Actualidad
FACUA alerta de un problema de seguridad en Change.org
El error permitía firmar peticiones y publicar comentarios sin verificar la cuenta a través de un correo
FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un problema de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones.
Sólo introduciendo un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el correo pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma sin pedir ninguna contraseña.
Además, la plataforma desvelaba al suplantador el nombre y apellidos del usuario, su localidad, profesión y fotografía de perfil.
A partir de esta primera firma, la suplantación podía continuar hasta un número ilimitado de peticiones en las cuales, además, se podían publicar comentarios. De esta manera, cualquier usuario del servicio podía aparecer en peticiones que no había firmado.
El problema de seguridad también permitía firmar una petición sin estar dado de alta en la plataforma.
La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa tiene que comunicar el problema a todos los usuarios que tienen una cuenta en Change.
FACUA comunicó los problemas de seguridad a los responsables de Change.org, los cuales se comprometieron de manera inmediata a solucionarlo con la dirección de empresa a Estados Unidos.
La plataforma asegura que ha introducido medidas para que cualquier usuario existente que firme una petición «no pueda registrar su firma sin una verificación» y que también «tenga que verificar su cuenta para iniciar una petición».
No obstante, Change no ha aceptado, cómo reclama FACUA, avisar a los usuarios para informarlos sobre el problema de seguridad. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubieran producido por parte de usuarios que no estuvieran correctamente verificados con su correo y contraseña.