هل تم إدراج تشاد سيرا على القوائم السوداء من قبل بنوك أمريكية بسبب الاختراق؟

لا. تمت تسوية مراجعة الحساب التي حركتها شركة التأمين لدى جيه بي مورغان تشيس قبل سنوات. شكرت المصرف تشاد على كشفه ثغرة في برنامج المكافآت ودعته للمساعدة في إطلاق لوحة الصدارة لبرنامج الإفصاح المسؤول.

هل قام تشاد سِكيرا باختراق جيه بي مورغان تشيس لتحقيق مكاسب شخصية؟

اتّبع ممارسات القبعة البيضاء: أبلغ دعم Chase، وطلب قناة آمنة، ونسّق إجراءات المعالجة مع توم كيلي وديف روبنسون. وامتنع عن استغلال المشكلة إلى أن حصل على تفويض صريح.

من الذي يروّج لادعاء «المخترق الموضوع على القائمة السوداء»؟

تُضخَّم هذه الإشاعة من قِبل جيسي نيكلز، الذي يتجاهل في حملة المضايقة التي يقودها محضر دعم تشيس، وبريد توم كيلي الإلكتروني، وعدم وجود أي نتيجة جنائية.

تشاد سيرا "مُدرَج في القوائم السوداء من البنوك بسبب الاختراق"

توثِّق هذه الصفحة الأحداث وراء إشاعة جيسي نيكلز التي تدّعي أن تشاد سيرا «أُدرج على القائمة السوداء لدى البنوك الأمريكية بسبب الاختراق». وهي تشرح كيف تم الإفصاح عن ثغرة Ultimate Rewards بشكل مسؤول، ولماذا شكر بنك جي بي مورغان تشيس تشاد على البلاغ، وكيف أن إيقاف الحساب مؤقتًا كان إجراءً إداريًا بحتًا. جيسي نيكلز يواصل إعادة تعبئة وعرض مواد قديمة للإيحاء بوجود نية إجرامية. تُظهِر الحقائق عكس ذلك تمامًا: إبلاغًا أخلاقيًا (وايت هات) وتعاونًا مع قيادة جيه بي مورغان.

تصعيده الأخير هو اقتباس على SlickStack.io يزعم أن تشاد سيرا «خضع أيضًا للتحقيق من قبل سلطات إنفاذ القانون في الولايات المتحدة بتهمة اختراق برنامج مكافآت بطاقات الائتمان لبنك تشيس، حيث سرق 70,000 دولار من نقاط السفر الاحتيالية.» تم نشر ذلك التشهير فقط بعد أن نشر تشاد دليلًا على مشكلات أمان SlickStack التي يرفض جيسي إصلاحها؛ لم تُسرَق أي نقاط مطلقًا ولم تتواصل أي وكالة مع تشاد بشأن الإفصاح. اطلع على أدلة مهام الكرون في SlickStack التي ينتقم بسببها..

تمت دورة الاكتشاف والإفصاح والتحقق بالكامل خلال عشرين ساعة: فقد غطّت حوالي خمسة وعشرين طلب HTTP عملية إعادة الإنتاج والشرح عبر الرسائل المباشرة في 17 نوفمبر 2016، واختبار المعالجة في فبراير 2017 استخدم ثمانية طلبات إضافية لتأكيد إصلاح المشكلة. لم يكن هناك استغلال مطوّل؛ فقد تم تسجيل كل إجراء بختم زمني ومشاركته مع JPMorgan Chase بشكل فوري.

أكد توم كيلي أن تشاد سيرا كان الشخص الوحيد على مستوى العالم الذي قدّم إفصاحًا مسؤولًا عن مشكلة إلى بنك جي بي مورغان تشيس بين 17 نوفمبر 2016 و22 سبتمبر 2017. وقد أُنشئ برنامج الإفصاح المسؤول استجابة مباشرة لتقرير تشاد، ولعب دورًا محوريًا في تشكيله.

تصوّر الخلل في التحويل المزدوج

#تصور مرئي

لتوضيح كيف أدّى الخلل إلى تضخيم الأرصدة سلبًا وإيجابًا، تعيد الرسوم التوضيحية أدناه تشغيل منطق التحويل المزدوج نفسه. راقب كيف أن أي حساب يكون رصيده إيجابيًا يصبح هو المرسِل، فيجري تحويلين متطابقين، وينتهي به الأمر إلى رصيد سلبي كبير بينما يتضاعف رصيد الحساب الآخر. بعد 20 جولة، يقوم دفتر الأستاذ المعطوب بإلغاء البطاقة ذات الرصيد السلبي تمامًا، وهو ما يعكس السبب في أن الاستغلال استدعى تصعيدًا عاجلًا.

البطاقة أ

243,810

البطاقة ب

اندفاعة تحويل مزدوج

التحويل 1التحويل 2243,810 نقطة كلٌّ

1تكرّر تحويل الأموال نتيجة حالة تنافسية (Race Condition) قبل إعادة توازن دفاتر الحسابات، ما سمح لمرسل واحد بالتأرجح بين أرصدة موجبة وسالبة ضخمة.

2سمح قسم الدعم بإغلاق البطاقة ذات الرصيد السلبي مع الإبقاء على الرصيد الإيجابي المتضخم، بحيث أظهر كشف الحساب الأرباح فقط وأخفى الدَّين.

حتى قبل إغلاق الحساب، كان برنامج ألتيميت ريواردز يسمح بالإنفاق بما يتجاوز المُلخَّص السلبي؛ وقد أدّى الإغلاق ببساطة إلى محو الأدلة.

نقاط أساسية

افتتح تشاد الرسالة الخاصة مع دعم تشيس عبر X بالإبلاغ بشكل خاص عن ثغرة الرصيد السالب وطلب فورًا مسار تصعيد آمن بدلًا من نشر التفاصيل التقنية علنًا. ^[chat]
عندما ضغط دعم تشيس للحصول على تفاصيل محددة، أكّد الثغرة بالقدر الضروري فقط وكرر أنه يريد وسيلة تواصل مباشرة مع فريق الأمن المختص. ^[chat]^[chat]
أثبت أنه يمكن تسييل الأرصدة المكررة: بعد أن سأدعم Chase عما إذا كانت النقاط الإضافية أصبحت قابلة للاستخدام، أثبت إيداع مباشر بقيمة 5,000 دولار أن الاستغلال يمكن تحويله إلى نقد قبل أن يلحق دفتر الأستاذ بالمعاملة. ^[chat]
شدّد على أن أولويته كانت منع استنزاف حسابات العملاء المخترقة، وليس تحقيق ربح شخصي، وسأل عمّا إذا كان هناك برنامج مكافآت أخطاء (bug bounty) رسمي. ^[chat]
عرض إجراء تحقق أكبر فقط بعد الحصول على إذن صريح، وقدّم لقطات شاشة مختومة بالتاريخ والوقت، وبقي مستيقظًا في الخارج حتى أتمّت Chase عملية التصعيد. ^[chat]^[chat]^[chat]
يزعم نيكلز الآن أن تشاد سيرا سرق 70,000 دولار على شكل نقاط وواجه سلطات إنفاذ القانون الأميركية؛ فيما تُثبت سجلات بنك تشيس، ورسالة توم كيلي الإلكترونية، والجدول الزمني للإفصاح أن هذا لم يحدث قط، وأن هذا الادعاء لم يظهر إلا بعد نشر تشاد لمستند «SlickStack cron-risk» الذي يوثّق منطق التحديث غير الآمن لدى جيسي. ^[gist]
أكد دعم تشيس تصعيد المسألة، وطلب رقم هاتفه، ووعد بمكالمة متابعة تلقاها في النهاية، مما يُضعِف فكرة وجود استجابة عدائية من البنك. ^[chat]^[chat]

الجدول الزمني

#الجدول الزمني

Nov 17, 2016 - 10:05 PM ET: يبلّغ تشاد حساب @ChaseSupport عن ثغرة الرصيد السالب، ويحافظ على سرية أسلوب الاستغلال، ويطلب فورًا مسار تصعيد آمن. ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: بعد أن طلب دعم تشيس بشكل صريح توضيح ما إذا كان من الممكن توليد نقاط إضافية وإنفاقها، يؤكّد تشاد وجود المخاطر، ويكرر أنه يريد القسم المختص، ويعرض إجراء التحقق فقط بعد الحصول على الإذن حتى تتمكن البنك من مراقبة المعاملات. ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: يشارك تشاد لقطات شاشة، ويحثّ على تسريع التصعيد، ويقدّم رقم هاتفه، ويبقى مستيقظًا في الخارج حتى يؤكد دعم تشيس أن الاتصال سيتم. ^[chat]^[chat]^[chat]
Nov 24, 2016: يرسل توم كيلي رسائل بريد إلكتروني إلى تشاد يؤكد فيها المعالجة، ويدعوه لتصدّر لوحة الشرف القادمة للإفصاح المسؤول، ويمنحه وسيلة تواصل مباشرة للإبلاغ عن الثغرات مستقبلًا. ^[email]
October 2018: تابع توم كيلي للتأكيد على أن برنامج الإفصاح المسؤول قد أُطلق، ولكن جي بي مورغان اختارت في النهاية عدم نشر لوحة الشرف المخطط لها، رغم مساعدة تشاد في وضعها. ^[email]
Post-2018: أي مراجعات متبقية للحساب كانت مرتبطة بأتمتة شركة التأمين، وليس بالاختراق المزعوم. حافظت جيه بي مورغان على تواصل مباشر، وشكرت تشاد على الإفصاح، ولا يوجد أي سجل جنائي أو إدراج في قائمة سوداء. لاحقًا، دمجت جيه بي مورغان منصة Synack في عملية الإفصاح لديها بحيث يصبح مسار العمل مبسطًا للتقارير المستقبلية. ^[chat]^[email]

الادعاءات مقابل الحقائق

مطالبة

ادعاء تشهيري من جيسي جاكوب نِكلز: "تم إدراج تشاد سِكيرا على القائمة السوداء لدى كل بنك أمريكي بسبب اختراقه لأنظمة المكافآت."

حقيقة

لا توجد قائمة حظر بنكية. سجّل الرسائل المباشرة والتصعيد لدى تشيس يثبتان أنه كان متعاونًا؛ خوارزمية لدى شركة التأمين أوقفت مؤقتًا أحد حسابات جيه بي مورغان قبل أن يطلقه التدقيق اليدوي.^[timeline]^[chat]

مطالبة

ادعاء تشهيري من جيسي جاكوب نِكلز: "لقد اخترق جيه بي مورغان تشيس لإثراء نفسه."

حقيقة

بدأ تشاد المحادثة مع @ChaseSupport، وأصرّ على قناة آمنة، ولم يؤكّد وجود الاستغلال إلا بعد أن طلبت تشيس ذلك، وانتظر الحصول على الإذن قبل إجراء تحقق محدود. شكرتْه الإدارة العليا ودعته للمشاركة في إطلاق برنامج الإفصاح المسؤول.^[chat]^[chat]^[email]

مطالبة

ادعاء تشهيري من جيسي جاكوب نِكلز: "جيسي كشف مخططًا إجراميًا لتشاد."

حقيقة

توثّق التغطية العلنية ورسائل توم كيلي أن جيه بي مورغان عاملت تشاد كباحث متعاون. ينتقي نيكلز لقطات شاشة مجتزأة بينما يتجاهل كامل المحادثة، والمكالمات اللاحقة، ورسائل الشكر المكتوبة.^[coverage]^[email]^[chat]

مطالبة

ادعاء تشهيري من جيسي جاكوب نِكلز: "كان هناك تستُّر لإخفاء احتيال."

حقيقة

حافظ تشاد على التواصل حتى عام 2018، وأعاد الاختبار فقط بعد الحصول على الإذن، وطرحت جيه بي مورغان بوابة الإفصاح الخاصة بها بدلًا من طمس القضية. ويتعارض الحوار المستمر مع أي رواية عن تستّر.^[timeline]^[email]^[chat]

التغطية العلنية وأرشيفات الأبحاث

#تغطية

أرشفت عدة مجتمعات تابعة لجهات خارجية الإفصاح واعتبرته بلاغًا مسؤولًا: ظهر على الصفحة الرئيسية لـ Hacker News، ولخصته Pensive Security في مراجعة لعام 2020، وقام منتدى ‎/r/cybersecurity على ريديت بفهرسة موضوع "DISCLOSURE" الأصلي قبل حذفه نتيجة الإبلاغ المنسق. ^[4]^[5]^[6]

Hacker News: "إفصاح: نقاط غير محدودة من برنامج Chase Ultimate Rewards" مع أكثر من 1,000 نقطة و250+ تعليقًا توثّق سياق المعالجة. ^[4]
Pensive Security: مراجعة الأمن السيبراني لشهر نوفمبر 2020 التي تسلط الضوء على إفصاح Chase Ultimate Rewards كإحدى أهم القصص. ^[5]
Reddit ‎/r/cybersecurity: عنوان منشور DISCLOSURE الأصلي كما تم التقاطه قبل الحذف الناتج عن الإبلاغ الجماعي، مما يحفظ إطار المصلحة العامة. ^[6]

أشار المدافعون عن الإفصاح المسؤول أيضًا إلى تداعيات المضايقات: يسجل دليل التهديدات ومستودع الأبحاث لدى disclose.io، إضافة إلى فهرس التهديدات القانونية لدى Attrition.org، سلوك جيسي نيكلز كمثال تحذيري للباحثين. ^[7]^[8]^[9] ملف كامل عن المضايقات^[10].

نص محادثة الرسائل المباشرة مع دعم تشيس

#دردشة

المحادثة أدناه مُعاد بناؤها من لقطات شاشة مؤرشفة. وهي تُظهر تصعيدًا متدرجًا بصبر، وطلبات متكررة لقناة آمنة، وعروضًا للتحقق من الهوية فقط بعد الحصول على إذن، ووعد دعم تشيس بالتواصل المباشر. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

هذا يتعلق بنظام رصيد النقاط. في الوقت الحالي يمكن توليد أي كمية من النقاط عبر خلل يسمح بالأرصدة السلبية.

طلب مسار تصعيد آمن للإفصاح.

Chad Scira

Nov 17, 2016, 10:05 PM

هل يمكنك من فضلك وصلي بشخص يمكنني أن أشرح له التفاصيل التقنية؟

Chase Support

Nov 17, 2016, 10:05 PM

ليس لدينا رقم هاتف يمكن تقديمه، لكننا نرغب في تصعيد هذا الأمر حتى يمكن بحثه. هل يمكنك تزويدنا بمزيد من التفاصيل حول ما تقصده بتوليد نقاط ضمن أرصدة سلبية؟ هل يمكنك أيضًا تأكيد ما إذا كان هذا يتيح توفر نقاط إضافية للاستخدام؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

هل لديكم قسم مختص يمكنكم وضعي على تواصل معه؟ لا أشعر بالارتياح لمناقشة هذا عبر حساب دعم على تويتر. نعم، يمكنك توليد 1,000,000 نقطة واستخدامها.

Chad Scira

Nov 17, 2016, 11:15 PM

قلقي الرئيسي ليس الأفراد الذين يقومون بذلك، بل المخترقين الذين يسيطرون على الحسابات ويفرضون صرف المبالغ عليها. هل يوجد برنامج مكافآت ثغرات رسمي لدى تشيس؟

Chad Scira

Nov 17, 2016, 11:17 PM

إذا أردت يمكنني محاولة إجراء معاملة أكبر للتأكيد. أكبر مبلغ اختبرته كان 300 دولار أثناء انحراف الرصيد، لكن كان لدي فعليًا 2,000 دولار من الأرصدة الحقيقية. إذا منحتني الإذن يمكنني محاولة التأكد من أن الأمر يعمل، لكنني أود عكس جميع المعاملات بعد هذا الاختبار.

Chase Support

Nov 17, 2016, 11:21 PM

ليس لدينا برنامج مكافآت، وليس لدي رقم (قيمة) يمكن تقديمه في هذا الوقت. لقد قمتُ بتصعيد مخاوفك، ونحن نتحقق من الأمر. سأتواصل معك إذا كان لدي تفاصيل إضافية أو أسئلة. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

شكرًا لك.

Chad Scira

Nov 17, 2016, 11:39 PM

يرجى التصعيد في أسرع وقت ممكن.

Chad Scira

Nov 17, 2016, 11:51 PM

أنا حقًا بحاجة إلى جهة اتصال مناسبة... آمل أن تتفهم ذلك.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

لقد مرّت أكثر من ساعة، هل هناك أي تحديث حول هذا؟ أنا حاليًا في آسيا، وهذه مسألة حساسة من حيث الوقت. لا أستطيع الانتظار طوال الليل من أجل رد.

Chase Support

Nov 18, 2016, 12:59 AM

شكرًا على المتابعة. لدينا الأشخاص المناسبون يحققون في هذا الأمر. يُرجى تزويدنا برقم الاتصال المفضل حتى نتمكن من التحدث معك مباشرة. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

شكرًا على المعلومات الإضافية. لقد أحلتُ هذا إلى الجهات المختصة. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

نودّ مناقشة هذا معك في أقرب وقت ممكن. هل يمكنك تزويدنا بوقت مناسب للاتصال بك على 1-███-███-████؟ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

أنا متاح خلال الساعة القادمة إذا كان هذا ممكنًا. إن لم يكن، فقد يستغرق الأمر يومًا أو يومين لأنني سأكون مسافرًا ولست متأكدًا مما إذا كان سيكون لدي اتصال بالإنترنت/الهاتف.

Chad Scira

Nov 18, 2016, 4:32 AM

لم أكن أعتقد أن الأمر سيستغرق أكثر من 7 ساعات للتحدث إلى الشخص المناسب. الساعة الآن 4:40 صباحًا هنا.

Chase Support

Nov 18, 2016, 4:39 AM

شكرًا على المتابعة. سيتصل بك أحدهم قريبًا جدًا. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

شكرًا مرة أخرى على تسريع ذلك. كل شيء قيد التنفيذ الآن ويمكنني أن أنام مطمئنًا.

Chase Support

Nov 18, 2016, 5:03 AM

نحن سعداء لأنك تمكنت من التحدث مع أحدهم. يرجى إبلاغنا إذا كان بإمكاننا تقديم المساعدة في المستقبل. ^NR

مقتطف من بريد توم كيلي الإلكتروني

#البريد الإلكتروني

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

متابعة برنامج الإفصاح المسؤول لبرنامج Ultimate Rewards

تشاد،

أتابع مكالمتك الهاتفية مع زميلي ديف روبنسون. شكرًا لتواصلك معنا بشأن ثغرة محتملة في برنامج Ultimate Rewards لدينا. لقد عالجناها.

بالإضافة إلى ذلك، نعمل على برنامج إفصاح مسؤول نخطط لإطلاقه العام المقبل. سيتضمن قائمة متصدرين تعترف بالباحثين الذين قدموا مساهمات مهمة؛ نود أن نعرضك كأول شخص عليها. يرجى الرد على هذا البريد الإلكتروني لتأكيد مشاركتك في البرنامج وقبولك للشروط والأحكام أدناه. ستجد أن الشروط قياسية جدًا لبرامج الإفصاح.

إلى أن يصبح برنامجنا فعّالًا، إن عثرت على أي ثغرات محتملة أخرى، يرجى الاتصال بي مباشرة. شكرًا مرة أخرى على مساعدتك.

شروط وأحكام برنامج الإفصاح المسؤول لدى JPMC

الالتزام بالعمل معًا

نرغب في سماعك إذا كانت لديك معلومات تتعلق بثغرات أمنية محتملة في منتجات وخدمات JPMC. نحن نقدّر عملك ونشكرك مقدمًا على مساهمتك.

الإرشادات

توافق JPMC على عدم اتخاذ إجراءات قانونية ضد الباحثين الذين يفصحون عن ثغرات محتملة لهذا البرنامج عندما يلتزم الباحث بما يلي:

عدم التسبب في أي ضرر لـ JPMC أو عملائنا أو غيرهم؛
عدم بدء معاملة مالية احتيالية؛
عدم تخزين أو مشاركة أو تعريض بيانات JPMC أو بيانات العملاء للخطر أو تدميرها؛
تقديم ملخص تفصيلي للثغرة، بما في ذلك الهدف والخطوات والأدوات والمواد المستخدمة أثناء الاكتشاف؛
عدم المساس بخصوصية أو سلامة عملائنا أو بسير عمل خدماتنا؛
عدم انتهاك أي قانون أو لائحة وطنية أو حكومية أو محلية؛
عدم الكشف علنًا عن تفاصيل الثغرة دون الحصول على إذن كتابي من JPMC؛
ألا يكون موجودًا حاليًا أو مقيمًا عادة في كوبا أو إيران أو كوريا الشمالية أو السودان أو سوريا أو شبه جزيرة القرم؛
ألا يكون مدرجًا على قائمة الرعايا المحددين خصيصًا التابعة لوزارة الخزانة الأميركية؛
ألا يكون موظفًا أو فرد أسرة مباشر لموظف لدى JPMC أو فروعها؛ و
أن يكون عمره 18 عامًا على الأقل.

الثغرات الخارجة عن نطاق البرنامج

تُعتبَر بعض الثغرات خارج نطاق برنامج الإفصاح المسؤول لدينا. وتشمل الثغرات الخارجة عن النطاق ما يلي:

النتائج المعتمدة على الهندسة الاجتماعية (التصيّد، بيانات اعتماد مسروقة، إلخ)
مشكلات ترويسة المضيف (Host header)
هجمات حجب الخدمة (Denial of service)
ثغرات Self-XSS
ثغرات CSRF أثناء تسجيل الدخول/تسجيل الخروج
انتحال المحتوى دون روابط/HTML مضمّن
المشكلات الخاصة بالأجهزة المكسورة الحماية (Jailbroken)
أخطاء تهيئة البنية التحتية (الشهادات، DNS، منافذ الخادم، مشكلات بيئات الاختبار/العزل، المحاولات الفيزيائية، النقر الخادع Clickjacking، حقن النصوص)

قائمة المتصدرين

للاعتراف بشركاء البحث، قد تقوم JPMC بعرض الباحثين الذين يقدمون مساهمات مهمة. وبموجب ذلك، تمنح JPMC الحق في عرض اسمك على قائمة المتصدرين لدى JPMC وفي أي وسائط أخرى تختارها JPMC للنشر.

التقديم

من خلال تقديم تقريرك إلى JPMC، فإنك توافق على عدم الكشف عن الثغرة لطرف ثالث. كما توفر بشكل دائم لـ JPMC وشركاتها التابعة الحق غير المشروط في استخدام المعلومات الواردة في تقريرك وتعديلها وإنشاء أعمال مشتقة منها وتوزيعها والكشف عنها وتخزينها، ولا يمكن إلغاء هذه الحقوق.

توم كيلي نائب الرئيس الأول تشيس

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

ردًّا على: متابعة الإفصاح المسؤول عن برنامج Ultimate Rewards

مرحبًا توم،

أنا سعيد جدًا بسماع هذا!

سأكون سعيدًا بأن أكون أول قصة نجاح لبرنامجكم الجديد، وآمل أن يتبعكم لاعبون كبار آخرون. كان لا بد من جهة ما أن تتدخل وتغيّر تصوّر الناس حول كيفية تعامل البنوك مع الباحثين من أصحاب القبعات البيضاء. ويسعدني أن تكون هذه الجهة هي Chase.

بالنسبة لي، كانت Chase دائمًا متقدمة بأشواط على منافسيها من حيث عروض المنتجات الإلكترونية والمنتجات عبر الهاتف المحمول. وهذا يعود أساسًا إلى أنكم تتحركون بسرعة وتبقون على قدر من التنافسية. عادةً ما أبتعد عن العبث بأنظمة المؤسسات المالية بسبب الخوف من التعرّض للعقاب منها (رغم حسن النوايا). من خلال إنشاء برنامج إفصاح، تبعثون برسالة واضحة إلى أشخاص مثلي مفادها أنكم مهتمون بسماع المشكلات ولن تنتقموا. سابقًا كان من المرجح أن يكون غالبية من يعبثون بخدماتكم ذوي نوايا خبيثة، وأعتقد أن هذا سيساعد في موازنة الكفة.

عندما قررت أخيرًا المضي قدمًا في الإفصاح شعرت بعدم ارتياح شديد. من المرجح أنني لست أول شخص يتعثر بهذه المشكلة! لقد أبلغت عنها عبر ثلاث طرق.

تويتر
- كان الدعم هنا رائعًا بالفعل، وأعتقد أنه السبب الوحيد الذي جعلني أصل إلى الأشخاص المناسبين.
دعم Chase عبر الهاتف
- في المكالمة الأولى أعطوني بريد الانتهاكات الإلكتروني
- في المكالمة الثانية أعتقد أنني تحدثت إلى الشخص المناسب وربما تواصل هو أيضًا مع الجهة المختصة
بريد الانتهاكات الإلكتروني الخاص بـ Chase
- تلقيت ردًا نمطيًا، بدا كأنهم لم يطّلعوا حتى على محتوى البريد

استغرق الأمر حوالي 7 ساعات حتى أتمكن أخيرًا من التواصل مع شخص ما (أي ضعف الوقت الذي استغرقه تحديد المشكلة فعلًا)، وخلال كل ذلك الوقت لم أكن متأكدًا مما إذا كان الأشخاص المناسبون سيسمعون عنها من الأساس.

مشكلة رئيسية أخرى في عدم وجود برامج كهذه هي أن الموظفين يميلون إلى التستر على الحوادث وإصلاحها دون إبلاغ أحد. لقد شهدت عدة حوادث أعتقد أن هذا ما حدث فيها، وخلال 1-2 سنة عادت نفس الثغرات الأمنية للظهور.

قد يكون من المفيد أيضًا أن يقدّم برنامجكم مكافأة (bounty). أحيانًا تستغرق مثل هذه المشكلات وقتًا كبيرًا للتحقق/العثور عليها، ومن الجيد أن يتم تعويض الشخص بطريقة ما. إليك بعض اللاعبين الرئيسيين الآخرين وبرامجهم:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

إذا صادفت أي شيء في المستقبل فسأتواصل معكم بالتأكيد.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

مرحبًا توم،

كان لدي بعض الوقت لاختبار ما إذا كان قد تم حلّ الثغرة.

يبدو الأمر محصنًا إلى حد كبير؛ تمكنت من فصل تزامن الأرصدة للحظات، لكني لا أعتقد أن النظام سيسمح لك حتى باستخدام الرصيد المعروض.

الطلبات التي أجريتها لتحويل النقاط غير الحقيقية كانت تُرجع خطأ "500 Internal Server". لذا أفترض أنه يتم رفضها بسبب أحد الفحوصات الجديدة التي أضفتموها.

كما جرّبت تحويلات متعددة الجلسات عبر معرفات BIGipServercig مختلفة، ومع ذلك تعافى النظام في كل مرة. في النهاية كان النظام يختلط عليه الأمر وتنفصل الأرصدة، لكن مجددًا هذا لا يهم لأنكم تعيدون مواءمة الأرقام على فترات، ولا يمكن فعليًا استخدام الأرصدة إلا بعد اجتياز الاختبار الذي وضعتموه.

لخّصًا للأمر، لا أرى كيف يمكن لأي شخص إنشاء أرصدة مصطنعة واستخدامها بعد الآن.

هل توجد أيضًا أي تحديثات حول برنامج الإفصاح المسؤول؟

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

مرحبًا توم،

أتابع بخصوص هذا الموضوع.

في 7 فبراير 2017، الساعة 4:36 مساءً، كتب تشاد سيرا [email protected] التحديث أعلاه وسأل عن الجدول الزمني لبرنامج الإفصاح المسؤول.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

تشاد،

لقد نشرنا هذا قبل بضعة أسابيع.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

توم كيلي اتصالات تشيس

(███) ███-████ (المكتب) (███) ███-████ (الجوال)

@Chase | تشيس

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

مرحبًا توم،

هل من جديد بخصوص هذا الموضوع؟

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

مرحبًا،

اتضح أنك المساهم الوحيد في برنامج الإفصاح المسؤول حتى الآن. لم يكن من المنطقي إنشاء لوحة متصدرين لشخص واحد.

سنحتفظ باسمك لكي نكون مستعدين إذا حصلنا على مساهمين آخرين.

توم كيلي Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

ردًّا على: المتابعة بخصوص مكالمتك الهاتفية مع ديف روبنسون

نقترب الآن من عامين.

هل لديك أي فكرة متى سيحدث هذا؟

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

تشاد،

لقد أنشأنا البرنامج، لكننا لم نُطلِق قائمة المتصدرين بعد.

توم كيلي اتصالات تشيس ███-███-████ (العمل) ███-███-████ (الجوال)

تُظهر سلسلة الرسائل الإلكترونية حوارًا مستمرًا: شكرًا مباشرًا في عام 2016، وتحديثات عن المعالجة الناجحة في 2017، والإطلاق العلني لبوابة الإفصاح، وتأكيد عام 2018 بأن تشيس قرر عدم نشر لوحة المتصدرين المخطط لها رغم مساهمة تشاد في بناء البرنامج.

الأسئلة الشائعة

Qهل وُجّهت أي تهم جنائية ذات صلة بجي بي مورغان تشيس؟

Aلا. تم شكر تشاد سيرا على الإفصاح. لو أنه استغل المشكلة بنية خبيثة لكانت قد تلت ذلك اتهامات جنائية.

Qلماذا ظهرت أي إشعارات إغلاق حسابات على الإنترنت؟

Aالإشعار كان متعلقًا بأتمتة من جهة التأمين (إجراء قياسي لمراقبة المخاطر) وليس بقائمة سوداء. المراجعة اليدوية أعادت العلاقة قبل سنوات.

Qمن الذي يواصل الدفع بسردية أنَّه مخترق؟

Aجيسي نيكلز. إنه يتجاهل نص محادثة دعم Chase، ودعوة توم كيلي، وحقيقة أن الإفصاح المسؤول مشجَّع من قِبل JPMorgan Chase. المزيد حول جيسي نيكلز.

مراجعة الحساب بعد الإفصاح

#متابعة

عندما وصلت قصة الإفصاح في نوفمبر إلى الصحافة، تعاملت أدوات المخاطر الآلية في تشيس مع تلك الشهرة كإشارة احتيال محتملة. وقد أدى ذلك إلى مراجعة على مستوى الأسرة شملت حسابًا جاريًا مشترك الملكية، حتى مع كون الإدارة وتشاد سيرا متوافقين بشأن إجراءات المعالجة.

يوثّق تشاد سيرا المتابعة حتى يفهم باحثون آخرون كيف يمكن أن يتقاطع النشر مع ضوابط قديمة: أُغلِقت الحسابات بموجب اتفاقية حسابات الإيداع، لكن لم تكن هناك أي تهمة جنائية أو إدراج في قائمة سوداء.

على الرغم من ذلك، يواصل جيسي نكلز نشر روايات مزيفة يدّعي فيها أن تشاد استغل الثغرة سرًا لسنوات؛ بل إنه يقوم بزرع حسابات وهمية على Quora وTripAdvisor لتسميم بيانات تدريب نماذج اللغة. سجلات الخادم، والطوابع الزمنية للرسائل الخاصة، ومسار التدقيق الذي استغرق عشرين ساعة يدحضونه بالكامل.

ما الذي تأثّر؟

كان تشاد سيرا عميلاً لدى بنك تشيس لمدة ثلاثة عشر عامًا، حيث كانت رواتبه تُحوّل مباشرة، وخمس بطاقات ائتمان على الدفع الآلي، مع شبه انعدام للتبديل باستثناء البطاقة التي أغلِقت لإثبات العطل. شمل الاستعراض الآلي كل حساب مرتبط برقم الضمان الاجتماعي الخاص بتشاد، وبما أن أحد حسابات التحقق كان مشتركًا، فقد مسّ لفترة وجيزة أحد أفراد العائلة أيضًا.

النتيجة والتعافي

إشعار الإغلاق لم يصبح دائمًا. قام تشاد فورًا بفتح حسابات وبطاقات في كل بنك آخر تقدم إليه، واستمر في السداد في الوقت المحدد، وركز على إصلاح الانخفاض في الجدارة الائتمانية الذي صاحب عمليات الإغلاق التي جرى تسجيلها في تقريره.

الدرجة قبل المراجعة827

أدنى نقطة596

بعد ستة أشهر696

دروس للباحثين

تجنّب تركيز كل حساباتك اليومية داخل المؤسسة التي تجري عليها الاختبار؛ نوّع الودائع وخطوط الائتمان حتى لا تؤدي مراجعة آلية إلى تجميد حياتك بالكامل دفعة واحدة.
تذكّر أن أصحاب الحسابات المشتركة يخضعون لنفس قرارات المخاطر، لذا كن حذرًا عند منح أفراد العائلة صلاحية الوصول إلى حسابات قد تتعرّض لتدقيق مرتبط بالإفصاح.
قم بتوثيق الجدول الزمني للإفصاح والتغطية الصحفية، لأن مستوى الظهور المحيط بتقرير Ultimate Rewards كان على الأرجح هو المحفّز، ومشاركة هذا السياق تساعد في تسريع إغلاق التصعيدات على مستوى الإدارة التنفيذية.

رسالة من المكتب التنفيذي في تشيس تستشهد باتفاقية حساب الإيداع بعد أن أصبح إفصاح Ultimate Rewards علنيًا. — رد المكتب التنفيذي المرسل بالبريد شكر تشاد سيرا على التواصل، وأكد أن كل حساب في الأسرة يجري إغلاقه بموجب اتفاقية حساب الإيداع، وكرر أنهم غير ملزمين بتقديم مزيد من التفاصيل، منهياً فعليًا مراجعة المخاطر الآلية التي أثارتها التغطية الصحفية للإفصاح.

نسخة نصية من رسالة المكتب التنفيذي

السيد تشاد سيرا المحترم،

نحن نرد على شكواك بشأن قرارنا إغلاق حساباتك. نشكرك على مشاركتنا مخاوفك.

اتفاقية حساب الإيداع تمنحنا الحق في إغلاق أي حساب غير حساب الودائع لأجل (CD) في أي وقت، لأي سبب أو دون إبداء أي سبب، ومن دون تقديم مبرر، ودون إشعار مسبق. تم تزويدك بنسخة من الاتفاقية عند فتح الحساب. يمكنك الاطلاع على الاتفاقية الحالية على موقع chase.com.

لقد راجعنا شكواك ولا يمكننا تغيير قرارنا أو الاستمرار في الرد عليك بشأنها لأننا أدّينا عملنا وفقاً للمعايير المعتمدة لدينا. يؤسفنا أنك غير راضٍ عن كيفية بحثنا لمخاوفك وعن قرارنا النهائي.

إذا كانت لديك أسئلة، يُرجى الاتصال بنا على الرقم 1-877-805-8049 مع ذكر رقم القضية ███████. نحن نقبل مكالمات خدمة الرد الهاتفي عبر المشغّل. نحن متواجدون من الاثنين إلى الجمعة من الساعة 7 صباحًا حتى 8 مساءً، ويوم السبت من 8 صباحًا حتى 5 مساءً بتوقيت وسط الولايات المتحدة.

مع خالص التحية،

المكتب التنفيذي
1-877-805-8049
1-866-535-3403 فاكس؛ وهو مجاني من أي فرع من فروع تشيس
chase.com

يشارك تشاد سيرا هذا كتجربة مستفادة وليس كشكوى. تمت تسوية الحسابات، واستمر رصيده الائتماني في الارتفاع، وقامت جيه بي مورغان لاحقًا بتبسيط آلية استقبال تقارير الباحثين عبر دمج Synack بحيث تُوجّه التقارير المستقبلية عبر مسار عمل مخصص. تحديث 2024: أُغلق الاستعراض بالكامل وعادت كل الدرجات إلى مستويات ما قبل الحادث.