您的工资单数据值多少钱?可能比你想象的要多。一个针对演出工人市场的金融初创公司向愿意使用其雇主提供给他们的Payroll账户用户名和密码的人提供高达500美元,以及每个月后的经常付款,其中凭据仍然工作。
纽约的Argyle.com表示,它建立了一个平台,通过在一个地方汇集所有演出工作数据,可以通过汇集所有演出工作数据来改善他们的学分和就业选择。
“消费者的财务安全和向上流动性取决于他们对自己的就业记录的访问和控制,以及他们可以通过金融机构分享这些记录,”阿尔盖尔在五月三个博客岗位中解释。 “我们能够访问DataSet的访问,因为太长时间,由公司而不是消费者的公司而非消费者控制,促进了系统范围的不平等。”
从这个意义上说,argyle正在为主要的信用局主导的更大的就业数据市场的离散块发挥作用,这已经呼吸并销售了多年的就业数据。
800磅。大猩猩有Equifax,其工作编号产品多年来购买的就业数据流出来自世界上一些最大的公司(作为其雇佣合同的一部分同意这一分享的员工,并且任何人都会让任何人学习如何容易你的赚得很多)。
工作号码旨在为潜在雇主提供自动化的就业和收入核查,而数万家公司向其报告员工薪资数据。它还允许任何雇主使用该服务的人在购买房屋或申请贷款时提供其收入的证明。
在其博客上,Argyle想象一个公司选择集成其应用平台接口(API)并分享其员工工资数据的世界。与此同时,该公司似乎是通过销售工资核证凭证促使非养老工人呼偿其雇主信任的努力的一部分。
如果argyle担心这两个目标可能会以某种方式发生冲突,这是通过观察其一些直接的消费努力来显而易见。
如下图所示的网站提示访问者“连接工资单”,那些与叫做刽子子的公司共享的人的工资单数据,这是一个移动发薪日贷款应用程序,让用户在即将到来的薪水上提前。
点击“Connect Payroll”为品牌名称公司提供了一份Payroll登录页面,包括沃尔玛,星巴克,亚马逊,优步,Chipotle等,其中搜索功能为来自联邦调查局(FBI)的每个人都显示登录页面(FBI )向美联储和联邦贸易委员会(FTC)。
以下是在本网站的“部门”搜索时出现的:
钻入这里列出的个别公司生成了一个用户名和密码形式,在某些情况下被修改为请求除用户名之外的员工标识符,例如员工ID,关联或伙伴编号。这是星巴克员工的登录页面:
上面的网站通过将其直接提交给有关雇主来积极检查是否有关任何提交的凭据。此argyle状态页面表示系统的“数据连接状态”到无数雇主。
有些人可能会思考,“我们中有多少人真实地知道或有我们的工资密码?”据argyle说,很多人都这样做。
“在亚喀尔,我们非常熟悉有人知道他们的就业账户或工资系统的密码有多可能,因为我们已经看到了数十万用户(并且不成功)提供了他们的凭据,”Argyle的Billy Mardsen写道1.“我们密切监测他们的成功率 - 我们称之为转换 - 因为它推动了我们客户在argyle顶部建立的产品和应用程序的表现。”
Krebsonsecurity首次通过Twitter从安全研究员Kevin Beaumont中听到这家公司,他们指向与argyle的API相关的域名 - 几乎所有这些都是离线的。当时,Beaumont和其他人挖掘这个疑似的网站是精心制作的网络钓鱼骗局的一部分。
这些网站似乎在最近的招聘努力周围被分组,各种招聘努力各种称为“工人联合”,“曼特劳德,”“Wagecompete”和“公寓”,表明Argyle的平台在一名竞选员工在特定公司支付员工的竞选活动中他们的工资账户密码100美元。这是一个寻求T-Mobile员工的人:
最近促销的另一个促进员工在美国最大的金融机构J.P.摩根大通:
亚皆老街下降了对这个故事的多次面试要求,因此目前尚不清楚有多少角色 - 如果有的话 - 公司可能在这些各种网站上发挥作用。但是,公司名称在GitHub上发布的代码预爆发和说明强烈建议argyle在Wagecompepe计划中是有助于的。
此外,在Scopeinc.com上的此页面表示Wagecompete计划由argyle专家服务提供。
这是一个图形看这里提到的各种网站及其与Argyle API的联系(点击放大):
上面的一个地点之一,它与Argyle的API相关联 - WorkerResearchAlliances [。] Com - 目前居住,包括与参与者获得其工资单凭证的报酬相同的术语。 “WorkerApp Beta计划”的条款和条件由一家名为Workers Research Alliances LLC的公司设定,于2月份纳入。工人研究联盟的地址只是纽约市阿尔盖尔办事处的几个街区。
Teve Friedl是薪资服务局行业的IT顾问表示,它似乎似乎有竞技仪一直支付人员帮助他们改进他们的API和数据刮擦技术。
“他们没有支付这笔钱只是为了能够出售人员服务,他们正在这样做,以维持他们的屏幕刮擦软件API,”Friedl说。 “这基本上是支付员工,帮助Argyle攻击他们的薪资提供商。”
最后秋季公布宣布已从贝恩首都达到2000万美元的投资。该公司的联合创始人Shmulik Fishman被描述为一个“干扰者”,他说他希望使信用评分过时。
“我们无所畏惧,”鱼曼告诉权威杂志。 “我们做别人不敢做的事情。”
太清楚了。嘿,我可以落后几乎所有谁以直接和消费者友好的方式拒绝了吱吱作响的旧信用局。我最后一次检查过,不是法律给某人你的密码,或者诱使有人愿意为别的东西做别的东西(否则也许你为联邦机构工作)。
但我想知道所有这些工资核算网站上市的公司将如何响应,了解他们的品牌和徽标与询问其员工赠送密码的网站相关联。
Kresonsecurity在这些主要公司联系了多个高级来源,其登录页面显示在argyle平台上的这些工资单连接程序中。这些来源都没有被授权与媒体交谈,但在他们看到的内容似乎都相当恐惧,而且每个人都表示,他们的雇主的法律部门正在推动自己的调查。
Beaumont表示他担心,在一些公司,员工的工资单凭证可能会努力进入组织的其他部分 - 这意味着一些员工可能会放弃超过他们的意识。
“我的担忧是一些公司使用单一登录薪资,”Beaumont说。 “这是一家数据收获公司的大量访问权限。”
argyle是格子花呢上的戏剧(https://en.wikipedia.org/wiki/plaid_(compompany))?它们为所有这些个人金融聚合器提供后端集成和登录服务。
在我的雇主那里以任何价格对我来说是值得的。第二次你被发现,你会失去你的工作,可能是你的名字爆炸了社交媒体,潜在地面对刑事指控,并将成为终身的危险,以便再次在该行业中工作。
这在每天跨越大量平台时会发生这种情况。 SaaS的设计方式是为一个平台提供与下一个平台的透明方法。如果您查看O365及其开箱体验,它旨在为员工提供他们的数据到第三方。
工资单更敏感吗?也许很难说这取决于人的角色和访问(与其他平台一样)。假设该人只能访问他们的工资单陈述,我不确定这将是重要的,对于更多全球访问的工资员,这肯定会是一个不同的故事。
就凭证(再次假设我不想尝试),如果遵循标准认证最佳实践
也许我正在看这个错误,但在大多数情况下,我看不到这个问题(再次在我的部分上做出了许多假设)。
适当实施的MFA应至少为此提供控制。如果没有别的,这将有助于跟踪登录尝试,并提供一种方法来提醒并在提示生成时通知用户。
无论如何,这是一个可怕的商业模式。它将雇员诱使违反公司政策的风险谴责或彻底终止。哪些业务确实*不是*有一个策略反对共享登录凭据?
您无法使“信用分数过时”,他们对美国社会的成功取决于这三位数字,以获得金融支持,住房甚至就业的价值。
恐慌认为另一个国家可以在政府工人上购买就业数据。想象一下,如果该网站被黑了。
将凭据输入到.xyz以结尾的域名是一个好主意,无人说。
BTW,Maltego应用程序(最后一个图表)是最好的工具删除了域名,电子邮件,IP地址和电话号码之间有趣的连接,imho!
顾问:借用手表并告诉您时间并保持手表*的人。
*腕表在此,请原谅表达,案例是劳力士(TM),但祝你在其他任何地方购买一个500美元,甚至每月清洁一次(数据库),因为这是一个月的每月重复收费。必须由授权服务经销商(匿名Fintech Startup)进行。该月度经常性收费据说是(Duckduckgo)的范围为600- $ 1000,具体取决于型号(手表或数据库)的型号。
放弃您的财务计算器。迭代没有超越功能来解决。假设“真实名称”是随机分布的,从数字开始(包括elon的孩子,王子等)或字母[a-z]。无论如何,必须报告平均工资......美国劳工部:公平劳动标准法案(FLSA)和“演出经济”可以与工业和地理的国家平均值相关:https://www.dol.gov/general/主题/统计/ Wagesearnings让(私营部门/演出经济)游戏开始。它是“发现”公共扇区数据库三元组(真实姓名,用户名,工资单)是相当毫无意义的,因为可以模拟配置文件(https://www.federalpay.org/gs/2021)
无论钱提供如何,我都可以轻松地看到人们注册这一点。因为,作为“社会工程:因为因为人类愚蠢而没有补丁”口号说,人们是愚蠢的。
我在一个学术图书馆工作,一个小型大学分支校园。上周我正在帮助一个公开的赞助人登录Gmail,我很震惊地看看浏览器中有多少名记录登录。他让我帮他清洁他的电脑,我告诉他我会照顾它。在挖掘计算机时,我发现有人将他们的Gmail链接到自动登录。现在,这个下一部分可能是显而易见的,但我只使用Gmail的基本电子邮件功能功能,所以我不熟悉这个,加上它不是我的主要电子邮件系统。此人还将20多个网站登录密码下载到此公共计算机的浏览器上。我们正在谈论社会保障,Netflix,美国军队,VPN。所有这些凭据都坐在那里。通过单击小显示图标,密码完全可见。
我看着一些密码,看看他是否正在保持良好的密码安全性,而且他不是。虽然他有两个或三个不同的密码,但主要使用所有帐户的一个密码。它并不严重,我相信彩虹桌子会迅速下降。
我可以轻松地看到人们卖掉雇主的雇主“高达250美元”。 最糟糕的部分是我们现在只有三台公用电脑 - 通常有六个 - 第三台计算机也有人登录了Gmail。 我对人性没有信心。 犯罪分子或非罪犯。 浏览器现在在关闭时刷新所有cookie和缓存。