Tip Jar do Twitter pode compartilhar seu endereço residencial, tome cuidado

34

O novo recurso Tip Jar do Twitter, que permite enviar dinheiro para seus usuários favoritos do Twitter, é bom, mas também tem um problema de privacidade gritante que você deve estar ciente.

A pesquisadora de segurança Rachel Tobac notou que dar gorjeta a alguém através do Tip Jar pode revelar seu endereço residencial para essa pessoa, o que é um problema de privacidade potencialmente perigoso (sem mencionar que é completamente desnecessário na maioria dos casos).

Isso não acontece em todos os casos. Tip Jar permite que você escolha um provedor de pagamento antes de “dar gorjeta” a um usuário do Twitter, e se você escolher PayPal, o receptor verá seu endereço residencial quando receber a dica.

O líder de produtos do Twitter, Kayvon Beykpour, reconheceu o problema, dizendo que é um problema do lado do PayPal. “Não podemos controlar a revelação do endereço do lado da PayPal, mas adicionaremos um aviso para as pessoas que dão dicas via PayPal para que elas estejam cientes disso”, tuitou.

Publicações Relacionadas

De acordo com PayPal (via Gizmodo), isso só acontece se você enviar a dica como “bens e serviços”; se você escolher uma categoria diferente, como “amigos e família”, seu endereço não será compartilhado. Também parece que isso não acontece se você optar por dar gorjeta usando um provedor de pagamento que não seja PayPal.

Este não é o único problema de privacidade no Tip Jar. De acordo com o tecnólogo Ashkan Soltani, o recurso Tip Jar revela o endereço de e-mail do destinatário, vinculado à sua conta, mesmo quando você não lhes envia dinheiro. Observe que isso é diferente do problema acima, que tem a ver com o endereço físico do remetente.

Tip Jar está atualmente em beta e não está disponível para todos os usuários. Ainda assim, ter seu nome real e endereço residencial (ou mesmo apenas o endereço de e-mail) revelado a estranhos sem uma boa razão é um problema muito sério, mesmo que afete um pequeno subconjunto de usuários.

Em seu FAQ for Tip Jar, o Twitter diz o seguinte: “Quando você adicionar um serviço de pagamento de terceiros ao seu perfil, por favor, note que seu nome de usuário nesse serviço será vinculado publicamente à sua conta do Twitter. Informações sobre você, incluindo seu nome completo ou endereço e sua dica podem ser compartilhadas com o destinatário ou outros, sujeitos aos termos do serviço de pagamento de terceiros. Por favor, revise os termos de cada serviço para obter mais detalhes.”

É difícil dizer, no entanto, quantos usuários lerão este FAQ ou conhecerão os termos de serviços da PayPal o suficiente para saber que seu endereço pode ser compartilhado. Seria pedir demais para o Twitter resolver isso com PayPal e garantir que isso não aconteça?