Facua-Consumidores en Acción ha solicitado a la AEPD (Agencia Española de Protección de Datos) que evalúe un fallo de seguridad en la plataforma Change.org que, supuestamente, permitía suplantar identidades para firmar y comentar peticiones.

La asociación detallaba en un comunicado que, sólo introduciendo un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones, Change.org identificaba si el mail estaba dado de alta en el sistema y si era así firmaba la petición sin necesidad de introducir contraseña.

Además, la plataforma mostraba al impostor, según el comunicado de Facua, datos personales del titular de la cuenta como el nombre y apellidos, su localidad, profesión y fotografía de perfil.

A partir de esta primera firma, la suplantación podía continuar hasta un número ilimitado de peticiones en las que, además, se podían publicar comentarios. De esta manera, cualquier usuario del servicio podía aparecer en peticiones que no había firmado.

Según Facua, el problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviese dada de alta en la plataforma, ya que ésta no pedía la validación de la cuenta mediante un correo electrónico.

Facua considera que estas características de la plataforma vulneran el Reglamento general de Protección de Datos de la UE, y que por ello la empresa tiene la obligación de comunicar a todos los usuarios este problema de seguridad.

Estos fallos fueron puestos en conocimiento de los responsables de Change.org en nuestro país, que se comprometieron a tratar el asunto de manera inmediata con la dirección de la empresa en EEUU.

La plataforma, por otra parte, asegura haber introducido modificaciones para que "cualquier usuario existente no pueda registrar una firma sin una validación" y que "deba verificar su cuenta para iniciar una petición".

Facua denuncia, sin embargto, que Change.org no ha aceptado la reclamación de avisar a los usuarios ni la de borrar aquellas firmas y comentarios publicados sin que las cuentas estuvieran correctamente logueadas.