"Entrega tus datos personales y credenciales por U$S 500"

A principios de este año, trabajadores de EE.UU. recibieron un correo electrónico tentador de una organización llamada Workplace Unite. En el mismo se leía:

Proporciónenos sus credenciales de inicio de sesión de su lugar de trabajo y le pagaremos U$S 500. No solo eso, Workplace Unite también seguirá pagando U$S 25 por mes siempre que las credenciales de inicio de sesión sigan funcionando.

Otras marcas y sitios web con nombres similares a "Workers Unite" ofrecieron un pago único de U$S100.

"Workplace Unite tiene como objetivo maximizar el valor personal de los datos de cada trabajador. Estamos buscando personas que trabajen (o solían trabajar) en varias empresas para que se unan a nuestro programa beta pagado y compartan su experiencia laboral con nosotros. Este intercambio de conocimientos nos ayudará a crear una nueva herramienta que pondrá a cada trabajador a cargo de sus propios datos personales".

Algunos de los sitios dijeron que las personas que proporcionan sus credenciales de su cuenta de trabajo les permitirían ver cuánto ganan en comparación con sus pares. Pero este acceso también permite que quien esté recolectando todas estas credenciales obtenga ese tipo de visibilidad a escala, potencialmente monitoreando los salarios o el pago de diferentes roles en varias industrias.

"Al participar en el Programa, acepta proporcionarnos sus credenciales, para que podamos acceder a su/s cuenta/s de trabajo con el fin de ejecutar pruebas de compatibilidad para mejorar. A cambio, le pagaremos de acuerdo con estos Términos".

Detrás del lindo marketing aparece un potencial problema de seguridad y legal. Un empleado que brinde acceso a la infraestructura de su empleador actual o anterior sin autorización podría infringir las leyes. Pero curiosamente, esos correos electrónicos y sitios que ofrecen pagos por los detalles de inicio de sesión están claramente vinculados a una startup llamada Argyle que recientemente recaudó U$S 20 millones en fondos, según un análisis de los investigadores de seguridad y Motherboard.

Motherboard verificó que múltiples ejemplos de dominios sospechosos como Workers Unite que ofrecen pagos, mencionan a Argyle, lo que indica una conexión entre las páginas y la propia Argyle. Esta empresa un corredor de datos con sede en la ciudad de Nueva York, afirma brindar a los clientes información valiosa al actuar como una "puerta de entrada para acceder a los registros de empleo", y dice que tiene unos 40 millones de registros. El memorando de financiación público Argyle dice que la empresa "mantiene datos en vivo de los sistemas que estos empleadores usan para administrar los registros de empleo, y proporciona un conjunto de datos normalizados para que las empresas puedan hacer uso de los mismos de una manera simple pero impactante". En resumen, Argyle recopila el historial de empleo, y luego brinda acceso a eso a los clientes.

Las preguntas sobre de dónde provenían al menos algunos de esos datos comenzaron en marzo, cuando el investigador de seguridad Kevin Beaumont tuiteó capturas de pantalla de lo que dijo que era una "parte realmente loca de phishing dirigido a empresas en todo Estados Unidos".

Algunos de los sitios también mencionan empresas específicas como J.P. Morgan Chase, T-Mobile, la firma de seguros The Hartford y Amazon. Motherboard encontró que muchos de los dominios tienen páginas de Facebook correspondientes, a veces con miles de me gusta.

Después de que Beaumont y otros tuitearon sobre los sitios que ofrecían pagos, se desconectaron.

Otros investigadores encontraron dominios similares. William Thomas, investigador de seguridad de la firma de inteligencia de amenazas Cyjax, tuiteó algunos de sus hallazgos en ese momento y, más recientemente, proporcionó a Motherboard un listado con los dominios que descubrió.

En términos generales, los empleados no tienen autorización general para compartir o hacer lo que deseen con sus credenciales de inicio de sesión corporativas, ya sea para trabajos pasados ​​o actuales. 

En 2013, el periodista Matthew Keys fue acusado de proporcionar a miembros de Anonymous credenciales de inicio de sesión para Tribune Company. Los atacantes luego usaron esas credenciales para atacar el sitio web de Los Angeles Times. Keys fue condenado a dos años de prisión. En otro caso, Christopher Correa, un ex ejecutivo del equipo de béisbol Cardinals, fue sentenciado a cuatro años de prisión por ingresar al sistema de los Cardinals usando una contraseña de su ex empleador.

Fuente: Vice

Suscríbete a nuestro Boletín