Facua denuncia una brecha en Change y pone en duda toda su actividad en España
Con solo introducir un correo electrónico dado alta en la plataforma ya era posible firmar peticiones de parte de su titular y acceder a su nombres, apellidos, profesión y fotografía de perfil.
Una de las mayores plataformas de peticiones de ciudadanos del mundo, Change, ha permitido la suplantación de identidades para firmar y comentar peticiones durante seis años. Así al menos lo ha denunciado Facua- Consumidores en Acción en un comunicado en el que asegura que con solo introducir un nombre y un apellido (pudiendo ser falsos) y una dirección de correo electrónica que ya esté dada de alta es posible adherirse a solicitudes de parte del titular de ese mail. Además, la plataforma revela al suplantador el nombre y apellido reales de la persona vinculada al correo electrónico que había introducido, así como su localidad, profesión y fotografía de perfil. De este modo se podía continuar firmando peticiones y poniendo comentarios en ellas. “Cualquier usuario de Change podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones públicas”, explican desde la asociación.
Facua ha denunciado ya los hechos a la Agencia Española de Protección de Datos (AEPD) porque considera “que se ha producido una vulneración del Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas inglesas) y que la empresa debe comunicar el problema a todos los usuarios que tienen una cuenta en Change.
Además, reza el comunicado, la asociación ya alertó del fallo a la compañía hace dos semanas, con la promesa de esta última de tratar el problema con la dirección en Estados Unidos. Sin embargo, explican desde Facua, el pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen vulnerado GDPR pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.
Ritoré ha indicado que han “introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación” y que también “deba verificar su cuenta para iniciar una petición”. En cualquier caso, la medida no parece suficiente para Facua, ya que exige comunicar a todos los usuarios de dicho fallo de seguridad. “La asociación considera que Change ha vulnerado los artículos 6 y 32 del Reglamento al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos. También entiende que ha incumplido el artículo 9 al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales o religiosas sin las medidas de protección adecuadas”.
