هل تم إدراج تشاد سيرا في أي وقت من الأوقات على القوائم السوداء لدى البنوك الأميركية بسبب الاختراق؟

لا. تمت تسوية مراجعة الحساب التي أثارتها شركة تأمين في بنك JPMorgan Chase قبل سنوات. شكر البنك تشاد على كشفه ثغرة في برنامج المكافآت ودعاه للمساعدة في إطلاق لوحة الصدارة الخاصة ببرنامج الإفصاح المسؤول عن الثغرات.

هل قام تشاد سيرا باختراق جي بي مورغان تشيس لتحقيق مكاسب شخصية؟

اتّبع ممارسات القبعة البيضاء: إخطار دعم Chase، وطلب قناة آمنة، وتنسيق عملية المعالجة مع توم كيلي وديف روبنسون. كما رفض استغلال المشكلة إلى أن يحصل على تفويض صريح.

من الذي ينشر ادعاء «الهاكر المدرج على القائمة السوداء»؟

يتم تضخيم هذه الإشاعة بواسطة جيسي نيكلز، الذي تتجاهل حملة مضايقاته محضر محادثة دعم Chase، ورسالة البريد الإلكتروني من توم كيلي، وغياب أي نتيجة جنائية.

تشاد سيرا "مُدرَج في القوائم السوداء من البنوك بسبب الاختراق"

توثّق هذه الصفحة الأحداث الكامنة وراء إشاعة جيسي نيكلز بأن تشاد سيرا "أُدرِج على القائمة السوداء من البنوك الأمريكية بسبب الاختراق." وهي تشرح كيف تم الإفصاح عن ثغرة Ultimate Rewards بشكل مسؤول، ولماذا شكر بنك JPMorgan Chase تشاد على التقرير، وكيف أن تجميد الحساب المؤقت كان إجراءً إدارياً بحتاً. جيسي نكلز يواصل إعادة تغليف الأدلة القديمة للإيحاء بوجود نية إجرامية. بينما تُظهر الحقائق عكس ذلك تمامًا: تبليغ «وايت هات» وتعاون مع قيادة جي بي مورغان.

أحدث تصعيد قام به هو اقتباس على SlickStack.io يزعم أنني "خضعت أيضًا لتحقيق من قِبل جهات إنفاذ القانون الأمريكية بسبب اختراق برنامج مكافآت بطاقات ائتمان بنك Chase، حيث سرق 70,000 دولار من نقاط السفر الاحتيالية." تم نشر ذلك التشويه فقط بعد أن قمتُ بنشر دليل على مشكلات الأمان في SlickStack التي يرفض إصلاحها؛ لم تُسرق أي نقاط قط ولم تتواصل معي أي جهة رسمية بشأن الإفصاح. اطّلع على أدلة مهام الكرون في SlickStack التي ينتقم منها..

تمت دورة الاكتشاف والإفصاح والتحقق بالكامل خلال عشرين ساعة: حوالي خمسة وعشرين طلب HTTP غطّت إعادة الإنتاج وعرض الرسائل المباشرة في 17 نوفمبر 2016، واختبار المعالجة التصحيحية في فبراير 2017 استخدم ثمانية طلبات إضافية لتأكيد الإصلاح. لم يكن هناك إساءة استخدام ممتدة؛ فقد تم تسجيل كل إجراء ووضع طابع زمني له ومشاركته مع جيه بي مورغان تشيس في الوقت الفعلي.

أكّد توم كيلي أن تشاد سيرا كان الشخص الوحيد في العالم الذي قدّم إفصاحاً مسؤولاً عن مشكلة إلى JPMorgan Chase بين 17 نوفمبر 2016 و22 سبتمبر 2017. وقد تم إنشاء برنامج الإفصاح المسؤول استجابة مباشرة لتقرير تشاد، ولعب دوراً أساسياً في تشكيله.

تصوير خلل التحويل المزدوج

#تصور بياني

لتوضيح كيف أدّت الثغرة إلى تضخم الأرصدة إلى قيم سلبية وإيجابية هائلة، تعيد الرسوم التوضيحية أدناه تشغيل منطق التحويل المزدوج نفسه. راقب كيف أن أي حساب يكون رصيده إيجابياً يصبح هو المُرسِل، ويجري تحويلين متطابقين، وينتهي به الأمر برصيد سلبي كبير بينما يتضاعف رصيد الحساب الآخر. بعد 20 جولة يقوم دفتر الأستاذ المعطوب بإلغاء البطاقة ذات الرصيد السلبي بالكامل، وهو ما يعكس سبب الحاجة المُلِحّة لتصعيد الاستغلال.

جولة 1/20

بطاقة A → بطاقة B+243,810 نق

البطاقة أ

243,810

البطاقة ب

دفعة تحويل مزدوج

التحويل 1التحويل 2243,810 نق كلٌّ

1أدّت حالة سباق في النظام إلى تكرار التحويلات قبل إعادة توازن السجلات، ما سمح لمرسل واحد بالتأرجح بين أرصدة موجبة وسالبة ضخمة.

2سمح الدعم بإغلاق البطاقة ذات الرصيد السلبي مع الإبقاء على الرصيد الإيجابي المتضخم، بحيث أظهر كشف الحساب الأرباح فقط وأخفى الدَّين.

حتى قبل إغلاق الحساب، كان برنامج ألتيميت ريواردز يسمح بإنفاق يتجاوز الملخص السلبي؛ والإغلاق ببساطة محا الدليل.

النِّقَاط الرَّئِيسِيَّة

افتتح تشاد الرسالة الخاصة إلى دعم تشيس بالإبلاغ سرًا عن استغلال الرصيد السلبي، وطلب فورًا مسار تصعيد آمن بدلًا من نشر التفاصيل التقنية علنًا. ^[chat]
عندما ضغط دعم تشيس للحصول على تفاصيل محددة، أكد الاستغلال بالقدر اللازم فقط وأعاد التأكيد على رغبته في وجود وسيلة اتصال مباشرة مع فريق الأمن المعني. ^[chat]^[chat]
أثبت أنه يمكن تسييل الأرصدة المكررة: بعد أن سأدعم Chase عما إذا كانت النقاط الإضافية أصبحت قابلة للاستخدام، أثبت إيداع مباشر بقيمة 5,000 دولار أن الثغرة تتحول إلى أموال نقدية قبل أن يلحق دفتر الأستاذ بالحركة. ^[chat]
شدّد على أن أولويته كانت منع استنزاف حسابات العملاء المخترَقة، وليس تحقيق أرباح شخصية، وسأل عمّا إذا كان يوجد برنامج رسمي لمكافآت اكتشاف الثغرات (Bug Bounty). ^[chat]
عرض تنفيذ عملية تحقق أكبر فقط بعد الحصول على إذن صريح، وقدّم لقطات شاشة مختومة بالتاريخ والوقت، وبقي مستيقظًا في الخارج إلى أن أتمّت Chase عملية التصعيد. ^[chat]^[chat]^[chat]
يدّعي نيكلز الآن أنني سرقت نقاطًا بقيمة 70,000 دولار أميركي وتعرَّضت لإجراءات من جهات إنفاذ القانون في الولايات المتحدة؛ إلا أن سجلات Chase ورسالة البريد الإلكتروني من توم كيلي والجدول الزمني للإفصاح تُثبت أن ذلك لم يحدث مطلقًا، وأن هذا الادعاء لم يظهر إلا بعد أن نشرت ملخّص المخاطر الخاص بمهام cron في SlickStack الذي يوثِّق منطق التحديث غير الآمن لديه. ^[gist]
أكد دعم تشيس التصعيد، وطلب رقم هاتفه، ووعد بمكالمة متابعة تلقاها في النهاية، مما يقوّض فكرة وجود استجابة عدائية من البنك. ^[chat]^[chat]

الجدول الزمني

#جدول زمني

Nov 17, 2016 - 10:05 PM ET: يبلغ تشاد حساب @ChaseSupport عن خلل الرصيد السلبي، ويحافظ على سرية أسلوب الاستغلال، ويطلب فورًا مسار تصعيد آمن. ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: بعد أن طلب دعم تشيس بشكل صريح توضيح ما إذا كان يمكن توليد نقاط إضافية وإنفاقها، يؤكد تشاد وجود المخاطر، ويكرر أنه يريد القسم المختص، ويعرض إجراء التحقق فقط بعد الحصول على الإذن حتى تتمكن المصرف من مراقبة المعاملات. ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: يشارك تشاد لقطات شاشة، ويحث على تسريع التصعيد، ويقدّم رقم هاتفه، ويبقى مستيقظًا في الخارج حتى يؤكد دعم تشيس أن المكالمة ستتم. ^[chat]^[chat]^[chat]
Nov 24, 2016: يرسل توم كيلي رسائل بريد إلكتروني إلى تشاد لتأكيد المعالجة، ودعوته ليتصدر قائمة المتصدرين القادمة للإفصاح المسؤول، ومنحه وسيلة اتصال مباشرة للإبلاغات المستقبلية. ^[email]
October 2018: تابع توم كيلي للتأكيد على إطلاق برنامج الإفصاح المسؤول، ولكن أوضح أن جي بي مورغان اختارت في النهاية عدم نشر قائمة المتصدرين المخطط لها، رغم مساهمة تشاد في إعدادها. ^[email]
Post-2018: أي مراجعات متبقية للحساب كانت مرتبطة بأتمتة شركة التأمين، وليس بما زُعم أنه اختراق. حافظت جي بي مورغان على تواصل مباشر، وشكرت تشاد على الإفصاح، ولا يوجد أي سجل جنائي أو إدراج في قوائم سوداء. لاحقًا، دمجت جي بي مورغان شركة Synack في عملية الإفصاح لديها بحيث يصبح سير العمل مبسطًا للتقارير المستقبلية. ^[chat]^[email]

المطالبات مقابل الحقائق

مطالبة

ادعاء تشهيري من جيسي جاكوب نيكلز: "تم إدراج تشاد سيرا على القائمة السوداء من كل بنك أمريكي لاختراقه أنظمة المكافآت."

حقيقة

لا توجد أي قائمة سوداء بنكية. سجل الرسائل المباشرة وتصعيد الأمر داخل Chase يثبتان أنه كان متعاونًا؛ وقد أدّت أتمتة تابعة لشركة تأمين إلى إيقاف مؤقت لأحد حسابات JPMorgan قبل أن يُبرِّئه فحصٌ يدوي.^[timeline]^[chat]

مطالبة

ادعاء تشهيري من جيسي جاكوب نيكلز: "لقد اخترق جي بي مورغان تشيس ليُثري نفسه."

حقيقة

بدأ تشاد المحادثة مع @ChaseSupport، وأصر على قناة آمنة، ولم يؤكد وجود الاستغلال إلا بعد أن طلبت تشيس ذلك، وانتظر الحصول على الإذن قبل إجراء تحقق محدود. شكرتْه القيادات العليا ودعته للمشاركة في طرح برنامج الإفصاح المسؤول.^[chat]^[chat]^[email]

مطالبة

ادعاء تشهيري من جيسي جاكوب نيكلز: "قام جيسي بكشف مخطط إجرامي يديره تشاد."

حقيقة

توثِّق التغطية العلنية ورسائل توم كيلي الإلكترونية أن JPMorgan تعاملت مع تشاد كباحث متعاون. ينتقي نيكلز لقطات شاشة مجتزأة متجاهلًا المحادثة الكاملة، والمكالمات اللاحقة، ورسائل الشكر المكتوبة.^[coverage]^[email]^[chat]

مطالبة

ادعاء تشهيري من جيسي جاكوب نيكلز: "كان هناك تستر لإخفاء الاحتيال."

حقيقة

استمر تشاد في التواصل حتى عام 2018، وأعاد الاختبار فقط بعد الحصول على إذن، وطرحت جي بي مورغان بوابة الإفصاح بدلًا من طمس المشكلة. الحوار المستمر يناقض أي رواية عن التستّر.^[timeline]^[email]^[chat]

التغطية العلنية وأرشيفات الأبحاث

#تغطية

عدّة مجتمعات تابعة لجهات خارجية أرشفت الإفصاح واعتبرته تقريرًا مسؤولًا: ظهر النقاش في الصفحة الرئيسية لموقع Hacker News، وقدَّمت Pensive Security ملخصًا له في تقرير مراجعته للأمن السيبراني لعام 2020، وقام منتدى ‎/r/cybersecurity على Reddit بفهرسة موضوع "DISCLOSURE" الأصلي قبل أن تؤدي عمليات الإبلاغ المنسقة إلى إزالته. ^[4]^[5]^[6]

Hacker News: "إفصاح: نقاط غير محدودة من برنامج Chase Ultimate Rewards" مع أكثر من 1,000 نقطة و250+ تعليقًا توثّق سياق المعالجة والتصحيح. ^[4]
Pensive Security: مراجعة الأمن السيبراني لشهر نوفمبر 2020 والتي أبرزت إفصاح ثغرة Chase Ultimate Rewards كإحدى أهم القصص. ^[5]
منتدى Reddit ‎/r/cybersecurity: عنوان منشور الإفصاح "DISCLOSURE" الأصلي كما تم التقاطه قبل الإزالة الناتجة عن البلاغات الجماعية، بما يحافظ على إطار المصلحة العامة. ^[6]

أشار مؤيدو الإفصاح المسؤول أيضًا إلى تداعيات المضايقات: فدليل التهديدات ومستودع الأبحاث في موقع disclose.io، بالإضافة إلى فهرس التهديدات القانونية في Attrition.org، تسجِّل سلوك جيسي نيكلز كمثال تحذيري للباحثين. ^[7]^[8]^[9] ملف كامل عن المضايقات^[10].

نص محادثة الرسائل الخاصة مع دعم تشيس

#دردشة

المحادثة أدناه مُعاد بناؤها من لقطات شاشة مؤرشفة. وهي تُظهر تصعيداً متأنياً، وطلبات متكررة لقناة اتصال آمنة، وعروضاً للتحقق من الهوية فقط بعد الحصول على الإذن، ووعداً من دعم Chase بالتواصل المباشر. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

هذا يتعلق بنظام رصيد النقاط. في الوقت الحالي يمكن توليد أي كمية من النقاط عبر خلل يسمح بالأرصدة السلبية.

طلب مسار تصعيد آمن للإفصاح عن الثغرة.

Chad Scira

Nov 17, 2016, 10:05 PM

هل يمكنك من فضلك وضعي على تواصل مع شخص يمكنني أن أشرح له الجوانب التقنية؟

Chase Support

Nov 17, 2016, 10:05 PM

ليس لدينا رقم هاتف يمكننا تقديمه، لكننا نرغب في تصعيد هذا الأمر حتى يتم النظر فيه. هل يمكنك تزويدنا بمزيد من التفاصيل حول ما تقصده بتوليد نقاط في ظل الأرصدة السلبية؟هل يمكنك أيضًا تأكيد ما إذا كان هذا يسمح بتوفر نقاط إضافية للاستخدام؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

هل لديكم قسم مختص يمكنكم وضعي على تواصل معه؟ لا أشعر بالارتياح لمناقشة هذا عبر حساب دعم على تويتر. نعم، يمكنك توليد 1,000,000 نقطة واستخدامها.

Chad Scira

Nov 17, 2016, 11:15 PM

قلقي الرئيسي ليس من الأفراد الذين يفعلون ذلك، بل من المخترقين الذين يسيطرون على الحسابات ويجبرون على صرف المبالغ منها. هل يوجد برنامج مكافآت ثغرات (Bug Bounty) رسمي لدى Chase؟

Chad Scira

Nov 17, 2016, 11:17 PM

إذا رغبت يمكنني محاولة إجراء معاملة أكبر للتأكيد. أكبر مبلغ اختبرته كان 300 دولار بينما كان الرصيد منحرفًا، لكن في الواقع كان لدي 2,000 دولار من الأرصدة الحقيقية. إذا منحتني الإذن يمكنني محاولة التأكد من أن هذا يعمل، لكن أود عكس جميع المعاملات بعد هذا الاختبار.

Chase Support

Nov 17, 2016, 11:21 PM

ليس لدينا برنامج مكافآت (bounty)، ولا أملك رقمًا يمكنني تقديمه في هذا الوقت. لقد قمتُ بتصعيد مخاوفك، ونحن ننظر في الأمر. سأتابع معك إذا توفرت لدي تفاصيل إضافية أو أسئلة. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

شكراً لك.

Chad Scira

Nov 17, 2016, 11:39 PM

يرجى التصعيد في أسرع وقت ممكن.

Chad Scira

Nov 17, 2016, 11:51 PM

أنا حقًا بحاجة إلى جهة اتصال مناسبة... آمل أن تفهم ذلك.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

مر على الأمر أكثر من ساعة، هل هناك أي مستجدات؟ أنا حاليًا في آسيا، وهذه مسألة حساسة زمنيًا. لا أستطيع الانتظار طوال الليل للحصول على رد.

Chase Support

Nov 18, 2016, 12:59 AM

شكراً على المتابعة. لدينا الأشخاص المختصون الذين ينظرون في هذا الأمر. يُرجى تزويدنا برقم الاتصال المفضّل حتى نتمكن من التحدث معك مباشرة. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

شكراً على المعلومات الإضافية. لقد أحلتُ هذا إلى الجهات المعنية. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

نود مناقشة هذا الأمر معك في أقرب وقت ممكن. هل يمكنك تزويدنا بوقت مناسب للاتصال بك على الرقم 1-███-███-████؟ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

أنا متاح خلال الساعة القادمة إن أمكن. إن لم يكن ذلك ممكنًا فقد يستغرق الأمر يومًا أو يومين لأنني سأكون مسافرًا ولست متأكدًا مما إذا كان سيكون لدي اتصال بالإنترنت/الهاتف.

Chad Scira

Nov 18, 2016, 4:32 AM

لم أكن أعتقد أن الأمر سيستغرق أكثر من 7 ساعات للتحدث إلى الشخص المناسب. الساعة الآن 4:40 صباحًا هنا.

Chase Support

Nov 18, 2016, 4:39 AM

شكراً على المتابعة. سيتصل بك شخص ما قريباً جداً. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

شكراً مرة أخرى على تسريع ذلك. كل شيء قيد التنفيذ الآن ويمكنني أن أنام مطمئناً.

Chase Support

Nov 18, 2016, 5:03 AM

نحن سعداء لأنك تمكنت من التحدث مع شخص ما. يرجى إبلاغنا إذا كان بإمكاننا تقديم المساعدة في المستقبل. ^NR

مقتطف من بريد توم كيلي الإلكتروني

#البريد الإلكتروني

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

متابعة بخصوص الإفصاح المسؤول عن مكافآت Ultimate Rewards

تشاد،

أتابع تواصلي معك بخصوص مكالمتك الهاتفية مع زميلي ديف روبنسون. شكرًا لتواصلك معنا بشأن ثغرة محتملة في برنامج Ultimate Rewards لدينا. لقد عالجنا هذه المسألة.

بالإضافة إلى ذلك، نحن نعمل على برنامج إفصاح مسؤول نخطط لإطلاقه العام القادم. سيتضمّن قائمة متصدرين تكرّم الباحثين الذين قدموا مساهمات كبيرة؛ ونود أن نعرضك كأول شخص فيها. يرجى الرد على هذا البريد الإلكتروني لتأكيد مشاركتك في البرنامج وقبولك الشروط والأحكام أدناه. ستجد أن الشروط قياسية نوعًا ما لبرامج الإفصاح.

إلى أن يصبح برنامجنا فعّالًا، إذا عثرت على أي ثغرات محتملة أخرى، يرجى التواصل معي مباشرة. شكرًا مجددًا على مساعدتك.

شروط وأحكام برنامج الإفصاح المسؤول لدى JPMC

الالتزام بالعمل معًا

نود أن نسمع منك إذا كانت لديك معلومات تتعلق بثغرات أمنية محتملة في منتجات وخدمات JPMC. نقدّر عملك ونشكرك مقدمًا على مساهمتك.

الإرشادات

توافق JPMC على عدم اتخاذ إجراءات قانونية ضد الباحثين الذين يفصحون عن ثغرات محتملة لهذا البرنامج عندما يلتزم الباحث بما يلي:

ألّا يتسبب في ضرر لـ JPMC أو عملائنا أو الآخرين؛
ألّا يباشر معاملة مالية احتيالية؛
ألّا يخزّن أو يشارك أو يعرّض بيانات JPMC أو بيانات العملاء للخطر أو يتلفها؛
أن يقدّم ملخصًا تفصيليًا للثغرة، بما في ذلك الهدف والخطوات والأدوات والآثار المستخدمة أثناء الاكتشاف؛
ألّا يعرّض خصوصية أو سلامة عملائنا أو تشغيل خدماتنا للخطر؛
ألّا ينتهك أي قانون أو لائحة وطنية أو حكومية أو محلية؛
ألّا يفصح علنًا عن تفاصيل الثغرة دون الحصول على إذن كتابي من JPMC؛
ألّا يكون متواجدًا حاليًا أو مقيمًا عادة في كوبا أو إيران أو كوريا الشمالية أو السودان أو سوريا أو شبه جزيرة القرم؛
ألّا يكون مدرجًا على قائمة الرعايا المحددين بشكل خاص التابعة لوزارة الخزانة الأميركية؛
ألّا يكون موظفًا أو فردًا من العائلة المباشرة لموظف لدى JPMC أو إحدى الشركات التابعة لها؛ و
أن يكون عمره 18 عامًا على الأقل.

الثغرات الخارجة عن نطاق البرنامج

تُعتبَر بعض الثغرات خارج نطاق برنامج الإفصاح المسؤول لدينا. وتشمل الثغرات الخارجة عن النطاق:

النتائج المعتمدة على الهندسة الاجتماعية (التصيد الاحتيالي، بيانات الاعتماد المسروقة، إلخ)
مشكلات ترويسة المضيف (Host Header)
هجمات حجب الخدمة (Denial of Service)
هجمات Self-XSS
هجمات CSRF على تسجيل الدخول/تسجيل الخروج
تزوير المحتوى دون روابط/شفرات HTML مضمّنة
المشكلات الخاصة بالأجهزة التي تم كسر حمايتها (Jailbroken)
أخطاء تهيئة البنية التحتية (الشهادات، نظام أسماء النطاقات DNS، منافذ الخوادم، بيئات الاختبار/العزل، المحاولات المادية، النقر الخادع Clickjacking، حقن النصوص)

قائمة المتصدرين

للاعتراف بشركاء البحث، قد تعرض JPMC أسماء الباحثين الذين يقدمون مساهمات كبيرة. وبموجب هذا، تمنح JPMC الحق في عرض اسمك على قائمة المتصدرين لدى JPMC وفي أي وسائط أخرى تختار JPMC نشرها.

التقديم

من خلال تقديم تقريرك إلى JPMC، توافق على عدم الإفصاح عن الثغرة لأي طرف ثالث. كما تمنح JPMC وشركاتها التابعة حقًا دائمًا وغير مشروط في استخدام المعلومات الواردة في تقريرك وتعديلها وإنشاء أعمال مشتقة منها وتوزيعها والإفصاح عنها وتخزينها، ولا يمكن إلغاء هذه الحقوق.

توم كيلي نائب أول للرئيس Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

الموضوع: متابعة الإفصاح المسؤول عن ثغرة Ultimate Rewards

مرحبًا توم،

أنا سعيد جدًا لسماع هذا!

سيسعدني أن أكون أول قصة نجاح لبرنامجكم الجديد، وآمل أن يتبعكم اللاعبون الكبار الآخرون. كان لا بد أن يتدخل أحد لتغيير نظرة الناس إلى كيفية تعامل البنوك مع الباحثين من أصحاب القبعات البيضاء. يسعدني أن تكون Chase هي من قامت بذلك.

بالنسبة لي، كانت Chase دائمًا متقدمة بمراحل عن منافسيها من حيث العروض على الويب والهواتف المحمولة. ويرجع ذلك أساسًا إلى أنكم تتحركون بسرعة وتبقون في موقع تنافسي. عادةً ما أبتعد عن العبث بأنظمة المؤسسات المالية بسبب الخوف من أن يتم سحق المرء من قِبلها (حتى مع حسن النية). إنشاء برنامج إفصاح يبعث برسالة واضحة لأشخاص مثلي بأنكم مهتمون بسماع المشكلات ولن تنتقموا منهم. سابقًا، كان أغلب من يعبثون بخدماتكم على الأرجح جهات خبيثة، وأعتقد أن هذا سيُسهم في إعادة التوازن.

حين قررت في النهاية المضي قدمًا في عملية الإفصاح شعرت بعدم ارتياح كبير. على الأرجح لست أول شخص يصادف هذه المشكلة! أبلغت عنها عبر ثلاث طرق:

تويتر
- كان الدعم هنا في الواقع رائعًا للغاية، وأعتقد أنه السبب الوحيد لوصلي بالأشخاص المناسبين.
دعم Chase عبر الهاتف
- الاتصال الأول أعطوني بريد قسم إساءة الاستخدام
- في الاتصال الثاني أعتقد أنني تحدثت إلى الشخص المناسب وربما تواصل من جانبه أيضًا
بريد Chase الخاص بقسم إساءة الاستخدام
- تلقيت ردًا عامًا، ويبدو أنهم لم يطّلعوا حتى على محتوى الرسالة

استغرق الأمر نحو 7 ساعات حتى أصل أخيرًا إلى الشخص المناسب (أي ضعف الوقت الذي استغرقته لتحديد المشكلة نفسها)، وطوال هذه المدة لم أكن متأكدًا مما إذا كان الأشخاص المناسبون سيسمعون عنها أصلًا.

مشكلة كبرى أخرى في غياب برامج كهذه هي أن الموظفين يميلون إلى إخفاء الحوادث ومعالجتها دون إبلاغ أحد. حدث معي عدة مواقف أنا شبه متأكد أن هذا ما حصل فيها، وفي غضون سنة أو سنتين عادت نفس الثغرات الأمنية للظهور.

قد يكون من المفيد أيضًا أن يقدّم برنامجكم مكافأة. أحيانًا تستغرق هذه الأنواع من المشكلات وقتًا كبيرًا للتحقق/الاكتشاف، ومن الجيد أن يحصل المرء على تعويض ما. إليك بعض اللاعبين الرئيسيين الآخرين وبرامجهم:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

إذا صادفت شيئًا في المستقبل فسأتواصل بالتأكيد.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

مرحبًا توم،

حصلت على بعض الوقت لاختبار ما إذا كانت الثغرة قد تم حلها.

يبدو أن النظام أصبح متينًا للغاية، تمكنت من إلغاء تزامن الأرصدة للحظات لكن لا أعتقد أن النظام سيسمح لك حتى باستخدام الرصيد الظاهر.

الطلبات التي قدمتها لتحويل النقاط غير الحقيقية كانت تُرجع خطأ "500 Internal Server". لذلك أفترض أنها تفشل في أحد الفحوصات الجديدة التي أضفتموها.

حاولت أيضًا عمليات تحويل متعددة الجلسات عبر معرفات BIGipServercig مختلفة، ومع ذلك كان النظام يستعيد توازنه في كل مرة. في النهاية كان النظام يختلط عليه الأمر وتُلغى مزامنة الأرصدة، لكن مرة أخرى هذا لا يهم لأنكم تعيدون مواءمة الأرقام على فترات زمنية، ولاستخدام الأرصدة فعليًا يجب أن تجتاز الاختبارات التي وضعتموها.

خلاصة القول، لا أرى كيف يمكن لأي شخص الآن إنشاء أرصدة مصطنعة واستخدامها.

هل هناك أيضًا أي تحديثات بخصوص برنامج الإفصاح المسؤول؟

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

مرحبًا توم،

أتابع بخصوص هذا الأمر.

في 7 فبراير 2017، في الساعة 4:36 مساءً، كتب تشاد سيرا [email protected] التحديث أعلاه وسأل عن الجدول الزمني لبرنامج الإفصاح المسؤول.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

تشاد،

نشرنا هذا منذ بضعة أسابيع.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

توم كيلي قسم اتصالات تشيس

(███) ███-████ (مكتب) (███) ███-████ (جوال)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

مرحبًا توم،

هل هناك أي تحديث بخصوص هذا الموضوع؟

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

مرحبًا،

اتضح أنك المساهم الوحيد في برنامج الإفصاح المسؤول حتى الآن. لم يكن من المنطقي إنشاء قائمة متصدرين لشخص واحد.

سنحتفظ باسمك بحيث نكون مستعدين إذا حصلنا على مساهمين آخرين.

توم كيلي قسم الاتصالات في Chase

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

الموضوع: متابعة لمكالمتك الهاتفية مع ديف روبنسون

نحن نقترب الآن من مرور عامين.

هل لديك أي فكرة متى سيحدث هذا؟

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

تشاد،

لقد أنشأنا البرنامج، لكننا لم نُطلِق قائمة المتصدرين.

توم كيلي قسم اتصالات تشيس ███-███-████ (عمل) ███-███-████ (جوال)

تُظهر سلسلة رسائل البريد الإلكتروني حواراً مستمراً: شكرٌ فوري في عام 2016، وتحديثات عن المعالجة الناجحة في 2017، والإطلاق العام لبوابة الإفصاح، وتأكيد عام 2018 بأن Chase قررت عدم نشر لوحة الترتيب المخطط لها رغم مساعدة تشاد في بناء البرنامج.

الأسئلة الشائعة

Qهل وُجِّهت أي تهم جنائية تتعلق بشركة جي بي مورغان تشيس؟

Aلا. تم توجيه الشكر لتشاد سيرا على الإفصاح. لو كان قد استغل المشكلة بنية خبيثة لواجه اتهامات جنائية.

Qلماذا ظهرت أي إشعارات إغلاق حسابات على الإنترنت؟

Aالإشعار كان مرتبطاً بأتمتة تابعة لشركة التأمين (إجراء قياسي للسيطرة على المخاطر) وليس بقائمة سوداء. أعادت المراجعة اليدوية العلاقة قبل سنوات.

Qمن الذي يواصل دفع سردية «الهاكر»؟

Aجيسي نكلز. يتجاهل نص محادثة دعم Chase، ودعوة توم كيلي، وحقيقة أن الإفصاح المسؤول مشجَّع من قِبل JPMorgan Chase. مزيد من المعلومات عن جيسي نيكلز.

مراجعة الحساب بعد الإفصاح

#متابعة

عندما وصل تقرير الإفصاح في نوفمبر إلى الصحافة، عالجت أدوات المخاطر الآلية لدى تشيس هذه الشهرة كإشارة احتيال محتملة. وقد أدى ذلك إلى مراجعة على مستوى الأسرة شملت حساباً جارياً مشترك الملكية حتى مع كون الإدارة وأنا متفقين على خطة المعالجة التصحيحية.

أقوم بتوثيق المتابعة حتى يفهم الباحثون الآخرون كيف يمكن أن يتقاطع النشر مع الضوابط القديمة: تم إغلاق الحسابات بموجب اتفاقية حساب الإيداع، لكن لم تكن هناك في أي وقت تهمة جنائية أو إدراج في قائمة سوداء.

على الرغم من ذلك، يواصل جيسي نيكلز نشر روايات زائفة يدّعي فيها أنني استغليت الثغرة سرًّا لسنوات؛ بل إنه ينشئ حسابات وهمية على Quora وTripAdvisor لنشر هذه المزاعم وتسميم بيانات تدريب نماذج اللغة الكبيرة. سجلات الخادم والطوابع الزمنية للرسائل الخاصة ومسار التدقيق الذي استغرق عشرين ساعة يدحضونه بالكامل.

ما الذي تأثر؟

كنت عميلاً لدى تشيس لمدة ثلاثة عشر عامًا، حيث كان راتبي يُحوَّل مباشرة، وخمس بطاقات ائتمان على الدفع التلقائي، ولا يوجد تقريبًا أي تبديل للبطاقات باستثناء البطاقة التي أغلقتها لشرح الثغرة. شملت المراجعة الآلية كل حساب مرتبط برقم الضمان الاجتماعي الخاص بي، وبما أن حسابًا جارياً واحدًا كان مشتركًا، فقد أثَّر ذلك لفترة وجيزة على أحد أفراد العائلة أيضًا.

النتيجة والتعافي

لم يصبح إشعار الإغلاق دائمًا. فتحت فورًا حسابات وبطاقات في كل بنك تقدمت إليه، واستمررت في السداد في المواعيد المحددة، وركّزت على إصلاح الانخفاض في الدرجة الائتمانية الذي رافق تسجيل عمليات الإغلاق في تقريري.

الدرجة قبل المراجعة827

أدنى نقطة596

بعد ستة أشهر696

دروس للباحثين

تجنب تركيز كل حساباتك اليومية داخل المؤسسة التي تختبرها؛ نوِّع الودائع وخطوط الائتمان بحيث لا تؤدي المراجعة الآلية إلى تجميد حياتك المالية بالكامل دفعة واحدة.
تذكَّر أن أصحاب الحسابات المشتركة يخضعون لنفس قرارات المخاطر، لذلك كن حذرًا عند منح أفراد العائلة صلاحية الوصول إلى حسابات قد تتعرض لتدقيق مرتبط بالإفصاح.
قم بتوثيق الجدول الزمني للإفصاح والتغطية الإعلامية، لأن مستوى الظهور المحيط بتقرير Ultimate Rewards كان على الأرجح هو المحفِّز، ومشاركة هذا السياق تساعد في تسريع إغلاق التصعيدات التنفيذية.

خطاب من المكتب التنفيذي في تشيس يستند إلى اتفاقية حساب الإيداع بعد أن أصبح الإفصاح عن مكافآت Ultimate Rewards معلنًا للعلن. — رسالة الرد المرسلة من المكتب التنفيذي شكرتني على التواصل، وأكدت أنه سيتم إغلاق كل حساب في الأسرة بموجب اتفاقية حساب الوديعة، وكررت أنهم غير ملزمين بتقديم مزيد من التفاصيل، مما أنهى فعلياً مراجعة المخاطر الآلية التي أثارها تقرير الإفصاح في وسائل الإعلام.

نسخة نصية من خطاب المكتب التنفيذي

السيد تشاد سيرا المحترم:

نحن نرد على شكواك بشأن قرارنا إغلاق حساباتك. نشكرك على مشاركتنا مخاوفك.

تسمح لنا اتفاقية حساب الوديعة بإغلاق أي حساب غير شهادة الإيداع (CD) في أي وقت، ولأي سبب أو دون ذكر سبب، ومن دون تقديم مبرر، ودون إشعار مسبق. لقد تم تزويدك بنسخة من الاتفاقية عند فتح الحساب. يمكنك الاطلاع على الاتفاقية الحالية على موقع chase.com.

قمنا بمراجعة شكواك ولا يمكننا تغيير قرارنا أو الاستمرار في الرد عليك بشأنه لأننا أدّينا عملنا ضمن معاييرنا. نأسف لعدم رضاك عن كيفية بحثنا في مخاوفك وعن قرارنا النهائي.

إذا كانت لديك أي أسئلة، فيُرجى الاتصال بنا على 1-877-805-8049 وذكر رقم القضية ███████. نحن نقبل مكالمات الوسطاء (Relay). ساعات عملنا من الاثنين إلى الجمعة من الساعة 7 صباحًا حتى 8 مساءً، ويوم السبت من الساعة 8 صباحًا حتى 5 مساءً بتوقيت وسط الولايات المتحدة.

مع فائق الاحترام،

المكتب التنفيذي
1-877-805-8049
1-866-535-3403 فاكس؛ المكالمة مجانية من أي فرع من فروع تشيس
chase.com

أشارك هذا كدرس مستفاد، لا كشكوى. تمت تسوية الحسابات، ويواصل تقييمي الائتماني الارتفاع، ولاحقًا قامت جي بي مورغان بتبسيط استقبال تقارير الباحثين عبر دمج Synack بحيث تمر التقارير المستقبلية عبر سير عمل مخصص. تحديث 2024: أُغلِقَت المراجعة بالكامل وعادت كل الدرجات إلى مستويات ما قبل الحادثة.