Fintech Startup ofrece $ 500 por contraseñas de nómina – Krebs on Protection


¿Cuánto valen los datos de su nómina? Probablemente mucho más de lo que crees. Una puesta en marcha financiera que se dirige al mercado de trabajadores subcontratados ofrece hasta $ 500 a cualquier persona que esté dispuesta a entregar el nombre de usuario y la contraseña de la cuenta de nómina que le proporcionó su empleador, además de un pago typical por cada mes posterior en el que esas credenciales aún funcionen.

Este anuncio, de workunited (.) Com, prometía hasta $ 500 para las personas que proporcionaron sus contraseñas de nómina, más $ 25 al mes por cada mes que esas credenciales siguieran funcionando.

Con sede en Nueva York Argyle.com dice que está construyendo una plataforma en la que las personas que trabajan en varios trabajos y / o actividades secundarias pueden mejorar sus opciones de crédito y empleo al agrupar todos los datos de su trabajo en un solo lugar.

«El acceso de los consumidores a la seguridad financiera y la movilidad ascendente depende de su acceso y command sobre sus propios registros de empleo y de la facilidad con la que puedan compartir esos registros con las instituciones financieras», explicó Argyle en una publicación de blog del 3 de mayo. «Permitimos el acceso a un conjunto de datos que, durante demasiado tiempo, no ha sido estandarizado, regulado y controlado por corporaciones en lugar de consumidores, lo que contribuye a las desigualdades en todo el sistema».

Flujo de aplicaciones de Argyle. Imagen: Argyle.com.

En ese sentido, Argyle está jugando por una porción discreta de un mercado de datos laborales mucho más grande dominado por los principales burós de crédito, que han estado acumulando y vendiendo acceso a datos laborales durante años.

Las 800 libras. gorila hay Equifax, cuyo producto The Operate Amount ha comprado durante años flujos de datos de empleo de algunas de las empresas más grandes del mundo (los empleados dan su consentimiento para que se comparta como parte de su contrato de trabajo, y The Do the job Range hace que sea bastante fácil para cualquiera saber cuánto gana) .

El Número de trabajo está diseñado para proporcionar verificación automatizada de empleo e ingresos para posibles empleadores, y decenas de miles de empresas le informan sobre los datos salariales de los empleados. También permite que cualquier persona cuyo empleador utilice el servicio proporcione prueba de sus ingresos al comprar una vivienda o solicitar un préstamo.

En su blog site, Argyle imagina un mundo en el que las empresas eligen integrar su interfaz de plataforma de aplicaciones (API) y compartir los datos de la nómina de sus empleados. Al mismo tiempo, la empresa parece ser parte de un esfuerzo en el que se pide a los trabajadores no asalariados que devuelvan la confianza de sus antiguos empleadores vendiendo credenciales de nómina.

Si a Argyle le preocupa que estos dos objetivos puedan entrar en conflicto de alguna manera, eso no es obvio al observar algunos de sus esfuerzos directos al consumidor.

El sitio website que se muestra a continuación solicita a los visitantes que «conecten la nómina», y aquellos que proceden aceptan que sus datos de nómina se compartan con una empresa llamada Ganando, una aplicación móvil de préstamos de día de pago que permite a los usuarios obtener un anticipo de su próximo cheque de pago.

Al hacer clic en «Conectar nómina», aparece una lista de páginas de inicio de sesión de nómina para empresas de marca, que incluyen Walmart, Starbucks, Amazonas, Uber, Chipotle, etcetera., con una función de búsqueda que revela páginas de inicio de sesión para todos los Oficina Federal de Investigaciones (FBI) al Reserva Federal y Comisión Federal de Comercio (FTC).

La lista Argyle predeterminada de páginas de inicio de sesión de nómina para las principales empresas.

Esto es lo que surge cuando busca por «Departamento de» en este sitio:

Profundizar en las empresas individuales enumeradas aquí generate un formulario de nombre de usuario y contraseña que, en algunos casos, se modifica para solicitar un identificador de empleado que no sea un nombre de usuario, como una identificación de empleado, número de asociado o socio. Aquí está la página de inicio de sesión para los empleados de Starbucks:

El sitio que se muestra arriba comprueba activamente si las credenciales enviadas funcionan, enviándolas directamente al empleador en cuestión. Esta página de estado de Argyle indica el «estado de la conexión de datos» del sistema a innumerables empleadores.

Algunos de ustedes pueden estar pensando: «¿Cuántos de nosotros conocemos o tenemos nuestras contraseñas de nómina?» Según Argyle, mucha gente lo hace.

«En Argyle, estamos íntimamente familiarizados con la probabilidad de que alguien sepa la contraseña de su cuenta de empleo o sistema de nómina, porque hemos visto a cientos de miles de usuarios proporcionar con éxito (y sin éxito) sus credenciales», dijo Argyle. Billy Mardsen escribió el 1 de abril. «Supervisamos de cerca su tasa de éxito, lo que llamamos conversión—Porque impulsa el rendimiento de los productos y aplicaciones que nuestros clientes construyen sobre Argyle ”.

Números de «conversión» de Argyle por empleador. Imagen: Argyle.com

TERRENOS NO COMUNES

KrebsOnSecurity escuchó por primera vez sobre esta empresa a través de Twitter de un investigador de seguridad Kevin Beaumont, quien señaló un nido de dominios asociados con la API de Argyle, casi todos los cuales están ahora sin conexión. En ese momento, Beaumont y otros que investigaban esto sospechaban que los sitios eran parte de una elaborada estafa de phishing.

Estos sitios, que parecían estar agrupados en torno a un reciente esfuerzo de contratación denominado de diversas formas «Trabajadores Unidos, «»UniteAtWork, «»WageCompete» y «CommonGrounds, «Indican que la plataforma de Argyle ha sido elementary en una serie de campañas que pagan a los empleados de empresas específicas hasta $ 100 por las contraseñas de sus cuentas de nómina. Aquí hay uno que busca T-Cellular empleados:

Una promoción que ofrece a los empleados de T-Mobile $ 100 para renunciar a las contraseñas de sus cuentas de nómina de T-Cellular.

Otra promoción reciente se dirigió a los empleados de JPMorgan Chase, la institución financiera más grande de los Estados Unidos:

Argyle rechazó varias solicitudes de entrevistas para esta historia, por lo que no está claro qué papel, si es que lo hubo, pudo haber desempeñado la empresa en estos diversos sitios. Pero preconstrucciones de código e instrucciones publicadas con el nombre de la empresa en Github Sugieren firmemente que Argyle fue fundamental en la iniciativa WageCompete.

También, esta página en Scopeinc.com dice que el programa WageCompete es proporcionado por Argyle Professional Companies.

A continuación, se muestra una vista gráfica de los diversos sitios website mencionados aquí y sus vínculos con la API de Argyle (haga clic para ampliar):

La crimson de sitios que pagan a las personas por contraseñas de nómina y sus conexiones a la API de Argyle. Click para agrandar. Imagen: Virustotal

Uno de los sitios en ese gráfico anterior que está conectado a la API de Argyle: trabajadorresearchallianzas (.) com – está actualmente en vivo e incluye la misma palabrería acerca de que los participantes reciben un pago por sus credenciales de nómina. Los términos y condiciones del «programa beta de WorkersApp» fueron establecidos por una empresa llamada Alianzas de investigación de trabajadores LLC, incorporado en febrero. La dirección de las Alianzas para la Investigación de los Trabajadores es a solo unas cuadras de la oficina de Argyle en la ciudad de Nueva York.

«HACEMOS COSAS QUE OTROS NO SE ATREVEN A HACER»

Steve Friedl, un consultor de TI en la industria de oficinas de servicios de nómina, dijo que parece que Argyle ha estado pagando a las personas para que las ayuden a refinar su API y la tecnología de extracción de datos.

“No están pagando este dinero solo para poder vender servicios a las personas, lo están haciendo para mantener su API de software de raspado de pantalla”, dijo Friedl. «Básicamente, se trata de pagar a los empleados para que ayuden a Argyle a piratear su proveedor de nómina».

Argyle el otoño pasado Anunciado había conseguido una inversión de $ 20 millones de Bain Cash, entre otros. El cofundador de la empresa, Shmulik Gyojin, es descrito como un «disruptor» que dice que quiere hacer obsoletos los puntajes de crédito.

«No tenemos miedo», dijo Fishman. Revista Authority. «Hacemos cosas que otras personas no se atreven a hacer».

Eso está claro. Oye, puedo respaldar casi cualquier cosa que elimine la intermediación de las viejas oficinas de crédito chirriantes de una manera sencilla y amigable para el consumidor. Y la última vez que verifiqué, no está en contra de la ley dar a alguien tu contraseña o inducir a alguien a que lo haga voluntariamente a cambio de otra cosa (a menos que tal vez trabajes para una agencia federal).

Pero me pregunto cuántas de las empresas que figuran en todos estos sitios de conexión de nómina responderán al saber que sus marcas y logotipos están asociados con un sitio que pide a sus empleados que entreguen contraseñas.

KrebsOnSecurity se puso en contacto con varias fuentes de alto nivel en las principales empresas cuyas páginas de inicio de sesión se muestran en estos programas de conexión de nómina que se ejecutan en la plataforma de Argyle. Ninguna de esas fuentes estaba autorizada para hablar con los medios de comunicación, pero todas parecían bastante horrorizadas por lo que estaban viendo, y cada una dijo que los departamentos legales de su empleador estaban iniciando sus propias investigaciones.

Beaumont dijo que le preocupa que en algunas empresas, las credenciales de nómina de un empleado puedan funcionar para obtener acceso a otras partes de la organización, lo que significa que algunos empleados pueden estar regalando más de lo que se dan cuenta.

“Mi preocupación es que algunas empresas utilizan el inicio de sesión único para la nómina”, dijo Beaumont. «Eso es mucho acceso para una empresa de recolección de datos».





Enlace a la noticia original