Si donas en Twitter puedes revelar la dirección de tu casa
Investigadores de ciberseguridad han descubierto que las donaciones de Twitter no sólo revelan el correo electrónico del donante, sino también la dirección física de su casa.
10 mayo, 2021 11:12Noticias relacionadas
Esta misma semana Twitter introducía una función que si bien aún no está disponible en España, ha traído cola en el resto del mundo: las donaciones personales. La característica llamada 'Tip Jar' permite a los internautas donar dinero a sus creadores de contenido favoritos. Desgraciadamente, esto conlleva problemas de privacidad.
Algunos expertos, tal y como revela Wired, han descubierto que las donaciones de Twitter dejan expuesta información del donante. Concretamente, su dirección de correo electrónico y, más importante aún, la dirección física de la persona. Agujeros de seguridad que pueden comprometer gravemente a los usuarios.
La clave de estos agujeros estaría en PayPal, una de las plataformas de pago que permiten realizar las donaciones mediante 'Tip Jar'. Hay que aclarar que no todos los métodos de pago de 'Tip Jar' provocan este problema, aunque sí que es cierto que esto problemas relacionados con PayPal existen.
Cuidado con las donaciones
Lo más llamativo de la situación es que sendas brechas de seguridad se descubrieron horas después de que Twitter lanzara la característica en pruebas para usuarios principalmente anglohablantes. Y es que el problema es que pese al carácter anónimo de estas donaciones, Twitter no explica a sus usuarios las implicaciones de elegir una plataforma de pago u otra.
Rachel Tobac, experta en ciberseguridad, fue una de las primeras profesionales en descubrir el problema de la dirección física. Si un usuario hace uso de la función por defecto y envía dinero a un tuitero mediante PayPal, el que recibiera dicha donación sabría la dirección particular de la persona. Algo que, especialmente en este caso, puede ser muy peligroso.
Por si fuera poco, uno de los antiguos responsables de la sección de tecnología de la Comisión Federal de Comercio en Estados Unidos, Ashkan Soltani, también descubrió que el uso de PayPal podía dejar al descubierto los correos electrónicos de los donantes. Lo peor es que este dato podía revelarse incluso sin transacciones de por medio.
Pero ¿por qué ocurre esto? 'Tip Jar' usa plataformas de pago externas como PayPal como Bandcamp o Venmo. En el caso de PayPal, los pagos se realizan de tal forma que las transacciones están pensadas para artículos enviados por correo a direcciones particulares. Así, los artículos 'enviados' tienen una dirección adjunta. Es el usuario el que manualmente tiene que cambiar las opciones en PayPal para evitar que esto suceda.
Por la parte del correo electrónico, lo que sucede es mucho más simple. Por defecto, si el usuario que envía la donación no tiene un nombre establecido en PayPal, se mostrará la dirección de correo que envía la donación. Y sí, es cierto que en tales casos, un usuario podría enviar donaciones a un amigo a sabiendas de que este ya conoce tales datos. Pero recordemos que esta es una función pensada para donaciones anónimas.
¿Qué va a hacer Twitter?
Obviamente, la red social de Jack Dorsey se ha pronunciado al respecto. Un portavoz de Twitter ha explicado a Wired que la plataforma no puede controlar "la revelación de la dirección por parte de PayPal" al ser un método de pago externo. Lo único que pueden hacer al respecto es incluir una advertencia "para las personas que den propinas a través de PayPal para que estén al tanto de esto".
Adicionalmente, Twitter actualizará sus avisos para advertir que algunas de las plataformas de pago usadas por 'Tip Jar' "pueden compartir información sobre personas que se envían donaciones entre sí". Por el momento, los usuarios que tengan acceso a las donaciones de Twitter tienen que tener cuidado con PayPal. No se sabe si PayPal realizará modificaciones para solucionar este problema o, si por el contrario, todo se quedará como está.