Espionaje de empresa INFOMIN a sus empleados mediante KeyLogger

Un KeyLogger es una herramienta que permite almacenar todo lo que un usuario escribe con el teclado, permitiendo almacenar contraseñas, nombres de usuarios, datos bancarios, textos, etc. Ser víctima de esta herramienta es potencialmente peligroso, ya que por lo general se oculta entre los procesos y no nos damos cuenta de que alguien está registrando todo lo que hacemos y enviandolo a un servidor externo.

La empresa INFOMIN, dedicada a otorgar servicios de consultoría tecnológicas a las mineras de chile, está almacenando en sus servidores información obtenida desde un KeyLogger aparentemente de un empleado. La información corresponde al año 2012 y recocleta todo tipo de información como usuarios y contraseñas de Facebook y tiendas comerciales, entre otros. Un claro espionaje de la empresa (o alguien de la empresa) hacia los empleados.

El aviso me lo dió @Shinee_, luego de intentar contactarse con la empresa mediante el correo info@infomin.cl, el cual publican ellos mismos en el footer de su sitio, sin obtener ningun tipo de respuesta.

Los archivos son de acceso publico, sin contraseñas ni ningun mecanismo de protección. Incluso son indexados por los motores de búsquda, como por ejemplo Google. Usando una simple busqueda como "site:infomin.cl filetype:txt" obtenemos el resultado de los archivos que estan dentro del directorio collahuasi:

Y como si fuera poco, el directorio /collahuasi tiene Directory Listing

Analizando sólo alguno de los archivos encontrados, obtenemos datos como credenciales para acceder a cuentas bancaria de banco BCI, tiendas comercials CMR y La Polar.

¿Quien debe encargarse de este tipo de acciones de espionaje dentro de una empresa?

El aviso fue enviado a INFOMIN el día 6 de diciembre del 2012, sin recibir ninguna respuesta.