Facua denuncia un fraude para suplantar identidades en Change.org

Facua denuncia un fraude para suplantar identidades en Change.org

La plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico, su localidad, profesión y fotografía de perfil.
4 diciembre, 2018
La Mirada Común
  • Consumo

Facua denuncia un fraude para suplantar identidades en Change.org

La Mirada Común
Compartir

FACUA-Consumidores en Acción solicita a la Agencia Española de Protección de Datos que se evalúe un fallo que permitía suplantar identidades para firmar y comentar peticiones. Según informa la asociación, se ha producido una vulneración del Reglamento general de protección de datos de la UE y la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Por lo tanto, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Revelaba nombre, apellidos, localidad, profesión y foto

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación se podía desarrollar firmando un número ilimitado de peticiones y publicando comentarios en ellas. De esta manera, cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

FACUA alertó a Change hace dos semanas

FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Sin embargo, Change no ha aceptado, como le reclama FACUA, proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos.

Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD. La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. Además, entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas… sin las medidas de protección adecuadas.


Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acepto la política de privacidad