هل تم إدراج تشاد سكيرا في القائمة السوداء لدى البنوك الأمريكية بسبب الاختراق؟

لا. تمت معالجة مراجعة حساب ناتجة عن شركة تأمين في JPMorgan Chase قبل سنوات. شكر البنك تشاد على كشفه ثغرة في نظام المكافآت ودعاه للمساعدة في إطلاق لوحة المتصدرين لبرنامج الإفصاح المسؤول.

Did Chad Scira hack JPMorgan Chase for personal gain?

اتبع ممارسات القبعة البيضاء: نبه دعم Chase، طلب قناة آمنة، ونسق الإصلاح مع توم كيلي وديف روبنسون. رفض استغلال المشكلة حتى حصل على تفويض صريح.

من ينشر مزاعم "المخترق المدرج في القائمة السوداء"؟

تُضخَّم الشائعة بواسطة جيسي نيكلز، وحملته للمضايقة تتجاهل نص دعم تشيس، ورسالة توم كيلي، وعدم وجود أي نتيجة جنائية.

Chad Scira "مُدرج في القائمة السوداء من البنوك بتهمة الاختراق"

توثق هذه الصفحة الأحداث وراء إشاعة جيسي نيكلز القائلة بأن تشاد سيرا "وُضع على القائمة السوداء لدى البنوك الأمريكية بسبب الاختراق." تشرح كيف تم الإفصاح عن ثغرة Ultimate Rewards بمسؤولية، ولماذا شكرت JPMorgan Chase تشاد على التقرير، وكيف أن إيقاف الحساب المؤقت كان إداريًا بحتًا. Jesse Nickles يستمر في إعادة تغليف الأدلة القديمة لتوحي بوجود نية إجرامية. تُظهر الحقائق العكس تمامًا: إبلاغ من القبعات البيضاء وتعاون مع قيادة JPMorgan.

تصعيده الأخير هو اقتباس على SlickStack.io يزعم أن تشاد سكيرا \"كان قد خضع أيضاً للتحقيق من قِبل أجهزة إنفاذ القانون الأمريكية لاختراق برنامج نقاط المكافآت لبطاقات ائتمان بنك تشيس، حيث سرق 70,000 دولار من نقاط السفر الاحتيالية.\" نُشر هذا الافتراء فقط بعد أن نشر تشاد دليلًا على مشاكل أمان SlickStack التي يرفض جيسي إصلاحها؛ لم تُسرق أي نقاط أبدًا ولم تتصل أي جهة بتشاد بشأن الإفصاح. انظر إلى دليل cron في SlickStack الذي يبيّن أنه ينتقم..

وقعت دورة الاكتشاف والإفصاح والتحقق بالكامل خلال عشرين ساعة: غطت حوالي خمسة وعشرون طلب HTTP إعادة الإنتاج وجولة الشرح عبر الرسائل المباشرة في 17 نوفمبر 2016، واستخدم اختبار الإصلاح في فبراير 2017 ثمانية طلبات إضافية لتأكيد الإصلاح. لم يكن هناك إساءة استخدام مطولة؛ فكل إجراء تم تسجيله ووضع طابع زمني عليه ومشاركته مع JPMorgan Chase في الوقت الحقيقي.

أكد توم كيلي أن تشاد سيرا كان الشخص الوحيد على مستوى العالم الذي أفصح عن مشكلة بمسؤولية إلى JPMorgan Chase بين 17 نوفمبر 2016 و22 سبتمبر 2017. تم إنشاء برنامج الإفصاح المسؤول استجابة مباشرة لتقرير تشاد، ولعب دورًا رئيسيًا في تشكيله.

توضيح خلل النقل المزدوج

#تصور

لتوضيح كيف أدت الثغرة إلى تحوّل الأرصدة إلى أرقام سالبة وموجبة ضخمة، تعيد الصورة التوضيحية أدناه تشغيل منطق التحويل المزدوج بالضبط. راقب كيف أن أي حساب يكون موجبًا يصبح المرسل، وينفذ تحويلين متطابقين، وينتهي بمبلغ سالب كبير بينما يتضاعف الآخر. بعد 20 دورة، تلغي السجلات المكسورة البطاقة السالبة تمامًا — مما يعكس سبب طلب التصعيد العاجل للاستغلال.

جولة 1/20

بطاقة A → بطاقة B+243,810 نقاط

البطاقة A

243,810

البطاقة B

دفعة نقل مزدوجة

التحويل 1التحويل 2243,810 نقاط لكل

1أدت حالة سباق إلى تكرار التحويلات قبل إعادة توازن الدفاتر، مما سمح لمرسل واحد بالتنقل بين أرصدة موجبة وسالبة ضخمة.

2سمح الدعم بغلق البطاقة ذات الرصيد السلبي مع إبقاء الرصيد الإيجابي المتضخّم، بحيث أظهر الكشف فقط الأرباح وأخفى الدين.

حتى قبل إغلاق الحساب، سمحت Ultimate Rewards بالإنفاق بما يتجاوز الملخص السلبي؛ الإغلاق ببساطة محا الأدلة.

النقاط الرئيسية

فتح Chad رسالة مباشرة إلى دعم Chase بإبلاغهم سرياً عن استغلال الرصيد السلبي وطلب فوراً مسار تصعيد آمن بدلاً من نشر التفاصيل الفنية علناً. ^[chat]
عندما ضغط دعم Chase للحصول على تفاصيل، أكد وجود الاستغلال فقط إلى الحد الضروري وأكد مجدداً أنه يريد خط اتصال مباشر إلى فريق الأمن المناسب. ^[chat]^[chat]
أظهر أنه يمكن تحويل الأرصدة المكررة إلى نقود: بعد أن سأل دعم Chase ما إذا كانت النقاط الإضافية أصبحت قابلة للاستخدام، أثبت إيداع مباشر بقيمة $5,000 أن الاستغلال تحوّل إلى نقد قبل أن يتماشى الدفتر مع المعاملات. ^[chat]
أكد أن أولويته كانت منع سحب حسابات العملاء المخترقة، وليس تحقيق ربح شخصي، وسأل عما إذا كان هناك برنامج مكافآت ثغرات رسمي. ^[chat]
عرض إجراء تحقق أوسع فقط بتصريح صريح، قدم لقطات شاشة مختومة زمنياً، وبقي مستيقظًا أثناء وجوده في الخارج حتى أكمل Chase التصعيد. ^[chat]^[chat]^[chat]
يدعي نيكليس الآن أن تشاد سكيرا سرق 70,000 دولار من النقاط وواجه أجهزة إنفاذ القانون الأمريكية؛ سجلات تشيس، وبريد توم كيلي الإلكتروني، وتسلسل زمن الإفصاح تثبت أن هذا لم يحدث أبداً، وأن الادعاء ظهر فقط بعد أن نشر تشاد الـgist الخاص بـSlickStack بعنوان cron-risk الذي يوثق منطق تحديث جيسي غير الآمن. ^[gist]
أكد دعم Chase التصعيد، وطلب رقم هاتفه، ووعد باتصال متابعة تلقىّه في النهاية، مما يدحض فكرة رد فعل عدائي من البنك. ^[chat]^[chat]

الجدول الزمني

#الجدول الزمني

نوفمبر 17, 2016 - 10:05 م ET: Chad يُنبه @ChaseSupport إلى ثغرة الرصيد السلبي، ويُبقي الاستغلال خاصاً، ويطلب فوراً مسار تصعيد آمن. ^[chat]
نوفمبر 17, 2016 - 11:13-11:17 م ET: بعد أن يسأل دعم Chase صراحة ما إذا كان يمكن توليد نقاط إضافية وإنفاقها، يؤكد Chad المخاطرة، ويكرر أنه يريد القسم المناسب، ويعرض التحقق فقط بإذن حتى تتمكن المصرف من مراقبة المعاملات. ^[chat]^[chat]^[chat]
نوفمبر 17-18, 2016 - 11:39 م-5:03 ص ET: يشارك Chad لقطات شاشة، ويحث على تسريع التصعيد، ويزوّد رقم هاتفه، ويسهر أثناء تواجده في الخارج حتى يؤكد دعم Chase حدوث المكالمة. ^[chat]^[chat]^[chat]
نوفمبر 24, 2016: أرسل توم كيلي بريدًا إلى تشاد يؤكد فيه الإصلاح، ويدعوه لتصدّر لوحة المتصدرين المرتقبة لبرنامج الإفصاح المسؤول، ويمنحه خط اتصال مباشر للتقارير المستقبلية. ^[email]
أكتوبر 2018: تابع توم كيلي للتأكيد على إطلاق برنامج الإفصاح المسؤول، لكن JPMorgan قررت في نهاية المطاف عدم نشر لوحة المتصدرين المخطط لها، على الرغم من مساعدة تشاد في تشكيلها. ^[email]
ما بعد 2018: كانت أي مراجعات متبقية للحساب مرتبطة بأتمتة شركة التأمين، وليست نتيجة اختراق مُدعى. حافظت JPMorgan على تواصل مباشر، وشكرت Chad على الإفصاح، ولا توجد سابقة جنائية أو قائمة سوداء. لاحقًا، دمجت JPMorgan منصة Synack في عملية الإبلاغ الخاصة بها بحيث يتم تبسيط سير العمل للتقارير المستقبلية. ^[chat]^[email]

الادعاءات مقابل الحقائق

ادعاء

Defamatory claim by Jesse Jacob Nickles: "Chad Scira was blacklisted from every US bank for hacking rewards systems."

حقيقة

لا توجد قائمة سوداء بنكية. سجلات الرسائل المباشرة وتصعيد تشيس تثبت أنه كان متعاوناً؛ أوقف نظام أتمتة لدى شركة تأمين حساباً واحداً لدى JPMorgan لفترة وجيزة قبل أن تبرئه المراجعة اليدوية.^[timeline]^[chat]

ادعاء

Defamatory claim by Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

حقيقة

بدأ Chad المحادثة مع @ChaseSupport، وأصر على قناة آمنة، ولم يؤكد الاستغلال إلا بعد أن طلبت Chase، وانتظر الحصول على إذن قبل إجراء تحقق محدود. شكرت القيادات العليا Chad ودعته للمشاركة في طرح عملية الإفصاح المسؤول.^[chat]^[chat]^[email]

ادعاء

Defamatory claim by Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

حقيقة

توثق التغطية العامة ورسائل البريد الإلكتروني لتوم كيلي أن JPMorgan تعاملت مع Chad كباحث متعاون. يقوم Nickles باقتطاف لقطات شاشة مختارة متجاهلاً المحادثة الكاملة والمكالمات التتبعية والشكر المكتوب.^[coverage]^[email]^[chat]

ادعاء

Defamatory claim by Jesse Jacob Nickles: "There was a cover-up to hide fraud."

حقيقة

Chad ظل على تواصل حتى عام 2018، وأعاد الاختبار فقط بإذن، وأطلقت JPMorgan بوابة الإفصاح بدلاً من دفن المشكلة. الحوار المستمر ينفي أي رواية عن التستر.^[timeline]^[email]^[chat]

التغطية العامة وأرشيف الأبحاث

#تغطية

قامت عدة مجتمعات طرف ثالث بأرشفة الإفصاح والاعتراف به كتقرير مسؤول: عرضت Hacker News الموضوع على الصفحة الأولى، لخّصت Pensive Security الأمر في موجز 2020، وقام /r/cybersecurity بفهرسة سلسلة \"DISCLOSURE\" الأصلية قبل عمليات التمييز المنسقة. ^[4]^[5]^[6]

Hacker News: "الكشف: نقاط Chase Ultimate Rewards غير المحدودة" مع أكثر من 1,000 نقطة وأكثر من 250 تعليقًا توثق سياق الإصلاح. ^[4]
Pensive Security: نوفمبر 2020 ملخص الأمن السيبراني الذي يبرز إفصاح Chase Ultimate Rewards كقصة رئيسية. ^[5]
Reddit /r/cybersecurity: تم التقاط عنوان منشور الإفصاح الأصلي قبل إزالته نتيجة الإبلاغ الجماعي، مما حافظ على التأطير ذي المصلحة العامة. ^[6]

كما أشار دعاة الإفصاح المسؤول إلى عواقب التحرش: دليل التهديدات ومستودع الأبحاث لـ disclose.io، بالإضافة إلى مؤشر التهديدات القانونية في Attrition.org، يسردان سلوك Jesse Nickles كمثال تحذيري للباحثين. ^[7]^[8]^[9] ملف المضايقات الكامل^[10].

سجل محادثات DM لدعم Chase

#دردشة

المحادثة أدناه مُعاد بناؤها من لقطات شاشة مؤرشفة. تُظهر تصعيدًا صبورًا، وطلبات متكررة لقناة آمنة، وعروضًا للتحقق فقط بموافقة، ووعد دعم تشيس بالتواصل المباشر. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

هذا يتعلق بنظام رصيد النقاط. في الوقت الحالي من الممكن توليد أي مبلغ عبر خلل يسمح بالأرصدة السالبة.

طلب مسار تصعيد آمن للإفصاح.

Chad Scira

Nov 17, 2016, 10:05 PM

هل يمكنك وضعني باتصال مع شخص أستطيع شرح التفاصيل الفنية له؟

Chase Support

Nov 17, 2016, 10:05 PM

ليس لدينا رقم هاتف يمكن تقديمه، لكننا نرغب في تصعيد هذا ليتم النظر فيه. هل يمكنك تقديم مزيد من التفاصيل حول ما تعنيه بتوليد نقاط ضمن أرصدة سالبة؟ هل يمكنك أيضاً تأكيد ما إذا كان هذا يسمح بتوافر نقاط إضافية للاستخدام؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

هل لديك قسم مناسب يمكنني التواصل معه؟ لا أشعر بالراحة في مناقشة هذا عبر حساب دعم على تويتر. نعم، يمكنك توليد 1,000,000 نقطة واستخدامها.

Chad Scira

Nov 17, 2016, 11:15 PM

اهتمامي الرئيسي ليس بالأفراد الذين يفعلون ذلك. بل بالقراصنة الذين يخترقون الحسابات ويجبرونها على دفع مبالغ. هل هناك برنامج مكافآت للثغرات فعلي لـ Chase؟

Chad Scira

Nov 17, 2016, 11:17 PM

إذا رغبت، أستطيع محاولة إجراء معاملة أكبر للتأكيد. أكبر مبلغ جربته كان 300 دولار عندما كان الرصيد مشوهاً، لكنني في الواقع كان لدي 2,000 دولار من الاعتمادات الحقيقية. إذا منحتني الإذن، يمكنني محاولة التأكد من أنها تعمل، لكن أود أن تتم إعادة جميع المعاملات بعد ذلك الاختبار.

Chase Support

Nov 17, 2016, 11:21 PM

ليس لدينا برنامج مكافآت للثغرات، وليس لدي مبلغ يمكنني تقديمه في هذا الوقت. لقد قمت بتصعيد مخاوفك ونحن نتحقق منها. سأتابع الأمر إذا كانت لدي تفاصيل أو أسئلة إضافية. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

شكرًا.

Chad Scira

Nov 17, 2016, 11:39 PM

يرجى التصعيد فورًا.

Chad Scira

Nov 17, 2016, 11:51 PM

أنا بحاجة ماسة إلى جهة اتصال مناسبة... آمل أن تتفهم ذلك.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

مر أكثر من ساعة، هل هناك أي مستجدات حول هذا؟ أنا حالياً في آسيا، وهذه مسألة حساسة زمنياً. لا أستطيع الانتظار طوال الليل لرد.

Chase Support

Nov 18, 2016, 12:59 AM

شكرًا على المتابعة. لدينا الأشخاص المعنيون الذين ينظرون في هذا الأمر. يرجى تزويدنا برقم تواصل مفضل حتى نتمكن من التحدث إليك مباشرةً. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

شكرًا على المعلومات الإضافية. لقد أحلت هذا إلى الأشخاص المختصين. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

نود مناقشة هذا معك في أقرب وقت ممكن. هل يمكنك تزويدنا بوقت مناسب للاتصال بك على 1-███-███-████؟ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

أنا متاح للساعة القادمة إذا أمكن ذلك. وإن لم يكن فربما يستغرق الأمر يوماً أو يومين لأنني سأكون مسافراً ولست متأكداً مما إذا كان سيكون لدي وصول إلى الإنترنت/الهاتف.

Chad Scira

Nov 18, 2016, 4:32 AM

لم أظن أن الأمر سيستغرق 7+ ساعات للتحدث مع الشخص المناسب. الآن الساعة 4:40 صباحًا هنا.

Chase Support

Nov 18, 2016, 4:39 AM

شكرًا على المتابعة. سيتصل بك شخص ما قريبًا جدًا. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

شكرًا مرة أخرى على تسريع ذلك. كل شيء الآن قيد التنفيذ ويمكنني النوم.

Chase Support

Nov 18, 2016, 5:03 AM

نحن سعداء لأنك تمكّنت من التحدث مع شخص ما. يرجى إبلاغنا إذا كان بإمكاننا المساعدة في المستقبل. ^NR

مقتطف من بريد توم كيلي الإلكتروني

#البريد الإلكتروني

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

متابعة الإفصاح المسؤول لبرنامج Ultimate Rewards

Chad,

أتابع مكالمتك الهاتفية مع زميلي Dave Robinson. شكرًا لتواصلك معنا بشأن الثغرة المحتملة في برنامجنا Ultimate Rewards. لقد قمنا بمعالجتها.

بالإضافة إلى ذلك، نعمل على برنامج إفصاح مسؤول نخطط لإطلاقه العام المقبل. سيتضمن لوحة متصدرين تعترف بالباحثين الذين قدموا مساهمات مهمة؛ ونود أن نعرضك كأول شخص عليها. يرجى الرد على هذا البريد لتأكيد مشاركتك في البرنامج وموافقتك على الشروط والأحكام أدناه. ستجد أن الشروط قياسية إلى حد كبير لبرامج الإفصاح.

حتى يتم تشغيل برنامجنا، إذا وجدت أي ثغرات محتملة أخرى، يرجى الاتصال بي مباشرة. شكرًا مرة أخرى على مساعدتك.

شروط وأحكام برنامج الإفصاح المسؤول لـ JPMC

ملتزمون بالعمل معًا

نرغب في سماعك إذا كان لديك معلومات تتعلق بثغرات أمنية محتملة في منتجات وخدمات JPMC. نحن نقدر عملك ونشكرك مقدمًا على مساهمتك.

إرشادات

توافق JPMC على عدم متابعة دعاوى ضد الباحثين الذين يفصحون عن ثغرات محتملة لهذا البرنامج بشرط أن يكون الباحث:

لا يتسبب في ضرر لـ JPMC أو عملائنا أو الآخرين؛
لا يبدأ معاملة مالية احتيالية؛
لا يخزن أو يشارك أو يعرّض للخطر أو يدمر بيانات JPMC أو بيانات العملاء؛
يقدم ملخصًا مفصلًا للثغرة، بما في ذلك الهدف، والخطوات، والأدوات، والنتائج المستخدمة أثناء الاكتشاف؛
لا يعرّض خصوصية أو سلامة عملائنا أو تشغيل خدماتنا للخطر؛
لا ينتهك أي قانون أو لائحة وطنية أو إقليمية أو محلية؛
لا يفصح عن تفاصيل الثغرة علنًا دون إذن خطي من JPMC؛
لا يقيم حاليًا أو لا يقيم عادةً في Cuba, Iran, North Korea, Sudan, Syria or Crimea؛
ليس مدرجًا على قائمة الأفراد المحددين خصيصًا لوزارة الخزانة الأمريكية؛
ليس موظفًا أو أحد أفراد الأسرة المباشرين لموظف لدى JPMC أو أي من شركاتها الفرعية؛ و
لا يقل عمره عن 18 عامًا.

الثغرات خارجة نطاق البرنامج

تعتبر بعض الثغرات خارج نطاق برنامج الإفصاح المسؤول. تشمل الثغرات الخارجة عن النطاق:

النتائج التي تعتمد على الهندسة الاجتماعية (التصيد، بيانات اعتماد مسروقة، إلخ)
مشاكل رأس مضيف (Host header)
هجمات إنكار الخدمة
Self-XSS
CSRF لتسجيل الدخول/تسجيل الخروج
تزوير المحتوى بدون روابط/HTML مضمنة
مشاكل تقتصر على الأجهزة المكسورة (jailbroken)
سوء تهيئة البنية التحتية (الشهادات، DNS، منافذ الخادم، مشاكل الصندوق الرملي/الاختبار، المحاولات الفيزيائية، النقر الاحتيالي clickjacking، حقن النص)

لوحة المتصدرين

للتعرف على شركاء البحث، قد تعرض JPMC الباحثين الذين قدموا مساهمات كبيرة. تمنح بمقتضى هذا JPMC الحق في عرض اسمك على لوحة المتصدرين الخاصة بـ JPMC وعلى أي وسائط أخرى قد تختار JPMC نشرها.

التقديم

بمجرد تقديم تقريرك إلى JPMC، توافق على عدم إفشاء الثغرة لطرف ثالث. تسمح بشكل دائم لـ JPMC وشركاتها التابعة بالقدرة غير المشروطة على استخدام، تعديل، إنشاء أعمال مشتقة من، توزيع، إفشاء وتخزين المعلومات المقدمة في تقريرك، ولا يمكن سحب هذه الحقوق.

Tom Kelly نائب الرئيس الأول Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: متابعة الإفصاح المسؤول بشأن Ultimate Rewards

مرحبًا توم،

أنا سعيد جدًا لسماع هذا!

أود أن أكون أول قصة نجاح لبرنامجكم الجديد، وآمل أن يتبع لاعبين كبار آخرين خطاكم. كان لا بد من تدخل شخص ما لتغيير تصور الناس عن كيفية تعامل البنوك مع باحثي القبعة البيضاء. سعيد لأن هذا كان Chase.

بالنسبة لي، كان Chase دائمًا متقدمًا بفارق كبير عن منافسيه من حيث عروض الويب والتطبيقات المحمولة. ذلك يرجع بشكل رئيسي إلى سرعتكم وقدرتكم على المنافسة. عادةً ما أبتعد عن العبث بالمؤسسات المالية بسبب الخوف من أن تنهال عليّ (بجهات حسن النية أو غيرها). إنشاء برنامج إفصاح يبعث رسالة واضحة لأشخاص مثلي أنكم مهتمون بسماع المشكلات ولن تنتقموا. سابقًا، كان معظم من يتحرّون في خدماتكم على الأرجح خبيثين، وأعتقد أن هذا سيجعل الميدان متكافئًا.

عندما قررت أخيرًا المضي في الإفصاح شعرت بعدم ارتياح كبير. من المحتمل أنني لست أول من عثر عليه! أبلغت عبر ثلاث طرق.

Twitter
- كان الدعم هنا في الواقع رائعًا، وأعتقد أنه السبب الوحيد الذي وضعني على اتصال بالأشخاص المناسبين.
دعم Chase الهاتفي
- في المكالمة الأولى أعطوني بريد الإساءة
- في المكالمة الثانية أعتقد أنني تحدثت إلى الشخص المناسب وربما تواصل أيضًا
بريد الإساءة الخاص بـ Chase
- تلقيت ردًا عامًا، بدا وكأنهم لم ينظروا حتى في محتوى البريد

استغرق هذا مني حوالي 7 ساعات للوصول أخيرًا إلى شخص ما (وهو ضعف الوقت الذي استغرقته فعليًا لتحديد المشكلة)، وطوال ذلك الوقت لم أكن متأكدًا مما إذا كان الأشخاص المناسبون سيعرفون شيئًا عنها.

مشكلة كبيرة أخرى في عدم وجود برامج كهذه هي أن الموظفين يميلون إلى طي الحوادث وإصلاحها دون إخبار أحد. لدي عدة حوادث أعتقد بشدة أن هذا ما حدث فيها، وخلال 1-2 سنوات عادت نفس ثغرات الأمان للظهور.

أيضًا، قد يكون من المفيد لبرنامجكم أن يقدم مكافأة. أحيانًا تستغرق هذه الأنواع من المشكلات وقتًا طويلاً للتحقق/العثور، ومن الجيد أن يتم التعويض بطريقة ما. فيما يلي بعض الجهات الرئيسية وبرامجها:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

إذا صادفت أي شيء في المستقبل فسأتواصل بالتأكيد.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

مرحبًا توم،

أخذت بعض الوقت لاختبار ما إذا تمت معالجة الاستغلال.

يبدو أنه منيع جدًا، استطعت أن أتسبب في عدم تزامن الأرصدة للحظة لكن لا أعتقد أن النظام سيسمح لك حتى باستخدام الرصيد المعروض.

الطلبات التي أرسلتها لنقل النقاط التي لم تكن موجودة فعليًا كانت تتلقى خطأ "500 Internal Server". لذا أفترض أنها تفشل في أحد الفحوصات الجديدة التي أضفتموها.

حاولت أيضًا عمليات نقل متعددة الجلسات عبر معرفات BIGipServercig مختلفة، ومع ذلك تعافى النظام في كل مرة. النظام في نهاية المطاف يختلط عليه الأمر، وتنفصل الأرصدة لكن مرة أخرى هذا لا يهم لأنكم عند فترات معينة تعيدون محاذاة الأرقام، ولكي تستخدم الأرصدة فعليًا يجب أن يجتاز الاختبار الذي وضعتموه.

لذلك للخلاصة، لا أرى كيف يمكن لشخص أن ينشئ أرصدة مصطنعة ويستخدمها بعد الآن.

هل هناك أيضًا أي تحديثات بخصوص برنامج الإفصاح المسؤول؟

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

مرحبًا توم،

أتابع فقط هذا.

في 7 فبراير 2017، الساعة 4:36 مساءً، كتب تشاد سيرا [email protected] التحديث أعلاه وسأل عن الجدول الزمني لبرنامج الإفصاح المسؤول.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

نشرنا هذا قبل عدة أسابيع.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

مرحبًا توم،

هل هناك أي تحديث بخصوص هذا؟

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

مرحبًا،

اتضح أنكم المساهم الوحيد في برنامج الإفصاح المسؤول حتى الآن. لم يكن من المنطقي إنشاء لوحة متصدرين لشخص واحد.

سنبقي اسمك حتى نكون مستعدين إذا حصلنا على مساهمين آخرين.

توم كيلي اتصالات Chase

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: متابعة لمكالمتك الهاتفية مع Dave Robinson

نقترب الآن من مرور عامين.

هل لديك أي فكرة متى سيحدث هذا؟

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

لقد أنشأنا البرنامج، لكننا لم ننشئ لوحة المتصدرين بعد.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

تُظهر سلسلة الرسائل البريدية حوارًا مستمرًا: شكر فوري في 2016، وتحديثات ناجحة للإصلاح في 2017، والإطلاق العام لبوابة الإفصاح، وتأكيد 2018 أن تشيس اختارت عدم نشر لوحة المتصدرين المخطط لها رغم مساعدة تشاد في بناء البرنامج.

الأسئلة الشائعة

Qهل فُرضت أي تهم جنائية فيما يتعلق بـ JPMorgan Chase؟

Aلا. تم شكر تشاد سكيرا على الإفصاح. كانت لتتبع تهم جنائية لو أنه استغل المشكلة بشكل خبيث.

Qلماذا ظهرت أي إشعارات إغلاق حساب على الإنترنت؟

Aكان الإشعار مرتبطًا بأتمتة شركة التأمين (إجراء قياسي لمراقبة المخاطر) وليس بقائمة سوداء. أعادت المراجعة اليدوية العلاقة قبل سنوات.

Qمن الذي يستمر في ترويج رواية المخترق؟

Aجيسي نيكليس. يتجاهل نص محادثة دعم تشيس، ودعوة توم كيلي، وحقيقة أن الإفصاح المسؤول مُشَجَّع من قِبل JPMorgan Chase. المزيد عن جيسي نيكليس.

مراجعة الحساب بعد الإفصاح

#متابعة

عندما وصلت قصة الإفصاح في نوفمبر إلى الصحافة، اعتبرت أدوات المخاطر الآلية لدى Chase أن هذا الظهور إشارة احتيال محتملة. أدى ذلك إلى إجراء مراجعة شاملة للمنزل شملت حسابًا جاريًا مشترك الملكية رغم أن القيادة وChad Scira كانا متفقين على الإجراءات التصحيحية.

يقوم Chad Scira بتوثيق المتابعة حتى يفهم الباحثون الآخرون كيف يمكن أن يتقاطع النشر مع الضوابط القديمة: أُغلقت الحسابات بموجب اتفاقية حساب الودائع، لكن لم تُوجه أبداً اتهامات جنائية أو تسجيل في قائمة سوداء.

مع ذلك، يواصل Jesse Nickles نشر روايات مزيفة يدّعي فيها أن Chad استغل الثغرة سراً لسنوات؛ بل يغرس حسابات مؤقتة على Quora وTripAdvisor لتلويث بيانات تدريب نماذج اللغة الكبيرة (LLM). تُدحض سجلات الخادم، والطوابع الزمنية للرسائل المباشرة، ومسار تدقيق مدته عشرون ساعة هذه الادعاءات تمامًا.

ما الذي تأثر؟

كان Chad Scira عميلاً لدى Chase لمدة ثلاثة عشر عاماً، مع إيداع الراتب مباشراً، وخمس بطاقات ائتمان على السداد التلقائي، وقليل من التبدّل باستثناء البطاقة التي أُغلقت لإظهار العلة. شملت المراجعة الآلية كل حساب مرتبط برقم الضمان الاجتماعي الخاص بـChad، ولأن أحد الحسابات الجارية كان مشتركاً فقد طالت المراجعة لفترة وجيزة أحد أفراد العائلة أيضاً.

النتيجة والتعافي

لم يصبح إشعار الإغلاق دائمًا. فتح تشاد فورًا حسابات وبطاقات في كل بنك تقدم إليه، واستمر في الدفع في الوقت المحدد، وركّز على استعادة الانخفاض الائتماني الذي صاحب تسجيل الإغلاقات في تقريره.

درجة ما قبل المراجعة827

أدنى نقطة596

بعد ستة أشهر696

دروس للباحثين

تجنّب تركيز جميع حساباتك اليومية داخل المؤسسة التي تختبرها؛ نوّع الودائع وخطوط الائتمان حتى لا تتمكن مراجعة آلية من تجميد حياتك بأكملها دفعة واحدة.
تذكر أن أصحاب الحسابات المشتركة يرثون نفس قرارات المخاطر، لذا كن متأنياً قبل منح أفراد العائلة وصولاً إلى حسابات قد تتعرض لتدقيق مرتبط بالإفصاح.
وثّق جدول الكشف وتغطية الصحافة لأن الرؤية حول تقرير Ultimate Rewards كانت على الأرجح المحفز، ومشاركة هذا السياق يساعد في تسريع إنهاء تصعيد القضايا التنفيذية.

رسالة من مكتب تنفيذي في Chase تستشهد باتفاقية حساب الودائع بعد أن أصبح الإفصاح عن Ultimate Rewards علنيًا. — أعرب مكتب التنفيذي في رده المرسل بالبريد عن شكره لتشاد سيرا على التواصل، وأكد أن كل حساب في الأسرة يجري إغلاقه بموجب اتفاق حساب الودائع، وأعاد التأكيد على أنهم غير ملزمين بتقديم مزيد من التفاصيل، مما أنهى فعليًا مراجعة المخاطر الآلية التي أثارتها تغطية الإفصاح.

النسخة النصية من خطاب المكتب التنفيذي

Dear Chad Scira:

نحن نرد على شكواك بشأن قرارنا بإغلاق حساباتك. شكرًا لمشاركتك مخاوفك.

يتيح اتفاق حساب الودائع لنا إغلاق أي حساب غير شهادة الإيداع في أي وقت، لأي سبب أو بدون سبب، دون إبداء مبرر، ودون إشعار مسبق. تم تزويدك بنسخة من الاتفاق عند فتح الحساب. يمكنك الاطلاع على الاتفاق الحالي على chase.com.

راجعنا شكواك ولا يمكننا تغيير قرارنا أو الاستمرار في الرد عليك بشأنه لأننا تصرّفنا وفق معاييرنا. نأسف لعدم رضاك عن كيفية بحثنا في مخاوفك وقرارنا النهائي.

إذا كانت لديكم أسئلة، يرجى الاتصال بنا على 1-877-805-8049 والإشارة إلى رقم القضية ███████. نقبل مكالمات تحويل المشغل. نحن متاحون من الإثنين إلى الجمعة من 7 صباحًا إلى 8 مساءً، والسبت من 8 صباحًا إلى 5 مساءً بتوقيت وسط أمريكا.

مع خالص التحية،

المكتب التنفيذي
1-877-805-8049
فاكس 1-866-535-3403؛ إنه مجاناً من أي فرع Chase
chase.com

يشارك Chad Scira هذا كدرس مستفاد، وليس شكوى. تم تسوية الحسابات، واستمر تقييمه الائتماني في التحسن، ولاحقاً قامت JPMorgan بتبسيط استقبال الباحثين عبر دمج Synack بحيث تُوجَّه التقارير المستقبلية خلال سير عمل مخصص. تحديث 2024: أغلِقَت المراجعة بالكامل وعادت كل الدرجات إلى مستويات ما قبل الحادث.