Alerta dun fallo de seguridade que permitía suplantar identidades para asinar peticións en Change

Con só introducir un nome falso e un correo electrónico, a plataforma identificaba se o mail pertencía a un dos seus millóns de usuarios e revelaba a súa identidade, localidade, profesión e foto de perfil
Por o 04/12/2018 | Sección: FACUA,Internet,Social
Alerta dun fallo de seguridade que permitía  suplantar identidades para asinar peticións en  Change
FACUA-Consumidores en Acción solicitou á Axencia Española de Protección de Datos (Aepd) que avalíe un fallo de seguridade na plataforma Change. org que permitía suplantar identidades para asinar e comentar peticións. A asociación considera que se produciu unha vulneración do Regulamento xeral de protección de datos da UE e que a empresa debe comunicar o problema a todos os usuarios que teñen unha conta en Change.
 
Con só introducir un nome, un apelido e unha dirección de correo electrónico en calquera das súas peticións e pulsar o botón para asinala, Change. org identificaba se o mail pertencía a unha das millóns de persoas dadas de alta na plataforma e daba por válida a firma. Así, aínda que o nome e apelido introducidos fosen falsos, a suposta adhesión á petición por parte do titular da conta pasaba a ser pública sen solicitarlle antes que a validase.
 
Ademais, a plataforma revelaba ao suplantador o nome e apelidos do usuario vinculado á dirección de correo electrónico que introducira, a súa localidade, profesión e fotografía de perfil. A partir desa primeira firma, a suplantación podía continuar desenvolvéndose asinando un número ilimitado de peticións e publicando comentarios nelas. Desta maneira, calquera usuario de Change podía aparecer viculado a peticións relacionadas con reivindicacións que resultasen mesmo contrarias ás súas crenzas ou opinións políticas.
 
O problema de seguridade tamén permitía que calquera persoa crease ou asinase unha petición desde unha conta de correo propia ou allea que non estivese dada de alta en Change. org sen que houbese que validala. É dicir, non era necesario que o titular do mail aceptase o alta mediante a recepción dun correo cunha ligazón para aceptala.
 

FACUA alertou a Change hai dúas semanas

 
O pasado 21 de novembro, FACUA puxo estes fallos de seguridade en coñecemento dos responsables de Change. org, que se comprometeron de maneira inmediata a tratalos coa dirección da empresa en EEUU. O pasado venres, o director de Change en España, José Antonio Ritoré, comunicou á asociación que discrepaban con que incorresen nunha vulneración da normativa de protección de datos pero que aceptaban parte das súas demandas para evitar que as suplantacións de identidade poidan seguir producíndose.
 
Así, Ritoré indicou que introduciron ” medidas para que calquera usuario existente que asine unha petición non poida rexistrar a súa firma sen unha verificación” e que tamén “deba verificar a súa conta para iniciar unha petición”. Tamén modificaron o sistema para que calquera persoa que se dea de alta en Change “non poida rexistrar a súa firma sen unha verificación”. Ademais, están a introducir medidas “para que calquera petición iniciada por un novo usuario requira verificación”.
 

Change introduce cambios sen eliminar firmas non validadas

 
Con todo, Change non aceptou, como lle reclama FACUA, proceder ao envío dunha comunicación a todos os seus usuarios para informarlles do problema de seguridade que viña producíndose na plataforma, tal e como establece o artigo 34 do Regulamento xeral de protección de datos. A empresa tampouco accedeu a eliminar todas as firmas e comentarios de peticións que se produciron por parte de usuarios que non estivesen correctamente logueados (co seu correo e contrasinal).
 
Ante isto, FACUA puxo os feitos en coñecemento da AEPD. A asociación considera que Change. org vulnerou os artigos 6 e 32 do Regulamento xeral de protección de datos ao facilitar a publicación de firmas e comentarios de usuarios sen solicitar o seu consentimento e non establecer os sistemas de protección necesarios para impedir que terceiras persoas puidesen suplantar as súas identidades e ter acceso aos seus datos. Tamén entende que incumpriu o artigo 9 do Regulamento ao tratar datos especialmente protexidos, relativos a opinións e crenzas políticas, sindicais, relixiosas… sen as medidas de protección adecuadas.

Noticias de última hora en Vigo

Comentar noticia

Your email address will not be published.