Diari Més

Actualitat

FACUA alerta d'un problema de seguretat a Change.org

L'error permetia signar peticions i publicar comentaris sense verificar el compte a través d'un correu

Imatge del logotip de Change.org.

FACUA alerta d'un problema de seguretat a Change.orgWikipedia

Publicat per

Creat:

Actualitzat:

FACUA-Consumidores en Acción ha sol·licitat a la Agencia Española de Protección de Datos (Aepd) que avaluï un problema de seguretat a la plataforma Change.org que permetia suplantar identitats per signar i comentar peticions.

Només introduint un nom, un cognom i una adreça de correu electrònic en qualsevol de les seves peticions i prémer el botó per signar-la, Change.org identificava si el correu pertanyia a una de les milions de persones donades d'alta en la plataforma i donava per vàlida la signatura sense demanar cap contrasenya.

A més, la plataformadesvetllava alsuplantadorel nom i cognoms de l'usuari, la seva localitat, professió i fotografia de perfil.

A partir d'aquesta primera signatura, la suplantació podia continuar fins a un nombre il·limitat de peticions en les quals, a més, es podien publicar comentaris. D'aquesta manera, qualsevol usuari del servei podia aparèixer en peticions que no havia signat.

El problema de seguretat també permetia firmar una petició sense estar donat d'alta a la plataforma.

L'associació considera que s'ha produït una vulneració del Reglament general de protecció de dades de la UE i que l'empresa ha de comunicar el problema a tots els usuaris que tenen un compte enChange.

FACUA va comunicar els problemes de seguretat als responsables de Change.org, els quals es van comprometre de manera immediata a solucionar-ho amb la direcció d'empresa a Estats Units.

La plataforma assegura que ha introduït mesures perquè qualsevol usuari existent que firmi una petició «no pugui registrar la seva signatura sense una verificació» i que també «hagi de verificar el seu compte per iniciar una petició».

No obstant això, Change no ha acceptat, com reclama FACUA, avisar als usuaris per informar-los sobre el problema de seguretat.L'empresa tampoc ha accedit a eliminar totes les signatures i comentaris de peticions que s'haguessin produït per part d'usuaris que no estiguessin correctamentverificats amb el seu correu i contrasenya.

tracking