SÁBADO, 20 DE ABRIL DE 2019 · 05:31h.

Síguenos en Facebook Síguenos en Twitter Síguenos en YouTube

DCLM.ES · Castilla-La Mancha · Tecnología

Un fallo de seguridad que permite suplantar identidades para firmar peticiones en Change

Con sólo introducir un nombre falso y un correo electrónico, la plataforma identificaba el mail y revelaba su identidad, localidad, profesión y foto de perfil.

04.12.2018

Tecnología en Castilla-La Mancha

comentarios

FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

FACUA ALERTÓ A CHANGE HACE DOS SEMANAS 

El pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Así, Ritoré indicó que han "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y que también "deba verificar su cuenta para iniciar una petición". También han modificado el sistema para que cualquier persona que se dé de alta en Change "no pueda registrar su firma sin una verificación". Además, están introduciendo medidas "para que cualquier petición iniciada por un nuevo usuario requiera verificación".

CHANGE INTRODUCE CAMBIOS SIN ELMINAR FIRMAS NO VALIDAS

Sin embargo, Change no ha aceptado, como le reclama FACUA, proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente logueados (con su correo y contraseña).

Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD. La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. También entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas... sin las medidas de protección adecuadas.

#internet
VOLVER

LA VENTANA DE CLM

EL OBSERVADOR

ATRAPADOS EN LA RED

Ciudadanos predica pero no cumple con Europa | Lola Castro

Tiene un corazón Ciudadanos, que customiza habitualmente para las ocasiones electorales, que va cambiando de piel según el foro. En la parte inferior, se intuye una sonrisa provocada por una media luna...

La fobia a volar

Un experto apunta como principales causas situaciones traumáticas y relatos externos.

Habrá menos alergias este primavera, pero más contaminación

La mayor parte de las alergias respiratorias están provocadas por los pólenes, destacando gramíneas, platanero, olivo, parietaria y ciprés.

Jennifer Lawrence regresa tras su año sabático para protagonizar la opera prima de Lila Neugebauer

Con esta película Lawrence regresará a sus orígenes, el cine independiente, tras su aclamado debut en 'Winter's Bone', que le valió una nominación al Oscar en 2011.

Una cámara subjetiva descubre el desastre de Notre Dame

La tenue luz que permitían las grandes vidrieras de Notre Dame, han encontrado en los nuevos boquetes de sus bóvedas -provocados por el fuego del pasado lunes- nueva competencia.

Reconstruiremos Notre Dame

Los masones pensaban que el Creador se sembró en su obra. Los maestros enseñaron a devastar la piedra bruta para convertirla en catedrales góticas siguiendo el proyecto del Gran Arquitecto del Universo.

Sobre la eutanasia

No se puede, no se debe, legislar la moral. No se puede legislar, no se debe, sobre conceptos y derechos que atañen al propio individuo y no implican en su aplicación a otros, a terceros. 

28A. PSOE y Podemos adaptan sus programas a 'lectura fácil'

Ciudadanos colgarán en las próximas horas en su web esta versión de su programa. El PP asegura que también están elaborando la suya.

García-Page, un presidente con alto nivel de transparencia

El presidente regional se encuentra en segundo lugar del ranking que mide el grado de transparencia de Presidentes de Estado y Autonómicos de la plataforma colaborativa Dyntra.

LO ÚLTIMO / LO MÁS LEIDO

El director manchego competirá con "Dolor y Gloria" por la Palma de Oro de Cannes

Ésta será la sexta vez en la que Almodóvar compita por la Palma de Oro, galardón que todavía no ha conseguido.

Volver al trabajo tras un evento cardíaco no presenta riesgos si se lleva un estilo de vida saludable

Un doctor de la Universidad de Potsdam (Alemania) afirma que entre el 67 y el 93 por ciento de los pacientes han regresado al trabajo dos o tres meses después.

Una primavera "leve" para los alérgicos

Los expertos advierten de la contaminación y señalan que en los últimos diez años se ha duplicado el porcentaje de alérgicos a los pólenes más alergénicos.

Primer corazón impreso en 3D con tejido humano

El equipo ahora planea cultivar los corazones impresos en el laboratorio y "enseñarles a comportarse" como los corazones normales.

García-Page: "Castilla-La Mancha está viviendo un importante momento de crecimiento económico"

El presidente de Castilla-La Mancha ha valorado las posibilidades que la región tiene tanto en materia turística como comercial con la provincia china de Sichuan, destacando el buen comportamiento de ambos...

FORO DE EDUCACIÓN

¿Que educación queremos?

Entra en este FORO, esperamos tu opinión.

BOLETÍN DCLM

¿Quieres recibir gratuitamente nuestras noticias?
Date de alta en nuestro boletín:

DCLM contra el Trasvase Tajo-Segura

Se hace necesario "clamar al cielo" con unidad y poner punto final al hecho de esquilmar cíclicamente nuestra tierra con los trasvases del Tajo al Segura.

DCLM contra el cementerio nuclear en Castilla-La Mancha

Pocos recuerdan que, antes de ser presidenta de Castilla-La Mancha, Cospedal se opuso, pública y radicalmente, a la instalación de un cementerio nuclear en nuestra región.

LAS CORTES CLM

Sigue en directo toda la actividad de nuestras Cortes
Plenos, Comisiones y comparecencias de portavoces en conferencias informativas.

BLOGS

Edita: Castilla La Mancha Digital S.L.
CIF: B45705647
contacta@dclm.es   publicidad@dclm.es

DCLM.es. se reserva todos los derechos como autor colectivo de este periódico y, al amparo del art. 32.1 de la Ley de Propiedad Intelectual, expresamente se opone a la consideración como citas de las reproducciones periódicas efectuadas en forma de reseñas o revista de prensa. Sin la previa autorización por escrito de la sociedad editora, esta publicación no puede ser, ni en todo ni en parte, reproducida, distribuida,comunicada públicamente, registrada o transmitida por un sistema de recuperación de información, ni tratada o explotada por ningún medio o sistema, sea mecánico, fotoquímico, electrónico, magnético, electro óptico, de fotocopia o cualquier otro en general.