Xataka – Twitter lanza su ‘bote de propinas’, pero los pagos con PayPal se comparte tu dirección física y tu e-mail si no tienes cuidado

La idea del ‘bote propinas’ (‘Tip Jar’) de Twitter es estupenda: con este sistema será posible enviar dinero a otro usuario para apoyarle si te gusta lo que publica en Twitter. La característica ha empezado ya a desplegarse, pero lo ha hecho con ciertos problemas de privacidad asociados.

Una investigadora de ciberseguridad llamada Rachel Tobac ha indicado que si mandas una propina vía PayPal, eso podría revelar tu dirección física, algo que es innecesario y que puede plantear problemas de privacidad importantes.

Se puede evitar que se comparta tu dirección física

No siempre se revela la dirección física de quien envía la propina. La característica ‘Tip Jar’ te deja elegir entre varios proveedores de pago para mandar la propina al usuario de Twitter. Si usas PayPal, el receptor podrá ver tu dirección física (postal) cuando reciba ese dinero.

Huge heads up on PayPal Twitter Tip Jar. If you send a person a tip using PayPal, when the receiver opens up the receipt from the tip you sent, they get your *address*. Just tested to confirm by tipping @yashar on Twitter w/ PayPal and he did in fact get my address I tipped him. https://t.co/R4NvaXRdlZ pic.twitter.com/r8UyJpNCxu

— Rachel Tobac (@RachelTobac) May 6, 2021

Uno de los máximos responsables de producto en Twitter, Kavyon Beykpour, explicaba que ese problema existe por el propio funcionamiento de Payal. «No podemos controlar la revelación de la dirección física«, explicaba, «pero añadiremos una advertencia para la gente que dé propinas a través de PayPal de forma que estén al tanto de esto».

¿Se puede evitar que se muestra la dirección física? Los responsables de PayPal explican que sí, y que esa revelación solo se produce si envías la propina como «bienes y servicios». Si eliges otra categoría como «amigos y familia» tu dirección física no será compartida ni revelada a quien recibe ese dinero.

Además de ese problema, otro experto llamado Ashkan Soltani descubría que esta característica de Twitter también revela el correo electrónico del receptor de la propina (la asociada a su cuenta de Twitter) incluso cuando no les mandas dinero.

Warning all: @Twitter‘s new «Tip Jar» feature reveals the recipient’s email address that’s linked to their account, even when you don’t send them any actual money

(I got permission from @jason_kint to show his email in this video)

Thread here: https://t.co/Z6WFuXSlgO https://t.co/e8f9J58db7 pic.twitter.com/6u4Vjwkinf

— ashkan soltani (@ashk4n) May 7, 2021

Como luego aclaraba Soltani, el problema afecta a usuarios que no tienen configurado un alias en el servicio PayPal.me: es en esos casos en los que PayPal revela sus direcciones de correo.

Tip Jar está de momento en fase beta y no está disponible para todos los usuarios, pero que se revelen datos como la dirección física o el correo electrónico es algo que plantea problemas de privacidad en ambos extremos.

Aunque en su FAQ Twitter advierte de que efectivamente se podía compartir información «con el receptor u otros» como el nombre completo o dirección, no parece probable que muchos usuarios vayan a consultar ese documento antes de usar la característica. Queda por ver si PayPal y Twitter logran solucionar el problema.


La noticia

Twitter lanza su ‘bote de propinas’, pero los pagos con PayPal se comparte tu dirección física y tu e-mail si no tienes cuidado

fue publicada originalmente en

Xataka

por
Javier Pastor

.