LUNES, 10 DE DICIEMBRE DE 2018 · 21:11h.

Síguenos en Facebook Síguenos en Twitter Síguenos en YouTube

DCLM.ES · Castilla-La Mancha · Tecnología

Un fallo de seguridad que permite suplantar identidades para firmar peticiones en Change

Con sólo introducir un nombre falso y un correo electrónico, la plataforma identificaba el mail y revelaba su identidad, localidad, profesión y foto de perfil.

04.12.2018

Tecnología en Castilla-La Mancha

comentarios

FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

FACUA ALERTÓ A CHANGE HACE DOS SEMANAS 

El pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Así, Ritoré indicó que han "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y que también "deba verificar su cuenta para iniciar una petición". También han modificado el sistema para que cualquier persona que se dé de alta en Change "no pueda registrar su firma sin una verificación". Además, están introduciendo medidas "para que cualquier petición iniciada por un nuevo usuario requiera verificación".

CHANGE INTRODUCE CAMBIOS SIN ELMINAR FIRMAS NO VALIDAS

Sin embargo, Change no ha aceptado, como le reclama FACUA, proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente logueados (con su correo y contraseña).

Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD. La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. También entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas... sin las medidas de protección adecuadas.

#internet
VOLVER

LA VENTANA DE CLM

Carta al Sr. Abascal de Vox | Luis Baras

"Orgulloso de haber trabajado en Canal Sur".

Los bibliotecarios de Castilla-La Mancha escriben al consejero de Hacienda

Los bibliotecarios de la región escriben la siguiente carta al consejero Ruiz Molina donde básicamente le piden recuperación de las plantillas y los mismos derechos que el resto de los funcionarios.

EL OBSERVADOR

Cuando Aznar era "falangista independiente" y vapuleaba a la Constitución

José María Aznar detestaba a la UCD y al que sería su propio partido, Alianza Popular, consideraba a Suárez y a Fraga "traidores al régimen". No cesó en su intento de echar por tierra la Carta Magna.

Los cuidados no sólo son responsabilidad de las mujeres | Gemma Álvarez

Como sociedad, debemos tener en cuenta la importancia de los cuidados para la sostenibilidad de la vida porque todos y todas cuidamos y, a su vez, todos y todas somos cuidadores y cuidadoras de otras personas.

ATRAPADOS EN LA RED

Un antiguo directivo de la televisión de CLM entre los mejores puntuados para dirigir RTVE

Se trata Javier Montemayor Ruiz, que también fue un histórico realizador de TVE.

El Complejo Astronómico de La Hita registra la entrada de una bola de fuego en la atmósfera

El fenómeno ha podido ser grabado por los detectores que la Universidad de Huelva opera en el Complejo Astronómico de La Hita y en los observatorios astronómicos de Calar Alto (Almería), La Sagra (Granada),...

Christian Gálvez: "Me llevan llamando intruso toda la vida"

Tras las críticas recibidas por el Comité Español de Historia del Arte (CEHA) por ser el comisario de la exposición 'Leonardo da Vinci: los rostros del genio'.

El ciudadrealeño Luis Cobos saca nuevo disco: ¡Va por México¡

Luis Cobos: "Es una música popular muy profunda, mágica y refleja la naturaleza".

Toledo acoge el 15 de diciembre la feria 'El maravilloso finde del vinilo'

Tras varios años de ausencia de iniciativas de este tipo, la ciudad de Toledo vuelve a acoger el próximo sábado, 15 de diciembre, una feria de discos musicales a iniciativa del centro cultural 'Artefactos'.

Así está el cartel del 'Puertollano Winter Festival' el 23 de febrero

Kiko Veneno, Toreros Muertos y Noche Sabinera encabezarán la programación.

Este jueves se presenta 'El diario de Kabor el oretano'

El autor es Miguel Ángel Márquez y la cita en la UNED de Valdepeñas.

Un sistema de alertas informáticas con premio en Guadalajara

El servicio de Informática del Hospital Universitario, premiado en las V Jornadas de Seguridad del Paciente en el SESCAM.

El Instituto de la Mujer publica la guía de comunicación 'Más que palabras'

Con la finalidad de ser una herramienta orientativa de consulta.

FORO DE EDUCACIÓN

¿Que educación queremos?

Entra en este FORO, esperamos tu opinión.

Calendario solidario Down Toledo: Apoyo a una buena causa los 365 días

La Diputación de Toledo contribuye con la edición de 3.500 ejemplares.

BOLETÍN DCLM

¿Quieres recibir gratuitamente nuestras noticias?
Date de alta en nuestro boletín:

LO ÚLTIMO / LO MÁS LEIDO

"Las tradiciones cerámicas de la meseta sur: del Neolítico a la Edad del Hierro"

Talavera acoge este jueves una conferencia sobre tradiciones cerámica impartida por Laura María Gómez y Gonzalo Ruiz.

'aTempora' amplia su duración hasta marzo

"Dado el éxito y la demanda que está teniendo" el Gobierno regional ha decidido que se prolongue dos meses más.

Bill Viola, el pionero del videoarte, en Vía Mística de Cuenca

Hasta el 24 de febrero, un total de 16 obras del artista neoyorkino Bill Viola pueden contemplarse en Cuenca gracias al proyecto 'Vía mística', promovido por la Junta de Castilla-La Mancha y que incluye...

BLOGS

Edita: Castilla La Mancha Digital S.L.
CIF: B45705647
contacta@dclm.es   publicidad@dclm.es

DCLM.es. se reserva todos los derechos como autor colectivo de este periódico y, al amparo del art. 32.1 de la Ley de Propiedad Intelectual, expresamente se opone a la consideración como citas de las reproducciones periódicas efectuadas en forma de reseñas o revista de prensa. Sin la previa autorización por escrito de la sociedad editora, esta publicación no puede ser, ni en todo ni en parte, reproducida, distribuida,comunicada públicamente, registrada o transmitida por un sistema de recuperación de información, ni tratada o explotada por ningún medio o sistema, sea mecánico, fotoquímico, electrónico, magnético, electro óptico, de fotocopia o cualquier otro en general.