24 nov 2020

Anar al contingut

Revelava informació de l'usuari

Facua alerta d'un error de seguretat a la plataforma Change

La plataforma no demanava, al firmar peticions, la validació dels comptes mitjançant correu electrònic

El Periódico / Agencias

Facua alerta d'un error de seguretat a la plataforma Change

Facua-Consumidors en Acció ha sol·licitat a l’Agència Espanyola de Protecció de Dades (AEPD) que avaluï un error de seguretat a la plataforma Change.org que permetia suplantar identitats per firmar i comentar peticions. 

Així ho va indicar aquest dimarts a través d’un comunicat en què va precisar que, només introduint un nom, un cognom i una adreça electrònica en qualsevol de les seves peticions i prémer el botó per firmar-la, Change.org identificava si el ‘mail’ pertanyia a una persona donada d’alta a la plataforma i donava per vàlida la firma

D’aquesta manera, tot i que el nom i cognom introduïts fossin falsos, la suposada adhesió a la petició per part del titular del compte passava a ser pública sense sol·licitar-li abans que la validés.

A més, la plataforma revelava al suplantador el nom i cognoms de l’usuari vinculat a l’adreça electrònica que havia introduït, la seva localitat, professió i fotografia de perfil. 

Suplantació fàcil d’identitats

A partir d’aquesta primera firma, la suplantació podia continuar desenvolupant-se firmant un nombre il·limitat de peticions i publicant comentaris. D’aquesta manera, qualsevol usuari de Change podia aparèixer vinculat a peticions que no hauria firmat. 

Segons Facua, el problema de seguretat també permetia que qualsevol persona creés o firmés una petició des d’un compte de correu propi o aliè que no estigués donat d’alta a Change.org sense que calgués validar-la, ja que no era necessari que el titular del ‘mail’ acceptés l’alta mitjançant la recepció d’un correu amb un enllaç per acceptar-la.

Davant d’aquesta situació, Facua considera que s’ha produït una vulneració del Reglament general de protecció de dades de la UE i que l’empresa ha de comunicar el problema a tots els usuaris que tenen un compte a Change, per la qual cosa va posar la seva reclamació en coneixement de l’Agència Espanyola de Protecció de Dades

D’altra banda, el 21 de novembre passat Facua va posar aquests errors de seguretat en coneixement dels responsables de Change.org, que es van comprometre "de manera immediata" a tractar-los amb la direcció de l’empresa als EUA. 

Change pren mesures

Change va indicar que ha "introduït mesures perquè qualsevol usuari existent que firmi una petició no pugui registrar la seva firma sense una verificació" i, a més, que també "hagi de verificar el seu compte per iniciar una petició". 

Així mateix, ha modificat el sistema perquè qualsevol persona que es doni d’alta a la plataforma "no pugui registrar la seva firma sense una verificació". 

No obstant, Facua assegura que Change no va acceptar la reclamació de la federació d’informar tots els seus usuaris sobre el problema de seguretat que s’estava produint a la plataforma ni va accedir a eliminar totes les firmes i comentaris de peticions per part d’usuaris que no haguessin iniciat la sessió correctament.