¿Mi empleador tiene derecho a suplantar una cuenta personal por motivos de seguridad? [cerrado]

Hace unos días recibí un correo electrónico de invitación de LinkedIn de algún otro empleado de la empresa. Hice clic en el enlace del correo electrónico para verificar el perfil de LinkedIn de esta persona, inicié sesión con mi cuenta personal en LinkedIn y, voilà, resultó que era una prueba de phishing de mi empresa para probar qué tan propensos eran los empleados a los ataques de phishing.

No revisé el dominio URL del enlace, cosa que hago la mayor parte del tiempo, pero ese correo electrónico me tomó totalmente por sorpresa.

Hay varias cosas que deben cambiarse en esta prueba:

  • Mi empleador, que contrató los servicios de una empresa de terceros similar a PishMe, hackeó efectivamente una cuenta personal que no tenía nada que ver con la cuenta de la empresa. Me extrajeron la dirección de correo electrónico y la contraseña asociada a mi cuenta de LinkedIn.
  • Tanto mi empleador como la empresa de terceros almacenan el correo electrónico y la contraseña ingresados ​​en el formulario de inicio de sesión falso de LinkedIn. El formulario no envía la información a ningún lado. Sin embargo, esto no está escrito y solo me enteré después de inspeccionar el formulario HTML y JavaScript.
  • En ningún momento de esta prueba se aconseja a la víctima que restablezca inmediatamente la contraseña (en caso de robo de credenciales). Tampoco te dicen que en realidad no se envían las credenciales capturadas y no funciona el formulario. Nunca se sugieren otras medidas básicas de prevención de seguridad, como verificar el dominio en el enlace URL. Esto pone en duda la finalidad educativa y de sensibilización de estas pruebas.
  • El formulario falso de LinkedIn no usó la conexión HTTPS. Las credenciales se enviaron a la empresa de prueba de phishing subcontratada en texto sin formato. Véase el punto 2.
  • ¿LinkedIn autoriza el uso de su imagen y confianza para este tipo de pruebas?

Esta prueba es un ataque de phishing exitoso en el que se filtran credenciales personales no relacionadas con la empresa a terceros. ¿Es esto legal incluso cuando tiene un propósito de seguridad paradójico?

Editar: mi cuenta de LinkedIn tenía una contraseña única (diferente a otras cuentas personales) y no estaba asociada con ningún otro servicio o cuenta externa. Cambié la contraseña de LinkedIn de inmediato una vez que se mostró el mensaje de phishing.

Edición 2: (1) mi preocupación no es sobre la prueba en sí, sino sobre las libertades que se han tomado para llevarla a cabo. No quiero que una empresa pruebe la conciencia de phishing CORPORATIVA con cuentas PERSONALES hasta el punto de que efectivamente robaron mis credenciales. (2) Almacenan el correo electrónico y la contraseña escritos. La empresa de phishing vende este hecho como una característica sorprendente de su plataforma de phishing. Ver viñeta 2. La empresa de phishing solo almacena los tiempos y el usuario corporativo que accedió al formulario.

¿Estás paradójicamente enojado porque están cuidando mal los datos que regalaste descuidadamente?
@Myles He proporcionado 0 información sobre mi empleador.
Voté para cerrar esto como fuera de tema porque es una pregunta legal (que no respondemos aquí). Consulte nuestro centro de ayuda para obtener más información sobre lo que está y no está en el tema aquí.
@AxeEffect: no olvide que muchas personas usan la misma contraseña para su cuenta de Linkedin y para sus cuentas relacionadas con el trabajo. Esta prueba de phishing tiene mucho sentido desde el punto de vista de la seguridad.
"El formulario falso de LinkedIn no utilizó la conexión HTTPS. Las credenciales se enviaron a la empresa de prueba de phishing subcontratada en texto sin formato". - ¿Sabe tanto sobre lo (poco) sofisticado que es y aún así hizo clic en él y proporcionó sus credenciales? ¿Y ahora estás enojado? Esto es una locura. Simplemente cambiaría su contraseña y en el futuro no haría clic en las cosas.
¿Estás seguro de que tus credenciales fueron enviadas a alguna parte? Por lo general, esta prueba descarta lo que ingresó en el formulario y, después de presionar enviar, lo lleva a una página que dice algo como "Si hubiéramos sido los malos, sus credenciales habrían sido expuestas". A menos, por supuesto, que haya sido phishing con éxito y que la empresa no haya realizado ninguna prueba.
Te atraparon haciendo exactamente lo que estaban probando. Ahora estás enojado. ¿En qué? ¿Que eres tan malo con la gestión de contraseñas, o que ellos saben que eres tan malo con la gestión de contraseñas? Cambia tu contraseña de LinkedIn y contempla tu rendimiento. Nadie te obligó a ser descuidado. Apuesto a que, para empezar, la invitación llegó a través del correo electrónico de tu trabajo.
@JoeStrazzere Mi superior jerárquico ha mostrado su apoyo a las inquietudes planteadas y he enviado un extenso correo electrónico explicando el problema al departamento que realizó la prueba de phishing. Estoy esperando una respuesta y actualizaré la publicación en consecuencia cuando tenga alguna noticia. También le planteé la preocupación a LinkedIn con respecto al uso de su imagen y confianza por parte de las empresas de pruebas de phishing. Esperando respuesta.
El título de esta pregunta es muy engañoso. "¿Mi empleador tiene derecho a piratear mi cuenta?" - Pero eso no es lo que se está discutiendo aquí. Si el propósito de las pruebas de phishing era reforzar la seguridad corporativa, podría ser legítimo. El problema real parece estar en ellos usando su cuenta de correo electrónico personal para esto.
Legal o no, esto definitivamente no es ético y estoy asombrado por la cantidad de personas que defienden las acciones de la empresa aquí. Esta es la empresa que obtiene deshonestamente acceso a información privada sin su permiso.
No es legal. No tenían autorización legal para realizar esta prueba de ninguna de las personas o proveedores de servicios involucrados. La razón por la que sería legal con una cuenta corporativa es que son los propietarios de los servicios que están siendo 'atacados', por lo que tienen derecho a autorizar dicho ataque. El hecho de que hayan hecho esto con cuentas PERSONALES los expone a una responsabilidad grave.

Respuestas (3)

Sea legal o no (póngase en contacto con un abogado en su área para verificar esto), creo que constituye una grave violación de la confianza, así como una violación de la privacidad.

El único factor atenuante podría ser si el correo electrónico llegó a través de su correo electrónico de trabajo, en cuyo caso:

  • Argumentarán que un ataque real podría seguir un patrón similar y tuvo lugar en sus máquinas/sistema de correo electrónico.

  • Cambiarán esta situación y dirán que, en primer lugar, no deberías haber estado en un sitio de redes sociales mientras estabas en el trabajo.

En cualquier caso, como usted mismo indicó, dado que no se le notificó la realización de la prueba ni se le aconsejó mejorar sus prácticas, el resultado general es simplemente que se siente traicionado; en realidad, no lo ayudó, excepto al exponer la duplicidad de su empleador. Quiero subrayar que el problema no es que se haya realizado la prueba, es que este tercero "robó" información personal, la envió a través de la web en claro y la almacenó en sus bases de datos. Creo que los empleados deberían haber sido informados de que esto sucedió y asegurados que su información será eliminada o contenida de otra manera.

Podría ir a quejarse con su gerente, pero en realidad, las posibilidades de que haga algo al respecto son bastante bajas. Tenga en cuenta que no estoy diciendo que no deba hablar con él, solo que lo más probable es que no tenga voz en cómo la empresa maneja estas cosas en el futuro.

Ahora que sus ojos se han abierto al tratamiento de sus datos personales por parte de esta empresa, es posible que desee buscar empleo en una empresa que trate a sus empleados de manera más honorable.

@enderland: las cuentas de LinkedIn de la mayoría de las personas están vinculadas a sus correos electrónicos personales. Si el OP recibió un correo electrónico dirigido a su cuenta personal en una máquina de trabajo, o se envió a un dispositivo personal a través de un servidor de la empresa, eso plantea grandes problemas (una empresa probablemente tendrá su correo electrónico personal en su información de contacto). También creo que no notificar a los empleados que se realizó una prueba y que deben cambiar sus contraseñas es un golpe muy bajo. Dicho esto, cubrí que si todo esto ocurriera a través del correo electrónico/máquinas de la empresa, las cosas cambiarían. Tal vez lo aclare.
¿Quizás la empresa solo notificó a las personas que hicieron clic en el correo electrónico? Después de todo, ¿cómo se enteró el OP? No veo ninguna razón por la que deban educar a las personas que sabían que era falso. Es algo así como explicar que no se debe poner el dedo en los zócalos a las personas que no se los metieron en los zócalos.
@Dan: entonces, ¿cómo aprenderá alguien de sus errores? Debe intentar educar a los usuarios, de lo contrario, todos y cada uno de los usuarios serán una responsabilidad mayor.
Los demás no se equivocaron cuando no hicieron clic en el enlace para que no fuera necesario que les dijeran nada. El OP enumeró varias preocupaciones de seguridad sobre el truco y, como tal, creo que aprendió una lección valiosa. También sabía que era un truco patrocinado por la empresa después de intentar iniciar sesión. Así que no estoy seguro de cuánto más necesitaría la empresa para "educar" sobre esto. En mi última empresa, simplemente dijeron: "X cantidad de personas hicieron clic en este enlace de phishing, como siempre, no haga clic en enlaces sospechosos". Sabían que un cierto margen de personas haría clic y estaba dentro de su rango estimado. no pueden llegar a cero
"¿Son éticas las pruebas de penetración social?". Usted piensa que no, y ha respondido en consecuencia. Google la pregunta, esto está lejos de ser un consenso. no se que pienso

Sí, mi empleador anterior haría esto. Enviarían correos electrónicos de phishing y probarían cuántas personas iniciaron sesión. Lo que es inusual en su caso es que lo probaron con una cuenta privada de LinkedIn que no es parte de la empresa. Yo consultaría con un abogado sobre esto. Sé que tienen derecho a probar sus propios sistemas y, a menos que la cuenta de Linkedin sea suya, no veo ninguna razón por la que harían esto.

Espero que no culpes a tu empresa por esto. Simplemente cambiaría la contraseña y aceptaría que cometiste un error vergonzoso. En el futuro, espero que no hagas clic en los enlaces de algún correo electrónico, por muy tentador que sea.

"A menos que la cuenta de Linkedin fuera suya, entonces no veo ninguna razón por la que harían esto". Muchas personas usan la misma contraseña para cuentas privadas y relacionadas con el trabajo, el phishing de LinkedIn es una forma muy realista de piratear una empresa.
@Étienne Cualquier empresa razonable debe saber que un ataque puede ocurrir desde varias fuentes. Eso no significa que tengan derecho a probar cada una de estas fuentes externas. Una empresa razonable debe tener suficiente protección para proteger este tipo de amenazas sin invadir la vida privada de alguien.
Decidieron atacar las cuentas personales en lugar de las de la empresa. Si quieren hacer pruebas de seguridad (práctica que considero legítima) que lo hagan a cargo del riesgo de la empresa y no a cargo de las cuentas personales del empleado. Al mismo tiempo, si hubieran probado las cuentas de la empresa, habrían evitado una violación innecesaria de la cuenta personal.
@Dan No dije nada sobre privacidad. Estaba comentando sobre "No veo ninguna razón por la que harían esto": Veo una razón: desde el punto de vista de la seguridad, el phishing a través de LinkedIn es un ataque muy realista y ampliamente utilizado, por lo que esta es una buena prueba de seguridad desde un punto técnico. de vista (ver también zerofox.com/blog/linkedin-scam ).
Por unos pocos cientos de dólares, lo más probable es que un abogado aconseje al OP que cambie las contraseñas, tenga más cuidado al hacer clic en los enlaces en el trabajo y recomiende no seguir adelante con esto.

La mayoría de los empleadores tienen una política que establece que son propietarios de toda la información enviada desde su red y/o dispositivos y que usted no tiene ninguna expectativa de privacidad, por lo que si estuviera usando credenciales personales para iniciar sesión en una cuenta personal desde una red de la empresa y/o o computadora, les ha dado el derecho de "poseer" esa información. Si le preocupa que su empleador tenga información o credenciales personales, use su propio tiempo, dispositivos y conexión a Internet mientras realiza negocios personales.

Ahora, si esto sucedió usando su dispositivo personal, dirección de correo electrónico y conexión a Internet, podría considerar contactar a un abogado.

Esto se vuelve un poco complicado porque muchas personas pueden revisar sus correos electrónicos de trabajo en su propio teléfono. Si el correo electrónico llegó a su correo electrónico de trabajo, supongo que no tiene motivos para esperar privacidad solo porque abrió ese correo electrónico en su dispositivo personal. Todavía pueden monitorear sus propios artículos sin importar cómo acceda a ellos.
Eso no es 100% cierto en el caso del Reino Unido.
El hecho de que un empleador afirme ser "propietario" de los datos que usted envía a través de su red (incluso si está bajo contrato) no significa que realmente lo sean. Es posible que no tenga el poder de transferir esos derechos: la mayoría de los proveedores de servicios no le permiten revelar contraseñas. Es posible que no tengan derecho a almacenar los datos independientemente porque es desproporcionado para sus propósitos legítimos.
Los datos en realidad no pueden ser 'propietarios'. Puede estar protegido por varios tipos de derechos de propiedad intelectual, pero no creo que ninguno se aplique a una contraseña.
Por lo general, cuando dicen que sí, significa que TI tiene derecho a leer sus datos, pero eso no significa que tenga derecho a acceder al sitio de su banco e iniciar sesión. Incluso si no hicieron nada con él. Tienen derecho a ver, no a usar esas informaciones cuando son personales. Pero, por supuesto, será diferente según el país.
¿Mi empleador tiene derecho a suplantar una cuenta personal por motivos de seguridad? [cerrado]
RespuestasAquíPolítica de privacidad1y, 0v