Facua alega que con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmar, la plataforma identificaba si el correo pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma.
Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.
Además, de acuerdo a la organización de consumidores, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil.
A partir de esa primera firma, de acuerdo a Facua, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas y de esta manera cualquier usuario de Change.org podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.
Por su parte, Change.org ha respondido en una nota de prensa: “No ha habido una brecha de seguridad que requiera notificación a nuestros usuarios según el reglamento general de protección de datos”.
El fallo no es de alto riesgo
De acuerdo a la normativa europea, sólo se exige dicha comunicación a los afectados si el incidente entrañara alto riesgo para los derechos y libertades de las personas, por ejemplo, en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio.
La plataforma -subraya el comunicado- dedica “considerable tiempo y esfuerzo para garantizar la seguridad de la plataforma, el respeto de las políticas de uso y el cumplimiento de las normas legales”.
Change.org reconoce que la plataforma puede ser mal utilizada, como por ejemplo, con la suplantación de identidad, pero precisa que desde 2017 “hemos recibido menos de 20 solicitudes de nuestros usuarios en España -menos del 0,00001 por ciento- solicitando la eliminación de su firma por considerar que ellos no habían firmado una petición determinada”.
“A pesar de que el número de estos incidentes es extremadamente bajo, contamos con una serie de medidas destinadas a prevenir este tipo de mal uso de Change.org, medidas que seguimos mejorando en la actualidad”, añade.
“El 21 de noviembre de 2018, recibimos una comunicación de Facua que nos alertaba de una potencial vulnerabilidad”, y ese mismo día “nuestro equipo de producto e ingeniería modificó los protocolos de autenticación para iniciar y firmar peticiones”.
Por otra parte, “ayer informamos de forma proactiva a la Agencia Española de Protección de Datos sobre esta queja y las medidas que hemos puesto en marcha en respuesta a la misma”. EFEfuturo
La entrada Facua alerta de brecha en Change.org, que plataforma no ve de alto riesgo aparece primero en EFE futuro.
Origén: Tecnologia