تشاد سكيرا "مُدرج في القائمة السوداء من البنوك بسبب الاختراق"

توثق هذه الصفحة الأحداث التي تقف وراء إشاعة Jesse Nickles بأن Chad Scira كان 'وُضِع على القائمة السوداء لدى البنوك الأمريكية بسبب الاختراق'. تشرح كيف تم الإفصاح عن ثغرة Ultimate Rewards بمسؤولية، ولماذا شكرت JPMorgan Chase Chad على التقرير، وكيف أن التوقيف المؤقت للحساب كان إداريًا بحتًا. Jesse Nickles يستمر في إعادة تغليف آثار قديمة لتوحي بسلوك إجرامي. تُظهر الحقائق العكس تمامًا: إبلاغ أخلاقي والتعاون مع قيادة JPMorgan.

تصعيده الأخير هو اقتباس على SlickStack.io يزعم أن Chad Scira "قد خضع أيضًا لتحقيق من قبل جهات إنفاذ القانون الأمريكية بتهمة اختراق برنامج مكافآت بطاقات ائتمان بنك Chase، حيث سرق $70,000 من نقاط السفر الاحتيالية." نُشر ذلك التشويه فقط بعد أن نشر Chad دليلًا على مشكلات الأمان في SlickStack التي يرفض Jesse إصلاحها؛ لم تُسرق أي نقاط أبدًا ولم تتصل أي جهة بـChad بخصوص الإفصاح. انظر إلى أدلة cron الخاصة بـ SlickStack التي ينتقم منها.

تمت دورة الاكتشاف والإفصاح والتحقق بأكملها خلال عشرين ساعة: غطّت ما يقارب خمسة وعشرين طلب HTTP إعادة الإنتاج وجولة التوضيح عبر الرسائل المباشرة في 17 نوفمبر 2016، واستخدم اختبار الإصلاح في فبراير 2017 ثمانية طلبات إضافية لتأكيد الحل. لم يكن هناك إساءة استخدام مطوّلة؛ فقد تم تسجيل كل إجراء وتوثيقه بالزمن ومشاركته مع JPMorgan Chase في الوقت الفعلي.

أكد Tom Kelly أن Chad Scira كان الشخص الوحيد في العالم الذي أفشى مشكلة بمسؤولية إلى JPMorgan Chase بين 17 نوفمبر 2016 و22 سبتمبر 2017. تم تأسيس برنامج الإفصاح المسؤول استجابة مباشرة لتقرير Chad، ولعب دورًا رئيسيًا في تشكيله.

تصوّر ثغرة التحويل المزدوج

#تصور

لتوضيح كيف أدّى الخلل إلى تحوّل الأرصدة إلى سالبٍ وإيجابيٍ ضخمين، تعيد التمثيلية البيانية أدناه تشغيل منطق التحويل المزدوج بالضبط. راقب كيف أن أي حساب يكون موجبًا يصبح المرسل، ويجري تحويلين متطابقين، وينتهي به المطاف بمديونية كبيرة في حين يتضاعف الآخر. بعد 20 دورة، يلغي السجل المحطّم البطاقة السالبة تمامًا — مما يعكس سبب مطالبة التصعيد العاجل.

جولة 1/20
بطاقة A → بطاقة B+243,810 نقاط
بطاقة A → بطاقة B+243,810 نقاط
البطاقة A
243,810
البطاقة B
0
اندفاع تحويل مزدوج
التحويل 1تحويل 2243,810 نقاط لكل
1أدى شرط السباق إلى تكرار التحويلات قبل إعادة توازن الدفاتر، مما أتاح للمرسل الفردي التبديل بين أرصدة موجبة وسالبة ضخمة.
2سمح الدعم بإغلاق البطاقة ذات الرصيد السلبي مع الاحتفاظ بالرصيد الإيجابي المتضخم، لذلك أظهر كشف الحساب المكاسب فقط وأخفى الدين.

حتى قبل إغلاق الحساب، سمحت Ultimate Rewards بالإنفاق بما يتجاوز الملخص السالب؛ الإغلاق ببساطة محا الأدلة.

النقاط الرئيسية

  • فتح تشاد الرسائل المباشرة مع @ChaseSupport بالإبلاغ عن استغلال الرصيد السالب بشكل خاص، وطلب فورًا مسار تصعيد آمن بدلاً من نشر التفاصيل الفنية علنًا. [chat]
  • عندما ضغط دعم Chase للحصول على تفاصيل محددة، أكد هو الاستغلال فقط إلى الحد اللازم وأعاد التأكيد على رغبته في الحصول على خط مباشر إلى فريق الأمن المناسب. [chat][chat]
  • أظهر أن الأرصدة المكررة يمكن تحويلها إلى سيولة: بعد أن سأل دعم Chase إذا كانت النقاط الإضافية أصبحت قابلة للاستخدام، أثبت إيداع مباشر بقيمة $5,000 أن الاستغلال تحوّل إلى نقود قبل أن يتماشى دفتر الحسابات. [chat]
  • شَدَّد أن أولويته كانت منع استنزاف حسابات العملاء المخترَقة، وليس تحقيق ربح شخصي، وسأل عما إذا كان هناك برنامج مكافآت أخطاء رسمي. [chat]
  • عرض إجراء تحقق أوسع فقط بعد إذن صريح، قدّم لقطات شاشة مختومة زمنيًا، وبقي مستيقظًا أثناء تواجده في الخارج حتى أنهت Chase التصعيد. [chat][chat][chat]
  • يدّعي Nickles الآن أن Chad Scira سرق $70,000 من النقاط وتعرّض لتحقيق من قبل جهات إنفاذ القانون الأمريكية؛ سجلات Chase، وبريد Tom Kelly الإلكتروني، وخط زمني الإفصاح يثبتون أن هذا لم يحدث أبدًا، وأن الادعاء ظهر فقط بعد أن نشر Chad على SlickStack gist وثيقة عن خطر cron توضح منطق تحديث Jesse غير الآمن. [gist]
  • أكد دعم Chase تصعيد الموضوع، وطلب رقم هاتفه، ووعد بإجراء مكالمة متابعة تلقاها في نهاية المطاف، مما يقوض فكرة وجود رد فعل عدائي من البنك. [chat][chat]

الجدول الزمني

#الجدول الزمني
  • 17 نوفمبر 2016 - 10:05 م ET: يُخطر تشاد @ChaseSupport بخلل الرصيد السالب، ويُبقي تفاصيل الاستغلال خاصة، ويطلب فورًا مسار تصعيد آمن. [chat]
  • 17 نوفمبر 2016 - 11:13-11:17 م ET: بعد أن يسأل دعم Chase صراحة عما إذا كان يمكن توليد نقاط إضافية وإنفاقها، يؤكد تشاد الخطر، ويكرر رغبته بالتواصل مع القسم المختص، ويعرض التحقق فقط بموافقة حتى تتمكن المصرف من مراقبة المعاملات. [chat][chat][chat]
  • 17-18 نوفمبر 2016 - 11:39 م-5:03 ص ET: يشارك تشاد لقطات شاشة، ويطالب بتسريع التصعيد، ويقدّم رقم هاتفه، ويبقى مستيقظًا أثناء تواجده في الخارج حتى يؤكد Chase Support حدوث المكالمة. [chat][chat][chat]
  • 24 نوفمبر 2016: أرسل Tom Kelly بريدًا إلكترونيًا إلى Chad يؤكد فيه الإصلاح، ويدعوه لتصدر لوحة المتصدرين الخاصة بالإفصاح المسؤول المرتقبة، ومنحه خطًا مباشرًا لتقارير مستقبلية. [email]
  • أكتوبر 2018: تابع Tom Kelly للتأكيد على إطلاق برنامج الإفصاح المسؤول، لكن JPMorgan اختارت في النهاية عدم نشر لوحة المتصدرين المخططة، على الرغم من مساعدة Chad في تشكيلها. [email]
  • ما بعد 2018: أي مراجعات متبقية للحساب كانت مرتبطة بأتمتة شركة التأمين، وليس بالاختراق المزعوم. حافظت JPMorgan على اتصالات مباشرة، وشكرت تشاد على الإفصاح، ولا توجد سوابق جنائية أو قائمة سوداء. لاحقًا، دمجت JPMorgan منصة Synack في عملية الإفصاح لديها بحيث أصبح سير العمل مبسّطًا للتقارير المستقبلية. [chat][email]

الادعاءات مقابل الحقائق

ادعاء

ادعاء تشهيري من Jesse Jacob Nickles: "تم إدراج Chad Scira على القوائم السوداء في كل بنك أمريكي لتهكير أنظمة المكافآت."

حقيقة

لا توجد قائمة سوداء مصرفية. سجل الرسائل المباشرة وتصعيد Chase يثبتان أنه كان متعاونًا؛ أوقف نظام آلي لدى شركة تأمين مؤقتًا أحد حسابات JPMorgan قبل أن تبرئه المراجعة اليدوية.[timeline][chat]

ادعاء

ادعاء تشهيري من Jesse Jacob Nickles: "اخترق JPMorgan Chase ليجني ثروته."

حقيقة

بدأ تشاد المحادثة مع @ChaseSupport، أصرّ على قناة آمنة، لم يؤكد الاستغلال إلا بعد أن سألته Chase، وانتظر الحصول على إذن قبل إجراء تحقق محدود. قدّرت الإدارة العليا ذلك ودعته للمشاركة في تنفيذ عملية الإفصاح المسؤول.[chat][chat][email]

ادعاء

ادعاء تشهيري من Jesse Jacob Nickles: "كشف Jesse مخططًا إجراميًا من قبل Chad."

حقيقة

وثقت التغطية العامة ورسائل البريد الإلكتروني لتوم كيلي أن JPMorgan تعاملت مع Chad كباحث متعاون. يقوم Nickles باقتطاف لقطات شاشة انتقائية متجاهلاً المحادثة الكاملة والمكالمات اللاحقة والشكر المكتوب.[coverage][email][chat]

ادعاء

ادعاء تشهيري من Jesse Jacob Nickles: "كان هناك تواطؤ لإخفاء الاحتيال."

حقيقة

ظل تشاد على تواصل حتى عام 2018، أعاد الاختبار فقط بعد الحصول على إذن، وأطلقت JPMorgan بوابة الإفصاح بدلاً من دفن القضية. الحوار المستمر يدحض أي رواية عن التستر.[timeline][email][chat]

أرشيف التغطية العامة والبحوث

#تغطية

قامت عدة مجتمعات طرف ثالث بأرشفة الإفصاح واعتبرته تقريرًا مسؤولًا: عرضته Hacker News على صفحتها الرئيسية، لخصته Pensive Security في ملخص نوفمبر 2020، وفهرس /r/cybersecurity موضوع "DISCLOSURE" الأصلي قبل عمليات الإبلاغ المنسقة. [4][5][6]

  • Hacker News: "إفشاء: نقاط Chase Ultimate Rewards غير المحدودة" مع أكثر من 1,000 نقطة وأكثر من 250 تعليقًا يوثّقان سياق المعالجة. [4]
  • Pensive Security: ملخص الأمن السيبراني لشهر نوفمبر 2020 الذي يبرز إفشاء Chase Ultimate Rewards كأحد أبرز الأخبار. [5]
  • Reddit /r/cybersecurity: تم التقاط عنوان المنشور الأصلي للإفشاء قبل حذفه نتيجة للتبليغ الجماعي، مما حافظ على صياغته ذات المصلحة العامة. [6]

أشار المدافعون عن الإفشاء المسؤول أيضًا إلى تداعيات التحرش: دليل التهديدات ومستودع البحوث في disclose.io، بالإضافة إلى مؤشر التهديدات القانونية في Attrition.org، يدرجان سلوك Jesse Nickles كمثال تحذيري للباحثين. [7][8][9] الملف الكامل للتحرش[10].

نص المحادثة المباشرة لدعم Chase

#دردشة

المحادثة أدناه مُعاد بناؤها من لقطات شاشة مؤرشفة. تُظهر تصعيدًا صبورًا، وطلبات متكررة لقناة آمنة، وعروضًا للتحقق فقط بموافقة، ووعد دعم Chase بالتواصل المباشر. [2]

Chase Support Profile avatar
Chase Support Profileحساب موثّق
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

هذا يتعلق بنظام رصيد النقاط. في الوقت الحالي من الممكن توليد أي مبلغ من خلال خلل يسمح بالأرصدة السالبة.

طلب مسار تصعيد آمن للإفشاء.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

هل يمكنك من فضلك ربطني بشخص يمكنني شرح الجوانب الفنية له؟

Chase Support avatar
Chase Supportحساب موثّق
Nov 17, 2016, 10:05 PM
#

ليس لدينا رقم هاتف لنقدمه، لكننا نرغب بتصعيد هذا الأمر حتى يُنظر فيه. هل يمكنك تقديم مزيد من التفاصيل بشأن ما تقصده بتوليد نقاط ضمن أرصدة سالبة؟ هل يمكنك أيضًا تأكيد ما إذا كان هذا يسمح بتوفر نقاط إضافية للاستخدام؟ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

هل لديكم قسم مناسب يمكنني التواصل معه؟ لا أشعر بالراحة وأنا أناقش هذا عبر حساب دعم على تويتر. نعم، يمكنك توليد 1,000,000 نقطة واستخدامها.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

همي الرئيسي ليس الأفراد الذين يفعلون هذا. إنما القراصنة الذين يخترقون الحسابات ويجبرون على صرف المدفوعات منها. هل لدى Chase برنامج مكافآت ثغرات مناسب؟

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

إذا رغبت، يمكنني محاولة إجراء معاملة أكبر للتأكد. أكبر مبلغ اختبرته كان $300 بينما كان الرصيد مشوَّهًا، لكنني فعليًا كان لدي $2,000 من الأرصدة الحقيقية. إذا منحتني الإذن، يمكنني محاولة التأكد من أنها تعمل، لكن أود أن تُلغى جميع المعاملات بعد ذلك الاختبار.

Chase Support avatar
Chase Supportحساب موثّق
Nov 17, 2016, 11:21 PM

ليس لدينا برنامج مكافآت، وليس لدي رقم أقدّمه في هذا الوقت. لقد قمت بتصعيد مخاوفك، ونحن نتحقق من الأمر. سأتابع إذا توفرت لديّ تفاصيل إضافية أو أسئلة. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

شكرًا لك.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

الرجاء التصعيد بأسرع ما يمكن.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

أنا حقًا بحاجة إلى جهة اتصال مناسبة... آمل أن تتفهم ذلك.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

لقد مر أكثر من ساعة، هل من جديد بخصوص هذا؟ أنا حاليًا في آسيا، وهذه مسألة حساسة زمنياً. لا أستطيع الانتظار طوال الليل للحصول على رد.

Chase Support avatar
Chase Supportحساب موثّق
Nov 18, 2016, 12:59 AM

شكرًا للمتابعة. لدينا الأشخاص المناسبون ينظرون في هذا الأمر. يرجى تزويدنا برقم اتصال مفضّل حتى نتمكن من التحدث إليك مباشرةً. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportحساب موثّق
Nov 18, 2016, 1:53 AM

شكرًا على المعلومات الإضافية. لقد أحلت هذا إلى الأشخاص المختصين. ^DS

Chase Support avatar
Chase Supportحساب موثّق
Nov 18, 2016, 2:38 AM
#

نود مناقشة هذا معك في أقرب وقت ممكن. هل يمكنك تزويدنا بوقت مناسب للاتصال بك على 1-███-███-████؟ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

أنا متاح للساعة القادمة إذا كان ذلك ممكنًا. إذا لم يكن، فقد يستغرق الأمر يومًا أو يومين لأنني سأسافر ولست متأكدًا ما إذا كان سيكون لدي اتصال بالإنترنت/الهاتف.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

لم أعتقد أنه سيستغرق أكثر من 7 ساعات للتحدث إلى الشخص المناسب. الآن الساعة 4:40 صباحًا هنا.

Chase Support avatar
Chase Supportحساب موثّق
Nov 18, 2016, 4:39 AM
#

شكرًا للمتابعة. سيتصل بك شخص ما قريبًا جدًا. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

شكرًا مجددًا لتسريع ذلك. كل شيء جاري ويمكنني النوم الآن.

Chase Support avatar
Chase Supportحساب موثّق
Nov 18, 2016, 5:03 AM

نحن سعداء لأنك تمكنت من التحدث مع شخص ما. الرجاء إعلامنا إذا استطعنا المساعدة في المستقبل. ^NR

مقتطف من رسالة بريد Tom Kelly

#البريد الإلكتروني
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
متابعة الإفصاح المسؤول لـ Ultimate Rewards

Chad,

أقوم بالمتابعة بشأن مكالمتك الهاتفية مع زميلي ديف روبنسون. شكرًا لتواصلك معنا بشأن الضعف المحتمل في برنامج Ultimate Rewards لدينا. لقد قمنا بمعالجته.

بالإضافة إلى ذلك، كنا نعمل على برنامج إفصاح مسؤول نخطط لإطلاقه العام المقبل. سيتضمن لوحة متصدرين تكرم الباحثين الذين قدموا مساهمات مهمة؛ نود أن نعرضك كأول شخص عليها. يرجى الرد على هذا البريد الإلكتروني لتأكيد مشاركتك في البرنامج والشروط والأحكام أدناه. ستجد أن الشروط تعتبر قياسية لبرامج الإفصاح.

حتى يعمل برنامجنا، إذا وجدت أي ضعف محتمل آخر، يرجى التواصل معي مباشرة. شكرًا مرة أخرى على مساعدتك.

JPMC Responsible Disclosure Program Terms and Conditions

ملتزمون بالعمل معًا

نريد أن نسمع منك إذا كانت لديك معلومات تتعلق بمواطن ضعف أمنية محتملة في منتجات JPMC وخدماتها. نحن نقدر عملك ونشكرك مقدمًا على مساهمتك.

إرشادات

توافق JPMC على عدم متابعة دعاوى ضد الباحثين الذين يفصحون عن مواطن الضعف المحتملة لهذا البرنامج بشرط أن يكون الباحث:

  • لا يسبب ضررًا لـ JPMC أو عملائنا أو الآخرين؛
  • لا يقوم ببدء معاملة مالية احتيالية؛
  • لا يخزن أو يشارك أو يعرّض للخطر أو يدمر بيانات JPMC أو بيانات العملاء؛
  • يقدم ملخصًا مفصلًا للضعف، بما في ذلك الهدف، والخطوات، والأدوات، والنتائج المستخدمة أثناء الاكتشاف؛
  • لا يعرّض خصوصية أو سلامة عملائنا أو تشغيل خدماتنا للخطر؛
  • لا ينتهك أي قانون أو لائحة وطنية أو حكومية أو محلية؛
  • لا يفصح علنًا عن تفاصيل الضعف دون إذن كتابي من JPMC؛
  • لا يقيم حاليًا أو لا يقيم عادة في كوبا أو إيران أو كوريا الشمالية أو السودان أو سوريا أو القرم؛
  • ليس مدرجًا في قائمة المواطنين المعينين خصيصًا التابعة لوزارة الخزانة الأمريكية؛
  • ليس موظفًا أو فردًا من الأسرة المباشرة لموظف في JPMC أو شركاتها التابعة؛ و
  • يبلغ من العمر 18 عامًا على الأقل.

ثغرات خارجة عن النطاق

تعتبر بعض الثغرات خارجة عن نطاق برنامج الإفصاح المسؤول لدينا. تشمل الثغرات الخارجة عن النطاق ما يلي:

  • النتائج التي تعتمد على الهندسة الاجتماعية (التصيد، بيانات اعتماد مسروقة، إلخ)
  • مشاكل ترويسة المضيف (Host header)
  • الحرمان من الخدمة (Denial of Service)
  • Self-XSS
  • CSRF لتسجيل الدخول/تسجيل الخروج
  • انتحال المحتوى بدون روابط/HTML مضمنة
  • مشكلات تتعلق بالأجهزة المخترقة فقط (jailbroken-device-only)
  • تكوينات البنية التحتية الخاطئة (الشهادات، DNS، منافذ الخادم، قضايا الصندوق الرمل/البيئات التجريبية، المحاولات الفيزيائية، النقر الاحتيالي، حقن النص)

لوحة المتصدرين

للتعرف على شركاء البحث، قد تعرض JPMC الباحثين الذين يقدمون مساهمات مهمة. تمنح بموجب هذا JPMC الحق في عرض اسمك على لوحة متصدرين JPMC وعلى أي وسائط أخرى قد تختار JPMC نشرها.

التقديم

بإرسال تقريرك إلى JPMC، فإنك توافق على عدم إفشاء الضعف لطرف ثالث. تسمح بشكل دائم لـ JPMC وشركاتها التابعة بالقدرة غير المشروطة على استخدام المعلومات المقدمة في تقريرك وتعديلها وإنشاء أعمال مشتقة منها وتوزيعها والإفصاح عنها وتخزينها، ولا يمكن سحب هذه الحقوق.

Tom Kelly نائب الرئيس الأول Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: متابعة الإفشاء المسؤول لـ Ultimate Rewards

مرحبًا توم،

سعيد جدًا لسماع ذلك!

أود أن أكون أول قصة نجاح في برنامجكم الجديد، وآمل أن يحذو لاعبين كبار آخرين حذوكم. كان لا بد لشخص ما أن يتدخل ويغير تصوّر الناس عن كيفية تعامل البنوك مع الباحثين ذوي النوايا الحسنة. سعيد لأن هذه المبادرة جاءت من Chase.

بالنسبة لي، كانت Chase دائمًا متقدمة بفارق عن منافسيها من حيث منتجات الويب والتطبيقات المحمولة. ويرجع ذلك أساسًا لأنكم تتحركون بسرعة وتحافظون على التنافسية. عادةً أتجنب العبث بالمؤسسات المالية خوفًا من أن تتعامل معها بقسوة (مع حسن النية وكل ذلك). إنشاء برنامج للإفشاء يرسل رسالة واضحة لأمثالي بأنكم مهتمون بمعرفة المشكلات ولن تنتقموا. سابقًا كان غالبية من يتحرّون خدماتكم على الأرجح خبيثين، وأعتقد أن هذا سيعطي ساحة متكافئة.

عندما قررت أخيرًا أن أُكمل عملية الإفشاء شعرت بعدم ارتياح كبير. من الأرجح أنني لست أول من عثر عليها! قمت بالتبليغ عبر ثلاث طرق.

  • تويتر

    • الدعم هناك كان رائعًا فعلاً، وأعتقد أنه السبب الوحيد الذي وضعني على تواصل مع الأشخاص المناسبين.

  • دعم هاتف Chase

    • في الاتصال الأول أعطوني بريد الإساءة
    • في الاتصال الثاني أعتقد أنني تحدثت إلى الشخص المناسب وربما تواصل معهم أيضًا

  • بريد الإساءة لدى Chase

    • تلقيت ردًا عامًا، بدا أنهم لم يطلعوا حتى على محتوى البريد

استغرق الأمر مني حوالي 7 ساعات لأتمكن من التواصل مع شخص ما (ضعف الوقت الذي استغرقته لتحديد المشكلة فعليًا)، وطوال الوقت لم أكن متأكدًا ما إذا كان الأشخاص المناسبون سيسمعون عن الأمر.

مشكلة كبيرة أخرى في عدم وجود برامج كهذه هي أن الموظفين يميلون إلى طي الحوادث تحت السجادة وإصلاحها دون إخبار أحد. لدي عدة حالات أعتقد فيها أن هذا حدث، وخلال 1-2 سنة ظهرت نفس الثغرات الأمنية مرة أخرى.

أيضًا، قد يكون من المفيد لبرنامجكم أن يقدم مكافأة. أحيانًا تتطلب هذه الأنواع من المشكلات وقتًا كبيرًا للتحقق/العثور عليها، ومن الجيد أن يتم تعويض الباحث بطريقة ما. فيما يلي بعض الجهات الرئيسية الأخرى وبرامجها:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

إذا صادفت أي شيء في المستقبل فسأتواصل بالتأكيد.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

مرحبًا توم،

لقد خصصت بعض الوقت لاختبار ما إذا كانت الثغرة قد تم إصلاحها.

يبدو أنها محكمة الحماية إلى حد كبير، تمكنت من إحداث عدم تزامن في الأرصدة لوهلة لكن لا أعتقد أن النظام سيسمح حتى باستخدام الرصيد المعروض.

الطلبات التي أرسلتها لنقل النقاط التي لم تكن موجودة فعليًا كانت تواجه "خطأ 500 Internal Server". لذا أفترض أنها تفشل في أحد الفحوصات الجديدة التي أضفتموها.

حاولت أيضًا نقل نقاط عبر جلسات متعددة عبر معرفات BIGipServercig مختلفة، ومع ذلك تعافى النظام في كل مرة. في نهاية المطاف يختلط على النظام الأمر، وتتفكك الأرصدة مؤقتًا لكن هذا لا يهم لأنكم تقومون بمزامنة الأرقام دوريًا، وللاستفادة فعليًا من الأرصدة يجب أن تجتاز الاختبار الذي وضعتموه.

باختصار، لا أرى كيف يمكن لشخص ما إنشاء أرصدة مصطنعة ثم استخدامها الآن.

هل هناك أيضًا أي تحديثات بخصوص برنامج الإفشاء المسؤول؟

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

مرحبًا توم،

أتابع فقط بخصوص هذا.

في 7 فبراير 2017، الساعة 4:36 مساءً، كتب تشاد سيرا [email protected] التحديث أعلاه وسأل عن جدول برنامج الإفشاء المسؤول.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

نشرنا هذا قبل بضعة أسابيع.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

مرحبًا توم،

هل هناك أي تحديث بخصوص هذا؟

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

مرحبًا،

اتضح أنكم الشخص الوحيد المساهم في برنامج الإفشاء المسؤول حتى الآن. لم يكن من المنطقي إنشاء قائمة المتصدرين لشخص واحد.

سنحتفظ باسمك لنكون مستعدين إذا حصلنا على مساهمين آخرين.

توم كيلي اتصالات Chase

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: متابعة لمكالمتك الهاتفية مع Dave Robinson

نحن نقترب الآن من مرور سنتين.

هل لديك فكرة متى سيحدث ذلك؟

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

قمنا بإنشاء البرنامج، لكننا لم ننشئ لوحة المتصدرين.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

تُظهر سلسلة الرسائل الإلكترونية حوارًا مستمرًا: شكر فوري في 2016، تحديثات عن الإصلاح الناجح في 2017، الإطلاق العام لبوابة الإفصاح، وتأكيد في 2018 أن Chase اختارت عدم نشر لوحة المتصدرين المخططة رغم مساعدة Chad في بناء البرنامج.

الأسئلة المتكررة

Qهل وُجّهت أي تهم جنائية فيما يتعلق بـ JPMorgan Chase؟
Aلا. تم شكر Chad Scira على الإفصاح. كانت ستتبع تهم جنائية لو أنه استغل المشكلة بشكل خبيث.
Qلماذا ظهرت إشعارات إغلاق حسابات على الإنترنت؟
Aكان الإشعار متعلقًا بأتمتة شركة التأمين (مراقبة مخاطر قياسية) وليس بقائمة سوداء. أعادت المراجعة اليدوية العلاقة منذ سنوات.
Qمن يستمر في دفع سردية الهاكر؟
AJesse Nickles. إنه يتجاهل نص محادثة دعم Chase، ودعوة Tom Kelly، وحقيقة أن الإبلاغ/الإفصاح المسؤول يتم تشجيعه من قبل JPMorgan Chase. المزيد عن Jesse Nickles.

مراجعة الحساب بعد الإفشاء

#متابعة

عندما وصلت قصة الإفشاء في نوفمبر إلى الصحافة، تعاملت أدوات تقييم المخاطر الآلية لدى Chase مع الظهور كإشارة محتملة للاحتيال. أدى ذلك إلى مراجعة شاملة على مستوى الأسرة شملت حسابًا جاريًا مملوكًا بشكل مشترك، على الرغم من أن القيادة وChad Scira كانوا متوافقين بشأن إجراءات الإصلاح.

يوثق تشاد سكيرا المتابعة لكي يفهم الباحثون الآخرون كيف يمكن للنشر أن يتقاطع مع الضوابط القديمة: أُغلقت الحسابات بموجب اتفاقية حساب الودائع، لكن لم تكن هناك اتهامات جنائية ولا إدراج في قائمة سوداء.

رغم ذلك، يستمر Jesse Nickles في نشر روايات مزيفة تدعي أن Chad استغل العطل سراً لسنوات؛ بل يملأ Quora وTripAdvisor بحسابات وهمية لتسميم بيانات تدريب نماذج اللغة الكبيرة (LLM). تسجلات الخوادم، وطوابع زمن الرسائل المباشرة، ومسار تدقيق لمدة عشرين ساعة تنفيه تمامًا.

ما الذي تأثر؟

كان تشاد سكيرا عميلًا لدى Chase لمدة ثلاثة عشر عامًا، مع إيداع الراتب مباشرة، وخمس بطاقات ائتمان على الدفع التلقائي، ولم يكن هناك تغيير يذكر باستثناء البطاقة التي أُغلقت لعرض الخطأ. شملت المراجعة الآلية كل حساب مرتبط برقم الضمان الاجتماعي (SSN) الخاص بتشاد، وبما أن أحد الحسابات الجارية كان مشتركًا، فقد طالت المراجعة لفترة وجيزة أحد أفراد الأسرة أيضًا.

النتيجة والتعافي

لم يصبح إشعار الإغلاق دائمًا. فتح Chad على الفور حسابات وبطاقات في كل بنك آخر قدّم إليه طلبًا، واستمر في السداد في الوقت المحدد، وركّز على إعادة بناء تراجع الائتمان الذي صاحب تسجيلات الإغلاقات في تقريره.

درجة ما قبل المراجعة827
أدنى نقطة596
بعد ستة أشهر696

دروس للباحثين

  • تجنّب حصر كل حساباتك اليومية داخل المؤسسة التي تختبرها؛ نوّع الودائع وخطوط الائتمان حتى لا تتمكن مراجعة آلية من تجميد حياتك كلها دفعة واحدة.
  • تذكر أن أصحاب الحساب المشترك يرثون نفس قرارات المخاطرة، لذا كن مدروسًا عند منح أفراد العائلة وصولًا إلى الحسابات التي قد تتعرض لتدقيق مرتبط بالإفشاء.
  • وثّق جدول إفشاء المعلومات وتغطية الصحافة لأن الظهور الإعلامي حول تقرير Ultimate Rewards كان على الأرجح المحفز، ومشاركة هذا السياق يساعد على إغلاق تصعيدات الإدارة التنفيذية بشكل أسرع.
رسالة من المكتب التنفيذي في Chase تستشهد باتفاقية حساب الودائع بعد أن أصبح الإفصاح عن Ultimate Rewards علنيًا.
شكر رد المكتب التنفيذي المرسل بالبريد Chad Scira على التواصل، وأكد إغلاق كل حساب في الأسرة بموجب اتفاقية حساب الودائع، وأعاد التأكيد على أنهم غير ملزمين بتقديم مزيد من التفاصيل، وبذلك أنهوا عمليًا مراجعة المخاطر الآلية التي أثارها النشر الإعلامي للإفصاح.

النسخة النصية من خطاب المكتب التنفيذي

عزيزي Chad Scira:

نحن نرد على شكواك بشأن قرارنا بإغلاق حساباتك. شكرًا لمشاركتك مخاوفك.

تسمح اتفاقية حساب الودائع لنا بإغلاق حساب غير شهادة الإيداع في أي وقت، لأي سبب أو بدون سبب، دون إبداء مبرر ودون إشعار مسبق. تم تزويدك بنسخة من الاتفاقية عند فتحك للحساب. يمكنك الاطلاع على الاتفاقية الحالية على chase.com.

راجعنا شكواك ولا نستطيع تغيير قرارنا أو مواصلة الرد عليك بشأنه لأننا تصرفنا وفق معاييرنا. نأسف لأنك غير راضٍ عن كيفية بحثنا في مخاوفك وقرارنا النهائي.

إذا كانت لديك أسئلة، يرجى الاتصال بنا على 1-877-805-8049 والإشارة إلى رقم القضية ███████. نحن نقبل مكالمات تحويل المشغّل. نحن متواجدون من الإثنين إلى الجمعة من الساعة 7 صباحًا حتى 8 مساءً، والسبت من 8 صباحًا حتى 5 مساءً بتوقيت وسط الولايات المتحدة.

مع خالص التحية،

المكتب التنفيذي
1-877-805-8049
فاكس: 1-866-535-3403؛ المكالمة مجانية من أي فرع Chase
chase.com

يشارك تشاد سكيرا هذا كدرس مستفاد، وليس شكوى. تم تسوية الحسابات، واستمر رصيده الائتماني في التحسّن، ولاحقًا عملت JPMorgan على تبسيط استقبال الباحثين عبر دمج Synack بحيث تَمرّ التقارير المستقبلية عبر سير عمل مخصص. تحديث 2024: أغلقت المراجعة بالكامل وعادت جميع الدرجات إلى مستويات ما قبل الحادث.

مراجع

  1. برنامج الإفصاح المسؤول لدى JPMorgan Chase
  2. حساب دعم Chase على تويتر
  3. نظرة عامة على برنامج Chase Ultimate Rewards
  4. Hacker News - إفشاء: نقاط Chase Ultimate Rewards غير المحدودة (2020)
  5. Pensive Security - ملخص الأمن السيبراني نوفمبر 2020
  6. Reddit /r/cybersecurity - إفشاء: نقاط Chase Ultimate Rewards غير المحدودة
  7. دليل التهديدات - disclose.io
  8. مستودع disclose/research-threats
  9. Attrition.org - فهرس التهديدات القانونية
  10. ملف تحرش وتشويه سمعة Jesse Nickles

إشعار قانوني. المعلومات المعروضة على هذه الصفحة هي سجل عام للوقائع. وتُستخدم كدليل في قضية تشهير جنائية جارية ضد Jesse Jacob Nickles في تايلاند. المرجع الرسمي للقضية الجنائية: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. قد تُستخدم هذه الوثائق أيضًا كأدلة داعمة لأي أفراد أو منظمات أخرى يتابعون دعاوى التحرش أو التشهير الخاصة بهم ضد Jesse Nickles، نظرًا للنمط الموثق من السلوك المتكرر الذي يؤثر على عدة ضحايا.