JUEVES, 22 DE AGOSTO DE 2019 · 22:52h.

Síguenos en Facebook Síguenos en Twitter Síguenos en YouTube

DCLM.ES · Castilla-La Mancha · Tecnología

Un fallo de seguridad que permite suplantar identidades para firmar peticiones en Change

Con sólo introducir un nombre falso y un correo electrónico, la plataforma identificaba el mail y revelaba su identidad, localidad, profesión y foto de perfil.

04.12.2018

Tecnología en Castilla-La Mancha

comentarios

FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

FACUA ALERTÓ A CHANGE HACE DOS SEMANAS 

El pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Así, Ritoré indicó que han "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y que también "deba verificar su cuenta para iniciar una petición". También han modificado el sistema para que cualquier persona que se dé de alta en Change "no pueda registrar su firma sin una verificación". Además, están introduciendo medidas "para que cualquier petición iniciada por un nuevo usuario requiera verificación".

CHANGE INTRODUCE CAMBIOS SIN ELMINAR FIRMAS NO VALIDAS

Sin embargo, Change no ha aceptado, como le reclama FACUA, proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente logueados (con su correo y contraseña).

Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD. La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. También entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas... sin las medidas de protección adecuadas.

#internet
VOLVER

LA VENTANA DE CLM

EL OBSERVADOR

Aquí hay gato encerrao

Cuando la defensa de unos principios ideológicos se hace faltando a los más elementales principios éticos, es que no es ideología lo que se defiende. Se defienden otras cuestiones mucho menos confesables....

Alcocer le declara la guerra al plástico

Con motivo de la celebración de las Fiestas Patronales en Honor a la Virgen del Espinar y del Tremedal, se repartirán 800 vasos ecológicos con un cordón-lanyard a todas las peñas del municipio.

Prioridad antes de embarcar / Salvador García Llanos

Ojalá se resuelva cuanto antes la crisis del barco 'Open Arms', donde la situación es insostenible, según sicólogo que estuvo en cubierta. Por el bien de todos, pero principalmente por el de los...

ATRAPADOS EN LA RED

"La Revoltosa" primera obra del Festival Nacional de Zarzuela "Villa del Alba"

Con música en directo a cargo de una orquesta formada por músicos de diferentes conservatorios de la Comunidad de Madrid.

Se busca imagen corporativa para la Media Maratón de Valdepeñas

El Ayuntamiento de Valdepeñas ha convocado el concurso que busca el logotipo como imagen de la 'Muy Heroica Media Maratón y 10 Kilómetros Ciudad de Valdepeñas', que este año también servirá como cartel...

Las fiestas de Almagro comienzan este viernes

Con el pregón a cargo de Elena Arenas Cruz, un acto en el espacio del Corral de Comedias, donde también se llevará a cabo la coronación de Reina, Zagal Mayor, Damas y Zagales.

Incendios "fuera de capacidad de extinción"

Cada vez es más habitual que las autoridades hablen de incendios forestales fuera de la capacidad de extinción. Ante esta situación cualquier intento de acumular recursos o por controlar el incendio es...

Expulsados 5 inmigrantes del Centro de Migraciones de Sigüenza

Por su participación en una reyerta en las fiestas del pueblo.

Para Albert Rivera "España tiene la suerte de tener personas como Marcos de Quinto"

El PP intenta poner de moda el "España suma" con sus socios de Ciudadanos, mientras el partido naranja se empeña en restar, a pasos agigantados, a costa de su "fichaje estrella" Marcos de Quinto. Votantes...

Los que anhelan la Suma de lo que han restado / Por Julio F. Sanguino.

En una tranquila mañana de un fin de semana de agosto en una ciudad del noreste de España, otrora capital de provincia, ahora de la autonomía, cogí en una cafetería el tradicionalísimo periódico local...

Domingo-Wulf: ¿Quién indemnizará a quien?

La denunciante afirma con rotundidad que "no llegó a tocarla físicamente en ningún momento".

La XXII Concentración del Mancha Custom Club llega a Socuéllamos

Una concentración de motos custom que cada año llena la localidad de gasolina, rugido de motores y convivencia.

Pedro Almodóvar se "cuela" en los Oscars

'Dolor y gloria' (Pedro Almodóvar), 'Buñuel en el laberinto de las tortugas' (Salvador Simó) y 'Mientras dure la guerra' son las películas españolas preseleccionadas para representar a España.

¿Aplicará Vox medidas disciplinarias a su diputado por Ciudad Real?

Ver las noticias sobre el Trasvase Tajo-Segura y comprobar la situación de los embalses, puede llegar a ser desquiciante, sobre todo cuando aparece un diputado de Vox, que protesta por el nuevo trasvase...

Decálogo para el buen trato de las personas mayores

Cruz Roja atiende a más de 240.000 personas mayores cada año, a través de diferentes proyectos, con los que se busca paliar su soledad, fortalecer su autonomía, fomentar un envejecimiento activo y promover...

Cuatro heridos leves en un accidente de tráfico en Seseña

Ha quedado abierto el carril de la A-4 previamente cortado y se alivia la congestión de tráfico.

Paneles fotovoltaicos en la cocina

Última innovación de la cocina sostenible para frenar la deforestación de los bosques.

5 claves para comer sano en casa

Un grupo de expertos en innovación gastronómica, ha definido los pilares de una alimentación saludable en casa.

¿Por qué enviamos imágenes sexualmente explicitas por las redes?

Un estudio explica las razones detrás del 'sexting' en hombres y mujeres jóvenes.

De cara a los exámenes de septiembre

La sala de estudios de la biblioteca 'José Hierro' de Talavera de la Reina (Toledo) abrirá todas las tardes desde este lunes.

LO ÚLTIMO / LO MÁS LEIDO

Mejores precios para el sector agrario

María Ángeles Rosado, diputada por Guadalajara (Cs) plantea cambiar la ley para que los precios aseguren la rentabilidad a agricultores y ganaderos.

ENTREVISTA DCLM

Juan Ramón Crespo, Coordinador General IU-CLM

"Nos parece preocupante la desidia de Podemos"

Crespo (IU) arremete contra la Dirección federal de Podemos por su "desidia" a la hora de crear una gestora en C-LM.

Comienza la campaña 'Sin un sí, ¡es no!

Más de 100 jóvenes participan en Camarena en el arranque de la campaña regional 'Sin un sí, ¡es no!' por la provincia de Toledo.

BOLETÍN DCLM

¿Quieres recibir gratuitamente nuestras noticias?
Date de alta en nuestro boletín:

DCLM contra el cementerio nuclear en Castilla-La Mancha

Pocos recuerdan que, antes de ser presidenta de Castilla-La Mancha, Cospedal se opuso, pública y radicalmente, a la instalación de un cementerio nuclear en nuestra región.

DCLM contra el Trasvase Tajo-Segura

Se hace necesario "clamar al cielo" con unidad y poner punto final al hecho de esquilmar cíclicamente nuestra tierra con los trasvases del Tajo al Segura.

FORO DE EDUCACIÓN

¿Que educación queremos?

Entra en este FORO, esperamos tu opinión.

LAS CORTES CLM

Sigue en directo toda la actividad de nuestras Cortes
Plenos, Comisiones y comparecencias de portavoces en conferencias informativas.

BLOGS

Edita: Castilla La Mancha Digital S.L.
CIF: B45705647
contacta@dclm.es   publicidad@dclm.es

DCLM.es. se reserva todos los derechos como autor colectivo de este periódico y, al amparo del art. 32.1 de la Ley de Propiedad Intelectual, expresamente se opone a la consideración como citas de las reproducciones periódicas efectuadas en forma de reseñas o revista de prensa. Sin la previa autorización por escrito de la sociedad editora, esta publicación no puede ser, ni en todo ni en parte, reproducida, distribuida,comunicada públicamente, registrada o transmitida por un sistema de recuperación de información, ni tratada o explotada por ningún medio o sistema, sea mecánico, fotoquímico, electrónico, magnético, electro óptico, de fotocopia o cualquier otro en general.