FACUA denuncia fallos de seguridade en Change.org
martes, 4 de decembro do 2018
FACUA-Consumidores en Acción solicitou á Axencia
Española de Protección de Datos (AEPD) que avalÃe un fallo de seguridade da
plataforma Change.org que permitÃa suplantar identidades para asinar e
comentar peticións, no que a asociación de consumidores considera que vulnera o
Regulamento Xeral de Protección de Datos, e que a empresa deberÃa comunicar o
problema a todos os usuarios con conta na plataforma.
Até hai uns dÃas, con só introducir un nome, un apelido e un enderezo de correo
electrónico en calquera das peticións de Change.org era posible publicar na
plataforma sempre que o enderezo electrónico fose dado de alta algunha vez na
páxina web (sen comprobar nin sequera que o nome e o apelido fose correcto) e a
adhesión á petición facÃase pública sen a validación oportuna.
O fallo non só permitÃa suplantar identidades, senón que tras facelo o suplantador
podÃa ver o nome e o apelido ligado ao enderezo electrónico introducido, asÃ
como datos persoais como a localidade, a profesión e a fotografÃa de perfil.
Tamén era posible crear e asinar peticións sen verificar contas de correo
electrónico, ou sexa, que non era preciso que o titular do enderezo de correo
confirmase as operacións en Change.org.
FACUA comunicou estes fallos de seguridade a Change.org o pasado 21 de
novembro, tras o que introduciron medidas de seguridade, pero sen eliminar as
sinaturas non validadas nin comunicar aos usuarios o problema de seguridade,
tan e como establece a lexislación europea.
Dende FACUA consideran que Change.org tamén incumprirÃa o Regulamento por non
ter medidas de protección adecuadas para o tratamento de datos sensibles (como
son as opinións e crenzas polÃticas, sindicas e relixiosas).