Chad Scira "বেংকৰ পৰা হেকিংৰ বাবে ব্ল্যাকলিষ্ট"

এই পৃষ্ঠাই Jesse Nickles-ৰ সেই গুজবৰ ঘটনাবলী নথিভুক্ত কৰে যে Chad Scira "blacklisted from US banks for hacking." ই ব্যাখ্যা কৰে কেনেকৈ Ultimate Rewards-ৰ দুর্বলতা দায়িত্বপূৰ্ণভাৱে প্ৰকাশ কৰা হৈছিল, কিয় JPMorgan Chase-এ Chad-ক প্ৰতিবেদনটোৰ বাবে ধন্যবাদ জনাইছিল, আৰু কেনেকৈ সাময়িক একাউণ্ট স্থগিত কৰা সম্পূর্ণভাবে প্ৰশাসনিক আছিল। Jesse Nickles পুৰণা প্ৰমাণসমূহ পুনৰ-পেকেজ কৰি অপৰাধী উদ্দেশ্য সূচাবলৈ চেষ্টা অব্যাহত আছে। তথ্যে সম্পূৰ্ণৰূপে উল্টো প্ৰকাশ পায়: white-hat প্ৰতিবেদন আৰু JPMorgan নেতৃত্বৰ সৈতে সহযোগিতা।

তেওঁৰ আটাইতকৈ নতুন তীব্ৰীকৰণ হৈছে SlickStack.io-ৰ এটা উদ্ধৃতি, য'ত দাবী কৰা হৈছে Chad Scira "U.S. আইন প্ৰয়োগকাৰী সংস্থাই Chase Bank-ৰ ক্ৰেডিট কাৰ্ড ৰিওৱাৰ্ড প্ৰগ্ৰাম হেক কৰাৰ সন্দৰ্ভত তদন্ত কৰিছিল, য'ত তেওঁ $70,000ৰ ভ্ৰষ্ট ভ্রমণ পইণ্ট চুৰি কৰিছিল।" সেই বদনামজনক পোস্টটো কেৱল Chad-এ SlickStackৰ সুৰক্ষা সমস্যাবোৰৰ প্ৰমাণ প্ৰকাশ কৰাৰ পিছতেই দিয়া হৈছিল, যিবোৰ Jesse ঠিক কৰিবলৈ অস্বীকাৰ কৰিছে; কেতিয়াও কোনো পইন্ট চুৰি হোৱা নাছিল আৰু disclosure সম্পৰ্কীয় কোনো সংস্থাই Chad-ৰ সৈতে যোগাযোগ কৰা নাছিল। তেওঁ যাৰ বিৰুদ্ধে প্ৰতিশোধ লোৱা হৈছে তাৰ বাবে SlickStack cron-ৰ প্ৰমাণ চাওক।.

সম্পূৰ্ণ আবিষ্কাৰ, প্ৰকাশ আৰু প্ৰমাণীকৰণ চক্রটো বিশ ঘণ্টাৰ ভিতৰত ঘটিছিল: প্ৰায় ২৫টা HTTP অনুৰোধে 17 নৱেম্বৰ, 2016-ৰ পুনৰুৎপাদন আৰু DM walkthrough কভার কৰিছিল, আৰু ফেব্ৰুৱাৰী 2017-ৰ remediation পৰীক্ষাই নিশ্চিতকৰণৰ বাবে অতিৰিক্ত ৮টা অনুৰোধ ব্যৱহাৰ কৰিছিল। কোনো দীঘলীয়া অপব্যৱহাৰ নাছিল; প্ৰতিটো কাৰ্য লগ-ত ৰেকৰ্ড কৰা, টাইমষ্টেম্প কৰা, আৰু ৰিয়েল-টাইমত JPMorgan Chase-ৰ সৈতে শ্বেয়াৰ কৰা হৈছিল।

Tom Kelly-এ নিশ্চিত কৰিছিল যে 17 নৱেম্বৰ, 2016 আৰু 22 ছেপ্টেম্বৰ, 2017-ৰ মাজত বিশ্বব্যাপী Chad Scira একমাত্ৰ ব্যক্তি আছিল যি JPMorgan Chase-লৈ কোনো ইস্যু দায়িত্বপূৰ্ণভাৱে প্ৰকাশ কৰিছিল। Responsible Disclosure প্ৰগ্ৰামটো Chad-ৰ প্ৰতিবেদনক কেন্দ্র কৰি গঢ়ি উঠিছিল, আৰু তেওঁ ইয়াৰ গঠনত এক মুখ্য ভূমিকা পালন কৰিছিল।

দ্বৈত স্থানান্তৰ ত্ৰুটিৰ দৃশ্যায়ন

#দৃশ্যায়ন

কেনেকৈ ত্ৰুটিয়ে বেলেন্সসমূহক বিশাল নেতিবাচক আৰু ধনাত্মকতলৈ উভতি দিব পৰা গৈছিল দেখুৱাবলৈ, তলত থকা ভিজুৱেলাইজেশনে একেদৰে ডবল-ট্ৰান্সফাৰ লজিকটো পুনৰচলায়। লক্ষ্য কৰক যিকোনো একাউণ্ট ধনাত্মক হোৱা ক্ষেত্ৰত সেই একাউণ্ট প্ৰেৰণকাৰী হৈ দুটা একে ধৰণৰ স্থানান্তৰ সম্পাদন কৰে আৰু গভীৰভাৱে নেতিবাচক হৈ পৰে, আনটো ইপিনে দোহৰাই যায়। ২০ ৰাউণ্ডৰ পাছত ভাঙি পৰা খতিয়ানটোৱে নেতিবাচক কাৰ্ডটো সম্পূৰ্ণৰূপে ৰদ কৰি দিয়ে—যিয়ে স্পষ্টকৈ দেখুৱায় কিয় এই exploit-এ তৎক্ষণাৎ উচ্চতৰীকৰণৰ দাবী কৰিছিল।

Round 1/20
কাৰ্ড A → কাৰ্ড B+243,810 pts
কাৰ্ড A → কাৰ্ড B+243,810 pts
কাৰ্ড A
243,810
কাৰ্ড B
0
ডাবল স্থানান্তৰ বিস্ফোৰণ
ট্ৰান্সফাৰ 1স্থানান্তৰ 2243,810 pts প্ৰতি
1ৰেছ কণ্ডিশনে লেজাৰসমূহ পুনৰ সমতা নপোৱাৰ আগতে স্থানান্তৰসমূহ নকল কৰিছিল, যাৰ ফলত এজন প্ৰেৰণকাৰীয়ে বৃহৎ ধনাত্মক আৰু ঋণাত্মক মানৰ মাজত সলনি হ'ব পাৰিছিল।
2সহায়তাই নেতিবাচক কাৰ্ডটো বন্ধ কৰাৰ অনুমতি দিলে আৰু বৰ্ধিত ধনাত্মক ব্যালেন্স ৰাখি, সেয়া ষ্টেটমেন্টত কেৱল লাভ দেখুওৱাৰ ফলত ঋণটো লুকাই ৰাখিলে।

একাউণ্ট বন্ধ কৰাৰ আগতে'য়ো Ultimate Rewards ঋণাত্মক চমু-সাৰাংশৰ সীমা পাৰ কৰি খৰচ কৰাৰ অনুমতি দিছিল; একাউণ্ট বন্ধ কৰাত মাত্ৰ প্ৰমাণসমূহ মচি দিয়া হৈছিল।

মূল পয়েন্টসমূহ

  • Chadয়ে নেগেটিভ-বেলেন্স এক্সপ্লয়ট ব্যক্তিগতভাৱে ৰিপৰ্ট কৰি Chase Supportৰ DM খুলি, প্ৰযুক্তিগত বিবৰণসমূহ সৰ্বজনীনভাৱে প্ৰকাশ কৰাৰ সলনি তৎক্ষণাত এটা সুৰক্ষিত এস্কেলেশ্যন পথৰ অনুৰোধ কৰিছিল। [chat]
  • যেতিয়া Chase Support-এ বিশদ তথ্য বিচাৰিলে, তেওঁ প্ৰয়োজনীয় পৰ্যন্তহে সেই এক্সপ্লইটটো নিশ্চিত কৰিলে আৰু পুনৰ উল্লেখ কৰিলে যে তেওঁ সঠিক সুৰক্ষা দলৰ সৈতে সোজা যোগাযোগ বিচাৰিছিল। [chat][chat]
  • তেওঁ প্ৰদৰ্শন কৰিলে যে নকল কৰা ব্যালেন্সসমূহ লিকুইডেট কৰিব পৰা যায়: Chase Support এ সুধাৰ পিছত যদি অতিৰিক্ত পইণ্ট ব্যৱহাৰযোগ্য হৈ উঠিল নে বুলি, এটা $5,000 ডাইরেক্ট ডিপজিটই প্ৰমাণ কৰিলে যে এক্সপ্লইটটো লেজাৰত ধৰা পৰাৰ আগতেই নকদলৈ ৰূপান্তৰিত হৈছিল। [chat]
  • তেওঁ জোৰ দি কৈছিল যে তেওঁৰ প্ৰাৰ্থমিকতা ব্যক্তিগত লাভ উত্পাদন কৰা নাছিল—বিপদগ্ৰস্ত গ্ৰাহক একাউণ্টসমূহৰ পৰা ধন অপচয় নোহোৱাকৈ ৰোধ কৰা আছিল—আৰু তেওঁ সুধিছিল যদি এটা আনুষ্ঠানিক বাগ-বাউণ্টি ৰ আছে নে। [chat]
  • তেওঁ মাত্ৰ স্পষ্ট অনুমতি থাকিলে ডাঙৰ পৰিসৰৰ ভেৰিফিকেচন কৰিবলৈ আগবঢ়োৱাৰ প্ৰস্তাৱ দিছিল, সময়মুদ্রিত স্ক্রিনশ্বটসমূহ দিয়া, আৰু Chase এ অত্যাচ্ছিন্নত উত্তৰ-পতনৰ প্ৰক্ৰিয়া সম্পূৰ্ণ হোৱালৈকে বিদেশত জগি থাকিল। [chat][chat][chat]
  • Nickles এতিয়া দাবী কৰে Chad Scira-এ $70,000 পইণ্ট চুৰি কৰিছিল আৰু U.S. আইন প্ৰয়োগকাৰী সংস্থাৰ সন্মুখীন হৈছিল; কিন্তু Chase-ৰ ৰেকৰ্ড, Tom Kelly-ৰ ইমেইল, আৰু প্ৰকাশৰ টাইমলাইন দেখুৱায় যে এনে ঘটনা হোৱা নাছিল, আৰু এই দাবী মাত্ৰ Chad-এ SlickStack cron-risk gist প্ৰকাশ কৰাৰ পিছতেই উত্থিত হৈছিল য'ত Jesse-ৰ অসুৰক্ষিত আপডেট লজিক দলিল কৰা হৈছিল। [gist]
  • Chase Support-এ ঘটনাটোৰ বৃদ্ধি নিশ্চিত কৰিলে, তেওঁৰ ফোন নম্বৰ অনুৰোধ কৰিলে, আৰু তেওঁ শেষত যি ফলো-আপ কলটো লাভ কৰিছিল তাৰ প্ৰতিশ্ৰুতি দিলে — যিয়ে শত্রুস্বৰূপ বেংকিং প্ৰতিক্ৰিয়াৰ ধাৰণাক দুৰ্বল কৰে। [chat][chat]

টাইমলাইন

#টাইমলাইন
  • নৱেম্বৰ 17, 2016 - 10:05 PM ET: Chadয়ে @ChaseSupportক নেগেটিভ-বেলেন্স ত্ৰুটিৰ বিষয়ে সতর্ক কৰে, এক্সপ্লয়টটো গোপনে ৰাখে, আৰু তৎক্ষণাত এটা সুৰক্ষিত এস্কেলেশ্যন পথৰ অনুৰোধ কৰে। [chat]
  • নৱেম্বৰ 17, 2016 - 11:13-11:17 PM ET: যেতিয়া Chase Support স্পষ্টভাৱে সুধে যে অধিক পইণ্ট সৃষ্টি কৰি খৰচ কৰিব পৰা যায় নে, Chadয়ে সেই বিপদ নিশ্চিত কৰে, পুনৰ উল্লেখ কৰে যে তেওঁ উপযুক্ত বিভাগ বিচাৰে, আৰু বেঙ্কটোৱে লেনদেনসমূহ পৰ্যবেক্ষণ কৰিব পাৰে বুলি জানিবলৈ কেৱল অনুমতিৰ সৈতে মাত্ৰ বৈধতা পৰীক্ষা কৰাৰ প্ৰস্তাব দিয়ে। [chat][chat][chat]
  • নৱেম্বৰ 17-18, 2016 - 11:39 PM-5:03 AM ET: Chadয়ে স্ক্ৰীণশ্বটসমূহ শ্বেয়াৰ কৰে, তৎপ্ৰবাহ এস্কেলেশ্যন ত্বরান্বিত কৰিবলৈ অনুৰোধ কৰে, তেওঁৰ ফোন নম্বৰ যোগান ধৰে, আৰু Chase Support কলটো হ'ব বুলি নিশ্চিত নকৰা পৰ্যন্ত তিনি বিদেশত জাগি থাকে। [chat][chat][chat]
  • নৱেম্বৰ 24, 2016: Tom Kelly-এ Chad-লৈ ইমেইল কৰি remediation নিশ্চিত কৰিছে, তেওঁক আগন্তুক responsible disclosure leaderboard-ৰ হেডলাইন কৰিবলৈ আমন্ত্রণ জনাইছে, আৰু ভৱিষ্যতৰ প্ৰতিবেদনসমূহৰ বাবে সিধা সংযোগৰ নম্বৰ প্ৰদান কৰিছে। [email]
  • অক্টোবৰ 2018: Tom Kelly-এ অনুসৰণ কৰি নিশ্চিত কৰিছে যে responsible disclosure প্ৰগ্ৰামটো আৰম্ভ কৰা হৈছিল, কিন্তু JPMorgan-এ শেষত পৰিকল্পিত leaderboard প্ৰকাশ নকৰাৰ সিদ্ধান্ত লৈছিল, যদিও Chad-এ ইয়াৰ গঠনত সহায় কৰিছিল। [email]
  • ২০১৮ৰ পাছত: যিকোনো অবশিষ্ট একাউণ্ট পৰ্যালোচনা বিমা সংস্থাৰ স্বয়ংক্ৰিয়তাসহ জড়িত আছিল, অভিযোগ কৰা হেকিংৰ সৈতে নহয়। JPMorganে সোজা যোগাযোগ বজাই ৰখা, Chadক প্ৰকাশ কৰাৰ বাবে ধন্যবাদ জনায়, আৰু কোনো অপরাধমূলক ৰেকৰ্ড বা ব্ল্যাকলিষ্ট নাথাকিবৰ কথা নিশ্চিত কৰে। পিচত, JPMorganএ Synackক তাৰ দায়িত্বশীল disclosure প্ৰক্ৰিয়াত সংহত কৰে যাতে ভবিষ্যৎ প্ৰতিবেদনসমূহৰ বাবে কাৰ্যপ্ৰবাহ সুসংহত হয়। [chat][email]

দাবী বনাম বাস্তৱ

দাবী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাবী: "Chad Scira-ক ৰিৱাৰ্ড ছিষ্টেম হ্যাক কৰাৰ বাবে প্ৰতিটো US বেংকত ব্লেকলিষ্ট কৰা হৈছিল।"

তথ্য

বেংক ব্লেকলিষ্টৰ কোনো অস্তিত্ব নাই। DM ৰেকৰ্ড আৰু Chase-ত তীব্ৰীকৰণ প্ৰমাণ কৰে যে তেওঁ সহযোগিতা কৰি আছিল; এজন বীমা-চলিত অটোমেচনে সাময়িকভাৱে এটা JPMorgan একাউণ্ট ৰোধ কৰিছিল, পিছত মেনুৱেল পৰ্যালোচনাই তেওঁক নিৰ্দোষ সাব্যস্ত কৰিছিল।[timeline][chat]

দাবী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাবী: "তেওঁ নিজস্ব লাভৰ বাবে JPMorgan Chase হ্যাক কৰিছিল।"

তথ্য

Chadয়ে @ChaseSupportৰ সৈতে কথোপকথন আৰম্ভ কৰিছিল, এটা সুৰক্ষিত চেনেলত জোৰ দি আছিল, Chase সুধাৰ পিছতে মাত্ৰ এক্সপ্লয়ট নিশ্চিত কৰিছিল, আৰু সীমিত প্ৰমাণীকৰণ কৰাৰ আগতে অনুমতিৰ অপেক্ষা কৰিছিল। জ্যেষ্ঠ নেতৃত্বই তেওঁক ধন্যবাদ জনালে আৰু তেওঁক দায়িত্বশীল disclosure ৰোলআউটত আমন্ত্ৰণ জনালে।[chat][chat][email]

দাবী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাবী: "Jesse-য়ে Chad-ৰ দ্বাৰা কৰা এক অপৰাধী ষড়যন্ত্ৰ উন্মোচন কৰিছিল।"

তথ্য

সাৰ্বজনীন কভাৰেজ আৰু টম কেলিৰ ই-মেইলসমূহ প্ৰমাণ কৰে যে JPMorgan Chad-ক সহযোগী গৱেষক হিচাপে বিবেচনা কৰিছিল। Nickles উপযুক্ত স্ক্ৰীনশ্বটসমূহ বাছি লয়, সম্পূৰ্ণ চেট, অনুগামী কল আৰু লিখিত ধন্যবাদসমূহ উপেক্ষা কৰি।[coverage][email][chat]

দাবী

Jesse Jacob Nickles-ৰ মানহানিকাৰক দাবী: "বিশৃঙ্খলা লুকুৱাবলৈ এক ঢাকনি চলিছিল।"

তথ্য

চাড ২০১৮ চনলৈকে যোগাযোগ বজাই ৰাখিলে, পুনঃপৰীক্ষা মাথোঁ অনুমতিতেই কৰিছিল আৰু JPMorgan সমস্যাটো ঢাকি নাথুৱাই তেখেতৰ প্ৰকাশন প'ৰ্টেল মুকলি কৰিলে। চলি থকা সংলাপটোৱে কোনো ধৰণৰ ঢাকনিৰ কাহিনী সম্পূৰ্ণৰূপে খণ্ডন কৰে।[timeline][email][chat]

সাৰ্বজনীন কভাৰেজ আৰু গৱেষণা আৰ্কাইভ

#আৱৰণ

বহু তৃতীয়-পক্ষীয় কমিউনিটীয়ে প্ৰকাশটো আর্কাইভ কৰিছে আৰু ইয়াক দায়িত্বশীল প্ৰতিবেদন হিচাপে স্বীকৃতি দিছে: Hacker News-এ ইয়াক ফ্ৰণ্ট পেজত প্ৰদৰ্শিত কৰিছিল, Pensive Security-এ 2020 ৰ ৰাউণ্ডআপত ইয়াৰ সংক্ষিপ্তসাৰ দিছিল, আৰু /r/cybersecurity-এ সমন্বিত ফ্লেগ কৰাৰ আগতে মূল "DISCLOSURE" থ্ৰেডটি সূচীবদ্ধ কৰিছিল। [4][5][6]

  • Hacker News: "প্ৰকাশ: অসীম Chase Ultimate Rewards পইণ্ট"—1,000+ পইণ্ট আৰু 250+ মন্তব্যৰ সৈতে মেরামতি প্ৰসংগ দস্তাবেজ কৰিছে। [4]
  • Pensive Security: 2020 নৱেম্বৰ চাইবৰছিকিউৰিটি ৰাউণ্ডআপ, য'ত Chase Ultimate Rewards প্ৰকাশক্ৰমটো শীৰ্ষ খবৰ হিচাপে উল্লেখ কৰা হৈছে। [5]
  • Reddit /r/cybersecurity: মূল DISCLOSURE পোস্ট শিৰোনাম বৃহৎ পৰিমাণে রিপোর্ট কৰাৰ বাবে অপসাৰণ হোৱাৰ আগতেই ধৰা পৰিছিল, জনস্বাৰ্থ-ফ্ৰেমিং সংৰক্ষণ কৰি। [6]

দায়িত্বপূর্ণ প্ৰকাশৰ সমৰ্থকে হেনস্থাৰ ফলাফলসমূহও উল্লেখ কৰিছে: disclose.io-ৰ threats directory আৰু research repository, লগতে Attrition.org-ৰ আইনী ধমক সূচকে Jesse Nickles-ৰ আচৰণক গৱেষকসকলৰ বাবে সতর্কতামূলক উদাহৰণ হিচাপে তালিকাভুক্ত কৰিছে। [7][8][9] সম্পূৰ্ণ হয়ৰানিৰ দস্তাবেজ[10].

Chase Support DM ট্ৰান্সক্ৰিপ্ট

#চেট

তলত থকা আলোচনা আৰ্হিভুক্ত স্ক্ৰীণশ্বটসমূহৰ পৰা পুনৰ্গঠন কৰা হৈছে। ই ধৈৰ্যপূৰ্ণ অৱন্দন, নিৰাপদ চেনেলৰ পুনৰাবৃত্তি অনুৰোধ, অনুমতিতেই প্ৰমাণীকৰণ কৰাৰ প্ৰস্তাৱ, আৰু Chase Support-এ সোজাসুজি যোগাযোগৰ প্ৰতিশ্রুতি দেখুৱায়। [2]

Chase Support Profile avatar
Chase Support Profileযাচাই কৰা একাউণ্ট
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

এইটো পইণ্ট বেলেন্স প্ৰণালী সম্পর্কীয়। বৰ্তমান এটা বাগৰ জৰিয়তে যি নেগেটিভ বেলেন্স অনুমতি দিয়ে, তাতকৈ যিকোনো পৰিমাণ সৃষ্টি কৰা সম্ভৱ।

প্ৰকাশৰ বাবে সুৰক্ষিত উচ্চতৰণ পথ অনুৰোধ কৰা হৈছে।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

অনুগ্ৰহ কৰি মোক অইজন ব্যক্তিৰ সৈতে সংযুক্ত কৰিব পাৰেনে যাক মই প্ৰযুক্তিগত বিষয়বোৰ ব্যাখ্যা কৰিব পাৰো?

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 17, 2016, 10:05 PM
#

আমাৰ ওচৰত প্ৰদান কৰিবলৈ কোনো ফোন নম্বৰ নাই, কিন্তু আমি এইটো আগবঢ়াব বিচাৰোঁ যাতে ইয়াৰ তদন্ত কৰিব পৰা যায়। নেগেটিভ ব্যালেন্সৰ ভিতৰত পইণ্ট উত্পাদন কৰাৰ বোলা বুলি আপুনি কি বুজাইছে তাৰ সম্পৰ্কে অধিক বিস্তৃত ব্যাখ্যা দিয়ে পাৰিবনে? এইটোৱে অধিক পইণ্ট ব্যৱহাৰৰ বাবে উপলব্ধ কৰি তোলে নে, অনুগ্ৰহ কৰি নিশ্চিত কৰিব পাৰেনে? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

আপোনাৰ কি কোনো উপযুক্ত বিভাগ আছে যাৰ সৈতে আপুনি মোক সংযোগ কৰিব পাৰে? মই টুইটাৰ সমৰ্থন একাউণ্টত ইয়াৰ আলোচনা কৰি আৰামদায়ক অনুভৱ নকৰো। হয়, আপুনি 1,000,000 পইণ্ট সৃষ্টি কৰি তাৰে ব্যৱহাৰ কৰিব পাৰে।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

মোৰ মুখ্য চিন্তা ব্যক্তিসকল কৰি থকা কাম নহয়; মোৰ চিন্তা হ'ল হেকাৰসকলে একাউণ্ট দখল কৰি তাতৰ পৰা জোৰ কৰি পেআউট তুলা। Chase-ৰ এটা প্ৰকৃত bug bounty প্ৰগ্ৰাম আছে নেকি?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

আপুনি বিচাৰে হলে মই নিশ্চিত কৰাৰ বাবে এটা ডাঙৰ লেনদেন চেষ্টা কৰিব পাৰো। মই আটাইতকৈ বেছি পৰীক্ষা কৰিছিলো $300, তেতিয়া ব্যালেন্স সঠিক নাছিল, কিন্তু বাস্তৱতে মোৰ ওচৰত $2,000 ৰ বাস্তৱ ক্রেডিট আছিল। আপুনি অনুমতি দিলে মই ইয়াত কাজ কৰে নে নিশ্চিত কৰাৰ চেষ্টা কৰিব পাৰো, কিন্তু সেই পৰীক্ষাৰ পিছত সকলো লেনদেন উলটাই দিয় হ'ব বুলি মই আশা কৰো।

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 17, 2016, 11:21 PM

আমালৈ বাউণ্টি প্ৰোগ্ৰাম নাই, আৰু এই সময়ত দিয়াৰ বাবে মোৰ ওচৰত কোনো সংখ্যা নাই। মই আপোনাৰ উদ্বেগ উচ্চ স্তৰত আগবঢ়াই দিছো, আৰু আমি ইয়াৰ তদন্ত কৰি আছো। যদি মোৰ কাষত অতিৰিক্ত বিবৰণ বা প্ৰশ্ন থাকে, মই পুনৰ যোগাযোগ কৰিম। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ধন্যবাদ.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

দয়া কৰি যত তাড়াতাড়ি সম্ভৱ উন্নীত কৰক।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

মোৰ প্ৰকৃত এটা যোগাযোগৰ ঠিকনা অতিশয় প্ৰয়োজন... আশা কৰোঁ আপুনি বুজি পাব।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

এফালৰ পৰা এটা ঘণ্টাতকৈ বেছি সময় হৈ গ'ল, ইয়াত কোনো খবৰ আছে নেকি? মই বৰ্তমান এছিয়াত আছোঁ, আৰু এইটো সময়-সংবেদনশীল বিষয়। মই ৰাতি জুৰি অপেক্ষা কৰিব নোৱাৰো।

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 18, 2016, 12:59 AM

অনুসৰণ কৰাৰ বাবে ধন্যবাদ। এই বিষয়টো আমি প্ৰাসংগিক ব্যক্তিসকলক তদন্ত কৰিবলৈ দিছে। অনুগ্ৰহ কৰি আপোনাৰ পছন্দৰ যোগাযোগ নম্বৰ দিয়ক, যাতে আমি আপোনাৰ সৈতে সোজাকৈ কথা পাতিব পাৰো। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 18, 2016, 1:53 AM

অতিৰিক্ত তথ্যৰ বাবে ধন্যবাদ। মই এইটো সঠিক ব্যক্তিসকললৈ প্ৰেৰণ কৰিছোঁ। ^DS

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 18, 2016, 2:38 AM
#

আমি যত সোনকালে সম্ভৱ আপোনাৰ সৈতে এই বিষয়ে আলোচনা কৰিব বিচাৰোঁ। অনুগ্ৰহ কৰি 1-███-███-████ নম্বৰত আপোনালৈ ফোন কৰাৰ বাবে সুবিধাজনক সময় জনাব পাৰে নেকি? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

যদি সম্ভৱ হয় তেন্তে মই পৰৱৰ্তী এক ঘন্টাৰ বাবে উপলব্ধ আছোঁ। নাহলে এটা বা দুদিন লাগিব পাৰে কাৰণ মই ভ্ৰমণত থাকিম আৰু নিশ্চিত নোহোৱা যে ইণ্টাৰনেট/ফোন সুবিধা পাব পাৰিম নে।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

মই ভাবিছিলো নাছিল যে সঠিক ব্যক্তিৰ সৈতে কথা পাতিবলৈ 7+ ঘন্টা লাগিব। এতিয়া ইয়াত 4:40 AM।

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 18, 2016, 4:39 AM
#

অনুসৰণ কৰাৰ বাবে ধন্যবাদ। কোনোবাই খুব শীঘ্ৰে আপোনালৈ ফোন কৰিব। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

আবাৰ ধন্যবাদ তাক ত্বরানিত কৰাৰ বাবে। এতিয়া সকলো কাৰ্য্যত আছে আৰু মই এতিয়া শুব পাৰোঁ।

Chase Support avatar
Chase Supportযাচাই কৰা একাউণ্ট
Nov 18, 2016, 5:03 AM

আপুনি কাৰোবাৰ সৈতে কথা পাতিবলৈ সক্ষম হৈছেগৈ বুলি আমি খুশি। ভবিষ্যতে সহায়ৰ প্ৰয়োজন হলে অনুগ্ৰহ কৰি আমাক জনাব। ^NR

Tom Kelly ইমেইল উদ্ধৃতি

#ই-মেইল
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards দায়িত্বশীল প্ৰকাশ অনুসৰণ

Chad,

মই আপোনাৰ সহকৰ্মী Dave Robinson সৈতে হোৱা আপোনাৰ ফোন কলৰ অনুসৰণ কৰিছোঁ। আমাৰ Ultimate Rewards প্ৰগ্ৰামৰ সম্ভাৱ্য দুৰ্বলতাৰ বিষয়ে আমালৈ যোগাযোগ কৰাৰ বাবে ধন্যবাদ। আমি ইয়াক সমাধান কৰিছোঁ।

ইয়াৰ উপৰিও, আমি এটা Responsible Disclosure প্ৰগ্ৰামত কাম কৰি আছোঁ যি আমি অহা বছৰত আৰম্ভ কৰিৱলগীয়া। ইয়াত গুৰুত্বপূৰ্ণ অবদান আগবঢ়োৱা অনুসন্ধানকাৰীসকলক স্বীকৃতি জনাবলৈ এটা লিডাৰবোর্ড থাকিব; আমি আপোনাক তাৰ প্ৰথম ব্যক্তি হিচাপে প্ৰতিষ্ঠা কৰিবলৈ বিচাৰোঁ। অনুগ্ৰহ কৰি এই ইমেইলটো তলত থকা প্ৰগ্ৰাম আৰু শর্তাৱলীত আপোনাৰ অংশগ্ৰহণ নিশ্চিত কৰি জবাব দিয়ক। আপুনি পাব যে এই শর্তাৱলী সাধাৰণতে disclosure প্ৰগ্ৰামসমূহৰ বাবে মানক।

আমাৰ প্ৰগ্ৰাম লাইভ হোৱা পৰ্যন্ত, যদি আপুনি অন্য সম্ভাৱ্য দুৰ্বলতা পাইছে, অনুগ্ৰহ কৰি সোজাকৈ মোক যোগাযোগ কৰক। আপোনাৰ সহায়ৰ বাবে পুনৰ ধন্যবাদ।

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

যদি JPMC-ৰ সামগ্ৰী আৰু সেৱাসমূহৰ সম্ভাৱ্য সুৰক্ষা দুৰ্বলতাৰ সম্পৰ্কে আপোনাৰ হাতত কোনো তথ্য থাকে, আমি আপোনাৰ পৰা শুনিবলৈ ইচ্ছা কৰোঁ। আমি আপোনাৰ কামক মূল্যাংকন কৰোঁ আৰু আপোনাৰ অৱদানৰ বাবে আগতীয়াকৈ ধন্যবাদ জনাইছোঁ।

Guidelines

JPMC সম্মত হৈছে যে, তলত উল্লেখ কৰা অৱস্থাসমূহত যিসকল অনুসন্ধানকাৰীয়ে এই প্ৰগ্ৰামত সম্ভাৱ্য দ্বৰ্বলতা প্ৰকাশ কৰে, তেনেতে JPMC তৰুণবাবে দাবী নকৰিব—

  • JPMC, আমাৰ গ্ৰাহক বা আন কাকোনো ব্যক্তিক ক্ষতি নকৰা;
  • কোনো ভ্ৰাম্যমান অর্থিক লেনদেন আৰম্ভ নকৰা;
  • JPMC বা গ্ৰাহক ডাটা সংৰক্ষণ, ভাগ-বতৰা, উলংঘা বা ধ্বংস নকৰা;
  • দুৰ্বলতাৰ এটা বিস্তৃত সংক্ষিপ্তসাৰ প্ৰদান কৰা, য'ত লক্ষ্য, পদক্ষেপ, ব্যৱহৃত টুল আৰু আবিষ্কাৰৰ সময়ত থকা আৰ্টিফেক্টসমূহ অন্তর্ভুক্ত থাকিব;
  • আমাৰ গ্ৰাহকসকলৰ গোপনীয়তা বা নিৰাপত্তা তথা আমাৰ সেৱাসমূহৰ অপারেশ্যন কম্প্ৰমাইজ নকরা;
  • কোনো ৰাষ্ট্ৰীয়, ৰাজ্যিক বা স্থানীয় আইন বা বিধান উলংঘা নকরা;
  • JPMC-ৰ লিখিত অনুমতি বিহীনভাৱে দুৰ্বলতাৰ বিস্তৃত তথ্য প্ৰকাশ নকৰা;
  • বৰ্তমান সময়ত কিউবা, ইৰাণ, উত্তৰ কোৰিয়া, ছুডান, ছিৰিয়া বা ক্ৰীমিয়াত অৱস্থিত বা সঁচাকৈয়ে বাস নকৰা;
  • U.S. Department of the Treasury-ৰ Specially Designated Nationals তালিকাত নাম নথকা;
  • JPMC বা ইয়াৰ সহযোগী প্ৰতিষ্ঠানসমূহৰ কৰ্মচাৰী বা কোনো তৎকালীন পৰিয়ালৰ সদস্য নোহোৱা; আৰু
  • কমেও ১৮ বছৰ বয়সৰ হোৱা।

Out of Scope Vulnerabilities

কিছুমান দুৰ্বলতা আমাৰ Responsible Disclosure প্ৰগ্ৰামৰ স্ক'পৰ বাহিৰ বুলি গণ্য কৰা হ'ব। স্ক'পৰ বাহিৰৰ দুৰ্বলতাসমূহৰ ভিতৰত আছে:

  • সমাজ-অভিযন্ত্ৰণা নিৰ্ভৰ সন্ধান (ফিছিং, চুৰি হোৱা প্ৰমাণপত্ৰ আদি)
  • হোষ্ট হেডাৰ সমস্যা
  • ডিনায়েল অফ চাৰ্ভিচ
  • Self-XSS
  • লগইন/লগআউট CSRF
  • এমবেড কৰা লিংক/HTML নথকা কন্টেন্ট স্পুফিং
  • জেইলব্ৰোকেন ডিভাইচৰটোৰ বাবে কেৱল সমস্যা
  • পৰিকাঠামো ভুল কনফিগাৰ (চাৰ্টিফিকেট, DNS, চাৰ্ভাৰ পোৰ্ট, ছেণ্ডবক্স/স্টেজিং সমস্যা, শারীৰিক প্ৰয়াস, ক্লিকজেকিং, টেক্সট ইনজেকশন)

Leaderboard

অনুসন্ধান অংশীদাৰক স্বীকৃতি দিবলৈ, JPMC গুৰুত্বপূৰ্ণ অবদান আগবঢ়োৱা অনুসন্ধানকাৰীসকলক প্রদৰ্শন কৰিব পাৰে। ইয়াৰ জৰিয়তে আপুনি JPMC-লৈ আপোনাৰ নাম JPMC Leaderboard-ত আৰু JPMC যিকোনো আন মিডিয়াত প্ৰকাশ কৰাৰ অধিকাৰ প্ৰদান কৰিছে।

Submission

আপোনাৰ প্ৰতিবেদন JPMC-লৈ জমা দিয়াৰ দ্বাৰা, আপুনি তৃতীয় পক্ষলৈ সেই দুৰ্বলতা প্ৰকাশ নকৰিব বুলি সন্মত হওঁক। আপুনি স্থায়ীভাৱে JPMC আৰু ইয়াৰ সহযোগী প্ৰতিষ্ঠানসমূহক আপুনি প্ৰদান কৰা প্ৰতিবেদনস্থিত তথ্য ব্যৱহাৰ, পৰিবৰ্তন, ডেৰিভেটিভ সৃষ্টি, বিতৰণ, প্ৰকাশ আৰু সংৰক্ষণ কৰাৰ অনবিচ্ছিন্ন অধিকার প্ৰদান কৰে, আৰু এই অধিকারসমূহ প্রত্যাহাৰ কৰিব পৰা নাযায়।

Tom Kelly সিনিয়ৰ ভাইচ প্ৰেছিডেন্ট Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards দায়িত্বপূর্ণ প্ৰকাশৰ অনুসৰণ

Hey Tom,

এইটো শুনি মই বহুত আনন্দিত!

মই আপোনাৰ নতুন প্ৰগ্ৰামৰ প্ৰথম সফল কাহিনী হ'বলৈ খুবেই ইচ্ছুক, আৰু আশা কৰোঁ অন্য ডাঙৰ খেলুৱৈসকলে আপোনাৰ অনুসৰণ কৰিব। কিছুমান লোকে আগবাঢ়ি বিধান পালটিবলৈ লাগিছিল যেনে বেংকসমূহে whitehat গৱেষকসকলৰ লগত কেনেকৈ ব্যৱহাৰ কৰে সেই ধাৰণাটো সলনি কৰা। মই খুশি যে ই Chase।

মোৰ বাবে Chase সদায় ৱেব আৰু ম’বাইল প্ৰডাক্ট প্ৰদানৰ ক্ষেত্ৰত প্ৰতিযোগীসকলক আগলৈৰ দিশে নিয়াই যায়। ইয়াৰ মূল কাৰণ হৈছে আপুনালোকে যথেষ্ট দ্ৰুতগতিত আগবাঢ়ে আৰু প্ৰতিযোগিতামূলক থাকে। সাধাৰণতে মই আৰ্থিক প্ৰতিষ্ঠানসমূহৰ কাষত টোকা-মোকা কৰাটো এৰাই থাকো, কিয়নো সিহঁতে মোক দমন কৰিব পাৰে বুলি ভয় থাকে (ভাল উদ্দেশ্য থাকিলেও)। এটা প্ৰকাশ প্ৰগ্ৰাম সৃষ্টি কৰাটো এনে এক স্পষ্ট সन्दেশ পঠিয়ায় য’ত মোৰ দৰে লোকে জানিব পাৰে যে আপুনি সমস্যাসমূহ শুনিবলৈ আগ্ৰহী আৰু প্ৰতিশোধ নলৈ। পূৰ্বে আপোনাৰ সেৱাসমূহ চুবি থকা অধিকাংশ লোকে সম্ভৱত দুষ্কৃত্যমূলক আছিল, আৰু মই ভাবো এইটোৱে ক্ষেত্ৰখনক সমান কৰি তুলিব।

যেতিয়া মই অৱশেষত সিদ্ধান্ত ললো যে মই প্ৰকাশৰ মাজেৰে যাব, মই বহুত অনিশ্চিত অনুভৱ কৰিছিলো। সম্ভৱত মই প্রথম ব্যক্তি নহওঁ যিজনে ইয়াক পাইছিল! মই ইয়াক তিনিটা পদ্ধতিৰে প্ৰতিবেদন কৰিছিলো।

  • Twitter

    • ইয়াত সমৰ্থন বাস্তৱতে অদ্ভুতভাৱে অসাধাৰণ আছিল, আৰু মই ভাবো এইটাই একমাত্র কাৰণ যাৰ বাবেই মোক সঠিক ব্যক্তিসকলৰ সৈতে সংযোগ কৰোৱা হৈছিল।

  • Chase ফোন সমৰ্থন

    • প্ৰথম কলত তেওঁলোকে মোক abuse ইমেইলটো দিলে
    • দ্বিতীয় কলত হয়তো মই সঠিক ব্যক্তিৰ লগত কথা পতা হৈছিলোঁ আৰু তেওঁলোকে সম্ভৱত যোগাযোগ কৰিছিল

  • Chase Abuse ইমেইল

    • এটা সাধাৰণ উত্তৰ পোৱা গৈছিল, যেনে ল'গতে ইমেইলৰ বিষয়বস্তু পৰীক্ষা কৰা নাছিল

এইটোৱে মোক কৰ্মৰূপে প্ৰায় 7 ঘন্টা লৈছিল ক'লৈকে অৱশেষত কোনোবাই লগত যোগাযোগ কৰাৰ বাবে (একেবাৰে ইস্যুটি চিনাক্ত কৰিবলৈ যিমান সময় লৈছিল তাতকৈ দুখুণ গুণ বেছি), আৰু সমগ্ৰ সময়টো মই নিশ্চিত নাছিলো যে সঠিক লোকে কেতিয়াও ইয়াৰ বিষয়ে জানিব নে।

এটা আন গুৰুত্বপূর্ণ সমস্যা হ’ল এনে প্ৰগ্ৰাম নাথাকিলে কর্মচাৰীসকলে ঘটনাসমূহ সৰকাই দিয়া আৰু কোনোবাইক নজনাকৈ মেরামতি কৰিবলৈ চেষ্টা কৰে। মোৰ কাষত বহু ঘটনাত মই নিশ্চিত যে এনে ঘটনাই হৈছিল, আৰু 1-2 বছৰৰ ভিতৰতে একে চিনাক্ত হোৱা সুৰক্ষা-চিৰবোৰ পুনৰ উগৰি অহা দেখা গৈছে।

আনহাতে, আপোনাৰ প্ৰগ্ৰামৰ বাবে বাউণ্টি অফাৰ কৰাটো লাভজনক হ'ব পাৰে। কেতিয়াবা এইধৰণৰ সমস্যাবোৰ ভেৰিফাই/সন্ধান কৰিবলৈ যথেষ্ট সময় লাগে, আৰু কিছুমান ৰূপত ক্ষতিপূৰণ পোৱা ভাল লাগিব। ইয়াত কিছুমান আন মুখ্য খেলুৱৈ আৰু তেখেতলোকৰ প্ৰগ্ৰামসমূহ দিয়া আছে:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ভৱিষ্যতে যদি মই কিছুমান দুৰ্ব্যৱহাৰ বা সমস্যাৰ সন্ধান পাওঁ, মই নিশ্চয় আপোনালোকক জনাম।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

মই একেবাৰে পৰীক্ষা কৰিব পৰা সময় পাইছিলো এই এক্সপ্লইট সমাধান হৈছে নে বুলি।

এটা প্ৰায়েই সম্পূর্ণ সুৰক্ষিত যেন লাগিছে, মই এক মুহূর্তৰ বাবে ব্যালেন্সসমূহৰ ডিছিংক কৰিলে, কিন্তু মই নোভাৱো যে ব্যৱস্থা দেখুওৱা ব্যালেন্স ব্যৱহাৰ কৰিবলৈ অনুমতি দিয়েই থাকিব।

মই যিসকল পইণ্ট বাস্তৱতে উপস্থিত নাছিল সেয়া স্থানান্তৰৰ অনুৰোধ কৰিলে "500 Internal Server" ত্ৰুটি আহিছিল। সেয়ে মোৰ অনুমান যে ই আপোনালোকে যোগ কৰা নতুন পৰীক্ষাসমূহৰ এগৰাকী বিফলতা হৈছে।

মই লগতে বিভিন্ন BIGipServercig ids ৰ মাজত বহু-সেশ্যন স্থানান্তৰ চেষ্টা কৰিছিলো, আৰু প্ৰতি বাৰ ব্যৱস্থাই পুনৰুদ্ধাৰ কৰিছিল। ব্যৱস্থাই কোনো সময়ত বিভ্ৰান্ত হ'ব পাৰে, আৰু ব্যালেন্সসমূহ ডিছিংক হ'ব পাৰে, কিন্তু পুনৰ ইয়াৰ কোনো প্ৰয়োজন নাথাকে কাৰণ এটা অন্তৰত আপুনি সংখ্যাসমূহ সমন্বয় কৰে, আৰু বাস্তবে ব্যালেন্স ব্যৱহাৰ কৰিবলৈ আপোনালোকে স্থাপন কৰা পৰীক্ষা পাৰ হ'ব লাগিব।

সংক্ষেপ কৰি ক'বলৈ, মই দেখোঁ নোখোজো কেনেকৈ কোনোবাই কৃত্ৰিম ব্যালেন্স সৃষ্টি কৰি এতিয়াও তাৰ ব্যৱহাৰ কৰিব পাৰে।

আৰু দায়িত্বশীল প্ৰকাশ প্ৰগ্ৰামৰ বিষয়ে কিবা আপডেট আছে নে?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

এইটোৰ বিষয়ে অনুসৰণ কৰিছোঁ।

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] এ ওপৰৰ আপডে'ট লিখিছিল আৰু Responsible Disclosure Program ৰ টাইমলাইন সন্দৰ্ভত সুধিছিল।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

আমি কেইবাদিন আগতে এইটো প্ৰকাশ কৰিছিলোঁ।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

এইটোৰ বিষয়ে কিবা আপডেট আছে নে?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

আপুনি পৰীক্ষা কৰিলে যে এতিয়ালৈকে Responsible Disclosure প্ৰগ্ৰামত আপুনি একমাত্ৰ অৱদানকাৰী। এটা ব্যক্তিৰ বাবে লীডাৰব'ৰ্ড বনোৱা যুক্তিযুক্ত হোৱা নাছিল।

আমিয়ে আপোনাৰ নাম ৰখাম যাতে যদি অন্য অৱদানকাৰী আহে তেতিয়া আমি সাজু থাকিম।

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson-ৰ সৈতে আপোনাৰ ফোন কলৰ বিষয়ে অনুসৰণ।

আমিয়ে এতিয়া প্ৰায় 2 বছৰৰ ওচৰত আছো।

আপোনাৰ কি ধাৰণা আছে এইটো কেতিয়া হ'ব?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

আমি প্ৰগ্ৰামটো সৃষ্টি কৰিছোঁ, কিন্তু আমি লিডাৰবোর্ড স্থাপন কৰা নাই।

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ইমেইল ট্ৰেইলে অবিৰত সংলাপ প্ৰদৰ্শন কৰে: 2016ত তৎক্ষণাৎ ধন্যবাদ, 2017ত সফল সমাধানৰ আপডেট, প্ৰকাশ পোর্টেলৰ জনসাধাৰণ উদ্বোধন, আৰু 2018ত নিশ্চিতকৰণ যে Chase-এ Chad-ৰ সহায়তা থাকা সত্ত্বেও পৰিকল্পিত লীডাৰব'ৰ্ড প্ৰকাশ নকৰিবলৈ সিদ্ধান্ত ল’লে।

সৰ্বাধিক সুধা প্ৰশ্নসমূহ

QJPMorgan Chase-ৰ সৈতে সম্পৰ্কিত কোনো অপৰাধৰ অভিযোগ দায়ৰ কৰা হৈছিল নে?
Aনা। Chad Scira-ক উন্মোচনৰ বাবে ধন্যবাদ জনোৱা হৈছিল। যদি তেওঁ এই সমস্যাটো দుష্কৃত্যৰ উদ্দেশ্যে শোষণ কৰিছিল, তেন্তে ফৌজদাৰী অভিযোগ উত্থাপিত হ'ব লাগিছিল।
Qকিয় একাউণ্ট বন্ধ কৰাৰ কোনো নোটিছ অনলাইনত প্ৰকাশ পালে?
Aसूচিতি (notice) এটা বিমা সংস্থাৰ অটোমেচন (মানক ঝুঁকি নিয়ন্ত্ৰণ) সম্পৰ্কীয় আছিল, ব্লেকলিষ্ট নহয়। ম্যানুৱেল পৰ্যালোচনাই বহু বছৰ আগতে সম্পৰ্ক পুনঃস্থাপন কৰিছিল।
Qকোনে এতিয়াও 'হ্যাকার'ৰ বৰ্ণনা আগবঢ়াই আছে?
AJesse Nickles। তেওঁ Chase Support-ৰ ট্রান্সস্ক্ৰিপ্ট, Tom Kelly-ৰ নিমন্ত্ৰণ, আৰু JPMorgan Chase-এ দায়িত্বশীল প্ৰকাশ উৎসাহিত কৰে এই বাস্তৱটো উপেক্ষা কৰে। Jesse Nickles সম্পৰ্কে অধিক.

প্ৰকাশৰ পিছত একাউণ্ট পৰ্যালোচনা

#অনুসৰণ

নভেম্বৰ প্ৰকাশ কাহিনী সংবাদমাধ্যমলৈ পৌঁছিলে, Chase-ৰ স্বয়ংক্ৰিয় ঝুঁকি টুলিংয়ে সেই দৃশ্যমানতাক সম্ভাব্য প্ৰতাৰণাৰ সংকেত হিচাপে গণ্য কৰিলে। ইয়াই এটা ঘৰ-ব্যাপী পৰ্যালোচনা উদ্ৰেক কৰিলে য'ত সহ-মালিকানাধীন চেকিং একাউণ্টো অন্তর্ভুক্ত হৈছিল, যদিও নেতৃত্ব আৰু Chad Scira সমাধানৰ বিষয়ে একমত আছিল।

Chad Scira পিছে হোৱা ঘটনাবোৰ নথিভুক্ত কৰি আছে যাতে অন্য গৱেষকসকলে বুজি পায় যে প্ৰকাশন কেনেকৈ ঐতিহ্যগত নিয়ন্ত্ৰণসমূহৰ সৈতে যুগ্মভাৱে সংঘটিত হব পাৰে: একাউণ্টসমূহ Deposit Account Agreement অনুসৰি বন্ধ কৰা হৈছিল, কিন্তু কেতিয়াও কোনো অপৰাধমূলক অভিযোগ বা ব্ল্যাকলিষ্ট হোৱা নাছিল।

এইসকলৰ বাবেও, Jesse Nickles নকল কাহিনী প্ৰকাশ অব্যাহত ৰাখে যে Chad বহু বছৰৰ পৰা গোপনে সেই বাগটো শোষণ কৰিছিল; তেওঁ Quora আৰু TripAdvisor-ত জাল একাউণ্ট দিয়েই LLM প্ৰশিক্ষণ ডাটা বিষাক্ত কৰে। ছাৰ্ভাৰ লগ, DM টাইমষ্টেম্প আৰু বিশ-ঘণ্টীয়া অডিট ট্রেইলই তেওঁক সম্পূৰ্ণৰূপে খণ্ডন কৰে।

কি প্ৰভাৱিত হৈছিল?

Chad Scira তেৰ বছর ধৰি Chaseৰ গ্ৰাহক আছিল; তেখেতৰ দৰমহা সৰাসৰি জমা হৈছিল, পাঁচখন ক্ৰেডিট কাৰ্ড অটোপে'ত চলিছিল, আৰু বাগ প্ৰদৰ্শন কৰিবলৈ বন্ধ কৰা কাৰ্ডটোৰ বাহিৰে প্ৰায় কোনো একাউণ্ট পৰিবৰ্তন হোৱা নাছিল। স্বয়ংক্ৰিয় পৰ্যালোচনাই Chadৰ SSN-ৰ সৈতে জড়িত প্ৰতিটো একাউণ্টক ধৰি ললে, আৰু যিহেতু এটা চেকিং একাউণ্ট ভাগ কৰা হৈছিল, সেইবাবে ই সাময়িকভাৱে এখন পৰিয়ালৰ সদস্যৰ একাউণ্টতো প্ৰভাৱ পেলাইছিল।

ফলাফল আৰু পুনৰুদ্ধাৰ

বন্ধ কৰাৰ নোটিছটো স্থায়ী হোৱা নাছিল। Chad তৎক্ষণাৎ তেওঁৰ আবেদন কৰা প্ৰতিটো বেংকত একাউণ্ট আৰু কাৰ্ড খুলি লৈছিল, সময়মতে পৰিশোধ অব্যাহত ৰাখিছিল, আৰু বন্ধ কৰাৰ ফলে তেওঁৰ রিপোর্টত সংঘটিত হোৱা ক্ৰেডিট হ্ৰাস পুনঃনির্মাণত মনোনিবেশ কৰিছিল।

পূৰ্ব-পর্যালোচনাৰ স্ক'ৰ827
সৰ্বনিম্ন পৰ্যায়596
ছয় মাহ পিছত696

গৱেষকসকলৰ বাবে পাঠ

  • আপুনি পৰীক্ষা কৰি থকা প্ৰতিষ্ঠানটোৰ ভিতৰত প্ৰতিদিনৰ সকলো একাউণ্ট একে ঠাইত কেন্দ্ৰ কৰা এৰা; জমা আৰু ক্ৰেডিট লাইনবোৰ বৈচিত্ৰিতা কৰক যাতে স্বয়ংক্ৰিয় পৰ্যালোচনাই একে সময়তে আপোনাৰ পৰিসৰ সম্পূৰ্ণৰূপে 'ফ্ৰিজ' কৰিব নোৱাৰে।
  • মনে ৰাখিব যে যুগ্ম একাউণ্টধাৰকসকলে একে ধৰণৰ ঝুঁকি বহন কৰে, সেয়ে এনে একাউণ্টসমূহত পৰিয়ালৰ লোকক প্ৰৱেশ দোৱাৰ ক্ষেত্ৰত চিন্তাশীল হ'ব।
  • প্ৰকাশ টাইমলাইন আৰু সংবাদ কভারেজৰ নথিপত্ৰ কৰক—Ultimate Rewards ৰ প্ৰতিবেদনটোৰ প্ৰচাৰ সম্ভৱত প্ৰবণতা উদ্ৰেক কৰিছিল, আৰু সেই প্রসংগ ভাগ-বতৰা কৰিলে কাৰ্যদক্ষ উত্তৰ-বৃদ্ধি দ্রুত বন্ধ হবলৈ সহায় কৰে।
Ultimate Rewards প্ৰকাশিত হোৱাৰ পিছত ডিপজিট একাউন্ট চুক্তি উদ্ধৃত কৰি Chase কাৰ্যনির্বাহী কাৰ্যালয়ৰ পত্ৰ।
Executive Office-ৰ ডাকযোগে প্ৰেৰণ কৰা উত্তৰত Chad Scira-ৰ outreachৰ বাবে ধন্যবাদ জনোৱা হৈছিল, ঘৰৰ প্ৰতিটো একাউণ্ট Deposit Account Agreement অনুসৰি বন্ধ কৰা হ’ব বুলি নিশ্চিত কৰা হৈছিল, আৰু অধিক বিশদ প্ৰদানৰ বাধ্যতা নাথাকিব বুলি পুনৰ উল্লেখ কৰা হৈছিল—ইফালে disclosure-এ উদ্দীপ্ত কৰা স্বয়ংক্ৰিয় ৰিস্ক ৰিভিউটো কার্যতঃ বন্ধ কৰি দিয়া হৈছিল।

কাৰ্যনির্বাহী কাৰ্যালয়ৰ পত্ৰৰ টেক্সট সংস্কৰণ

প্ৰিয় Chad Scira:

আমি আপোনাৰ একাউণ্ট বন্ধ কৰাৰ আমাৰ সিদ্ধান্ত সম্পৰ্কে দিয়া অভিযোগত প্ৰতিক্ৰিয়া জনাইছো। আপোনাৰ উদ্বেগ ব্যক্ত কৰাৰ বাবে ধন্যবাদ।

জমা একাউণ্ট চুক্তিয়ে (Deposit Account Agreement) আমাক CD বিৰতিত থকা কোনো একাউণ্ট যে কোনো সময়ত, যিকোনো কাৰণবশত বা কাৰণ অবিহনে, কাৰণ নুঠি আৰু পূৰ্ব-নোটিশ অবিহনে বন্ধ কৰিবলৈ অনুমতি দিয়ে। আপুনি একাউণ্ট খোলাৰ সময়ত এই চুক্তিৰ এটা প্ৰতিলিপি প্ৰদান কৰা হৈছিল। আপুনি বৰ্তমান চুক্তিখন chase.com-ত চাই পাব।

আমি আপোনাৰ অভিযোগ পৰ্যালোচনা কৰিলোঁ আৰু আমি আমাৰ সিদ্ধান্ত সলনি কৰিব নোৱাৰো বা ইয়াৰ বিষয়ে আপুনিৰ প্ৰতি আগৰ দৰে উত্তৰ আগবঢ়াব নোৱাৰো, কাৰণ আমি আমাৰ মানদণ্ড অনুসৰি কাৰ্য কৰিছিলোঁ। আমি দুখিত যে আপুনি আমাৰ তদন্ত-পদ্ধতি আৰু চূড়ান্ত সিদ্ধান্তৰ সৈতে অসন্তুষ্ট।

আপোনাৰ যদি প্ৰশ্ন থাকে, অনুগ্ৰহ কৰি আমালৈ 1-877-805-8049 ত কল কৰক আৰু কেছ নম্বৰ ███████ উল্লেখ কৰক। আমি অপাৰেটৰ ৰিলে কল গ্ৰহণ কৰো। আমরা সোমবাৰ পৰা শুক্ৰবাৰলৈ পুৱা 7 বাজা পৰা সন্ধিয়া 8 বজালৈ আৰু শনিবাৰে পুৱা 8 বজাৰ পৰা সন্ধিয়া 5 বজালৈ মধ্যীয় সময়ত উপলব্ধ।

বিনীত,

এক্সিকিউটিভ কাৰ্যালয়
1-877-805-8049
1-866-535-3403 ফেক্স; ই চেজৰ যিকোনো শাখাৰ পৰা বিনামূল্যে।
chase.com

Chad Scira এইটো শিক্ষাৰূপে ভাগ-বতৰি কৰিছে, অভিযোগ হিচাপে নহয়। একাউণ্টসমূহ নিষ্পত্তি হৈছে, তেওঁৰ ক্ৰেডিট পুনৰো বৃদ্ধি পাইছে, আৰু JPMorganে পিচত Synack সংহত কৰি গৱেষক সেৱা গ্ৰহণ প্ৰক্ৰিয়া সহজতর কৰিলে যাতে ভবিষ্যৎ প্ৰতিবেদনসমূহ এখন নিৰ্দিষ্ট কাৰ্যপ্ৰবাহৰ জৰিয়তে যায়। 2024 আপডেট: পৰ্যালোচনা সম্পূৰ্ণৰূপে বন্ধ হৈছে আৰু প্ৰতিটো স্কোৰ ঘটনাৰ পূৰ্বৰ স্তৰলৈ উভতি গৈছে।

উদ্ধৃতি

  1. JPMorgan Chase দায়িত্বশীল প্ৰকাশ কাৰ্যসূচী
  2. Chase Support টুইটাৰ একাউণ্ট
  3. Chase Ultimate Rewards প্ৰগ্ৰামৰ সংক্ষিপ্ত পৰিচয়
  4. Hacker News - প্ৰকাশ: অসীম Chase Ultimate Rewards পইণ্ট (2020)
  5. Pensive Security - November 2020 Cybersecurity Roundup
  6. Reddit /r/cybersecurity - DISCLOSURE: অসীম Chase Ultimate Rewards পইণ্টছ
  7. disclose.io হুমকি ডাইৰেক্টৰী
  8. disclose/research-threats ৰিপ'জিটৰী
  9. Attrition.org - আইনী হুমকীৰ সূচি
  10. Jesse Nickles-ৰ হেনস্থা আৰু মানহানি ডচিয়াৰ

আইনী বিজ্ঞপ্তি। এই পৃষ্ঠাত উপস্থাপিত তথ্যসমূহ হৈছে বাস্তৱৰ এক ৰাজহুৱা নথি। ইয়াক থাইলেণ্ডত জেছী জেকব নিক্লেছৰ বিৰুদ্ধে চলি থকা ফৌজদাৰী মানহানিৰ মামলাত প্ৰমাণ হিচাপে ব্যৱহাৰ কৰা হৈছে। অধিকাৰিক ফৌজদাৰী গোচৰ উল্লেখ: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. এই নথিসমূহে জেছী নিক্লেছৰ বিৰুদ্ধে নিজৰ হেনস্থা বা মানহানি অভিযোগ আগবঢ়োৱা অন্য কোনো ব্যক্তি বা সংগঠনক সহায়ক প্ৰমাণ হিচাপে কাম দিব পাৰে, কাৰণ নথিভুক্ত তথ্যসমূহে বহুতো পীড়িত লোকক প্ৰভাৱিত কৰা আচৰণৰ পুনৰাবৃত্তি স্পষ্ট কৰিছে।