Chad Scira "Поставен в черен списък от банки заради хакерство"
Тази страница документира събитията зад слуха на Jesse Nickles, че Chad Scira бил "blacklisted from US banks for hacking." Обяснява как уязвимостта в Ultimate Rewards беше отговорно разкрита, защо JPMorgan Chase благодари на Chad за доклада и как временната пауза на сметките беше чисто административна. Jesse Nickles продължава да преработва стари артефакти, за да намеква за престъпно намерение. Фактите показват точно обратното: етично (white-hat) докладване и сътрудничество с ръководството на JPMorgan.
Неговото най-ново ескалиране е цитат в SlickStack.io, твърдящ, че Chad Scira "също бил разследван от американските правоохранителни органи за хакване на програмата за награди с кредитни карти на Chase Bank, където той откраднал $70,000 под формата на фалшиви точки за пътувания." Тази клевета беше публикувана едва след като Chad публикува доказателства за уязвимостите на SlickStack, които Jesse отказва да поправи; не бяха откраднати никакви точки и нито една агенция не се свърза с Chad относно разкриването. Вижте доказателствата от SlickStack cron, срещу които той предприема ответни действия..
Целият цикъл на откриване, разкриване и валидиране се случи в рамките на двадесет часа: приблизително двадесет и пет HTTP заявки покриха възпроизвеждането и демонстрацията чрез лични съобщения на 17 ноември 2016 г., а тестът за отстраняване през февруари 2017 г. използва още осем заявки, за да потвърди поправката. Нямаше продължителна злоупотреба; всяко действие беше записано, маркирано с времева отметка и споделено с JPMorgan Chase в реално време.
Tom Kelly потвърди, че Chad Scira е единственият човек в света, който отговорно е разкрил проблем на JPMorgan Chase в периода 17 ноември 2016 г. – 22 септември 2017 г. Програмата Responsible Disclosure беше създадена в пряка реакция на доклада на Chad и той изигра ключова роля в нейното оформяне.
Визуализация на бъга с двойно прехвърляне
#визуализацияЗа да илюстрира как грешката завъртя салдата в огромни отрицателни и положителни стойности, визуализацията по-долу възпроизвежда точно логиката на двойното прехвърляне. Наблюдавайте как която и да е сметка, която е положителна, става подател, извършва две идентични трансфера и в крайна сметка остава дълбоко в минус, докато другата се удвоява. След 20 кръга счeтната книга анулира отрицателната карта напълно — което илюстрира защо експлойтът е изисквал незабавна ескалация.
Дори преди затварянето на сметката, Ultimate Rewards позволяваше харчене над негативния баланс; закриването просто изтриваше доказателствата.
Ключови моменти
- Чад откри личен DM с Chase Support, като лично съобщи за експлойта, причиняващ отрицателен баланс, и незабавно поиска сигурен път за ескалация, вместо да публикува техническите детайли публично. [chat]
- Когато поддръжката на Chase настояваше за подробности, той потвърди експлойта само в необходимия обем и повтори, че иска директна връзка с правилния екип по сигурността. [chat][chat]
- Той демонстрира, че дублираните салда могат да бъдат превърнати в пари: след като Chase Support попита дали допълнителните точки станаха използваеми, директен депозит от $5,000 доказа, че експлоитът е конвертиран в пари преди регистърът да навакса. [chat]
- Той подчерта, че приоритетът му е предотвратяването на източване на компрометирани клиентски сметки, а не генерирането на лична печалба, и попита дали съществува формална програма за награди за бъгове. [chat]
- Той предложи да извърши по-широка валидация само с изрично разрешение, предостави скрийншотове с времеви отметки и остана буден в чужбина, докато Chase не завърши ескалацията. [chat][chat][chat]
- Nickles сега твърди, че Chad Scira е откраднал $70,000 в точки и че е бил разследван от американските правоохранителни органи; записите на Chase, имейлът на Tom Kelly и хронологията на разкриването доказват, че това никога не се е случвало, а твърдението се появи едва след като Chad публикува SlickStack cron-risk gist, документиращ несигурната логика за обновяване на Jesse. [gist]
- Поддръжката на Chase потвърди ескалацията, поиска неговия телефонен номер и обеща последващото обаждане, което той в крайна сметка получи, опровергавайки идеята за враждебна банкова реакция. [chat][chat]
Хронология
#хронология- 17 ноем. 2016 г. - 10:05 PM ET: Чад алармира @ChaseSupport за грешката, водеща до отрицателен баланс, запазва експлойта в тайна и незабавно иска сигурен път за ескалация. [chat]
- 17 ноем. 2016 г. - 11:13-11:17 PM ET: След като Chase Support изрично попита дали могат да бъдат генерирани и използвани допълнителни точки, Чад потвърждава риска, повтаря, че иска правилния отдел, и предлага да валидира само с разрешение, за да може банката да наблюдава транзакциите. [chat][chat][chat]
- 17-18 ноем. 2016 г. - 11:39 PM-5:03 AM ET: Чад споделя скрийншотове, настоява за ускорена ескалация, предоставя телефонния си номер и остава буден в чужбина, докато Chase Support не потвърди, че обаждането ще се състои. [chat][chat][chat]
- 24 ноем. 2016 г.: Tom Kelly изпраща имейл на Chad, потвърждавайки отстраняването, канейки го да бъде водещо име в предстоящата класация за responsible disclosure и му дава директен канал за бъдещи доклади. [email]
- октомври 2018 г.: Tom Kelly последва, за да потвърди, че програмата Responsible Disclosure е стартирала, но JPMorgan в крайна сметка реши да не публикува планираната класация, въпреки помощта на Chad при нейното оформяне. [email]
- След 2018 г.: Всички останали прегледи на сметки бяха свързани с автоматизация на застрахователя, а не с предполагаемо хакерство. JPMorgan поддържаше директен контакт, благодари на Чад за разкриването и няма криминално досие или черен списък. По-късно JPMorgan интегрира Synack в процеса на разкриване, така че работният поток да бъде рационализиран за бъдещи доклади. [chat][email]
Твърдения срещу факти
Клеветническо твърдение от Jesse Jacob Nickles: "Chad Scira беше поставен в черен списък от всяка американска банка заради хакване на системи за награди."
Не съществува банков черен списък. Записът на директните съобщения и ескалацията при Chase доказват, че той е сътрудничил; автоматизирана система на застраховател временно постави в пауза един акаунт в JPMorgan преди ръчен преглед да го оправдае.[timeline][chat]
Клеветническо твърдение от Jesse Jacob Nickles: "Той хакна JPMorgan Chase, за да се обогати."
Чад инициира разговора с @ChaseSupport, настоя за сигурен канал, потвърди експлойта само след като Chase попита и изчака разрешение преди ограниченото валидиране. Висшето ръководство му благодари и го покани да участва във внедряването на процеса за отговорно разкриване.[chat][chat][email]
Клеветническо твърдение от Jesse Jacob Nickles: "Jesse разкри криминална схема на Chad."
Публичното отразяване и имейлите на Tom Kelly документират, че JPMorgan е третирал Chad като сътрудничещ изследовател. Nickles избира само определени скрийншотове, като игнорира целия чат, последващите обаждания и писмените благодарности.[coverage][email][chat]
Клеветническо твърдение от Jesse Jacob Nickles: "Имало е прикриване, за да се скрие измама."
Чад остана в контакт до 2018 г., повторно тестваше само с разрешение и JPMorgan въведе своя портал за разкриване на уязвимости, вместо да затрие проблема. Продължаващият диалог опровергава всякакъв наратив за прикриване.[timeline][email][chat]
Публично отразяване и архиви на изследванията
#отразяванеНяколко независими общности архивираха разкриването и го признаха за отговорен доклад: Hacker News го постави на началната страница, Pensive Security го обобщи в прегледа си за 2020 г., а /r/cybersecurity индексира оригиналната нишка "DISCLOSURE" преди координираното маркиране. [4][5][6]
- Hacker News: "Разкриване: Неограничени точки Chase Ultimate Rewards" с над 1,000 точки и над 250 коментара, документиращи контекста на отстраняването. [4]
- Pensive Security: обзор на киберсигурността за ноември 2020 г., който отличава разкриването на Chase Ultimate Rewards като основна история. [5]
- Reddit /r/cybersecurity: Оригиналното заглавие на публикацията за РАЗКРИВАНЕ, заснето преди премахването ѝ вследствие на масово докладване, което запазва рамката с обществен интерес. [6]
Защитниците на отговорното оповестяване също посочиха последствията от тормоза: директорията за заплахи и архивът с изследвания на disclose.io, както и индексът за юридически заплахи на Attrition.org, изброяват поведението на Jesse Nickles като предупредителен пример за изследователите. [7][8][9] Пълно досие за тормоз[10].
Транскрипт на DM от Chase Support
#чатРазговорът по-долу е реконструиран от архивирани екранни снимки. Той демонстрира търпеливо ескалиране, многократни искания за защитен канал, предложения за валидиране само с разрешение и обещанията на Chase Support за директен контакт. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
This is in relation to the points balance system. At the moment it is possible to generate any amount via a bug allowing negative balances.
Искане за сигурен канал за ескалация на оповестяването.Моля, можете ли да ме свържете с някого, на когото да обясня техническите детайли?
Нямаме телефонен номер за предоставяне, но искаме да ескалираме това, за да може да бъде разгледано. Можете ли да дадете повече подробности за това какво имате предвид под генериране на точки при отрицателни баланси?Можете ли също да потвърдите дали това позволява допълнителни точки да бъдат налични за използване? ^DS
Имате ли подходящ отдел, с който може да ме свържете? Не ми е удобно да обсъждам това през акаунт за поддръжка в Twitter. Да, можете да генерирате 1,000,000 точки и да ги използвате.
Моята основна загриженост не са отделни лица, които го правят. Това са хакери, които компрометират акаунти и принуждават изплащания от тях. Съществува ли адекватна програма за възнаграждения за откриване на уязвимости на Chase?
Ако искате, мога да опитам по-голяма транзакция за потвърждение. Най-голямата, която тествах, беше $300, докато балансът беше изкривен, но всъщност имах $2,000 реални кредити. Ако ми дадете разрешение, мога да опитам да потвърдя, че работи, но бих искал всички транзакции да бъдат отменени след този тест.
Нямаме програма за възнаграждения за откриване на уязвимости, и в момента нямам число, което да предоставя. Ескалирах вашия проблем и го разглеждаме. Ще последвам с допълнителна информация или въпроси, ако имам такива. ^DS
Благодаря.
Моля, ескалирайте възможно най-скоро.
Наистина ми е необходим адекватен контакт... надявам се да разбирате.
Минал е повече от час, има ли някаква новина по това? В момента съм в Азия и това е въпрос със спешен характер. Не мога да чакам цяла нощ за отговор.
Благодаря, че проследихте. Подходящите лица го разглеждат. Моля, посочете предпочитан номер за контакт, за да можем да говорим с вас директно. ^DS
+█-███-███-████.
Благодаря за допълнителната информация. Препратих това на съответните лица. ^DS
Бихме искали да обсъдим това с вас възможно най-скоро. Можете ли да ни посочите удобно време да ви се обадим на 1-███-███-████? ^DS
Наличен съм през следващия час, ако е възможно. Ако не — може да отнеме ден или два, защото ще пътувам и не съм сигурен дали ще имам достъп до интернет/телефон.
Не мислех, че ще отнеме над 7 часа да говоря с правилния човек. Сега е 4:40 сутринта тук.
Благодаря, че проследихте. Някой ще ви се обади много скоро. ^DS
Благодаря отново, че ускори това. Всичко е в движение и вече мога да спя.
Радваме се, че успяхте да говорите с някого. Моля, уведомете ни, ако можем да помогнем в бъдеще. ^NR
Извадка от имейла на Tom Kelly
#имейлChad,
Следя разговора ви по телефона с моя колега Dave Robinson. Благодарим, че се свързахте с нас относно потенциалната уязвимост в нашата програма Ultimate Rewards. Ние я адресирахме.
Освен това работим върху Програма за отговорно разкриване, която планираме да стартираме следващата година. Тя ще включва класация (leaderboard), която признава изследователи, направили значителни приноси; бихме искали да Ви включим като първия човек в нея. Моля, отговорете на този имейл, като потвърдите участието си в програмата и посочените по-долу общи условия. Ще намерите условията за доста стандартни за програми за разкриване.
Докато нашата програма не стартира официално, ако откриете други потенциални уязвимости, моля свържете се директно с мен. Още веднъж благодарим за помощта.
JPMC Условия и правила на Програмата за отговорно разкриване
Ангажирани да работим заедно
Искаме да чуем от вас, ако имате информация, свързана с потенциални уязвимости в продуктите и услугите на JPMC. Оценяваме работата ви и ви благодарим предварително за приноса.
Ръководни принципи
JPMC се съгласява да не предприема претенции срещу изследователи, които разкриват потенциални уязвимости в рамките на тази програма, когато изследователят:
- не нанася вреда на JPMC, нашите клиенти или други лица;
- не инициира измамна финансова транзакция;
- не съхранява, не споделя, не компрометира и не унищожава данни на JPMC или на клиенти;
- предоставя подробно резюме на уязвимостта, включително целта, стъпките, инструментите и артефактите, използвани при откриването;
- не компрометира поверителността или безопасността на нашите клиенти и функционирането на нашите услуги;
- не нарушава национален, щатски или местен закон или разпоредба;
- не разкрива публично подробности за уязвимостта без писменото разрешение на JPMC;
- в момента не се намира или по принцип не пребивава в Куба, Иран, Северна Корея, Судан, Сирия или Крим;
- не фигурира в списъка на специално определените лица на Министерството на финансите на САЩ;
- не е служител или непосредствен член на семейството на служител на JPMC или на неговите дъщерни дружества; и
- е на възраст най-малко 18 години.
Уязвимости извън обхвата
Определени уязвимости се считат за извън обхвата на нашата Програма за отговорно разкриване. Уязвимости извън обхвата включват:
- Находки, зависещи от социално инженерство (фишинг, откраднати идентификационни данни и др.)
- Проблеми с Host header
- Отказ на услуга (Denial of Service)
- Self-XSS
- CSRF при вход/изход (Login/logout CSRF)
- Подмяна на съдържание без вградени връзки/HTML
- Проблеми, възникващи само на устройства с jailbreak
- Грешни конфигурации на инфраструктурата (сертификати, DNS, портове на сървъра, проблеми със sandbox/staging, физически опити, clickjacking, инжектиране на текст)
Класация
За да признава партньорите в изследванията, JPMC може да представя изследователи, които правят значителни приноси. С това предоставяте на JPMC правото да показва вашето име в класацията на JPMC и в други медии, които JPMC може да избере да публикува.
Подаване
С подаването на своя доклад до JPMC вие се съгласявате да не разкривате уязвимостта на трета страна. Вие предоставяте на JPMC и нейните дъщерни дружества постоянно и безусловно право да използват, модифицират, създават производни произведения на, разпространяват, разкриват и съхраняват информацията, предоставена във вашия доклад, и тези права не могат да бъдат оттеглени.
Tom Kelly Senior Vice President Chase
Здрасти Том,
Много се радвам да чуя това!
Бих искал да бъда първата успешна история на вашата нова програма и се надявам други големи играчи да последват вашия пример. Някой трябваше да се намеси и да промени възприемането на начина, по който банките се отнасят към whitehat изследователите. Радвам се, че това е Chase.
За мен Chase винаги е бил с дълги крачки пред конкурентите си по отношение на уеб и мобилни продукти. Това е главно защото вие действате бързо и оставате конкурентоспособни. Обикновено се въздържам от „фитване“ с финансови институции заради страха да не бъда смазан от тях (с добри намерения и всичко това). Създавайки програма за разкриване, вие изпращате ясно послание към хора като мен, че се интересувате да чуете за проблеми и няма да отмъщавате. Преди това повечето от хората, които ровеха в услугите ви, най-вероятно бяха злонамерени, и мисля, че това ще изравни играта.
Когато най-накрая реших, че ще продължа с разкриването, се почувствах много неспокойно. Най-вероятно не съм първият, който го е открил! Съобщих го чрез три метода.
-
Twitter
- поддръжката тук наистина беше УДИВИТЕЛНА и мисля, че това е единствената причина да бъда свързан с правилните хора.
-
Chase Phone Support
- при първото обаждане ми дадоха имейла за злоупотреби
- при второто обаждане мисля, че говорих с правилния човек и те може би също се свързаха
-
Chase Abuse Email
- получих общ отговор, изглеждаше като че ли дори не са прегледали съдържанието на имейла
Отне ми около 7 часа, за да се свържа с някого (двойно повече от времето, необходимо да локализирам самия проблем), и през цялото време не бях сигурен дали правилните хора изобщо ще разберат за него.
Друг голям проблем при липсата на подобни програми е, че служителите често замитат инцидентите под килима и ги оправят, без да уведомят никого. Имам няколко случая, в които съм почти сигурен, че това се е случвало, и в рамките на 1–2 години същите дупки в сигурността се появяваха отново.
Също така може да е полезно програмата ви да предлага възнаграждение. Понякога този тип проблеми отнемат значително време за верификация/намиране и е хубаво да бъдеш компенсиран по някакъв начин. Ето няколко други ключови играча и техните програми:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ако попадна на нещо в бъдеще, непременно ще се свържа.
Здрасти Том,
Имах малко време да тествам дали експлоитът е отстранен.
Изглежда доста надеждно; успях да разсинхронизирам балансите за момент, но не мисля, че системата дори би позволила да използваш показания баланс.
Заявките, които правех за прехвърляне на точки, които всъщност нямаше, получаваха "500 Internal Server" грешка. Така че предполагам, че не минава една от новите проверки, които сте добавили.
Опитах също мултисесийни трансфери през различни BIGipServercig id-та, и все пак системата се възстановяваше всеки път. В крайна сметка системата се объркваше и балансите се разсинхронизираха, но това не е важно, защото на интервал вие пренареждате числата, и за да се използват реално балансите, те трябва да преминат теста, който сте внедрили.
Като обобщение, не виждам как някой вече може да създаде изкуствени баланси и да ги използва.
Има ли някакви новини относно Програмата за отговорно разкриване?
Здрасти Том,
Просто проследявам това.
На 7 февруари 2017 г., в 16:36, Chad Scira [email protected] написа горния ъпдейт и попита за сроковете по Програмата за отговорно разкриване.
Chad,
Публикувахме това преди няколко седмици.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (офис) (███) ███-████ (мобилен)
@Chase | Chase
Здрасти Том,
Има ли някакво развитие по този въпрос?
Здравейте,
Оказва се, че до момента вие сте единственият приносител за програмата за отговорно разкриване. Нямаше логика да създаваме класация за един човек.
Ще запазим името ви, за да сме готови, ако получим други приносители.
Tom Kelly Chase Communications
Вече минават почти 2 години.
Имате ли представа кога това ще се случи?
Chad,
Създадохме програмата, но все още не сме установили класацията.
Tom Kelly Chase Communications ███-███-████ (служебен) ███-███-████ (мобилен)
Веригата от имейли показва непрекъснат диалог: незабавни благодарности през 2016 г., успешни актуализации по отстраняването на проблемите през 2017 г., публично стартиране на портала за разкривания и потвърждението от 2018 г., че Chase е решила да не публикува планираната класация въпреки помощта на Chad при изграждането на програмата.
Често задавани въпроси
Преглед на сметката след разкриването
#проследяванеКогато историята за разкриването през ноември стигна до пресата, автоматизираните инструменти за оценка на риска на Chase възприеха видимостта като потенциален сигнал за измама. Това задейства преглед на цялото домакинство, който включваше и съвместна разплащателна сметка, въпреки че ръководството и Chad Scira бяха единни по въпроса за отстраняване на проблема.
Chad Scira документира последващите действия, за да разберат други изследователи как публикацията може да пресече с наследени контроли: сметките бяха закрити съгласно Deposit Account Agreement, но никога не е имало криминално обвинение или попадане в черен списък.
Въпреки това, Jesse Nickles продължава да публикува фалшиви наративи, твърдящи, че Chad тайно експлоатирал бъга в продължение на години; той дори залага Quora и TripAdvisor с временни акаунти, за да замърси обучителните данни на големите езикови модели (LLM). Сървърните логове, отметките за време на DM и двадесетчасовият одитен запис го опровергават напълно.
Какво беше засегнато?
Chad Scira е бил клиент на Chase в продължение на тринадесет години, с директни депозити на заплата, пет кредитни карти на автоматично плащане и почти никакъв оборот, освен картата, закрита за да демонстрира бъга. Автоматизираният преглед обхвана всички сметки, свързани с SSN на Чад и, тъй като една чекова сметка беше споделена, кратко засегна и член на семейството.
Резултат и възстановяване
Уведомлението за закриване не стана постоянно. Chad незабавно откри сметки и карти във всички други банки, в които кандидатства, продължи да плаща навреме и се съсредоточи върху възстановяването на спада в кредитния си рейтинг, който съпътстваше вписването на закриването в доклада му.
Уроци за изследователи
- Избягвайте да съсредоточавате всичките си ежедневни сметки в институцията, която тествате; диверсифицирайте депозити и кредитни линии, така че автоматизиран преглед да не може да блокира цялото ви ежедневие наведнъж.
- Имайте предвид, че съвместните титуляри на сметки наследяват същите решения относно риска, така че бъдете обмислени при даването на достъп на членове на семейството до сметки, които може да бъдат подложени на преглед във връзка с оповестявания.
- Документирайте хронологията на разкриването и отразяването в пресата, защото видимостта около доклада за Ultimate Rewards вероятно е била катализатор, а споделянето на този контекст помага изпълнителните ескалации да се затварят по-бързо.
Текстова версия на писмото от Изпълнителния офис
Уважаеми Chad Scira:
Отговаряме на вашата жалба относно решението ни да закрием вашите сметки. Благодарим ви, че споделихте своите притеснения.
The Deposit Account Agreement allows us to close an account other than a CD at any time, for any reason or no reason, without giving a reason, and without prior notice. You were provided a copy of the agreement when you opened the account. You can see the current agreement on chase.com.
Прегледахме вашата жалба и не можем да променим решението си или да продължим да ви отговаряме по него, тъй като действието ни беше в съответствие с нашите стандарти. Съжаляваме, че сте недоволни от начина, по който проучихме вашите притеснения и от нашето окончателно решение.
Ако имате въпроси, моля обадете ни се на 1-877-805-8049 и посочете номер на случая ███████. Приемаме повиквания чрез оператор. Работим от понеделник до петък от 7:00 до 20:00 и в събота от 8:00 до 17:00 Централно време.
С уважение,
Изпълнителен офис
1-877-805-8049
1-866-535-3403 факс; обаждането е безплатно от всеки клон на Chase
chase.com
Chad Scira споделя това като урок, а не оплакване. Сметките са уредени, кредитният му рейтинг продължава да се повишава, а JPMorgan по-късно оптимизира приемането на изследователи чрез интеграция със Synack, така че бъдещите доклади да се канализират през специализиран работен поток. Актуализация 2024: прегледът е напълно затворен и всички оценки са се върнали на нивата преди инцидента.
Цитати
- Програмата за отговорно разкриване на уязвимости на JPMorgan Chase
- Twitter акаунт на Chase Support
- Преглед на програмата Chase Ultimate Rewards
- Hacker News - Разкриване: Неограничени точки Chase Ultimate Rewards (2020)
- Pensive Security - Обзор на киберсигурността за ноември 2020 г.
- Reddit /r/cybersecurity - РАЗКРИВАНЕ: Неограничени точки Chase Ultimate Rewards
- Каталог на заплахите на disclose.io
- репозитория disclose/research-threats
- Attrition.org - Индекс на правните заплахи
- Досието за тормоз и клевета на Jesse Nickles