[ad_1]

Combien valent vos données de paie ? Probablement beaucoup plus que vous ne le pensez. Une start-up financière qui cible le marché des travailleurs à la demande offre jusqu’à 500 $ à toute personne disposée à remettre le nom d’utilisateur et le mot de passe du compte de paie qui lui ont été donnés par son employeur, ainsi qu’un paiement régulier pour chaque mois suivant au cours duquel ces informations d’identification fonctionnent toujours.

Cette annonce, de workplaceunited[.]com, a promis jusqu’à 500 $ pour les personnes qui ont fourni leurs mots de passe de paie, plus 25 $ par mois pour chaque mois où ces informations d’identification fonctionnaient.

Basé à New York Argyle.com dit qu’il est en train de construire une plate-forme où les personnes qui occupent plusieurs emplois et/ou activités secondaires peuvent améliorer leurs options de crédit et d’emploi en regroupant toutes leurs données de travail de concert en un seul endroit.

« L’accès des consommateurs à la sécurité financière et à la mobilité ascendante dépend de leur accès et de leur contrôle sur leurs propres dossiers d’emploi et de la facilité avec laquelle ils peuvent partager ces dossiers avec les institutions financières », a expliqué Argyle dans un article de blog du 3 mai. « Nous permettons l’accès à un ensemble de données qui, depuis trop longtemps, est resté non standardisé, non réglementé et contrôlé par des entreprises plutôt que par des consommateurs, contribuant ainsi aux inégalités à l’échelle du système. »

Flux d’applications d’Argyle. Image : Argyle.com.

En ce sens, Argyle joue pour une partie discrète d’un marché des données sur l’emploi beaucoup plus vaste dominé par les principaux bureaux de crédit, qui aspirent et vendent l’accès aux données sur l’emploi depuis des années.

Le 800 livres. gorille il y a Équifaxdont le produit The Work Number achète depuis des années des flux de données sur l’emploi de certaines des plus grandes entreprises du monde (les employés consentent à ce partage dans le cadre de leur contrat de travail, et The Work Number permet à quiconque de savoir assez facilement combien vous gagnez) .

Le Work Number est conçu pour fournir une vérification automatisée de l’emploi et des revenus des employeurs potentiels, et des dizaines de milliers d’entreprises lui communiquent les données sur les salaires des employés. Il permet également à toute personne dont l’employeur utilise le service de justifier de ses revenus lors de l’achat d’un logement ou d’une demande de prêt.

Sur son blog, Argyle imagine un monde dans lequel les entreprises choisiraient d’intégrer son interface de plateforme applicative (API) et de partager les données de paie de leurs employés. Dans le même temps, l’entreprise semble faire partie d’un effort dans lequel les travailleurs non salariés sont incités à rembourser la confiance de leurs anciens employeurs en vendant des informations sur la paie.

Si Argyle craint que ces deux objectifs n’entrent en conflit, ce n’est pas évident en regardant certains de ses efforts directs vers le consommateur.

Le site Web illustré ci-dessous invite les visiteurs à « connecter la paie » et ceux qui continuent acceptent que leurs données de paie soient partagées avec une société appelée Gagnerune application mobile de prêt sur salaire qui permet aux utilisateurs d’obtenir une avance sur leur prochain chèque de paie.

Cliquer sur « Connect Payroll » fait apparaître une liste de pages de connexion à la paie pour les entreprises de marque, y compris Walmart, Starbuck, Amazone, Uber, Chipotléetc., avec une fonction de recherche qui révèle les pages de connexion pour tout le monde à partir du Bureau fédéral d’enquête (FBI) au Réserve fédérale et Commission fédérale du commerce (FTC).

La liste Argyle par défaut des pages de connexion à la paie pour les grandes entreprises.

Voici ce qui apparaît lorsque vous effectuez une recherche par « Département de » sur ce site :

L’exploration des entreprises individuelles répertoriées ici produit un formulaire de nom d’utilisateur et de mot de passe qui, dans certains cas, est modifié pour demander un identifiant d’employé autre qu’un nom d’utilisateur, tel qu’un identifiant d’employé, un numéro d’associé ou de partenaire à la place. Voici la page de connexion pour les employés de Starbucks :

Le site illustré ci-dessus vérifie activement si les informations d’identification soumises fonctionnent, en les soumettant directement à l’employeur en question. Cette page d’état Argyle indique « l’état de la connexion de données » du système à d’innombrables employeurs.

Certains d’entre vous pensent peut-être : « Combien d’entre nous connaissent ou possèdent réellement nos mots de passe de paie ? » Selon Argyle, beaucoup de gens le font.

« Chez Argyle, nous connaissons intimement la probabilité qu’une personne connaisse le mot de passe de son compte d’emploi ou de son système de paie, car nous avons vu des centaines de milliers d’utilisateurs fournir avec succès (et sans succès) leurs informations d’identification », explique Argyle. Billy Marsen a écrit le 1er avril. « Nous surveillons de près leur taux de réussite – ce que nous appelons conversion— parce qu’il stimule les performances des produits et des applications que nos clients construisent au-dessus d’Argyle.

Chiffres de « conversion » d’Argyle par employeur. Image : Argyle.com

TERRAINS PEU COMMUNS

BreachTrace a entendu parler de cette société pour la première fois via Twitter par un chercheur en sécurité Kévin Beaumont, qui a pointé vers un nid de domaines associés à l’API d’Argyle, dont presque tous sont désormais hors ligne. À l’époque, Beaumont et d’autres enquêteurs soupçonnaient que les sites faisaient partie d’une escroquerie de phishing élaborée.

Ces sites, qui semblaient regroupés autour d’un recrutement récent diversement appelé «Travailleurs unis, » « UniteAtWork, » « SalaireCompétition » et « Terrains communs», indiquent que la plate-forme d’Argyle a joué un rôle central dans une multitude de campagnes payant des employés d’entreprises spécifiques jusqu’à 100 $ pour leurs mots de passe de compte de paie. en voici un qui cherche T Mobile employés:

Une promotion offrant aux employés de T-Mobile 100 $ pour renoncer à leurs mots de passe de compte de paie T-Mobile.

Une autre promotion récente ciblait les employés de JPMorgan Chasela plus grande institution financière des États-Unis :

Argyle a refusé plusieurs demandes d’interview pour cette histoire, il n’est donc pas clair quel rôle – le cas échéant – l’entreprise a pu jouer dans ces différents sites. Mais pré-constructions de code et instructions publiées au nom de l’entreprise sur Github suggèrent fortement qu’Argyle a joué un rôle déterminant dans l’initiative WageCompete.

Aussi, cette page sur Scopeinc.com dit que le programme WageCompete est fourni par Argyle Expert Services.

Voici un aperçu graphique des différents sites Web mentionnés ici et de leurs liens avec l’API d’Argyle (cliquez pour agrandir) :

Le réseau de sites qui paient les gens pour des mots de passe de paie et leurs connexions à l’API d’Argyle. Cliquez pour agrandir. Image : Total de virus

L’un des sites de ce graphique ci-dessus qui est connecté à l’API d’Argyle — alliances de recherche des travailleurs[.]com – est actuellement en ligne et inclut le même verbiage sur les participants qui sont payés pour leurs identifiants de paie. Les termes et conditions du « programme bêta WorkersApp » ont été définis par une société appelée Alliances de recherche sur les travailleurs LLC, incorporé en février. L’adresse de Workers Research Alliances est à quelques pâtés de maisons du bureau d’Argyle à New York.

« NOUS FAISONS DES CHOSES QUE LES AUTRES N’OSENT PAS FAIRE »

Steve Friedlun consultant informatique dans le secteur des bureaux de service de paie, a déclaré qu’il semble qu’Argyle ait payé des personnes pour les aider à affiner leur API et leur technologie de récupération de données.

« Ils ne paient pas cet argent uniquement pour pouvoir vendre des services aux personnes, ils le font pour maintenir leur API logicielle de grattage d’écran », a déclaré Friedl. « Il s’agit essentiellement de payer des employés pour aider Argyle à pirater leur fournisseur de paie. »

L’automne dernier Argyle annoncé il avait décroché un investissement de 20 millions de dollars de Bain Capital, entre autres. Le co-fondateur de l’entreprise, Homme-poisson Shmulikest décrit comme un «perturbateur» qui dit vouloir rendre les cotes de crédit obsolètes.

« Nous n’avons peur de rien », a déclaré Fishman Magazine de l’autorité. « Nous faisons des choses que les autres n’osent pas faire. »

C’est clair. Hé, je peux soutenir presque tout ce qui désintermédie les vieux bureaux de crédit grinçants d’une manière simple et conviviale. Et la dernière fois que j’ai vérifié, il n’est pas illégal de donner à quelqu’un votre mot de passe, ou d’inciter quelqu’un à le faire volontairement en échange de quelque chose d’autre (à moins que vous ne travailliez peut-être pour une agence fédérale).

Mais je me demande combien d’entreprises répertoriées sur tous ces sites de connexion à la paie réagiront en sachant que leurs marques et leurs logos sont associés à un site qui demande à leurs employés de donner des mots de passe.

BreachTrace a contacté plusieurs sources de haut niveau dans de grandes entreprises dont les pages de connexion sont affichées dans ces programmes de connexion à la paie exécutés sur la plate-forme d’Argyle. Aucune de ces sources n’était autorisée à parler aux médias, mais toutes semblaient assez horrifiées par ce qu’elles voyaient, et chacune a déclaré que les services juridiques de leur employeur lançaient leurs propres enquêtes.

Beaumont a déclaré qu’il craignait que dans certaines entreprises, les informations d’identification de la paie d’un employé puissent fonctionner pour accéder à d’autres parties de l’organisation, ce qui signifie que certains employés peuvent donner plus qu’ils ne le pensent.

« Ce qui m’inquiète, c’est que certaines entreprises utilisent l’authentification unique pour la paie », a déclaré Beaumont. « C’est beaucoup d’accès pour une entreprise de collecte de données. »

Mise à jour, 16 août, 10 h 47 HE : Earnin a déclaré qu’il avait un test d’intégration de la paie de deux mois Earnin avec Argyle, mais qu’il a mis fin à ce test en décembre 2020 et qu’Argyle a fait la promotion Earnin par lui-même. « Earnin ne faisait pas partie de cette promotion et nous ne vendons jamais d’informations sur les clients – en fait, nos accords avec les fournisseurs interdisent explicitement la monétisation des données des utilisateurs », a déclaré la société dans un communiqué écrit.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *