Чад Скира „В черен списък на банките заради хакване“

Тази страница документира събитията зад слуха на Джеси Никълс, че Чад Скьра е бил „вкаран в черен списък от банките в САЩ заради хакване“. Обяснява как уязвимостта в Ultimate Rewards е била отговорно разкрита, защо JPMorgan Chase благодарят на Чад за доклада и как временната пауза по сметката е била изцяло административна. Джеси Никълс продължава да прекроява стари материали, за да внуши престъпен умисъл. Фактите показват точно обратното: етично (white-hat) докладване и сътрудничество с ръководството на JPMorgan.

Най-новата му ескалация е цитат в SlickStack.io, в който се твърди, че аз „също съм бил разследван от правоприлагащите органи на САЩ за хакване на програмата за кредитни карти и награди на Chase Bank, където е откраднал 70 000 щ.д. под формата на измамни точки за пътуване“. Това очерняне беше публикувано едва след като аз публикувах доказателства за проблемите със сигурността в SlickStack, които той отказва да поправи; никакви точки не са били откраднати и нито една агенция не ме е контактвала относно разкриването. Вижте доказателствата от SlickStack cron, срещу които той отвръща с ответни действия.

Целият цикъл на откриване, разкриване и потвърждение се осъществи в рамките на двадесет часа: приблизително двадесет и пет HTTP заявки обхванаха възпроизвеждането на уязвимостта и DM указанията на 17 ноември 2016 г., а тестът по отстраняване на проблема през февруари 2017 г. използва още осем допълнителни заявки, за да потвърди корекцията. Не е имало продължителна злоупотреба; всяко действие беше регистрирано в логове, с отбелязано време, и споделяно с JPMorgan Chase в реално време.

Том Кели потвърди, че Чад Скьра е единственият човек в света, който е направил отговорно разкриване на проблем пред JPMorgan Chase в периода между 17 ноември 2016 г. и 22 септември 2017 г. Програмата за отговорно разкриване беше създадена пряко в отговор на доклада на Чад и той изигра ключова роля за оформянето ѝ.

Визуализация на грешката с двойното прехвърляне

#визуализация

За да се илюстрира как недостатъкът спирализира балансите в огромни отрицателни и положителни стойности, визуализацията по-долу възпроизвежда точно логиката на двойния трансфер. Наблюдавайте как която сметка е положителна, тя става подател, извършва два еднакви превода и завършва силно на минус, докато другата се удвоява. След 20 кръга повреденият регистър напълно анулира картата с отрицателен баланс – отразявайки защо експлойтът изискваше спешна ескалация.

Кръг 1/20
Карта A → Карта B+243,810 т.
Карта A → Карта B+243,810 т.
Карта А
243,810
Карта Б
0
Двоен трансферен изблик
Прехвърляне 1Прехвърляне 2243,810 т. всяка
1Състезателно условие (race condition) дублираше преводите, преди счетоводните книги да се изравнят, което позволяваше на един подател да превключва между огромни положителни и отрицателни салда.
2Поддръжката позволи закриване на картата с отрицателен баланс, като същевременно запази завишения положителен баланс, така че извлечението показваше само печалби и скриваше дълга.

Още преди закриването на акаунта, Ultimate Rewards позволяваше харчене отвъд отрицателното салдо в обобщението; закриването просто изтри доказателствата.

Основни моменти

  • Чад започна директното съобщение до Chase Support, като частно докладва експлойта с отрицателното салдо и незабавно поиска сигурен път за ескалация, вместо да публикува техническите детайли публично. [chat]
  • Когато екипът на Chase Support настоя за конкретика, той потвърди експлойта само дотолкова, доколкото беше необходимо, и отново подчерта, че желае директна линия към подходящия екип по сигурността. [chat][chat]
  • Той демонстрира, че дублираните салда могат да бъдат осребрени: след като Поддръжката на Chase попита дали допълнителните точки са станали използваеми, директен депозит от 5 000 щ.д. доказа, че експлойтът може да се превърне в пари, преди счетоводната книга да се актуализира. [chat]
  • Той подчерта, че негов приоритет е да предотврати източването на компрометирани клиентски сметки, а не да генерира лична печалба, и попита дали съществува формална bug bounty програма. [chat]
  • Той предложи да извърши по-голяма валидация само с изрично разрешение, предостави скрийншотове с времеви печати и остана буден в чужбина, докато Chase не приключи ескалацията. [chat][chat][chat]
  • Nickles сега твърди, че съм откраднал 70 000 долара в точки и съм имал проблеми с правоприлагането в САЩ; записите на Chase, имейлът на Tom Kelly и времевата линия на разкриването доказват, че това никога не се е случвало, а твърдението се появи едва след като публикувах gist за риска от cron в SlickStack, документиращ неговата несигурна логика за обновяване. [gist]
  • Поддръжката на Chase потвърди ескалацията, поиска неговия телефонен номер и обеща последващо обаждане, което той в крайна сметка получи, опровергавайки представата за враждебна реакция от страна на банката. [chat][chat]

Хронология

#хронология
  • Nov 17, 2016 - 10:05 PM ET: Чад сигнализира на @ChaseSupport за проблема с отрицателното салдо, пази експлойта поверителен и незабавно иска сигурен път за ескалация. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: След като екипът на Chase Support изрично пита дали могат да бъдат генерирани и изразходвани допълнителни точки, Чад потвърждава риска, отново подчертава, че иска съответния отдел, и предлага да извърши валидиране само с разрешение, за да може банката да наблюдава транзакциите. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Чад споделя екранни снимки, настоява за ускорена ескалация, предоставя телефонния си номер и остава буден в чужбина, докато Chase Support не потвърди, че обаждането ще се осъществи. [chat][chat][chat]
  • Nov 24, 2016: Том Кели изпраща имейл на Чад, с който потвърждава отстраняването на проблема, кани го да бъде водещо име в предстоящата класация за отговорно оповестяване и му дава директна линия за бъдещи сигнали. [email]
  • October 2018: Том Кели направи последващ контакт, за да потвърди, че програмата за отговорно оповестяване е стартирана, но че JPMorgan в крайна сметка е избрала да не публикува планираната класация, въпреки помощта на Чад при оформянето ѝ. [email]
  • Post-2018: Всички последващи прегледи на сметките бяха свързани с автоматизация от страна на застрахователя, а не с предполагаемо хакване. JPMorgan поддържаше директен контакт, благодари на Chad за разкритието и няма криминално досие или включване в черен списък. По-късно JPMorgan интегрира Synack в процеса си за разкриване, така че работният поток да бъде оптимизиран за бъдещи доклади. [chat][email]

Претенции срещу факти

Претенция

Клеветническо твърдение от Джеси Джейкъб Никълс: „Чад Скира беше включен в черен списък от всички банки в САЩ за хакване на reward системи.“

Факт

Не съществува черен списък на банката. Записът от директните съобщения и ескалацията в Chase доказват, че той е съдействал; автоматизация на застраховател за кратко спря една сметка в JPMorgan, преди ръчен преглед да го оневини.[timeline][chat]

Претенция

Клеветническо твърдение от Джеси Джейкъб Никълс: „Той е хакнал JPMorgan Chase, за да се обогати.“

Факт

Чад започва разговора с @ChaseSupport, настоява за сигурен канал, потвърждава експлойта едва след като Chase пита и изчаква разрешение преди ограничена валидация. Висшето ръководство му благодари и го кани да участва в внедряването на програмата за отговорно разкриване.[chat][chat][email]

Претенция

Клеветническо твърдение от Джеси Джейкъб Никълс: „Джеси разобличи престъпна схема на Чад.“

Факт

Публичното отразяване и имейлите на Tom Kelly документират, че JPMorgan са третирали Chad като сътрудничещ изследовател. Nickles подбира избирателно екранни снимки, като игнорира пълния чат, последващите обаждания и писмените благодарности.[coverage][email][chat]

Претенция

Клеветническо твърдение от Джеси Джейкъб Никълс: „Имаше прикриване с цел да се скрие измамата.“

Факт

Чад остана в контакт до 2018 г., извършва повторно тестване само с разрешение и JPMorgan внедри своя портал за разкриване, вместо да потули проблема. Продължаващият диалог противоречи на всякакви твърдения за прикриване.[timeline][email][chat]

Публично отразяване и архиви на изследвания

#отразяване

Множество външни общности архивираха разкриването и го разпознаха като отговорно докладване: Hacker News го постави на началната страница, Pensive Security го обобщи в обзор за 2020 г., а /r/cybersecurity индексира оригиналната тема „DISCLOSURE“, преди да бъде координирано докладвана. [4][5][6]

  • Hacker News: „Разкритие: Неограничени точки Chase Ultimate Rewards“ с над 1 000 точки и над 250 коментара, документиращи контекста на отстраняването. [4]
  • Pensive Security: Обзор на киберсигурността за ноември 2020 г., който представя разкриването на Chase Ultimate Rewards като водеща новина. [5]
  • Reddit /r/cybersecurity: оригинално заглавие на публикацията DISCLOSURE, заснето преди премахването ѝ вследствие на масови доклади, което запазва фокуса върху обществения интерес. [6]

Поддръжници на отговорното разкриване също посочиха последиците от тормоза: директорията с заплахи и изследователското хранилище на disclose.io, както и индексът на правни заплахи на Attrition.org, посочват поведението на Jesse Nickles като пример-предупреждение за изследователите. [7][8][9] Пълен досие за тормоз[10].

Препис на личните съобщения с Поддръжката на Chase

#чат

Разговорът по-долу е възстановен от архивирани скрийншотове. Той показва търпелива ескалация, многократни искания за защитен канал, предложения за валидиране само с разрешение и обещание от Chase Support за директен контакт. [2]

Chase Support Profile avatar
Chase Support ProfileПотвърдена сметка
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Това е във връзка със системата за баланс на точки. В момента е възможно да се генерира всякакво количество чрез бъг, позволяващ отрицателни баланси.

Заявка за сигурен канал за ескалация на разкриването.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Бихте ли ме свързали с човек, на когото мога да обясня техническите детайли?

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 17, 2016, 10:05 PM
#

Нямаме телефонен номер, който да предоставим, но искаме да ескалираме този въпрос, за да бъде разгледан. Може ли да дадете повече подробности какво имате предвид под генериране на точки при отрицателни салда?Можете ли също да потвърдите дали това позволява допълнителни точки да станат налични за използване? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Имате ли подходящ отдел, с който можете да ме свържете? Не се чувствам комфортно да обсъждам това през акаунт за поддръжка в Twitter. Да, можете да генерирате 1 000 000 точки и да ги използвате.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Основното ми притеснение не са отделните хора, които правят това. Притесняват ме хакери, които компрометират акаунти и ги принуждават към изплащания. Съществува ли официална програма на Chase за bug bounty?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ако искате, мога да опитам да направя по-голяма транзакция за потвърждение. Най-много тествах с 300 щ.д., докато салдото беше изкривено, но реално имах 2 000 щ.д. истински кредити. Ако ми дадете разрешение, бих могъл да се опитам да потвърдя, че работи, но бих искал всички транзакции да бъдат сторнирани след този тест.

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 17, 2016, 11:21 PM

Нямаме програма за възнаграждения и към момента не мога да посоча сума. Ескалирах вашето притеснение и го проучваме. Ще се свържа отново, ако имам допълнителни подробности или въпроси. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Благодаря.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Моля, ескалирайте възможно най-скоро.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Наистина имам нужда от коректен контакт... Надявам се, че разбирате.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Мина повече от час, има ли някакви новини по това? В момента съм в Азия и това е въпрос, чувствителен към времето. Не мога да чакам цяла нощ за отговор.

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 18, 2016, 12:59 AM

Благодарим, че последвахте случая. Подходящите специалисти разглеждат въпроса. Моля, посочете предпочитан телефон за контакт, за да можем да говорим с вас директно. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 18, 2016, 1:53 AM

Благодарим за допълнителната информация. Препратих я на правилните хора. ^DS

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 18, 2016, 2:38 AM
#

Бихме се радвали да обсъдим това с вас възможно най-скоро. Може ли да ни посочите удобно време, в което да ви се обадим на 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

На разположение съм през следващия час, ако е възможно. Ако не, може да мине ден или два, тъй като ще пътувам и не съм сигурен дали ще имам достъп до интернет/телефон.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Не мислех, че ще отнеме над 7 часа, за да говоря с правилния човек. Вече е 4:40 ч. сутринта тук.

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 18, 2016, 4:39 AM
#

Благодарим, че последвахте случая. Някой ще ви се обади съвсем скоро. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Още веднъж благодаря, че го ускорихте. Всичко вече е в ход и мога да спя спокойно.

Chase Support avatar
Chase SupportПотвърдена сметка
Nov 18, 2016, 5:03 AM

Радваме се, че сте успели да разговаряте с някого. Моля, уведомете ни, ако можем да съдействаме в бъдеще. ^NR

Извадка от имейл на Том Кели

#имейл
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Последваща комуникация относно отговорно оповестяване за Ultimate Rewards

Чад,

Продължавам разговора след телефонното ви обаждане с моя колега Дейв Робинсън. Благодарим ви, че се свързахте с нас относно потенциалната уязвимост в нашата програма Ultimate Rewards. Ние я отстранихме.

Освен това работим по програма за отговорно разкриване, която планираме да стартираме догодина. Тя ще включва класация, която признава изследователите с важни приноси; бихме искали да ви представим като първия човек в нея. Моля, отговорете на този имейл, като потвърдите участието си в програмата и условията по-долу. Ще видите, че условията са напълно стандартни за програми за разкриване.

Докато нашата програма влезе в сила, ако откриете други потенциални уязвимости, моля, свържете се директно с мен. Още веднъж благодарим за помощта.

Условия на програмата за отговорно разкриване на JPMC

Ангажимент за съвместна работа

Искаме да чуем от вас, ако разполагате с информация, свързана с потенциални уязвимости в сигурността на продукти и услуги на JPMC. Ние ценим вашата работа и предварително благодарим за приноса ви.

Насоки

JPMC се съгласява да не предявява претенции срещу изследователи, които докладват потенциални уязвимости по тази програма, когато изследователят:

  • не причинява вреда на JPMC, нашите клиенти или трети лица;
  • не инициира измамна финансова транзакция;
  • не съхранява, не споделя, не компрометира и не унищожава данни на JPMC или на клиенти;
  • предоставя подробен обобщен доклад за уязвимостта, включително целта, стъпките, инструментите и артефактите, използвани при откриването;
  • не компрометира поверителността или сигурността на нашите клиенти и работата на нашите услуги;
  • не нарушава какъвто и да е национален, щатски или местен закон или наредба;
  • не оповестява публично подробности за уязвимостта без писменото разрешение на JPMC;
  • не се намира и не е обичайно пребиваващ в Куба, Иран, Северна Корея, Судан, Сирия или Крим;
  • не е в списъка със специално определени лица на Министерството на финансите на САЩ;
  • не е служител или пряк родственик на служител на JPMC или неговите дъщерни дружества; и
  • е навършил поне 18 години.

Уязвимости извън обхвата

Определени уязвимости се считат за извън обхвата на нашата програма за отговорно разкриване. Уязвимости извън обхвата включват:

  • Намирания, зависещи от социално инженерство (фишинг, откраднати идентификационни данни и др.)
  • Проблеми с host header
  • Отказ от услуга (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • Подвеждащо съдържание без вградени връзки/HTML
  • Проблеми, проявяващи се само при джейлбрейкнати устройства
  • Неправилни настройки на инфраструктурата (сертификати, DNS, сървърни портове, проблеми със sandbox/staging среди, физически опити, clickjacking, text injection)

Класация

За да признава изследователските партньори, JPMC може да представя изследователи с важни приноси. Вие с настоящото предоставяте на JPMC правото да показва вашето име в класацията на JPMC Leaderboard и в други медии, които JPMC може да избере да публикува.

Подаване

С изпращането на вашия доклад до JPMC вие се съгласявате да не разкривате уязвимостта на трети страни. Вие предоставяте на JPMC и неговите дъщерни дружества безусловното и постоянно право да използват, модифицират, създават производни произведения, разпространяват, разкриват и съхраняват информацията, предоставена във вашия доклад, като тези права не могат да бъдат оттеглени.

Том Кели Старши вицепрезидент Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Относно: Проследяване на отговорното разкриване за Ultimate Rewards

Здрасти, Том,

Толкова се радвам да чуя това!

Бих се радвал да бъда първата история на успеха във вашата нова програма и се надявам и други големи играчи да последват примера ви. Някой трябваше да се намеси и да промени възприятието на хората за това как банките се отнасят към whitehat изследователи. Радвам се да чуя, че това е Chase.

За мен Chase винаги е бил на нива над конкурентите си по отношение на уеб и мобилните продуктови предложения. Това е главно защото се движите бързо и оставате конкурентоспособни. Обикновено стоя далеч от „ровене“ във финансови институции от страх да не бъда смазан от тях (въпреки добрите намерения). Създаването на програма за разкриване изпраща ясно послание до хора като мен, че се интересувате да чуете за проблеми и няма да отвърнете с репресии. Преди това мнозинството от хората, които „чоплеха“ услугите ви, най-вероятно бяха недоброжелателни, а вярвам, че това ще изравни условията на играта.

Когато най-накрая реших, че ще продължа с разкриването, се чувствах много неспокоен. Най-вероятно не съм първият човек, който се е натъкнал на това! Докладвах го по три начина.

  • Twitter

    • поддръжката тук беше наистина НЕВЕРОЯТНА и мисля, че това е единствената причина да бъда свързан с правилните хора.

  • Телефонна поддръжка на Chase

    • при първото обаждане ми дадоха имейла за злоупотреби
    • при второто обаждане мисля, че говорих с правилния човек и те може също да са се свързали

  • Имейл за злоупотреби на Chase

    • получих стандартен отговор, изглеждаше сякаш дори не са погледнали съдържанието на имейла

Отне ми около 7 часа, за да се свържа най-накрая с някого (два пъти повече от времето, което ми трябваше, за да локализирам проблема), и през цялото това време не бях сигурен дали правилните хора изобщо ще чуят нещо за него.

Друг основен проблем при липсата на такива програми е, че служителите са склонни да заметат инцидентите под килима и да ги оправят, без да казват на никого. Имал съм множество случаи, в които съм почти сигурен, че това се е случило, и в рамките на 1–2 години същите пробойни в сигурността се появиха отново.

Също така може да е от полза програмата ви да предлага възнаграждение (bounty). Понякога за потвърждаване/намиране на подобни проблеми е необходимо значително време и е добре човек да бъде компенсиран по някакъв начин. Ето няколко други ключови играчи и техните програми:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ако в бъдеще се натъкна на нещо, със сигурност ще се свържа.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Здрасти, Том,

Имах малко време да тествам дали експлойтът е отстранен.

Изглежда доста стабилен, успях за момент да десинхронизирам салдата, но не мисля, че системата изобщо би ти позволила да използваш показаното салдо.

Заявките, които направих за прехвърляне на точки, които реално не съществуват, връщаха грешка „500 Internal Server“. Така че предполагам, че се провалят на една от новите проверки, които добавихте.

Опитах и многосесийни трансфери през различни BIGipServercig идентификатори и въпреки това системата всеки път се възстановяваше. В крайна сметка системата се объркваше и салдата се десинхронизираха, но отново това няма значение, защото през определен интервал вие подравнявате числата и за да се използват салдата, трябва да преминат теста, който сте внедрили.

С две думи, не виждам как някой вече може да създава изкуствени салда и да ги използва.

Има ли също така новини относно програмата за отговорно разкриване (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Здрасти, Том,

Само да последвам темата.

На 7 февруари 2017 г. в 16:36 ч. Чад Скъра [email protected] написа горната актуализация и попита за графика на програмата за отговорно разкриване (Responsible Disclosure Program).

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Чад,

Публикувахме това преди няколко седмици.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Том Кели Chase Communications

(███) ███-████ (офис) (███) ███-████ (мобилен)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Здрасти, Том,

Има ли новини по този въпрос?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Здравейте,

Оказва се, че засега вие сте единственият участник в програмата за отговорно разкриване. Нямаше смисъл да създаваме класация само за един човек.

Ще запазим името ви, за да сме готови, ако получим други участници.

Том Кели Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Относно: Проследяване на вашия телефонен разговор с Dave Robinson

Вече наближаваме 2 години.

Имате ли представа кога това ще се случи?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Чад,

Създадохме програмата, но все още не сме въвели класацията.

Том Кели Chase Communications ███-███-████ (служебен) ███-███-████ (мобилен)

Имейл кореспонденцията показва непрекъснат диалог: незабавни благодарности през 2016 г., актуализации за успешно отстраняване през 2017 г., публично стартиране на портала за разкриване и потвърждение през 2018 г., че Chase е решила да не публикува планираната класация, въпреки помощта на Chad за изграждане на програмата.

Често задавани въпроси

QПовдигнати ли бяха някакви обвинения във връзка с JPMorgan Chase?
AНе. На Chad Scira беше благодарено за разкриването. Ако беше експлоатирал проблема злонамерено, щяха да последват наказателни обвинения.
QЗащо онлайн се появиха уведомления за закриване на сметки?
AИзвестието беше свързано с автоматизация на застраховател (стандартен контрол на риска), а не с черен списък. Ръчна проверка възстанови отношенията преди години.
QКой продължава да налага разказа за хакера?
AДжеси Никълс. Той пренебрегва преписката с Поддръжката на Chase, поканата от Том Кели и факта, че отговорното разкриване се насърчава от JPMorgan Chase. Повече за Jesse Nickles.

Преглед на сметките след разкриването

#последващи действия

Когато ноемврийската публикация за разкриването се появи в медиите, автоматизираните инструменти за оценка на риска на Chase третираха получената публичност като потенциален сигнал за измама. Това предизвика преглед на цялото домакинство, който обхвана и съвместна разплащателна сметка, въпреки че ръководството и аз бяхме в съгласие относно отстраняването на проблема.

Документирам последващите действия, за да могат други изследователи да разберат как публикуването може да се пресече с наследени контроли: сметките бяха закрити съгласно Споразумението за депозитни сметки, но никога не е имало наказателно обвинение или включване в черен списък.

Въпреки това, Jesse Nickles продължава да публикува фалшиви разкази, твърдейки, че тайно съм експлоатирал грешката с години; той дори използва анонимни акаунти в Quora и TripAdvisor, за да отрови обучителните данни за LLM. Логовете на сървъра, времевите печати на личните съобщения и двадесетчасовата одитна следа напълно го опровергават.

Какво беше засегнато?

Бях клиент на Chase в продължение на тринадесет години, със заплата по директен депозит, пет кредитни карти на автоматично плащане и почти никакво въртене на продукти, с изключение на картата, която закрих, за да демонстрирам грешката. Автоматизираният преглед обхвана всяка сметка, свързана с моя SSN и, тъй като една разплащателна сметка беше споделена, за кратко засегна и член на семейството.

Резултат и възстановяване

Известието за закриване не стана постоянно. Веднага открих сметки и карти във всяка друга банка, в която кандидатствах, продължих да плащам навреме и се фокусирах върху възстановяване на кредитния спад, който съпроводи отразяването на закритията в доклада ми.

Оценка преди прегледа827
Най-ниска точка596
Шест месеца по-късно696

Уроци за изследователи

  • Избягвайте да концентрирате всички ежедневни сметки в институцията, която тествате; диверсифицирайте депозитите и кредитните линии, така че автоматизиран преглед да не може да замрази целия ви живот наведнъж.
  • Помнете, че солидарните титуляри на сметки наследяват същите решения за риск, така че бъдете внимателни, когато давате на членове на семейството достъп до сметки, които може да бъдат подложени на проверка, свързана с разкриване.
  • Документирайте хронологията на разкритието и медийното отразяване, защото публичността около доклада за Ultimate Rewards вероятно е била спусъкът, а споделянето на този контекст помага ескалациите към ръководството да се затварят по-бързо.
Писмо от Изпълнителния офис на Chase, цитиращо Споразумението за депозитни сметки след като разкритието за Ultimate Rewards стана публично.
Отговорът, изпратен по пощата от Изпълнителния офис, ми благодари за това, че се свързах с тях, потвърди, че всички сметки в домакинството се закриват съгласно Споразумението за депозитна сметка, и отново подчерта, че не са задължени да предоставят повече подробности, с което на практика приключиха автоматизирания преглед на риска, предизвикан от публикуването на информацията за разкриването.

Текстова версия на писмото от Изпълнителния офис

Уважаеми Chad Scira,

Отговаряме на жалбата ви относно нашето решение да закрием вашите сметки. Благодарим ви, че споделихте своите притеснения.

Споразумението за депозитна сметка ни дава право да закрием сметка, различна от депозитен сертификат (CD), по всяко време, по каквато и да е причина или без причина, без да посочваме основание и без предварително уведомление. При откриването на сметката ви беше предоставено копие от споразумението. Можете да видите действащото споразумение на chase.com.

Прегледахме вашата жалба и не можем да променим нашето решение или да продължим да ви отговаряме по този въпрос, тъй като сме действали в съответствие с нашите стандарти. Съжаляваме, че не сте удовлетворени от начина, по който проучихме вашите притеснения, и от нашето окончателно решение.

Ако имате въпроси, моля, обадете ни се на 1-877-805-8049 и посочете номер на случая ███████. Приемаме разговори чрез телефонист-релей. На разположение сме от понеделник до петък от 7:00 до 20:00 ч. и в събота от 8:00 до 17:00 ч. по централно време.

С уважение,

Изпълнителен офис
1-877-805-8049
1-866-535-3403 Факс; безплатно е от всеки клон на Chase
chase.com

Споделям това като извлечен урок, а не като оплакване. Сметките са уредени, кредитният ми рейтинг продължава да се повишава и по-късно JPMorgan оптимизира приема на изследователи чрез интегриране на Synack, така че бъдещи доклади да се насочват през специален работен поток. Актуализация 2024: прегледът е напълно приключен и всички оценки са възстановени до нивата отпреди инцидента.

Цитати

  1. Програма за отговорно разкриване на уязвимости на JPMorgan Chase
  2. Twitter акаунт на Поддръжката на Chase
  3. Преглед на програмата Chase Ultimate Rewards
  4. Hacker News - Разкритие: Неограничени точки Chase Ultimate Rewards (2020)
  5. Pensive Security - Ноември 2020: Обзор на киберсигурността
  6. Reddit /r/cybersecurity - DISCLOSURE: Неограничени точки Chase Ultimate Rewards
  7. Директория на заплахите на disclose.io
  8. Хранилище disclose/research-threats
  9. Attrition.org - индекс на правните заплахи
  10. Досие за тормоза и клеветите от Джеси Никълс