valenciadiario.com / valenciadiario.es
Diario digital Progresista / Ecologista / Solidario / Defensa del trabajador
/ Defensa del consumidor / Defensa de los
animales |
Ciber seguridad
Foto:
Pixabay/2018
Fuente: FACUA Consumidores en Acción Valencia
04 de diciembre de 2018 |
FACUA ALERTA DE UN FALLO DE SEGURIDAD QUE PERMITÍA
SUPLANTAR IDENTIDADES PARA FIRMAR PETICIONES EN CHANGE |
|
• Con sólo introducir un nombre falso y
un correo electrónico, la plataforma identificaba si el
mail pertenecía a uno de sus millones de usuarios y
revelaba su identidad, localidad, profesión y foto de
perfil.
FACUA-Consumidores en Acción ha solicitado a la Agencia
Española de Protección de Datos (Aepd) que evalúe un
fallo de seguridad en la plataforma Change.org que
permitía suplantar identidades para firmar y comentar
peticiones. La asociación considera que se ha producido
una vulneración del Reglamento general de protección de
datos de la UE y que la empresa debe comunicar el
problema a todos los usuarios que tienen una cuenta en
Change.
Con sólo introducir un nombre, un apellido y una
dirección de correo electrónico en cualquiera de sus
peticiones y pulsar el botón para firmarla, Change.org
identificaba si el mail pertenecía a una de las millones
de personas dadas de alta en la plataforma y daba por
válida la firma. Así, aunque el nombre y apellido
introducidos fueran falsos, la supuesta adhesión a la
petición por parte del titular de la cuenta pasaba a ser
pública sin solicitarle antes que la validase.
Además, la plataforma revelaba al suplantador el nombre
y apellidos del usuario vinculado a la dirección de
correo electrónico que había introducido, su localidad,
profesión y fotografía de perfil. A partir de esa
primera firma, la suplantación podía continuar
desarrollándose firmando un número ilimitado de
peticiones y publicando comentarios en ellas. De esta
manera, cualquier usuario de Change podía aparecer
viculado a peticiones relacionadas con reivindicaciones
que resultasen incluso contrarias a sus creencias u
opiniones políticas.
El problema de seguridad también permitía que cualquier
persona crease o firmase una petición desde una cuenta
de correo propia o ajena que no estuviera dada de alta
en Change.org sin que hubiese que validarla. Es decir,
no era necesario que el titular del mail aceptase el
alta mediante la recepción de un correo con un enlace
para aceptarla.
FACUA ALERTÓ A CHANGE HACE DOS SEMANAS
El pasado 21 de noviembre, FACUA puso estos fallos de
seguridad en conocimiento de los responsables de
Change.org, que se comprometieron de manera inmediata a
tratarlos con la dirección de la empresa en EEUU. El
pasado viernes, el director de Change en España, José
Antonio Ritoré, comunicó a la asociación que discrepaban
con que hubiesen incurrido en una vulneración de la
normativa de protección de datos pero que aceptaban
parte de sus demandas para evitar que las suplantaciones
de identidad puedan seguir produciéndose.
Así, Ritoré indicó que han "introducido medidas para que
cualquier usuario existente que firme una petición no
pueda registrar su firma sin una verificación" y que
también "deba verificar su cuenta para iniciar una
petición". También han modificado el sistema para que
cualquier persona que se dé de alta en Change "no pueda
registrar su firma sin una verificación". Además, están
introduciendo medidas "para que cualquier petición
iniciada por un nuevo usuario requiera verificación".
CHANGE INTRODUCE CAMBIOS SIN ELIMINAR FIRMAS NO
VALIDADAS
Sin embargo, Change no ha aceptado, como le reclama
FACUA, proceder al envío de una comunicación a todos sus
usuarios para informarles del problema de seguridad que
venía produciéndose en la plataforma, tal y como
establece el artículo 34 del Reglamento general de
protección de datos. La empresa tampoco ha accedido a
eliminar todas las firmas y comentarios de peticiones
que se hubiesen producido por parte de usuarios que no
estuvieran correctamente logueados (con su correo y
contraseña).
Ante esto, FACUA ha puesto los hechos en conocimiento de
la AEPD. La asociación considera que Change.org ha
vulnerado los artículos 6 y 32 del Reglamento general de
protección de datos al haber facilitado la publicación
de firmas y comentarios de usuarios sin recabar su
consentimiento y no haber establecido los sistemas de
protección necesarios para impedir que terceras personas
pudieran suplantar sus identidades y tener acceso a sus
datos. También entiende que ha incumplido el artículo 9
del Reglamento al haber tratado datos especialmente
protegidos, relativos a opiniones y creencias políticas,
sindicales, religiosas... sin las medidas de protección
adecuadas. |
|
• © valenciadiario.com
© valenciadiario.es - 2015-2018 (Todos los derechos
reservados).
• Queda terminantemente prohibida la reproducción total
o parcial de los contenidos ofrecidos a través de esta
Web, salvo autorización expresa de valenciadiario.com, o
de valenciadiario.es.
• Queda prohibida toda reproducción a los efectos del artículo
32,1, párrafo segundo, Ley 23/2006 de la Propiedad
Intelectual.
• Queda prohibida la distribución, puesta a disposición,
comunicación pública y utilización, total o parcial, de los
contenidos de esta Web, en cualquier forma o modalidad, sin previa,
expresa y escrita autorización, incluyendo, en particular, su mera
reproducción y/o puesta a disposición como resúmenes, reseñas o
revistas de prensa con fines comerciales o directa o indirectamente
lucrativos, a la que se manifiesta oposición expresa. |
|
|
|