Facua lleva a Change.org ante la Agencia de Protección de Datos por permitir la suplantación de identidades

Portada de Change.org

La organización de consumidores Facua ha alertado a la Agencia Española de Protección de Datos (AEPD) de un supuesto fallo de seguridad en la plataforma de solicitudes de firmas Change.org. La brecha permitía, según Facua, suplantar la identidad de los usuarios de Change.org para firmar y comentar peticiones en su nombre tan solo conociendo el correo electrónico con el que estaban registrados en su base de datos. La plataforma ha reconocido el error y afirma haberlo subsanado.

"Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase", ha detallado Facua

El fallo permitía un al suplantador un acceso casi total a la cuenta del usuario suplantado. Podía conocer el nombre y apellidos vinculados a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. "De esta manera, cualquier usuario de Change.org podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas", continúa la organización.

Facua comunicó el error a la plataforma, que lo subsanó el pasado 21 de noviembre, según ha explicado en un comunicado. No obstante, niega que el agujero se haya explotado masivamente: "Desde 2017 hemos recibido menos de 20 mensajes de nuestros usuarios – representando un 0.00001% de los mismos – solicitando eliminar su firma porque no habían firmado una petición en concreto".

Change.org también ha comunicado el error a la AEPD, como le solicitó la organización de consumidores. "Hemos solicitado su asesoramiento sobre las medidas adicionales que pudieran ser necesarias para garantizar el respeto de los derechos de nuestros usuarios", expone la plataforma, que no ha hecho ningún requerimiento de seguridad nuevo a sus usuarios.

El director de Change.org de 2011 a 2017, Francisco Polo, fue nombrado por secretario de Estado para Avance Digital del Gobierno de Pedro Sánchez cuando el PSOE entró en el Gobierno.

Etiquetas
Publicado el
4 de diciembre de 2018 - 13:39 h

Descubre nuestras apps

stats