VIERNES, 22 DE NOVIEMBRE DE 2024 · 04:48h.

Síguenos en Facebook Síguenos en Twitter Síguenos en YouTube

DCLM.ES · Castilla-La Mancha · Ciencia y Tecnología

Un fallo de seguridad que permite suplantar identidades para firmar peticiones en Change

Con sólo introducir un nombre falso y un correo electrónico, la plataforma identificaba el mail y revelaba su identidad, localidad, profesión y foto de perfil.

04.12.2018

Ciencia y Tecnología en Castilla-La Mancha

comentarios

FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (Aepd) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

FACUA ALERTÓ A CHANGE HACE DOS SEMANAS 

El pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Así, Ritoré indicó que han "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y que también "deba verificar su cuenta para iniciar una petición". También han modificado el sistema para que cualquier persona que se dé de alta en Change "no pueda registrar su firma sin una verificación". Además, están introduciendo medidas "para que cualquier petición iniciada por un nuevo usuario requiera verificación".

CHANGE INTRODUCE CAMBIOS SIN ELMINAR FIRMAS NO VALIDAS

Sin embargo, Change no ha aceptado, como le reclama FACUA, proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos. La empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente logueados (con su correo y contraseña).

Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD. La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. También entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas... sin las medidas de protección adecuadas.

#internet
VOLVER

LA VENTANA DE CLM

Detienen a una mujer por dejar morir a su bebé, recién nacido.

La Policía Nacional ha detenido a una joven en Mahón (Menorca) por dejar morir a su bebé, recién nacido.

EL OBSERVADOR

RELATOS BREVES DURANTE EL CONFINAMIENTO

Envíanos tu relato a contacta@dclm.es

El PSOE recomienda a Feijóo que no vuelva a Bruselas a "hacer el ridículo", tras el nombramiento de Ribera

El portavoz del PSOE en el Congreso de los Diputados, Patxi López, ha sugerido este jueves al líder nacional del PP, Alberto Núñez Feijóo, que no vuelva a Bruselas porque, a su juicio, cada vez que lo...

La Justicia deja libre al marido de la mujer hallada muerta en Villalbilla (Madrid).

La Audiencia Provincial de Madrid ha ordenado la puesta en libertad con medidas del marido de la mujer hallada muerta el pasado septiembre en Villalbilla al considerar los magistrados que los indicios...

El Supremo fija que colgar una pancarta para anunciar el impago del alquiler y la orden de desahucio no vulnera el honor.

Sostiene que la información recogida en dicha pancarta debe ser veraz y no vejatoria.

Desvergüenza y cinismo: el desastre del Partido Popular y la banalidad del mal

Si existiera una alerta roja en la política española hace tiempo que se habría encendido ante sus enormes dosis de desvergüenza y cinismo. El Partido Popular ha mentido y miente en la gestión de todos...

Detenidos en Alicante varios cabecillas de una red que captaba a menores para cometer asesinatos y atentados.

El operativo empezó con la detención de un menor reclutado para asesinar al miembro de un grupo motero rival y huir en patinete eléctrico.

El Reglamento de Extranjería que regularizará a 900.000 migrantes en tres años entrará en vigor el 20 de mayo de 2025.

El nuevo Reglamento de Extranjería que permitirá regularizar a 900.000 migrantes durante los próximos tres años entrará en vigor el día 20 de mayo, tras su publicación en el Boletín Oficial del Estado...

Un juzgado de Valencia abre diligencias tras una denuncia contra responsables de Aemet y la CHJ por la Dana.

El Juzgado de Instrucción número 15 de Valencia ha incoado diligencias previas tras recibir una denuncia interpuesta por Manos Limpias contra responsables de la Agencia Estatal de Meteorología (Aemet)...

El jurado popular comienza la deliberación sobre la culpabilidad del anciano que mató a un ladrón en su casa.

El jurado popular comienza la deliberación sobre la culpabilidad o la inocencia de Pau Rigo, el anciano de Porreres (Mallorca) que en 2018 mató a uno de los asaltantes a su domicilio.

Uvita liberada

El subdelegado del Gobierno en Ciudad Real celebra la liberación de Uvita, un nuevo hito en la conservación del lince ibérico.

El BOE publica el real decreto que amplía la vigencia de las autorizaciones de plantación de viñedo.

El Boletín Oficial del Estado (BOE) publica este miércoles el real decreto por el que se desarrollan determinadas disposiciones de la Unión Europea (UE) de flexibilización en las autorizaciones de plantación...

La Policía Nacional detiene a once personas por agresión sexual y corrupción de menores

La investigación policial se ha desarrollado en las provincias de Ciudad Real, Guadalajara, Toledo, Madrid, Tarragona y Málaga, donde han sido detenidas personas con alta y manifiesta peligrosidad para...

La borrasca Caetano pone en alerta a 18 provincias con vientos de hasta 90 km/h en Tarragona.

La borrasca Caetano pone este miércoles en riesgo a 18 provincias españolas por fenómenos costeros y viento, con rachas máximas de hasta 90 km/h en Tarragona, que estará en aviso naranja por este motivo.

El Gobierno amplía la vigencia de las autorizaciones de plantación de viñedo.

El Gobierno adopta el real decreto que se aprueba hoy con medidas temporales para su aplicación en España y que entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE).

Correos suma a Sabadell a su iniciativa para retirar efectivo desde cualquier punto de España.

A esta iniciativa, llamada Correos Cash, ya se han adherido Banco Santander, CaixaBank, BBVA, Ibercaja, Mediolanum, EVO Banco, CBNK o Triodos Bank.

5 PREGUNTAS SIN LLAMARLE DE USTED

La compraventa de viviendas se dispara un 41,5% en septiembre, hasta su mayor cifra en 14 años.

La compraventa de viviendas se disparó el pasado mes de septiembre un 41,5% respecto al mismo mes de 2023, hasta un total de 61.887 operaciones, su mayor cifra desde julio de 2007, cuando se superaron...

LO ÚLTIMO / LO MÁS LEIDO

Liberadas siete mujeres explotadas sexualmente en dos pisos con plaga de cucarachas

Las obligaban a trabajar sin descanso obligándolas a introducirse esponjas en la vagina en la época de su menstruación.

El Hospital Nacional de Parapléjicos muestra las esculturas del artista Lolo Garner conmemorativas del 50 Aniversario del centro

Las dos obras expuestas son 'La vida sigue', que se ha ubicado de manera permanente en la rotonda de acceso al centro, y 'Efecto mariposa', una escultura itinerante que se exhibe en los jardines del hospital.

ATRAPADOS EN LA RED

Desarticulada la organización criminal de los "narcos del cielo" que pretendía introducir toneladas de cocaína en Europa por vía aérea

La operación, que ha permitido el arresto de 25 personas -19 en España y 6 en Portugal-, ha contado con un despliegue coordinado de la Policía Nacional en todo el territorio nacional en el que han participado...

Se expone a un año de cárcel por espetar a una camarera latina un "¡ojalá gane VOX y os metan en pateras!"

"¡Puta sinvergüenza, estás aquí chupando del bote, todas las latinas sois iguales, eres una asqueroso que sólo me pones sobras", son algunas de las frases que supuestamente dirigió el acusado a la camarera,...

LAS CORTES CLM

Sigue en directo toda la actividad de nuestras Cortes
Plenos, Comisiones y comparecencias de portavoces en conferencias informativas.

Núñez (PP) ve "irresponsabilidad manifiesta de Page al no ofrecer explicaciones sobre la DANA en las Cortes"

El presidente del Partido Popular de Castilla-La Mancha, Paco Núñez, señala que ante la catástrofe natural sufrida en Castilla-La Mancha desde el incendio de Guadalajara, el presidente de la Junta decidió...

Sánchez Requena, al PP: "Hasta que no exijan la dimisión de Mazón, no tienen legitimidad moral para hablar de gestión en ningún lugar de España"

 El diputado del grupo socialista en las Cortes regionales dice que "si hubiera algo de decencia en el PP, Bendodo no habría venido esta mañana a CLM a criticar a quien, como el presidente Page, ha actuado...

Aprobada la oferta de empleo público de este año con 5.840 plazas de la Junta

Esta cifra, que incluye tanto las plazas del turno libre, como las de promoción interna y la promoción interna directa en el puesto, se divide entre 1.260 de Administración General, de las cuales 596 son...

BLOGS

Edita: Castilla La Mancha Digital S.L.
CIF: B45705647
contacta@dclm.es   publicidad@dclm.es

kızılay dershane

DCLM.es. se reserva todos los derechos como autor colectivo de este periódico y, al amparo del art. 32.1 de la Ley de Propiedad Intelectual, expresamente se opone a la consideración como citas de las reproducciones periódicas efectuadas en forma de reseñas o revista de prensa. Sin la previa autorización por escrito de la sociedad editora, esta publicación no puede ser, ni en todo ni en parte, reproducida, distribuida,comunicada públicamente, registrada o transmitida por un sistema de recuperación de información, ni tratada o explotada por ningún medio o sistema, sea mecánico, fotoquímico, electrónico, magnético, electro óptico, de fotocopia o cualquier otro en general.

eryaman dershaneen iyi dershane 2024