FACUA alerta sobre la vulnerable seguridad de Change.org
Ampliar

FACUA alerta sobre la vulnerable seguridad de Change.org

viernes 07 de diciembre de 2018, 16:00h

google+

linkedin

Comentar

WhastApp

El pasado mes de noviembre, FACUA detecto un fallo de seguridad que permitía suplantar identidades para firmar peticiones en Change.org.

Solo con introducir un nombre y un correo electrónico falso, la plataforma evaluaba si se trataba de un mail perteneciente a uno de sus millones de usuarios y revelaba su identidad.

Solamente con introducir un nombre, un apellido y un correo electrónico, cualquier persona puede firmar una petición. De esta manera, Change.org identifica si el e-mail pertenece a alguna de las personas dadas de alta en su plataforma y da por válida la firma. Por lo tanto, cualquiera que acertase con la dirección de correo electrónico, aunque el nombre y apellidos introducidos fueran falsos, podría conseguir que el titular de dicha dirección quedase adherido a la petición en la que había introducido sus datos.

Se trata de un fallo de seguridad que permitía que cualquier persona pudiese crear o firmar una petición aunque no estuviera dado de alta, ya que no precisaba de validación alguna por parte del propietario de la dirección de correo electrónica usada para ello.

FACUA advierte de la vulneración del Reglamento General de Protección de Datos de la UE

Por su parte, la organización FACUA-Consumidores en Acción remitió el error solicitando a la Agencia Española de Protección de Datos una evaluación del mismo, ya que el fallo de seguridad permitía que en Change.org se suplantasen identidades para firmar y comentar peticiones.

Se trata de un grave error y, a ojos de FACUA, es una vulneración del Reglamento General de Protección de Datos de la Unión Europea, donde la empresa está en la obligación de comunicar el problema a todos sus usuarios.

FACUA puso en conocimiento de Change.org estos errores y, acto seguido, los responsables de la organización comenzaron a tratarlos con su dirección en Estados Unidos. El pasado viernes, el director de Change.org en España, José Antonio Ritoré, comunicó que aceptarían parte de las demandas de FACUA para evitar que las suplantaciones de identidad siguieran produciéndose. Sin embargo, desde Change.org discrepaban que se tratase de una vulneración de la normativa de protección de datos, por lo que no ha aceptado realizar el comunicado del problema a todos sus usuarios, como reclamaba FACUA. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones producidas por “falsos usuarios”. Así, Ritoré indicó que han “introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación", por lo que deberá verificar su cuenta para iniciar una petición.

Ante esta situación, FACUA considera que la organización ha vulnerado una serie de artículos del Reglamento General de Protección de Datos al haber facilitado datos de usuarios reales sin su consentimiento, y permitir, de esta manera, que determinadas personas suplanten a otras al tener acceso a determinados datos personales.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Zonamovilidad.es

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.