Новая функция для донатов Twitter Tip Jar может раскрыть адреса отправителя и получателя денег, сообщает портал The Vice.
Генеральный директор SocialProof Security Рейчел Табак обнаружила, что адрес отправителя указан в квитанции, которая приходит получателю от платежного сервиса PayPal. Об этом она сообщила в своем Twitter-аккаунте.
Huge heads up on PayPal Twitter Tip Jar. If you send a person a tip using PayPal, when the receiver opens up the receipt from the tip you sent, they get your *address*. Just tested to confirm by tipping @yashar on Twitter w/ PayPal and he did in fact get my address I tipped him. https://t.co/R4NvaXRdlZ pic.twitter.com/r8UyJpNCxu
— Rachel Tobac (@RachelTobac) May 6, 2021
«PayPal должен, во-первых, обозначить то, какие данные он собирает и, во-вторых, прекратить делиться ими с другими пользователями. Twitter, в свою очередь, несет ответственность за информирование пользователей о том, как использование Tip Jar влияет на их конфиденциальность, ведь многие пользователи не знают об этом», — пишет Табак.
В ходе беседы с порталом Табак также заметила, что многие люди ожидают, что они сохранят свою полную анонимность на портале, а новая функция полностью сводит ее на нет.
Руководитель отдела продуктов Twitter Кайвон Беукпур добавил, что Twitter не может контролировать PayPal, который и раскрывает адреса пользователей, однако со своей стороны они постараются сделать все возможное, чтобы проинформировать людей.
Представитель PayPal Том Хантер отметил, что есть два разных способа отправки денег через их приложение. Пользователи могут отправлять платежи как оплату «товара и услуги» — такой вид платежа предполагает отправку адреса получателю. Также юзер может выбрать тип перевода «друзьям и семье» — такие платежи не делятся адресом с получателем денег.
«Если у некоторых, например, есть бизнес-счет, который в основном используется для продажи товаров и услуг, их тип оплаты будет по умолчанию установлен на «товары и услуги». Это стандартный функционал PayPal. Мы будем тесно сотрудничать с Twitter, чтобы обеспечить осведомленность пользователей о том, как именно работает наш сервис», — пояснил Хантер.
Во время теста, проведенного The Vice, выяснилось, что при попытке отправить платеж пользователю Twitter Paypal позволяет пользователю самостоятельно выбрать вид отправления. При этом способ отправки «друзьям и семье» был выбран по умолчанию.
Исследователь конфиденциальности и безопасности Ашкан Солтани обнаружил еще одну проблему конфиденциальности в Tip Jar.
По его словам, пользователь может узнать адрес электронной почты получателя, который связан с PayPal, даже если пользователь не собирается отправлять им деньги.
«Это невероятно расстраивает, когда технологические компании, такие как Twitter и Facebook, выпускают непроверенные продукты, особенно когда проблемы, которые имеют эти функции, могут нанести значительный ущерб как цифровой, так и физической безопасности пользователей. Многие люди предпочитают держать свою «реальную» личность в секрете по целому ряду причин. Особенно когда они потенциально могут потерять работу или подвергнуться преследованиям за свои взгляды в Twitter», — отметил Солтани.