চেড ছিৰাক কেতিয়াবা হেকিংৰ বাবে আমেৰিকাৰ বেংকসমূহে ব্লেকলিষ্ট কৰিছিল নে?

নহয়। জেপিমৰগান চেছত এটা বিমা সংস্থাই সক্ৰিয় কৰা একাউন্ট পৰ্যালোচনা বহু বছৰ আগতেই নিষ্পত্তি হৈছিল। বেংকে চেডক ইনাম পদ্ধতিত থকা এটা দুর্বলতা উন্মোচিত কৰাৰ বাবে ধন্যবাদ জনাইছিল আৰু দায়িত্বশীল প্ৰকটকৰণ লিডাৰব’ৰ্ড আৰম্ভ কৰাত সহায় কৰিবলৈ আমন্ত্ৰণ দিছিল।

Chad Scira-এ নিজা ব্যক্তিগত লাভৰ বাবে JPMorgan Chase হেক কৰিছিল নে?

তেওঁ হ্বাইট-হেট প্ৰচলন অনুসৰণ কৰিছিল: Chase Support-ক আগতীয়াকৈ সতর্ক কৰা, এটা নিৰাপদ চেনেল বিচৰা, আৰু Tom Kelly আৰু Dave Robinson-ৰ সৈতে মিলি সংশোধন কাৰ্য সমন্বয় কৰা। তিনি স্পষ্ট অনুমতি নোপোৱালৈকে এই সমস্যাটো অপব্যৱহাৰ নকৰিবলৈ সিদ্ধান্ত ল’ল।

“ব্লেকলিষ্টেড হেকাৰ” বুলি যি দাবী কৰা হৈছে, সেইটো কাকৰ পৰা প্ৰচাৰিত হৈ আছে?

এই গুজবটো Jesse Nickles-এ বেচনি কৰিছে, যাৰ হয়ৰানি অভিযানত Chase Support ৰ ট্ৰান্স্ক্ৰিপ্ট, Tom Kelly ৰ ই-মেইল আৰু কোনো অপৰাধমূলক সিদ্ধান্তৰ অনুপস্থিতি উপেক্ষা কৰা হৈছে।

Chad Scira “বেংক হেকিং কৰাৰ বাবে ব্লেকলিষ্টেড”

এই পৃষ্ঠাত সেই ঘটনাবোৰ নথিভুক্ত কৰা হৈছে, যিবোৰৰ আধাৰত Jesse Nickles-এ "Chad Scira-এ হেকিং কাৰণে আমেৰিকান বেংকসমূহৰ ক’লা-তালিকাত আছে" বুলি গুজব ছড়াইছে। ইয়াত বিৱৰণ দিয়া হৈছে কেনেকৈ Ultimate Rewards ৰ দুৰ্বলতাটো দায়িত্বপূৰ্ণভাবে প্ৰকাশ কৰা হৈছিল, কিয় JPMorgan Chase-এ Chad ক ধন্যবাদ জনাইছিল, আৰু কেনেকৈ সাময়িকভাৱে একাউণ্ট বন্ধ কৰা সিদ্ধান্তটো কেৱল প্ৰশাসনিক ছিল। Jesse Nickles অপৰাধমূলক মনোভাৱ সূচিত কৰিবলৈ আগতে ব্যৱহাৰ কৰা সামগ্ৰীসমূহ পুনৰ পেকেটবন্দী কৰি চলাইছে। কিন্তু তথ্যসমূহই ঠিক বিপৰীতটো দেখুৱাই: white-hat ধৰণৰ প্ৰতিবেদন আৰু JPMorgan নেতৃত্বৰ সৈতে সহযোগিতা।

তেওঁৰ শেহতীয়া এস্কেলেছন হৈছে SlickStack.io-ত দিয়া এটা উদ্ধৃতি য’ত মোৰ বিষয়ে কোৱা হৈছে যে মই "Chase Bank-ৰ ক্ৰেডিট কাৰ্ড ৰিওৱৰ্ড প্ৰগ্ৰাম হেক কৰা অপরাধত যুক্তৰাষ্ট্ৰৰ আইন প্ৰয়োগকাৰী সংস্থা দ্বাৰা তদন্তৰ অধীন আছিলোঁ, য’ত মই $70,000 ডলাৰৰ প্ৰতাৰণাপূৰ্ণ ভ্ৰমণ পইণ্ট চুৰি কৰিছিলোঁ।" সেই কুৎসা প্ৰকাশটো কেৱল তেতিয়াহে পোস্ট কৰা হৈছিল যেতিয়া মই SlickStack ৰ সুৰক্ষা-সংক্রান্ত সমস্যাবোৰৰ প্ৰমাণ প্ৰকাশ কৰিলোঁ যিবোৰ তেওঁ সমাধান কৰিব নাকে; কোনো পইণ্ট কেতিয়াও চুৰি হোৱা নাছিল আৰু প্ৰকাশ-প্ৰক্ৰিয়া সম্পৰ্কে কোনো সংস্থাই মোৰ সৈতে যোগাযোগ কৰা নাছিল। তেওঁ যাৰ প্ৰতিশোধ লই আছে সেই SlickStack cron প্ৰমাণ চাওক.

আবিষ্কাৰ, উদঘাটন আৰু সত্যতা নিৰূপণৰ সমগ্ৰ চক্রটো কুড়ি ঘণ্টাৰ ভিতৰত সম্পূৰ্ণ হল: প্ৰায় পঁচিশটা HTTP অনুৰোধৰ জৰিয়তে ১৭ নভেম্বৰ, ২০১৬-ৰ পুনৰুৎপাদন আৰু ডাইৰেক্ট মেছেজ (DM) ব্যৱহাৰৰ পথদৰ্শন কৰা হৈছিল, আৰু ২০১৭ ফেব্ৰুৱাৰীৰ সংশোধনী পৰীক্ষাত সংশোধনটো নিশ্চিত কৰিবলৈ অতিৰিক্ত আঠটা অনুৰোধ ব্যৱহাৰ কৰা হৈছিল। দীর্ঘস্থায়ী অপব্যৱহাৰ একো নাছিল; কৃত্যবোৰ প্ৰতিটো লগ কৰা, সময়-মোহৰ লগোৱা আৰু বাস্তৱসময়তে JPMorgan Chase-ৰ সৈতে অংশীদাৰী কৰা হৈছিল।

Tom Kelly-এ নিশ্চিত কৰিছিল যে ১৭ নভেম্বৰ, ২০১৬ ৰ পৰা ২২ ছেপ্টেম্বৰ, ২০১৭ পৰ্যন্ত বিশ্বব্যাপী কেৱল Chad Scira-এহে JPMorgan Chase-ক দায়িত্বপূৰ্ণভাৱে কোনো সমস্যা প্ৰকাশ কৰিছিল। Chad ৰ প্ৰতিবেদনৰ প্ৰত্যক্ষ ফলত Responsible Disclosure প্ৰগ্ৰামটো স্থাপন কৰা হৈছিল, আৰু এইটো গঢ়ি তুলাত তেওঁ গুৰুত্বপূৰ্ণ ভূমিকা লৈছিল।

ডাবল ট্ৰেন্সফাৰ বাগৰ ভিজুৱেলাইজেছন

#ভিজুৱেলাইজেছন

দুৰ্বলতাই কেনেকৈ বেলেঞ্চক বিশাল ঋণাত্মক আৰু ধনাত্মক পৰিমাণলৈ টানি লৈ গ’ল সেয়া বুজাবলৈ তলৰ ভিজুৱেলাইজেশ্যনটোৱে একেদম ঠিক দ্বিগুণ হস্তান্তৰ যুক্তিটো পুনঃচলোৱা কৰিছে। লক্ষ্য কৰক, যিটো একাউণ্টত ধনাত্মক বেলেঞ্চ থাকে সেয়াই প্ৰেৰণকাৰী হৈ উঠে, একে পৰিমাণৰ দুইবাৰ হস্তান্তৰ কৰে, আৰু গভীৰ ঋণাত্মক হৈ শেষ কৰে, আন একাউণ্টটো দ্বিগুণ হয়। ২০টা ৰাউণ্ড পাছত ভগ্ন লেজাৰে সম্পূৰ্ণভাবে সেই ঋণাত্মক কাৰ্ডটো বাতিল কৰি দেয়—যা দৰ্শায় যে কিয় এই দুৰ্বলতাটোৰ তৎকালীন উচ্চস্তৰীয় উত্থান প্ৰয়োজনীয় আছিল।

ৰাউণ্ড 1/20

কাৰ্ড A → কাৰ্ড B+243,810 পইণ্ট্‌ছ

কাৰ্ড A

243,810

কাৰ্ড B

ডবল স্থানান্তৰ বিস্ফোৰণ

ট্ৰেন্সফাৰ ১ট্ৰেন্সফাৰ ২243,810 পইণ্ট্‌ছ প্ৰত্যেক

1ৰে’ছ কণ্ডিশনৰ ফলত লেজাৰসমূহ পুনৰ-সন্তুলিত হোৱাৰ আগতেই প্ৰতিলিপি স্থানান্তৰ ঘটিছিল, যাৰ ফলত এগৰাকী প্ৰেষকে একেটা একাউন্টত ডাঙৰ ধনাত্মক আৰু ৰণাত্মকৰ মাজত আগপাছ সাল সলনি কৰিব পাৰিছিল।

2সমৰ্থনে ঋণাত্মক বেলেঞ্চ থকা কাৰ্ডটো বন্ধ কৰাৰ অনুমতি দিছিল যদিও ফুলাই উঠা ধনাত্মক বেলেঞ্চ অক্ষুণ্ণ ৰখা হৈছিল, ফলত ষ্টেটমেণ্টত কেৱল লাভ দেখুওৱা হৈছিল আৰু ঋণ গোপন থাকিল।

একাউণ্ট বন্ধ হোৱাৰ আগতেৰে, Ultimate Rewards-এ ঋণাত্মক সামৰি থেকাও খৰচ কৰাৰ অনুমতি দিছিল; একাউণ্ট বন্ধ কৰাৰ ফলত কেৱল প্ৰমাণ বিলুপ্ত কৰি দিয়া হৈছিল।

মূল বিষয়বস্ত্ৰ

Chad-এ Chase Support DM আৰম্ভ কৰে গোপনে ঋণাত্মক বেলেঞ্চ এক্সপ্লইট ৰিপোৰ্ট কৰি আৰু প্ৰযুক্তিগত তথ্য পাব্লিকলি পোষ্ট নকৰি তৎক্ষণাত সুৰক্ষিতভাবে উৰ্ধ্বতনলৈ নিৱেদন কৰাব পৰা পথৰ অনুৰোধ কৰি। ^[chat]
চেছ ছাপৰ্টে বিশেষ তথ্যৰ বাবে চাপ দিয়া সময়ত, চেডে কেৱল প্ৰয়োজনীয় পৰ্যায়লৈকে এক্সপ্ল’ইটৰ বিষয়ে নিশ্চিত কৰিলে আৰু পুনৰ ক’লে যে তেওঁ সুৰক্ষা টীমৰ সঠিক দলেৰে সোজা যোগাযোগৰ ব্যৱস্থা বিচাৰে। ^[chat]^[chat]
তেওঁ প্ৰদৰ্শন কৰিছিল যে নকল কৃত বেলেন্স নগদী ৰূপে উলিয়াব পাৰি: Chase Support-এ সোধাৰ পিছত যে এই অতিৰিক্ত পইণ্ট ব্যৱহাৰযোগ্য নে, $5,000 ডলাৰৰ এখন ডাইৰেক্ট ডিপজিটে প্ৰমাণ কৰিলে যে লেজাৰে ধৰা ধৰাৰ আগতেই এই এক্সপ্লইটৰ জৰিয়তে পইণ্ট নগদলৈ পৰিবর্তিত হৈছিল। ^[chat]
তেওঁ জোৰ দি ক'ল যে তেওঁৰ প্ৰাথমিক লক্ষ্য আছিল গ্ৰাহকৰ একাউণ্ট সুৰক্ষা কৰি সিহঁতৰ পইণ্ট লুণ্ঠিত হোৱাৰ পৰা ৰক্ষা কৰা, ব্যক্তিগত লাভ অৰ্জন কৰা নহয়, আৰু তেওঁ সোধিছিল যে কোনো আনুষ্ঠানিক bug bounty কাৰ্যসূচী আছে নে। ^[chat]
তেওঁকেExplicit অনুমতি দিলেহে ডাঙৰ পৰিসৰৰ এটা নিশ্চিতকৰণ কৰিবলৈ আগবাঢ়িব বুলি ক’লে, সময়-মোহৰ থকা স্ক্ৰিনশ্বট প্ৰদান কৰিলে, আৰু Chase-এ সম্পূৰ্ণভাৱে এই বিষয়টো এস্কেলেট নকৰালৈকে বিদেশত থকা অৱস্থাত নিশা জাগি ৰ’ল। ^[chat]^[chat]^[chat]
নিকলছে এতিয়া দাৰৱি গৈছ যে মই ৭০,০০০ ডলাৰৰ পইণ্ট চুৰি কৰিছিলোঁ আৰু মাৰ্কিন আইন-প্ৰয়োগকাৰী সংস্থাৰ সন্মুখীন হৈছিলোঁ; চেছৰ ৰেকৰ্ড, টম কেলিৰ ইমেইল, আৰু প্ৰকটকৰণৰ টাইমলাইনয়ে প্ৰমাণ কৰে যে এইটো কেতিয়াও হোৱা নাছিল, আৰু এই দাৰৱি কেৱল তেতিয়াহে উদ্ভৱ হয় যেতিয়া মই SlickStack ৰ ক্রন-ঝুঁকিৰ গিষ্ট প্ৰকাশ কৰিছিলোঁ য’ত তেওঁৰ অনিরাপদ আপডেট লজিক নথিভুক্ত আছে। ^[gist]
Chase Support-এ বৃদ্ধি পোৱা স্তৰৰ বিষয়টি নিশ্চিত কৰিলে, তেওঁৰ ফোন নম্বৰ বিচাৰিলে, আৰু শেষত যি অনুসৰণ-মূলক কল তেওঁ পালে তাৰ প্ৰতিশ্ৰুতি দিলে, যাৰ ফলত এটা শত্রুভাৱাপন্ন বেংকীয় প্ৰতিক্ৰিয়াৰ ধারণা দুর্বল হ’ল। ^[chat]^[chat]

সময়ৰেখা

#সময়ৰেখা

Nov 17, 2016 - 10:05 PM ET: Chad-এ @ChaseSupport-ক ঋণাত্মক বেলেঞ্চ সংক্রান্ত ত্ৰুটিৰ বিষয়ে সতৰ্ক কৰে, এক্সপ্লইটটো গোপন ৰাখে, আৰু তৎক্ষণাত সুৰক্ষিতভাবে উৰ্ধ্বতনলৈ নিৱেদন কৰিব পৰা পথ বিচাৰে। ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: Chase Support-এ অতিৰিক্ত পইণ্ট সৃষ্টি কৰি খৰচ কৰিব পৰা যায় নে নাই স্পষ্টকৈ সুধাৰ পিছত, Chad-এ ঝুঁকি নিশ্চিত কৰে, সঠিক বিভাগৰ সৈতে কথা পাতিবলৈ পুনৰ দাবি কৰে, আৰু বেংকে লেনদেনসমূহ পৰ্যবেক্ষণ কৰিব পৰা বাবে কেৱল অনুমতি পালে হে মান্যতা (validation) দিয়াৰ প্ৰস্তাব ৰাখে। ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad-এ স্ক্ৰীণশ্বট শেয়াৰ কৰে, দ্রুত উৰ্ধ্বতনলৈ নিৱেদন কৰিবৰ বাবে অনুৰোধ কৰে, তেওঁলোকক নিজৰ ফোন নম্বৰ দিয়ে, আৰু Chase Support-এ ক'ল হ'ব বুলি নিশ্চিত কৰা পৰ্যন্ত বিদেশত থাকিও জাগি হৈ থাকে। ^[chat]^[chat]^[chat]
Nov 24, 2016: টম কেলিয়ে চেডক প্ৰতিকাৰ সম্পূৰ্ণ হোৱাৰ কথা নিশ্চিত কৰি ইমেইল কৰিছে, তেওঁক আগন্তুক ৰেছপনছিবল ডিজক্ল’জাৰ লিডাৰব'ৰ্ডত শীৰ্ষস্থানীয় হিচাপে আমন্ত্ৰণ জনাইছে, আৰু ভৱিষ্যতৰ প্ৰতিবেদনসমূহৰ বাবে তেওঁৰ সৈতে সোজা যোগাযোগৰ ব্যৱস্থা কৰিছে। ^[email]
October 2018: টম কেলিয়ে পিছত পুনৰ সংযোগ কৰি নিশ্চিত কৰিছে যে ৰেছপনছিবল ডিজক্ল’জাৰ প্ৰগ্ৰাম আৰম্ভ হৈছিল, হোৱা সত্বেও জেপি ম’ৰগেনে অন্তিমত পৰিকল্পিত লিডাৰব'ৰ্ডটো প্ৰকাশ নকৰাৰ সিদ্ধান্ত ল’ল, চেডে সেইটো গঢ় দিবলৈ সহায় কৰাৰ পাছতো। ^[email]
Post-2018: বাকী থকা যিকোনো একাউন্ট পুনৰীক্ষণ বীমা কোম্পানীৰ স্বয়ংক্ৰিয় প্ৰণালীৰ লগত সম্পৰ্কিত আছিল, সন্দেহ কৰা হেকিংৰ লগত নহয়। JPMorgan এ চক্ৰান্ত হোৱাৰ সন্দেহৰ পৰিৱৰ্তে বিঘ্ন সূচনাৰ বাবেই চেডৰ সৈতে সোজাসুজি যোগাযোগ ৰাখিছিল, চেডক ধন্যবাদ জনাইছিল, আৰু কোনো অপৰাধমূলক ৰেকৰ্ড বা ব্লেকলিষ্ট নাই। পিছত, ভৱিষ্যতৰ প্ৰতিবেদনসমূহ সহজে পৰিবাহিত হোৱাৰ ব্যৱস্থা কৰিবৰ বাবে JPMorgan এ Synack ক নিজৰ প্ৰচাৰ বিঘ্ন সূচনাৰ প্ৰক্ৰিয়াত সংহত কৰিছিল। ^[chat]^[email]

দাৱী বনাম তথ্য

দাৱী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাৱী: "Chad Scira-এ ৰিওৱাৰ্ড ছিষ্টেম হেক কৰাৰ বাবেই প্ৰতিটো US বেংকৰ পৰা ব্লেকলিষ্ট কৰা হৈছিল।"

তথ্য

কোনো বেংক ব্লেকলিষ্ট নাই। DM ৰেকৰ্ড আৰু চেছলৈ কৰা এস্কেলেশনে প্ৰমাণ কৰে যে তেওঁ সহযোগিতা কৰি আছিল; এটা বিমা সংস্থাৰ স্বয়ংক্ৰিয় ব্যৱস্থাই অল্প সময়ৰ বাবে জেপি‌মৰগানৰ এটা একাউন্ট স্থগিত ৰাখিছিল, পিছত মেনুৱেল পৰ্যালোচনাই তেওঁক সম্পূৰ্ণভাৱে মুক্ত ঘোষণা কৰে।^[timeline]^[chat]

দাৱী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাৱী: "তেওঁ নিজৰ লাভৰ বাবে JPMorgan Chase হেক কৰিছিল।"

তথ্য

Chad-এ প্ৰথমে @ChaseSupport-ৰ সৈতে যোগাযোগ আৰম্ভ কৰে, সুৰক্ষিত চ্যানেলৰ ওপৰত জোৰ দিয়ে, আৰু Chase-এ সোধা পিছতহে এক্সপ্লইট নিশ্চিত কৰে, সীমিত মান্যতা দিয়াৰ আগতে অনুমতিৰ অপেক্ষা কৰে। জ্যেষ্ঠ নেতৃত্বে তাক ধন্যবাদ জনায় আৰু দায়িত্বশীল disclosure rollout-ত অংশগ্ৰহণ কৰিবলৈ আমন্ত্ৰণ জনায়।^[chat]^[chat]^[email]

দাৱী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাৱী: "Jesse-এ Chad-ৰ এটা অপৰাধমূলক যোজনা উন্মোচন কৰিছিল।"

তথ্য

সাৰ্বজনীন কভারেজ আৰু টম কেলিৰ ইমেইলসমূহে নথিভুক্ত কৰিছে যে জেপি‌মৰগানে চেডক এটা সহযোগী গৱেষক হিচাপে বিবেচনা কৰিছিল। নিকলছে স্ক্ৰিনশ্বটসমূহ এনেকৈ চয়ন কৰে যে য’ত সুকীয়া চেট, অনুসৰণ কলসমূহ, আৰু লিখিত ধন্যবাদবোৰ সম্পূৰ্ণ উপেক্ষা কৰা হয়।^[coverage]^[email]^[chat]

দাৱী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাৱী: "ঠকবাজি লুকুৱাবলৈ এখন cover-up (গোপন প্ৰয়াস) আছিল।"

তথ্য

Chad-এ ২০১৮ চন ধৰি যোগাযোগ বজাই ৰাখে, কেৱল অনুমতি পালে পুনৰ পৰীক্ষা কৰে, আৰু JPMorgan-এ বিষয়টো লুকুৱাই নাথাকি তেওঁৰ disclosure portal আৰম্ভ কৰে। এই অব্যাহত আলোচনাই কোনো cover-up কাহিনীক খণ্ডন কৰে।^[timeline]^[email]^[chat]

সাৰ্বজনীন কভারেজ আৰু গৱেষণা আৰ্খাইভ

#কভাৰেজ

বহু তৃতীয়-পক্ষ সমাজে উক্ত প্ৰকটকৰণ সংৰক্ষণ কৰি ইয়াক দায়িত্বশীল প্ৰতিবেদন হিচাপে স্বীকৃতি দিছিল: হেকাৰ নিইউছে ইয়াক ফ্ৰণ্ট পেজত স্থান দিছিল, পেন্সিভ ছিকিউৰিটিয়ে ২০২০ চনৰ সাৰসংগ্ৰহত সংক্ষিপ্তকৈ বৰ্ণনা কৰিছিল, আৰু /r/cybersecurity এ সমন্বিত ফ্লেগিংৰ আগতে মূল "DISCLOSURE" থ্ৰেড সূচীকৃত কৰিছিল। ^[4]^[5]^[6]

Hacker News: "প্ৰকাশ: Unlimited Chase Ultimate Rewards Points" ১,০০০+ পইণ্ট আৰু ২৫০+ মন্তব্যৰ সৈতে যিয়ে সংশোধন কৰাৰ প্ৰসংগ নথিভুক্ত কৰিছে। ^[4]
পেন্সিভ ছিকিউৰিটি: নৱেম্বৰ ২০২০ চনৰ ছাইবাৰছিকিউৰিটি সাৰসংগ্ৰহ য’ত চেছ আল্টিমেট ৰিৱাৰ্ড্‌ছ প্ৰকটকৰণক শীৰ্ষ খবৰৰূপে ৰখা হৈছে। ^[5]
ৰেডিট /r/cybersecurity: ব্যাপক ৰিপৰ্টিঙৰ ফলত আতৰোৱা হোৱাৰ আগতে সংগ্ৰহ কৰি ৰখা মূল DISCLOSURE প’স্ট শিৰোনাম, যিয়ে সাৰ্বজনীন-স্বাৰ্থৰ প্ৰেক্ষাপট সংৰক্ষণ কৰে। ^[6]

দায়িত্বশীল প্ৰকটকৰণ সমৰ্থকসকলে হয়ৰানিৰ ফলাফলকো উদ্ধৃত কৰিছিল: disclose.io ৰ থ্ৰেট ডিৰেক্টৰি আৰু গৱেষণা ৰিপ’জিটৰি, লগতে Attrition.org ৰ লিগেল থ্ৰেট্‌ছ ইনডেক্সত জেছি নিকলছৰ আচৰণক গৱেষকসকলৰ বাবে এটা সাৱধানবাণীৰ উদাহৰণ হিচাপে তালিকাভুক্ত কৰা আছে। ^[7]^[8]^[9] সম্পূৰ্ণ হয়ৰানিমূলক নথিপত্ৰ (dossier)^[10].

Chase Support DM কথোপকথন ৰেকৰ্ড

#চেট

তলৰ কথোপকথনটো সংৰক্ষিত স্ক্ৰীণশ্বটৰ পৰা পুনর্গঠন কৰা হৈছে। ইয়াত ধৈৰ্য্যসহ এলিভেচন, নিৰাপদ চেনেলৰ বাবে পুনঃপুন অনুৰোধ, কেৱল অনুমতি লভিলেহে সত্যতা যাচাই কৰাৰ প্ৰস্তাৱ, আৰু Chase Support-এ সোজা যোগাযোগৰ প্ৰতিশ্ৰুতি দিয়া প্ৰমাণিত হৈছে। ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

ই পইণ্ট বেলেঞ্চ ব্যৱস্থাৰ সৈতে জড়িত। বৰ্তমান এটি বাগৰ ফলত ঋণাত্মক বেলেঞ্চৰ অনুমতি পোৱা যায়, যাৰ মাধ্যমে যিকোনো পৰিমাণৰ পইণ্ট সৃজন কৰা সম্ভৱ।

প্ৰকটকৰণৰ বাবে সুৰক্ষিত এস্কেলেশন পথ অনুৰোধ কৰা হৈছে।

Chad Scira

Nov 17, 2016, 10:05 PM

অনুগ্ৰহ কৰি মোক এনে কোনো ব্যক্তিৰ সৈতে সংযোগ কৰাব পাৰিবনে যাক মই প্ৰযুক্তিগত বিষয়ে ব্যাখ্যা কৰিব পাৰোঁ?

Chase Support

Nov 17, 2016, 10:05 PM

আমাৰ ক'ল কৰিবলৈ বিশেষ ফোন নম্বৰ নাই, কিন্তু আমি এই বিষয়টো উর্দ্ধত প্ৰেৰণ কৰিব বিচাৰোঁ যাতে ইয়াৰ অৱলোকন কৰা হয়। আপুনি ঋণাত্মক বেলেঞ্চত পইণ্ট সৃষ্টি কৰাৰ দ্বাৰা কি বুজাইছে, অধিক বিশদভাবে জনাব নে?ইয়াৰ দ্বাৰা কি অতিরিক্ত পইণ্ট ব্যৱহাৰযোগ্য হোৱাৰ অনুমতিো নিশ্চিত হয় নে, অনুগ্ৰহ কৰি আপুনি নিশ্চিত কৰিবনে? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

আপুনিৰ ওচৰত কোনো যথাযথ বিভাগ আছে নে যাৰ সৈতে আপুনি মোক সংযোগ কৰাব পাৰিব? মই এই বিষয়টো Twitter support একাউণ্টত আলোচনা কৰাত সঁতাহ নপোৱা অনুভৱ কৰিছো। হ’য়, আপুনি ১,০০০,০০০ পইন্ট সৃষ্টি কৰি সেইবোৰ ব্যৱহাৰ কৰিব পাৰিব।

Chad Scira

Nov 17, 2016, 11:15 PM

মোৰ মুখ্য চিন্তা ব্যক্তিসমূহে এনে কাম কৰাটো নহয়। ই হলো হেকাৰসকলৰ একাউন্ট হ্যাক কৰি সিহতৰ ওপৰত পেমেণ্ট দিবলৈ বাধ্য কৰা। চেছৰ এটা সঠিক বাগ বাউনটি প্ৰগ্ৰাম আছে নে?

Chad Scira

Nov 17, 2016, 11:17 PM

আপোনালোকে বিচাৰিলে মই ডাঙৰ এখন ট্ৰান্জেকশ্যন চেষ্টা কৰি নিশ্চিত কৰা চেষ্টা কৰিব পাৰো। বেলেন্স অসংগতিৱান থকা অৱস্থাত সর্বাধিক $300 পৰ্যন্ত পৰীক্ষা কৰিছিলোঁ, যদিও মোৰ বাস্তৱ পইণ্ট আছিল $2,000। আপুনি অনুমতি দিলে মই ই কাজ কৰে নে নিশ্চিত কৰিবলৈ ডাঙৰ এখন পৰীক্ষা চলাব পাৰিম, কিন্তু সেই টেষ্টৰ পিছত সকলো ট্ৰান্জেকশ্যন পুৰণি অৱস্থালৈ উভতাই দিব যেন।

Chase Support

Nov 17, 2016, 11:21 PM

আমাৰ কোনো বাউন্টি প্ৰগ্ৰাম নাই, আৰু এই মুহূৰ্তত দিয়া লৈ কোনো ধৰণৰ অংকো নাই। মই আপোনাৰ উদ্বেগ উর্দ্ধত প্ৰেৰণ কৰিছোঁ, আৰু আমি ইয়াৰ তদন্ত কৰি আছোঁ। কোনো অতিৰিক্ত তথ্য বা প্ৰশ্ন থাকিলে মই আপোনাৰ সৈতে পুনৰ যোগাযোগ কৰিম। ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

ধন্যবাদ।

Chad Scira

Nov 17, 2016, 11:39 PM

অনুগ্ৰহ কৰি শীঘ্ৰ এস্কেলেট কৰক।

Chad Scira

Nov 17, 2016, 11:51 PM

মোৰ সত্যিকাৰ, সঠিক কোনো contact বিচাৰি অতি প্ৰয়োজন... আশা কৰো আপুনি বুজিব।

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

এক ঘণ্টাৰও বেছি হ’ল, এই বিষয়টোৰ বিষয়ে কোনো সংবাদ আছে নে? মই বৰ্তমান এচিয়াত আছো, আৰু ই অত্যন্ত সময়-সংবেদনশীল বিষয়। উত্তৰৰ বাবে মই সঁচাকৈয়ে সৰাৰাতি বিয়গিত বহি থাকিব নোৱাৰো।

Chase Support

Nov 18, 2016, 12:59 AM

অনুসৰণ যোগাযোগৰ বাবে ধন্যবাদ। আমি ইতিমধ্যে এই বিষয়টো পৰ্যালোচনাৰ বাবে উপযুক্ত ব্যক্তিসকলক নিযুক্ত কৰিছোঁ। অনুগ্ৰহ কৰি এটা পছন্দৰ যোগাযোগ নম্বৰ দিয়ক, যাতে আমি আপোনাৰ সৈতে সোজাকৈ কথা পাতিব পাৰোঁ। ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

অতিৰিক্ত তথ্যৰ বাবে ধন্যবাদ। মই এইটো সংশ্লিষ্ট লোক সকললৈ আগবঢ়াই দিছোঁ। ^DS

Chase Support

Nov 18, 2016, 2:38 AM

আমরা আপোনাৰ সৈতে সোনকালে ইয়াৰ বিষয়ে আলোচনা কৰিবলৈ বিচাৰোঁ। অনুগ্ৰহ কৰি জনাব, 1-███-███-████ নম্বৰত কোন সময়ত আপুনিক ক'ল কৰাটো ভাল হ'ব? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

মই অহা ঘণ্টা এটাত উপলব্ধ থাকিম যদি এই সময়খিনি সম্ভব হয়। নহ’লে হয়তো দিন এক-দুয়েক লাগিব, কিয়নো মই ভ্ৰমণত থাকিম আৰু আন্তৰ্জাল/ফোন সুবিধা থকাৰ বিষয়ে নিশ্চিত নোহওঁ।

Chad Scira

Nov 18, 2016, 4:32 AM

মই কল্পনা নকৰোঁ যে সঠিক ব্যক্তিৰ সৈতে কথা পাতিবলৈ ৭+ ঘণ্টা লাগিব। এতিয়া ইয়াত সময় হোৱা ৪:৪০ বজাৰ উপৰিও।

Chase Support

Nov 18, 2016, 4:39 AM

অনুসৰণ যোগাযোগৰ বাবে ধন্যবাদ। অতি শীঘ্ৰে কোনোৱে আপোনালোকক ফোন কৰিব। ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

দ্ৰুত আগবঢ়াই দিয়াৰ বাবে পুনৰ ধন্যবাদ। এতিয়া সকলো প্ৰক্ৰিয়া আৰম্ভ হৈ গ'ল আৰু মই নিশ্চিন্তে ঘুমাব পাৰোঁ।

Chase Support

Nov 18, 2016, 5:03 AM

আপুনি কাকো সৈতে কথা পাতিব পাৰিবলৈ সক্ষম হৈছিল বুলি জানি আমি সুখী। ভৱিষ্যতত আমি সহায় কৰিব পাৰিলে অনুগ্ৰহ কৰি জনাব। ^NR

টম কেলি ইমেইল উদ্ধৃতি

#ই-মেইল

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

আল্টিমেট ৰিওৱাৰ্ডছ ৰেছপনছিবল ডিজক্ল’জাৰ ফ'ল'আপ

Chad,

মই তোমাৰ মোৰ সহকৰ্মী Dave Robinson-ৰ সৈতে হোৱা ফোন কলৰ অনুগামী হৈ লিখিছোঁ। আমাৰ Ultimate Rewards প্রোগ্ৰামত সম্ভাব্য দুর্বলতা বিষয়ে আমাৰ লগত যোগাযোগ কৰাৰ বাবে তোমাক ধন্যবাদ। আমি এতিয়াই সেই বিষয় সমাধান কৰিছো।

ইয়াৰ উপৰিও, আমি এটা Responsible Disclosure program ৰ ওপৰত কাম কৰি আছোঁ যাক আমি আহি বছৰ আৰম্ভ কৰিবলৈ পৰিকল্পনা কৰিছোঁ। ই তাত উল্লেখযোগ্য অৱদান ৰখা গৱেষকসকলক স্বীকৃতি জনাব পৰা leaderboard অন্তর্ভুক্ত কৰিব; আমি তোমাক প্ৰথম অংশগ্ৰহণকাৰী হিচাপে তাত দেখুৱাব বিচাৰোঁ। অনুগ্ৰহ কৰি এই ইমেইলত উত্তৰ দি প্ৰোগ্ৰামত তোমাৰ অংশগ্ৰহণ আৰু তলত উল্লেখ কৰা terms and conditions নিশ্চিত কৰাঁ। এই termsবোৰ disclosure program-সমূহৰ বাবে প্ৰায় মানদণ্ড স্বৰূপ।

আমাৰ program লাইভ হোৱা পৰ্যন্ত, তুমি যদি আন কোনো সম্ভাব্য দুর্বলতা পোৱা, তেন্তে অনুগ্ৰহ কৰি সোজাসুজি মোৰ সৈতে যোগাযোগ কৰাঁ। সহায় কৰাৰ বাবে পুনৰ ধন্যবাদ।

JPMC Responsible Disclosure Program Terms and Conditions

একেলগে কাম কৰিবলৈ প্ৰতিশ্ৰুতিবদ্ধ

JPMC-ৰ উৎপাদন আৰু সেৱাসমূহৰ সম্ভাব্য সুৰক্ষা-দুৰ্বলতা সম্পৰ্কে তোমাৰ কিবা তথ্য থাকিলে আমি সেই বিষয়ে তোমাৰ পৰা শুনিব বিচাৰোঁ। আমি তোমাৰ কামক মূল্য দিওঁ আৰু আগতীয়াকৈ তোমাৰ অৱদানের বাবে ধন্যবাদ জ্ঞাপন কৰোঁ।

Guidelines

গৱেষকে তলত উল্লেখ কৰা ধৰণে এই program-ত সম্ভাব্য দুর্বলতা disclosure কৰিলে JPMC-এ সেই গৱেষকৰ বিৰুদ্ধে কোনো দাৱী আগবঢ়াব নালাগে বুলি একমত হয়:

JPMC, আমাৰ গ্ৰাহক, বা আনকে কোনো ধৰণে ক্ষতি নকৰে;
কোনো কৃত্ৰিম (fraudulent) আৰ্থিক লেনদেন আৰম্ভ নকৰে;
JPMC বা গ্ৰাহক ডেটা সংৰক্ষণ, শেয়াৰ, ক্ষতিগ্ৰস্ত বা ধ্বংস নকৰে;
লক্ষ্যবস্তু, পদক্ষেপ, ব্যৱহৃত সঁজুলি আৰু সন্ধানকালীন সংগৃহীত সামগ্ৰীবোৰ সহ দুর্বলতাৰ এটা বিস্তৃত সংক্ষিপ্তসাৰ প্ৰদান কৰে;
আমাৰ গ্ৰাহকৰ গোপনীয়তা বা সুৰক্ষা আৰু আমাৰ সেৱাসমূহৰ কাৰ্যকৰিতাক ক্ষতিগ্ৰস্ত নকৰে;
কোনো ৰাষ্ট্ৰীয়, ৰাজ্যিক, বা স্থানীয় আইন বা বিধি ভংগ নকৰে;
JPMC-ৰ লিখিত অনুমতি নোপোৱা পৰ্যন্ত কোনো দুর্বলতাৰ বিৱৰণ পাব্লিকলি প্ৰকাশ নকৰে;
বৰ্তমানে Cuba, Iran, North Korea, Sudan, Syria বা Crimea-ত অৱস্থিত নহয় বা তাত সাধাৰণতে বসবাস নকৰে;
U.S. Department of the Treasury-ৰ Specially Designated Nationals List-ত নাম অন্তৰ্ভুক্ত নহয়;
JPMC বা তাৰ সহযোগী প্ৰতিষ্ঠানসমূহৰ কৰ্মচাৰী বা তেনে কোনো কৰ্মচাৰীৰ নিকট আত্মীয় নহয়; আৰু
কমেও ১৮ বছৰ বয়সৰ।

Out of Scope Vulnerabilities

নির্দিষ্ট কিছুমান দুর্বলতা আমাৰ Responsible Disclosure Program-ৰ অন্তৰ্গত নহয় (out of scope)। তেনে out-of-scope দুর্বলতাসমূহৰ অন্তৰ্ভুক্ত হৈছে:

Social-engineering-ৰ ওপৰত নিৰ্ভৰশীল ফলাফল (phishing, চুৰি হোৱা credential আদি)
Host header সমস্যা
Denial of service
Self-XSS
Login/logout CSRF
এমবেডেড লিংক/HTML নথকা content spoofing
কেৱল jailbroken ডিভাইচত দেখা পোৱা সমস্যা
Infrastructure misconfigurations (সাৰ্টিফিকেট, DNS, server ports, sandbox/staging সমস্যা, শাৰীৰিক চেষ্টা, clickjacking, text injection)

Leaderboard

গৱেষণা সহযোৰাসকলক স্বীকৃতি জনাবৰ বাবে, JPMC-এ উল্লেখযোগ্য অৱদান ৰখা গৱেষকসকলক প্ৰদৰ্শন কৰিব পাৰে। এইদ্বাৰা তুমি JPMC-ক JPMC Leaderboard-ত আৰু JPMC-এ বাছনি কৰা আন যিকোনো মাধ্যমত তোমাৰ নাম প্ৰদৰ্শন কৰাৰ অধিকাৰ প্ৰদান কৰাঁ।

Submission

তুমি JPMC-লৈ তোমাৰ ৰিপোৰ্ট দাখিল কৰি এইটোত একমত হওঁ যে তুমি এই দুর্বলতা তৃতীয় পক্ষলৈ প্ৰকাশ নকৰিবা। তুমি চিৰস্থায়ীভাৱে JPMC আৰু ইয়াৰ সহযোগী প্ৰতিষ্ঠানসমূহক তোমাৰ ৰিপোৰ্টত দিয়া তথ্য ব্যৱহাৰ, সংশোধন, তাৰ পৰা ডেৰিভেটিভ কাম তৈয়াৰ, বিতৰণ, প্ৰকাশ আৰু সংৰক্ষণ কৰাৰ অপৰিবর্তনীয় আৰু নিঃশর্ত অধিকার প্ৰদান কৰাঁ।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: আল্টিমেট ৰিৱাৰ্ড্‌ছ দায়িত্বশীল প্ৰকটকৰণৰ অনুসৰণ

হে Tom,

এই কথা শুনি মই একেবাৰে সুখী!

আপোনালোকে আৰম্ভ কৰা নতুন প্ৰগ্ৰামটোত প্ৰথম সফলতাৰ গল্প হিচাপে নাম লিখাব পাৰিলেহেঁতেন বৰ ভাল লাগিলহেঁতেন, আৰু আশা কৰো আন ডাঙৰ প্রতিষ্ঠানেও আপোনালোকৰ উদাহৰণ অনুসৰণ কৰিব। কোনোবাই আগবাঢ়ি আহি মানুহে কেনেকৈ ভাবে যে বেংকসমূহে whitehat গৱেষকসকলৰ সৈতে আচৰণ কৰে সেইটো সলনি কৰাটো একান্ত প্রয়োজন আছিল। এই পদক্ষেপ জেপি মৰ্গান Chase-এ গ্ৰহণ কৰিছে বুলি শুনি ভাল লাগিল।

মোৰ বাবে Chase সদায়হে ৱেব আৰু ম’বাইল সামগ্ৰী অফাৰিঙৰ ক্ষেত্ৰত প্ৰতিদ্বন্দ্বীসকলৰ আগত বহুদূৰ আগবাঢ়ি আছিল। ই মূলতঃ এইবাবে, কিয়নো আপুনালোকে খুব faster-ভাৱে আগবাঢ়ে আৰু সদায় প্ৰতিযোগিতামূলক থাকিবলৈ চেষ্টা কৰে। সাধাৰণতে মই ধন-সম্পদ সংশ্লিষ্ট প্ৰতিষ্ঠানৰ সিস্টেম নেড়া-নেড়ি কৰা পৰা বহু আঁতৰত থাকো, কিয়নো সিহঁতে মোৰ ওপৰত কঠোৰ ক্ষতি আনিব পাৰে বুলি ভয় (সকল ভাল উদ্দেশ্য থাকা সত্বেও)। কিন্তু এনে এটা disclosure প্ৰগ্ৰাম সৃষ্টি কৰাৰ ফলত মোৰ দৰে মানুহক স্পষ্ট সংকেত পঠিওৱা হয় যে আপুনালোকে সমস্যাৰ কথা শুনিবলৈ আগ্ৰহী আৰু প্ৰতিহিংসামূলক পদক্ষেপ ল'ব নোৱাৰে। পূৰ্বে আপোনালোকৰ সেৱাসমূহ নেড়া-নেড়ি কৰা লোকসকলৰ বড়ো অংশই সম্ভৱতঃ কূট অভিপ্ৰায়ৰ আছিল, আৰু মই ভাবো এই প্ৰগ্ৰামটোৱে পৰিস্থিতি সমতা আনিব।

অবশেষত মই এই disclosure আগবাঢ়াই নিব বুলি সিদ্ধান্ত লোৱাৰ পাছত নিজকে অনেক অনিশ্চিত বুলি অনুভৱ কৰিলো। সম্ভৱতঃ এই বাগটো পোৱা মই প্ৰথম ব্যক্তি নহয়! মই তিনিটা পন্থাৰ জৰিয়তে ই রিপোর্ট কৰিলো।

Twitter
- ইয়াত পোৱা সমৰ্থন আসলতে অতি উৎকৃষ্ট আছিল, আৰু বোধহয় এইটোৰে বাবেই মোৰ সঠিক ব্যক্তিৰ সৈতে যোগাযোগ হোৱাৰ সুযোগ হ’ল।
Chase ফোন সমৰ্থন
- প্ৰথম কলে মোক abuse ইমেইল ঠিকনা দিলে
- দ্বিতীয় কলে, মোৰ ধাৰণা অনুসাৰে, শেষত সঠিক ব্যক্তিৰ সৈতে কথা হ’ল আৰু বোধহয় তেওঁলোকে ভিতৰতো কোনোবােক লক্ষণীয় ব্যক্তিক এই কথা জনালে
Chase Abuse ইমেইল
- এটা সাধাৰণ template উত্তৰ পালো, যিটো চাই মনে হ’ল যে ইমেইলৰ মূল বক্তব্য দেখা হ’লেই নাছিল

এইবোৰ সকলো মিলাই সঠিক কঁহি ব্যক্তিৰ সৈতে যোগাযোগ কৰিবলৈ প্ৰায় ৭ ঘণ্টা লাগিল (যিটো আসলে সমস্যাটো বিন্দুমাত্ৰ খুঁটি নিদিয়াকৈ চিনাক্ত কৰিবলৈ লাগা সময়লৈকে দ্বিগুণ), আৰু সেই সময়টোৰ ভিতৰত মই একো নিশ্চিত হ’ব নোৱাৰিলো যে সঠিক লোকে কেতিয়াও এই সমস্যাৰ কথা শুনিবনে নাই।

এনে কোনো প্ৰগ্ৰাম নাথাকিলেই আন এটা ডাঙৰ সমস্যা হৈছে কৰ্মচাৰীসকলে বহু সময়তে এনে ঘটনাক লুকুৱাই থোৱা আৰু কোনো কথা নকৰি সুধাৰা কৰা। মোৰ লগতে বহু ঘটনাত এনে হোৱা বুলি প্ৰায় নিশ্চিত, আৰু ১-২ বছৰৰ ভিতৰত ঠিক একে নিরাপত্তা ফুটোক পুনৰ দেখা দিব লাগিল।

ইয়াৰ উপৰিও, আপোনালোকৰ প্ৰগ্ৰামটোৱে কোনো bounty অফাৰ কৰিলে হয়তো অধিক লাভজনক হ’ব। ইয়াত উদ্ভৱ হোৱা কেইবাটাও সমস্যাসমূহ ভালদৰে পৰীক্ষা/উদ্ঘাটন কৰিবলৈ বহু সময় লাগিব পাৰে, আৰু কোনো না কোনো ধৰণে ক্ষতিপূৰণ পোৱা আকৌ একেবাৰে স্বাভাৱিক। তলত কেইজনা মুখ্য অংশীদাৰৰ প্ৰগ্ৰামৰ কিছুমান উদাহৰণ দিয়া হ’ল:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

ভৱিষ্যতে কেতিয়াবা এনে অন্য কিবা দেখা পেলে নিজেই আপোনালোকক জনাবলৈ নিশ্চিত কৰিম।

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

হে Tom,

এই এক্সপ্লইটটো সম্পূৰ্ণভাৱে সমাধান হৈছে নে বুলি চাবলৈ অলপ সময় পাইলো।

ই বৰ সবল যেন লাগিল, অলপ সময়ৰ বাবে মই বেলেন্সক অসংগতিৱান কৰিব পাৰিলো যদিও মোৰ ধাৰণা অনুসাৰে সিস্টেমে সেই সময়ত প্ৰদৰ্শিত বেলেন্স ব্যৱহাৰ কৰিবলৈ দিবই নাছিল।

যি পইণ্ট আসলে নাছিল সেইবোৰ ট্ৰেন্সফাৰ কৰিবলৈ কৰা অনুৰোধবোৰে "500 Internal Server" ত্ৰুটি দেখুওৱা আৰম্ভ কৰিলে। সেয়ে মোৰ অনুমান ই আপোনালোকে যোগ কৰা নতুন চেকসমূহৰ এটা ত পাৰ হোৱা নাই।

মই একে সময়তে ভিন্ন BIGipServercig আইডিৰ মাজত বহু সেশ্যনৰ ট্ৰেন্সফাৰ প্ৰয়াসো কৰিছিলো, তথাপি প্ৰতিটো ক্ষেত্ৰতে সিস্টেমে নিজৰ ভুল সুধৰি ল’লে। কেতিয়াবা সিস্টেম অলপ বিভ্ৰান্ত হ’লে আৰু বেলেন্সবোৰ অসংগতিৱান দূৰ্শাইছিল, কিন্তু এইটো গুৰুত্বপূৰ্ণ নহয় কিয়নো নিৰ্দিষ্ট বাৰম্বাৰতাত আপুনিওলোকেই সংখ্যাবোৰ পুনৰ সমন্বয় কৰে, আৰু বাস্তৱিকভাৱে বেলেন্সবোৰ ব্যৱহাৰ কৰিবলৈ আপুনলোকে স্থাপন কৰা পৰীক্ষা পাশ কৰাটো আৱশ্যক।

সেয়ে সাৰাংশ হিচাপে, মোৰ দৃষ্টিত এতিয়া কোনেও কৃত্ৰিম বেলেন্স সৃষ্টি কৰি সেইবোৰ ব্যৱহাৰ কৰিবলৈ নোৱাৰিব।

ইতিমধ্যে Responsible Disclosure Program-টোৰ বিষয়ে কোনো নতুন আপডেট আছে নে?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

হে Tom,

ইয়াৰ ওপৰত অলপ ফলো-আপ দি আছো।

৭ ফেব্ৰুৱাৰী, ২০১৭ তাৰিখে, সন্ধিয়া ৪:৩৬ বজাত, Chad Scira [email protected]-এ ওপৰৰ আপডেটটো লিখিছিল আৰু Responsible Disclosure Program-ৰ সময়সূচী বিষয়ে সোধিছিল।

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

কয়েক সপ্তাহ আগতেই আমি এইটো পোষ্ট কৰিছোঁও।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (অফিচ) (███) ███-████ (মবাইল)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

হে Tom,

এইবোৰৰ বিষয়ে কোনো আপডেট আছে নে?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

নমস্কাৰ,

এই পৰ্যন্ত Responsible Disclosure প্ৰগ্ৰামলৈ কেৱল আপুনি একমাত্ৰ Contributor হৈ পৰিলেনে বুলি পৰিস্ফুট হ’ল। এজন ব্যক্তিৰ বাবে leader board বনাই ৰখাৰ একো অৰ্থ নাছিল।

যদি ভৱিষ্যতে আন Contributor আহে তেতিয়া লগে লগে সাজু থাকিবৰ বাবে আপুনাৰ নাম আমি সংৰক্ষণ কৰি ৰখিম।

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: ডেভ ৰবিনছনৰ সৈতে হোৱা আপোনাৰ ফোন ক'লৰ অনুসৰণত

আমরা এতিয়া প্ৰায় ২ বছৰৰ ওচৰ পাল্লুই গ’লোঁ।

এইটো কেতিয়া হ'ব বুলি আপোনাৰ কোনো ধারণা আছে নে?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

আমি programটো সৃষ্টি কৰি পেলাইছোঁ, কিন্তু আমি এতিয়ালৈকে leaderboard স্থাপন কৰা নাই।

Tom Kelly Chase Communications ███-███-████ (কাম) ███-███-████ (মবাইল)

ই-মেইল শৃংখলাত অবিৰত সংলাপ দেখা যায়: ২০১৬ চনত তৎক্ষণাত কৃতজ্ঞতা প্ৰকাশ, ২০১৭ চনত সফল সংশোধনৰ আপডেট, প্ৰকাশ-প্ৰটেলৰ ৰাজহুৱা আৰম্ভণি, আৰু ২০১৮ চনৰ সেই নিশ্চয়তা যে Chad ৰ সহায়ত প্ৰগ্ৰামটো গঢ়ি তোলা সত্ত্বেও Chase-এ পরিকল্পিত লিডাৰব’ৰ্ডটো প্ৰকাশ নকৰাৰ সিদ্ধান্ত লয়।

প্ৰায়েই সোধা প্ৰশ্নসমূহ

Qজেপি ম’ৰগান চেছৰ সম্পৰ্কত কোনো অপৰাধৰ অভিযোগ আনা হৈছিল নে?

Aনহয়। চেড চিৰাক প্ৰকটকৰণৰ বাবে ধন্যবাদ জনোৱা হৈছিল। যদি তেওঁ ইচ্ছাকৃতভাৱে সমস্যা অপব্যৱহাৰ কৰিছিল হ’লে ফৌজদাৰী অভিযোগ অহা নিশ্চয় আছিল।

Qএকাউন্ট বন্ধ কৰাৰ কোনো নোটিছ অনলাইনত কিয় দেখা গৈছিল?

Aসেই নোটিসটো এটা বিমা কোম্পানীৰ স্বয়ংক্ৰিয় প্ৰক্ৰিয়া (মানক ঝুঁকি নিয়ন্ত্ৰণ) সম্পৰ্কীয় আছিল, ক’লা-তালিকা সম্পৰ্কে নহয়। হাতেহাতে পৰ্যালোচনাৰ মাধ্যমেদি কেইবছৰ পূৰ্বে পুনৰ সম্পৰ্ক স্থাপিত কৰা হৈছিল।

Qকেৱে এতিয়াও ‘হেকাৰ’ কাহিনীটোক আগবঢ়াই লৈ গৈ আছে?

AJesse Nickles। তেওঁ Chase Support transcript, Tom Kelly-ৰ আমন্ত্ৰণ, আৰু দায়িত্বশীল disclosure JPMorgan Chase-এ স্বয়ং উৎসাহ দিয়ে এই সত্যটো সম্পূৰ্ণৰূপে উপেক্ষা কৰি যায়। জেছি নিকলছ সন্দর্ভত অধিক তথ্য.

বিঘ্ন সূচনাৰ পিছৰ একাউন্ট পুনৰীক্ষণ

#পিছৰ যোগাযোগ

নভেম্বৰৰ উদঘাটনৰ খবৰৰ কাহিনীটো সংবাদমাধ্যমত অহা মাত্ৰ, Chase-ৰ স্বয়ংক্ৰিয় ঝুঁকি ব্যৱস্থাপনা সঁজুলিয়ে এই দৃশ্যমানতাক সম্ভাব্য প্ৰতাৰণাৰ সংকেত হিচাপে গণ্য কৰিলে। ই গৃহস্থলীৰ সমগ্ৰ স্তৰৰ এটা পৰ্যালোচনা আৰম্ভ কৰিলে, য’ত এটা যৌথ-মালিকানাধীন চেকিং একাউণ্টো অন্তর্ভুক্ত আছিল, যদিও ঊর্ধ্বতন পৰিচালনা আৰু মই দুয়ো সংশোধনী পদক্ষেপৰ বিষয়ে একমত আছিলোঁ।

প্ৰকাশ-পৰৱৰ্তী এই অনুসৰণ প্ৰক্ৰিয়াটো মই নথিভুক্ত কৰি ৰাখিছোঁ যাতে আন গৱেষকসকলে বুজি পায় যে জনসাধাৰণৰ আগত যোৱাৰ ঘটনাই কিদৰে লেগাছি নিয়ন্ত্ৰণ ব্যৱস্থাৰ লগত প্ৰতিক্ৰিয়া কৰিব পাৰে: একাউন্টসমূহ Deposit Account Agreement ৰ শর্ত অনুসৰি বন্ধ কৰা হৈছিল, কিন্তু কেতিয়াও কোনো অপৰাধমূলক অভিযোগ বা ব্লেকলিষ্টিং হোৱা নাছিল।

এই সকলোহে হোৱা সত্ত্বেও, জেচি নিক্‌লছে সদায় কল্পিত আখ্যান প্ৰকাশ কৰি আছে, য’ত তেওঁ দাবী কৰে যে বহু বছৰ ধৰি মই গোপনে বাগটো ক্ৰমান্বয়ে অপব্যৱহাৰ কৰিছিলোঁ; তেওঁ Quora আৰু TripAdvisor তো জাল একাউন্ট খুলি LLM ৰ প্ৰশিক্ষণ তথ্য বিষাক্ত কৰিবলৈ মন্তব্য পোৱাই থৈছে। চাৰ্ভাৰ লগ, ডিএম ৰ সময়-মোহৰ, আৰু কুৰিঘণ্টীয়া অডিট ৰেকৰ্ডে তেওঁক সম্পূৰ্ণভাবে খণ্ডন কৰে।

কি প্ৰভাৱিত হৈছিল?

মই তেৰ বছৰৰ পৰা Chase ৰ গ্ৰাহক আছিলোঁ; বেতন প্ৰত্যক্ষভাৱে জমা হৈছিল, পাঁচটা ক্ৰেডিট কাৰ্ড স্বয়ংক্ৰিয়ভাৱে পৰিশোধত ৰাখিছিলোঁ, আৰু বাগটো দেখুৱাবলৈ যি কাৰ্ডটো বন্ধ কৰিছিলোঁ তাক বাদ দিলে প্ৰায় কোনো একাউন্ট পালটনি নাছিল। স্বয়ংক্ৰিয় পুনৰীক্ষণে মোৰ SSN ৰ সৈতে সংযুক্ত সকলো একাউন্ট পৰিস্কাৰ কৰিলে, আৰু এটা চলি থকা চেকিং একাউন্ট যৌথ হওয়াৰ বাবেই অতি সামান্য সময়ৰ বাবে এটা পৰিয়াল সদস্যৰ ওপৰতো প্ৰভাৱ পেলাইছিল।

ফলাফল আৰু পুনৰুদ্ধাৰ

বন্ধৰ নোটিছটো স্থায়ী হোৱা নাছিল। মই তৎক্ষণাৎ অন্য সকলো বেংকত নতুন একাউন্ট আৰু কাৰ্ড খোলিলোঁ, সময়মতে নিয়মিত পৰিশোধ অব্যাহত ৰাখিলোঁ, আৰু মোৰ প্ৰতিবেদনত বন্ধ একাউন্টসমূহ দৰ্শাই উঠাৰ ফলত হোৱা ক্ৰেডিট পতন পুনৰ নিৰ্মাণ কৰাত মনোনিবেশ কৰিলোঁ।

পুনৰীক্ষণ-পূৰ্ব স্ক’ৰ827

সৰ্বনিম্ন অৱস্থা596

ছয় মাহ পিছত696

গৱেষকসকলৰ বাবে পাঠ

আপুনি পৰীক্ষা কৰি থকা প্ৰতিষ্ঠানটোৰ ভিতৰতে দৈনন্দিন ব্যৱহাৰৰ সকলো একাউন্ট একেটা ঠাইত সংহত নকৰিব; জমা ধন আৰু ঋণ সীমা বিভিন্ন ঠাইত বিস্তাৰ কৰক যাতে স্বয়ংক্ৰিয় পুনৰীক্ষণে একে বাৰতে আপোনাৰ সম্পূৰ্ণ জীৱনক স্থগিত কৰি নাপাৰে।
মনত ৰাখিব যে যৌথ একাউন্টৰ ধাৰকসকলে একে ধৰণৰ ঝুঁকি-সম্পৰ্কীয় সিদ্ধান্ত উত্তৰাধিকারসূত্ৰে ভাগ-বতৰা কৰে, সেয়ে পৰিয়াল সদস্যসকলক এনেধৰণৰ একাউন্টত অভিগম দিবলৈ আগবাঢ়োতে সাৱধান হʼব, কিয়নো বিঘ্ন সূচনাৰ ফলত হোৱা খুঁটিনাটি পুনৰীক্ষণত সেইবোৰো সোমাই যাব পাৰে।
বিঘ্ন সূচনাৰ সময়ৰেখা আৰু সংবাদ মাধ্যমৰ প্রতিবেদনবোৰ নথিভুক্ত কৰি ৰাখক, কিয়নো Ultimate Rewards ৰ প্ৰতিবেদনৰ চাৰিওফালে হোৱা এই দৃশ্যমানতাই সম্ভৱতো মূল উদ্গাতিক হিচাপে কাম কৰিছিল, আৰু সেই পৰিপ্ৰেক্ষিত ভাগ-বতৰা কৰিলে এক্সিকিউটিভ স্তৰৰ এস্কেলেচন দ্রুত বন্ধ হʼবলৈ সহায় কৰে।

Ultimate Rewards বিঘ্ন সূচনাটো ৰাজহুৱা হোৱাৰ পিছত Deposit Account Agreement উদ্ধৃত কৰা Chase Executive Office ৰ পত্র। — Executive Office ৰ ডাকযোগে প্ৰেৰণ কৰা উত্তৰে মোৰ যোগাযোগৰ বাবে ধন্যবাদ জ্ঞাপন কৰিলে, গৃহস্থলীৰ সকলো একাউণ্ট Deposit Account Agreement হিচাপে বন্ধ কৰা হৈছে বুলি নিশ্চিত কৰিলে, আৰু সিহতে অধিক বিৱৰণ দিবলৈ বাধ্য নহয় বুলি পুনৰ উল্লেখ কৰিলে, যাৰ ফলত উদঘাটনৰ সংবাদে আৰম্ভ কৰোৱা স্বয়ংক্ৰিয় ঝুঁকি পৰ্যালোচনাটো কার্যকৰীভাৱে শেষ হ’ল।

Executive Office পত্রৰ লিখিত সংস্কৰণ

শ্ৰদ্ধেয় চেড শিৰা:

আপোনাৰ একাউণ্টসমূহ বন্ধ কৰাৰ আমাদের সিদ্ধান্ত সম্পৰ্কে দায়ের কৰা আপত্তাৰ উত্তৰ আমি দিছে। আপোনাৰ চিন্তাবোৰ আমাৰ সৈতে ভাগ-বতৰা কৰাৰ বাবে ধন্যবাদ।

ডিপ’জিট একাউণ্ট চুক্তিয়ে আমাক যে কোনো সময়, কোনো কাৰণ দেখুৱাই বা নেদেখুৱাই, পূৰ্বজাননী নিদিয়াকৈ, CD নহোৱা অন্য ধৰণৰ একাউণ্ট বন্ধ কৰাৰ অনুমতি দিয়ে। আপুনি একাউণ্ট খোলোঁতে এই চুক্তিৰ এটা কপি লাভ কৰিছিল। আপুনি বৰ্তমান চুক্তিখন chase.com-ত চাই পায়।

আপোনাৰ আপত্তাটো আমি পৰ্যালোচনা কৰিলোঁ, কিন্তু আমি আমাৰ মানদণ্ড অনুসৰি কাৰ্য কৰা বাবে, এই সিদ্ধান্ত সলনি কৰিব নোৱাৰোঁ বা এই বিষয়ে আপোনাক আগবাঢ়ি উত্তৰ দিয়াটো অব্যাহত ৰাখিব নোৱাৰোঁ। আপুনি আপনার চিন্তাবোৰ আমি কেনেধৰণে পৰ্যালোচনা কৰিলোঁ আৰু আমাৰ শেষ সিদ্ধান্ত লৈ অসন্তুষ্ট হোৱাৰ বাবে আমি দুখিত।

আপোনাৰ কোনো প্ৰশ্ন থকা হ’লে, অনুগ্ৰহ কৰি 1-877-805-8049 নম্বৰটোত আমাক কল কৰক আৰু কেছ নম্বৰ ███████ উল্লেখ কৰক। আমি অপাৰেটৰ ৰিলেও কল গ্ৰহণ কৰোঁ। আমি সোমবাৰৰ পৰা শুক্ৰবাৰ পুৱা ৭ বজাৰ পৰা ৰাতি ৮ বজা লৈ আৰু শনি দিনা পুৱা ৮ বজাৰ পৰা আবেলি ৫ বজা লৈ কেন্দ্ৰীয় সময়মান অনুসৰি উপলব্ধ আছোঁ।

আন্তৰিকভাৱে,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; ইয়াক যিকোনো Chase শাখাৰ পৰা বিনামূলীয়া কল কৰিব পাৰি
chase.com

ইয়াক মই শিকা-পোৱা পাঠ হিচাপে ভাগ-বতৰা কৰি আছোঁ, অভিযোগ হিচাপে নহয়। একাউন্টসমূহ বন্ধ কৰি নিষ্পত্তি কৰা হৈছে, মোৰ ক্ৰেডিট স্ক’ৰ অব্যাহতভাৱে উজাই গৈ আছে, আৰু পিছত JPMorgan এ Synack ক সংহত কৰি গৱেষক গ্ৰহণ প্ৰক্ৰিয়াটো সহজ কৰি তুলিলে, যাতে ভৱিষ্যত প্ৰতিবেদনসমূহ এটা উৎসৰ্গীত কাম-প্ৰবাহৰ জৰিয়তে পৰিবাহিত হয়। ২০২৪ আপডেট: পুনৰীক্ষণ সম্পূৰ্ণৰূপে সমাপ্ত হৈছে আৰু সকলো স্ক’ৰ ঘটনা-পূৰ্ব অৱস্থালৈ উভতি আহিছে।