La idea del 'bote propinas' ('Tip Jar') de Twitter es estupenda: con este sistema será posible enviar dinero a otro usuario para apoyarle si te gusta lo que publica en Twitter. La característica ha empezado ya a desplegarse, pero lo ha hecho con ciertos problemas de privacidad asociados.
Una investigadora de ciberseguridad llamada Rachel Tobac ha indicado que si mandas una propina vía PayPal, eso podría revelar tu dirección física, algo que es innecesario y que puede plantear problemas de privacidad importantes.
Se puede evitar que se comparta tu dirección física
No siempre se revela la dirección física de quien envía la propina. La característica 'Tip Jar' te deja elegir entre varios proveedores de pago para mandar la propina al usuario de Twitter. Si usas PayPal, el receptor podrá ver tu dirección física (postal) cuando reciba ese dinero.
Huge heads up on PayPal Twitter Tip Jar. If you send a person a tip using PayPal, when the receiver opens up the receipt from the tip you sent, they get your *address*. Just tested to confirm by tipping @yashar on Twitter w/ PayPal and he did in fact get my address I tipped him. https://t.co/R4NvaXRdlZ pic.twitter.com/r8UyJpNCxu
— Rachel Tobac (@RachelTobac) May 6, 2021
Uno de los máximos responsables de producto en Twitter, Kavyon Beykpour, explicaba que ese problema existe por el propio funcionamiento de Payal. "No podemos controlar la revelación de la dirección física", explicaba, "pero añadiremos una advertencia para la gente que dé propinas a través de PayPal de forma que estén al tanto de esto".
¿Se puede evitar que se muestra la dirección física? Los responsables de PayPal explican que sí, y que esa revelación solo se produce si envías la propina como "bienes y servicios". Si eliges otra categoría como "amigos y familia" tu dirección física no será compartida ni revelada a quien recibe ese dinero.
Además de ese problema, otro experto llamado Ashkan Soltani descubría que esta característica de Twitter también revela el correo electrónico del receptor de la propina (la asociada a su cuenta de Twitter) incluso cuando no les mandas dinero.
Warning all: @Twitter's new "Tip Jar" feature reveals the recipient's email address that's linked to their account, even when you don't send them any actual money
— ashkan soltani (@ashk4n) May 7, 2021
(I got permission from @jason_kint to show his email in this video)
Thread here: https://t.co/Z6WFuXSlgO https://t.co/e8f9J58db7 pic.twitter.com/6u4Vjwkinf
Como luego aclaraba Soltani, el problema afecta a usuarios que no tienen configurado un alias en el servicio PayPal.me: es en esos casos en los que PayPal revela sus direcciones de correo.
Tip Jar está de momento en fase beta y no está disponible para todos los usuarios, pero que se revelen datos como la dirección física o el correo electrónico es algo que plantea problemas de privacidad en ambos extremos.
Aunque en su FAQ Twitter advierte de que efectivamente se podía compartir información "con el receptor u otros" como el nombre completo o dirección, no parece probable que muchos usuarios vayan a consultar ese documento antes de usar la característica. Queda por ver si PayPal y Twitter logran solucionar el problema.
Ver 6 comentarios