Twitter Tip Jar puede exponer la dirección de PayPal, lo que genera preocupaciones de privacidad

Esta semana, Twitter comenzó a experimentar con una nueva función llamada "Tip Jar", que permite a los usuarios de Twitter seleccionar perfiles emblemáticos para respaldar su trabajo.

Los usuarios de la aplicación Twitter para iOS y Android que usan Twitter en inglés ahora pueden enviar sugerencias a un grupo limitado de personas en todo el mundo, incluidos creadores, periodistas, expertos y organizaciones sin fines de lucro.

Sin embargo, la nueva función ha generado múltiples preocupaciones entre los usuarios de Twitter: desde exponer la dirección de envío de PayPal del remitente hasta cómo se manejan las "disputas".

Twitter "Tip Jar" puede exponer su dirección de envío de PayPal

Ayer, Twitter lanzó una función "Tip Jar" para los usuarios de aplicaciones de Android e iOS que tienen su idioma preferido configurado en inglés.

La función fue introducida por la empresa para "apoyar las increíbles voces que conforman la conversación de Twitter".

Aunque cualquiera puede enviar sugerencias de efectivo, el grupo que puede recibir tales recompensas actualmente se limita a un puñado de entidades:

"Por ahora, un grupo limitado de personas de todo el mundo que usan Twitter en inglés pueden agregar Tip Jar a su perfil y aceptar sugerencias".

"Este grupo incluye creadores, periodistas, expertos y organizaciones sin fines de lucro. Pronto, más personas podrán agregar Tip Jar a su perfil y nos expandiremos a más idiomas", anunció ayer Twitter. entrada en el blog.

Aquellos interesados ​​en dar propina a alguien pueden usar una variedad de métodos de pago, que incluyen Campamento de la banda, Aplicación de efectivo, Patreon, Paypal, es Venmo.

Además, Twitter no recibe una reducción en el monto de la propina, aunque las redes de pago pueden cobrar una tarifa mínima por la transacción.

Sin embargo, en unas pocas horas, algunos señalaron que debido al funcionamiento de PayPal, es posible que los usuarios no se den cuenta de que su dirección de envío de PayPal estaba expuesta a aquellos a los que dieron propina:

Gran advertencia en el tarro de consejos de Twitter de PayPal. Si envía una sugerencia a una persona que usa PayPal, cuando el destinatario abre el recibo de la sugerencia que envió, obtiene su * dirección *. Solo probado para confirmar la punta @yashar en twitter con paypal y de hecho consiguió mi dirección le di una propina. https://t.co/R4NvaXRdlZ pic.twitter.com/r8UyJpNCxu

- Rachel Tobac (@RachelTobac) 6 de mayo de 2021

En pocas palabras, dado que "propina" cuenta como una transacción en Twitter, al igual que un comprador que paga a un vendedor cuando compra en línea, PayPal puede (de forma predeterminada) exponer la dirección de envío del remitente del dinero a la persona que la recibe.

Usuarios de Twitter incluidos Anashel es Yashar Ali señaló que la solución a este problema potencial es bastante simple.

Aquellos que usan PayPal para enviar sugerencias a través de Twitter Tip Jar pueden seleccionar "No se requiere dirección", a continuación Dirección de Envío campo del formulario antes de enviar el pago:

Además, Twitter tiene actualizado su solicitud de propina y el Centro de ayuda para aclarar que otras aplicaciones, como PayPal, pueden estar compartiendo información entre las personas que envían y reciben propinas.

Bueno, eso fue fácil. Pero solo hay un problema más que otros han planteado.

Pero, ¿qué pasa con las disputas?

¿Qué sucede cuando alguien denuncia a un usuario de Twitter que usa el Tip Jar y posteriormente presenta una "disputa" relacionada con el pago?

Las diferentes redes de pago ofrecen métodos para impugnar los pagos efectuados por muchas razones: como recibir productos defectuosos o no recibir un servicio adecuado, etc.

Pero, en el caso de PayPal, algunos han señalado que si un remitente de propinas presenta una disputa después de dar propina a alguien, las cosas pueden ponerse feas para el destinatario, que ahora tiene que pagar una disputa de $ 20, además de las tarifas. Procesamiento de pagos. , por supuesto, además de reembolsar el monto de la propina:

Sí. También hay un "método" para joder a las personas que usan la devolución de cargo obligatoria de $ 20. Le das a alguien 5 donaciones fraudulentas y solo recibes $ 100 en tarifas de devolución de cargo una vez que se cancelan esas donaciones. Una de las muchas formas en que Paypal está un poco roto.

- briankrebs (@briankrebs) 6 de mayo de 2021

Y, como señaló el reportero de seguridad de información Brian Krebs, si un estafador puede repetir el envío de "sugerencias" varias veces y desafiarlas, él puede, a su vez, hacer recipiente pagar como resultado de iniciar el proceso de disputa, invirtiendo efectivamente la dirección del flujo de dinero.

No está claro qué políticas introducirán PayPal y Twitter para evitar que los actores malintencionados abusen de la función Tip Jar que se acaba de implementar.

Además, en este momento, no todos los usuarios de las aplicaciones de Android e iOS de Twitter pueden tener habilitada la función Tip Jar.

Los perfiles de Twitter con Tip Jar habilitado mostrarán un ícono de "Tip Jar" al lado del botón "seguir (ing)" en su perfil, como se muestra en la ilustración GIF anterior.

Sin embargo, en las pruebas de BleepingComputer, Tip Jar no estaba disponible para algunos usuarios de aplicaciones, incluidos aquellos con cuentas verificadas, aunque el idioma preferido para las cuentas / aplicaciones se estableció en inglés.

Por lo tanto, aquellos interesados ​​en experimentar con la función Tip Jar deben estar atentos a su aplicación para ver si hay actualizaciones.