Solamente con introducir un nombre, un apellido y un correo electrónico, cualquier persona puede firmar una petición. De esta manera, Change.org identifica si el e-mail pertenece a alguna de las personas dadas de alta en su plataforma y da por válida la firma. Por lo tanto, cualquiera que acertase con la dirección de correo electrónico, aunque el nombre y apellidos introducidos fueran falsos, podría conseguir que el titular de dicha dirección quedase adherido a la petición en la que había introducido sus datos.
Se trata de un fallo de seguridad que permitía que cualquier persona pudiese crear o firmar una petición aunque no estuviera dado de alta, ya que no precisaba de validación alguna por parte del propietario de la dirección de correo electrónica usada para ello.
FACUA advierte de la vulneración del Reglamento General de Protección de Datos de la UE
Por su parte, la organización FACUA-Consumidores en Acción remitió el error solicitando a la Agencia Española de Protección de Datos una evaluación del mismo, ya que el fallo de seguridad permitía que en Change.org se suplantasen identidades para firmar y comentar peticiones.
Se trata de un grave error y, a ojos de FACUA, es una vulneración del Reglamento General de Protección de Datos de la Unión Europea, donde la empresa está en la obligación de comunicar el problema a todos sus usuarios.
FACUA puso en conocimiento de Change.org estos errores y, acto seguido, los responsables de la organización comenzaron a tratarlos con su dirección en Estados Unidos. El pasado viernes, el director de Change.org en España, José Antonio Ritoré, comunicó que aceptarían parte de las demandas de FACUA para evitar que las suplantaciones de identidad siguieran produciéndose. Sin embargo, desde Change.org discrepaban que se tratase de una vulneración de la normativa de protección de datos, por lo que no ha aceptado realizar el comunicado del problema a todos sus usuarios, como reclamaba FACUA. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones producidas por “falsos usuarios”. Así, Ritoré indicó que han “introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación", por lo que deberá verificar su cuenta para iniciar una petición.
Ante esta situación, FACUA considera que la organización ha vulnerado una serie de artículos del Reglamento General de Protección de Datos al haber facilitado datos de usuarios reales sin su consentimiento, y permitir, de esta manera, que determinadas personas suplanten a otras al tener acceso a determinados datos personales.
Si (
No(
