Minuto a Minuto

Sin Categoría PREP 2024 – TEST
Your browser doesn’t support iframes Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent et enim accumsan, molestie tortor ut, finibus leo. Nunc id diam ut eros viverra porta eget ut lacus. Integer maximus quam erat, at pharetra mi feugiat ac. Vivamus a felis sit amet quam iaculis viverra. Curabitur euismod velit sed sem pharetra … Continued
Deportes Vontae Davis, exjugador de la NFL, murió a los 35 años
El cuerpo de Vontae Davis, exjugador de la NFL, fue encontrado en Southwest Ranches, Florida, detallaron auroridades
Nacional Sheinbaum propone una “simplificación administrativa” para desaparecer al Inai
Sheinbaum dijo que "mayor regulación ha generado ineficiencia", por lo que de llegar a la Presidencia desaparecería instituciones y reglamentos
Nacional Conafor reporta 69 incendios forestales activos en México
Por medio de una tarjeta informativa, la Conafor informó que estos incendios forestales se encuentran en 18 entidades
Nacional Aeropuerto de Mexicali reanuda operaciones, tras el mal clima del fin de semana
El Aeropuerto Internacional de Mexicali, en Baja California, tuvo que ser cerrado el pasado sábado por la tarde debido al mal clima
Ver más noticias
Ciencia y Tecnología
Brecha en Change.org permitía suplantación de identidad
Foto de Internet

Brecha en Change.org permitía suplantación de identidad

El error de seguridad de Change.org permitía firmar y comentar peticiones a nombre de los millones de usuarios dados de alta en el sistema

diciembre 5, 2018

La organización de consumidores española Facua alertó a la Agencia Española de Protección de Datos (AEPD) sobre una supuesta falla de seguridad en la plataforma de solicitudes Change.org.

El error permitía, de acuerdo con Facua, suplantar la identidad de los usuarios de la página para firmar y comentar peticiones en su nombre, solamente con saber el correo electrónico con el que estaban registrados en su base de datos.

La plataforma reconoció el error y aseguró que lo ha solucionado.

“Con solo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase” detalló.

Este fallo permitía al suplantador un acceso casi completo a la cuenta del usuario suplantado; esto es que se tenía acceso al nombre y apellidos vinculados a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil.

A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas.

“De esta manera, cualquier usuario de Change.org podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas”, señala la organización.

Facua comunicó el error a la plataforma, que lo subsanó el 21 de noviembre, señala el comunicado; sin embargo, negó que esta brecha se haya explotado masivamente.

“Desde 2017 hemos recibido menos de 20 mensajes de nuestros usuarios – representando un 0.00001 por ciento de los mismos – solicitando eliminar su firma porque no habían firmado una petición en concreto”, indicó.

Change.org también comunicó el error a la AEPD, como le pidió la organización de consumidores.

“Hemos solicitado su asesoramiento sobre las medidas adicionales que pudieran ser necesarias para garantizar el respeto de los derechos de nuestros usuarios”, expone la plataforma, que no ha hecho ningún requerimiento de seguridad nuevo a sus usuarios.

Con información de ElDiario.es