Un fallo en Change permitía suplantar identidades para firmar peticiones

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

FACUA-Consumidores en Acción informa de un un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones. Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a uno de los millones de personas dadas de alta en la plataforma, y daba por válida la firma, sin solicitarle al titular de la cuenta que la validase.

A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas. Además, la plataforma revelaba al suplantador el nombre y apellidos, localidad, profesión y fotografía de perfil del usuario vinculado a la dirección de correo electrónico que había introducido.

El fallo también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla. Es decir, no era necesario que el titular del mail aceptase el alta mediante la recepción de un correo con un enlace para aceptarla.

El pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en EEUU. La asociación considera que se ha producido una vulneración del Reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.

Sin embargo, Change no ha aceptado proceder al envío de una comunicación a todos sus usuarios para informarles del problema de seguridad que venía produciéndose en la plataforma, ni a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente logueados. Ante esto, FACUA ha puesto los hechos en conocimiento de la AEPD.