铆a continuar desenvolv茅ndose asinando un n煤mero ilimitado de petici贸ns e publicando comentarios nelas. Desta maneira, calquera usuario de Change pod铆a aparecer viculado a petici贸ns relacionadas con reivindicaci贸ns que resultasen mesmo contrarias 谩s s煤as crenzas ou opini贸ns pol铆ticas.
O problema de seguridade tam茅n permit铆a que calquera persoa crease ou asinase unha petici贸n desde unha conta de correo propia ou allea que non estivese dada de alta en Change. org sen que houbese que validala. 脡 dicir, non era necesario que o titular do mail aceptase o alta mediante a recepci贸n dun correo cunha ligaz贸n para aceptala.

FACUA alertou a Change hai d煤as semanas

O pasado 21 de novembro, FACUA puxo estes fallos de seguridade en co帽ecemento dos responsables de Change. org, que se comprometeron de maneira inmediata a tratalos coa direcci贸n da empresa en EEUU. O pasado venres, o director de Change en Espa帽a, Jos茅 Antonio Ritor茅, comunicou 谩 asociaci贸n que discrepaban con que incorresen nunha vulneraci贸n da normativa de protecci贸n de datos pero que aceptaban parte das s煤as demandas para evitar que as suplantaci贸ns de identidade poidan seguir produc铆ndose.
As铆, Ritor茅 indicou que introduciron ” medidas para que calquera usuario existente que asine unha petici贸n non poida rexistrar a s煤a firma sen unha verificaci贸n” e que tam茅n “deba verificar a s煤a conta para iniciar unha petici贸n”. Tam茅n modificaron o sistema para que calquera persoa que se dea de alta en Change “non poida rexistrar a s煤a firma sen unha verificaci贸n”. Ademais, est谩n a introducir medidas “para que calquera petici贸n iniciada por un novo usuario requira verificaci贸n”.

Change introduce cambios sen eliminar firmas non validadas

Con todo, Change non aceptou, como lle reclama FACUA, proceder ao env铆o dunha comunicaci贸n a todos os seus usuarios para informarlles do problema de seguridade que vi帽a produc铆ndose na plataforma, tal e como establece o artigo 34 do Regulamento xeral de protecci贸n de datos. A empresa tampouco accedeu a eliminar todas as firmas e comentarios de petici贸ns que se produciron por parte de usuarios que non estivesen correctamente logueados (co seu correo e contrasinal).
Ante isto, FACUA puxo os feitos en co帽ecemento da AEPD. A asociaci贸n considera que Change. org vulnerou os artigos 6 e 32 do Regulamento xeral de protecci贸n de datos ao facilitar a publicaci贸n de firmas e comentarios de usuarios sen solicitar o seu consentimento e non establecer os sistemas de protecci贸n necesarios para impedir que terceiras persoas puidesen suplantar as s煤as identidades e ter acceso aos seus datos. Tam茅n entende que incumpriu o artigo 9 do Regulamento ao tratar datos especialmente protexidos, relativos a opini贸ns e crenzas pol铆ticas, sindicais, relixiosas… sen as medidas de protecci贸n adecuadas.