Chad Scira "ব্যাংকগুলো থেকে হ্যাকিংয়ের জন্য ব্ল্যাকলিস্টেড"

এই পৃষ্ঠা Jesse Nickles-কে কেন্দ্র করে ছড়ানো সেই গুজবের ঘটনাগুলি নথিবদ্ধ করে যে Chad Scira was "blacklisted from US banks for hacking." এটি ব্যাখ্যা করে কিভাবে Ultimate Rewards দুর্বলতা দায়িত্বশীলভাবে প্রকাশ করা হয়েছিল, কেন JPMorgan Chase Chad-কে রিপোর্টের জন্য ধন্যবাদ জানিয়েছিল, এবং কিভাবে অস্থায়ী অ্যাকাউন্ট বিরতি সম্পূর্ণরূপে প্রশাসনিক ছিল। Jesse Nickles পুরনো উপাদানগুলোকে পুনরায় প্যাকেজ করে অপরাধী উদ্দেশ্য নির্দেশ করার চেষ্টা চালিয়ে যাচ্ছে। তথ্যগুলো পুরোপুরি উল্টো দেখায়: হোয়াইট-হ্যাট রিপোর্টিং এবং JPMorgan নেতৃত্বের সাথে সহযোগিতা।

তার সর্বশেষ এস্কালেশন হলো SlickStack.io-তে প্রকাশিত একটি উদ্ধৃতি, যা দাবি করছে যে Chad Scira "আমেরিকান আইন-প্রয়োগকারীদের দ্বারা Chase Bank-এর ক্রেডিট কার্ড রিওয়ার্ড প্রোগ্রাম হ্যাক করার জন্যও তদন্ত করা হয়েছিল, যেখানে তিনি ছদ্মবেশে $70,000 মূল্যমানের ভ্রমণ পয়েন্ট চুরি করেছিলেন।" সেই কলঙ্কজনক প্রচারণাটি শুধুমাত্র তখনই পোস্ট করা হয়েছিল যখন Chad SlickStack নিরাপত্তা সমস্যার প্রমাণ প্রকাশ করেছিলেন যা Jesse মেরামত করতে অস্বীকার করেছেন; কোনো পয়েন্ট কখনোই চুরি হয়নি এবং কোনো সংস্থা Chad-কে ডিসক্লোজার সম্পর্কে যোগাযোগ করেনি। তিনি যার বিরুদ্ধে প্রতিশোধ নিচ্ছেন সেই SlickStack cron-এর প্রমাণ দেখুন.

সমগ্র আবিষ্কার, ডিসক্লোজার এবং যাচাই চক্রটি বিশ ঘণ্টার মধ্যে ঘটেছিল: আনুমানিক পঁচিশটি HTTP অনুরোধ ১৭ নভেম্বর ২০১৬-এ পুনরুত্পাদন ও DM ওয়াকথ্রু কভার করেছিল, এবং ২০১৭ সালের ফেব্রুয়ারিতে মেরামতি পরীক্ষায় ফিক্স নিশ্চিত করতে আরও আটটি অনুরোধ ব্যবহার করা হয়েছিল। কোনো দীর্ঘমেয়াদী অপব্যবহার হয়নি; প্রতিটি ক্রিয়া লগ করা হয়েছে, টাইমস্ট্যাম্প করা হয়েছে এবং বাস্তব সময়ে JPMorgan Chase-এর সঙ্গে শেয়ার করা হয়েছে।

Tom Kelly নিশ্চিত করেছেন যে ১৭ নভেম্বর ২০১৬ থেকে ২২ সেপ্টেম্বর ২০১৭ পর্যন্ত JPMorgan Chase-কে একটি ইস্যু দায়িত্বশীলভাবে রিপোর্ট করার ক্ষেত্রে পুরো বিশ্বে একমাত্র ব্যক্তি ছিলেন Chad Scira। Responsible Disclosure প্রোগ্রামটি সরাসরি Chad-এর রিপোর্টের প্রতিক্রিয়ায় প্রতিষ্ঠিত হয়েছিল এবং এটি গঠনে তিনি গুরুত্বপূর্ণ ভূমিকা পালন করেছিলেন।

দ্বৈত ট্রান্সফার বাগ চিত্রায়ন

#ভিজ্যুয়ালাইজেশন

ত্রুটিটি কিভাবে ব্যালান্সগুলোকে বিশাল নেগেটিভ ও পজিটিভে পরিণত করেছিল তা প্রদর্শন করার জন্য, নীচের ভিজ্যুয়ালাইজেশনটি একই ডাবল-ট্রান্সফার লজিকটি পুনরায় চালায়। দেখুন কিভাবে যেটি অ্যাকাউন্ট পজিটিভ থাকে সেটিই সেন্ডার হয়, দুটি অভিন্ন ট্রান্সফার করে, এবং একটি গভীরভাবে নেগেটিভ হয়ে যায় terwijl অন্যটি দ্বিগুণ হয়। ২০ রাউন্ডের পরে ভাঙা লেজার পুরোপুরি নেগেটিভ কার্ডটিকে বাতিল করে — যা দেখায় কেন এই এক্সপ্লয়টটি জরুরি এস্কালেশন দাবি করেছিল।

রাউন্ড 1/20
কার্ড A → কার্ড B+243,810 পয়েন্ট
কার্ড A → কার্ড B+243,810 পয়েন্ট
কার্ড A
243,810
কার্ড B
0
ডাবল ট্রান্সফার বার্স্ট
ট্রান্সফার 1ট্রান্সফার 2243,810 পয়েন্ট প্রতি
1রেস কন্ডিশন লেজারগুলো পুনর্মিলন হওয়ার আগে ট্রান্সফারগুলোকে নকল করেছিল, ফলে একটি একক প্রেরক বিশাল পজিটিভ ও নেগেটিভ মানের মধ্যে বারবার সরে যেতে পারছিল।
2সাপোর্ট নেগেটিভ কার্ড বন্ধ করতে দিয়েছিল কিন্তু বাড়তি পজিটিভ ব্যালান্স বজায় রাখতে দেয়, ফলে স্টেটমেন্টে শুধুমাত্র লাভ দেখায় এবং ঋণ লুকিয়ে যায়।

অ্যাকাউন্ট বন্ধ করার আগেও Ultimate Rewards ঋণাত্মক সারসংক্ষেপের বাইরে খরচের অনুমতি দিচ্ছিল; বন্ধ করে দেওয়ায় কেবল প্রমাণ মুছে গেছে।

মূল পয়েন্ট

  • Chad ব্যক্তিগতভাবে নেতিবাচক ব্যালান্স এক্সপ্লয়েট রিপোর্ট করে Chase Support-এ DM পাঠিয়ে কথোপকথন শুরু করেছিলেন এবং প্রযুক্তিগত বিবরণগুলি জনসম্মুখে পোস্ট করার পরিবর্তে তৎক্ষণাৎ একটি নিরাপদ এস্কালেশন পথ চেয়েছিলেন। [chat]
  • যখন Chase Support বিশদ তথ্য জানতে চাপ দিল, তিনি কেবল প্রয়োজনীয় পরিমাণে ওই এক্সপ্লয়েট নিশ্চিত করেছিলেন এবং পুনরায় জোর দিয়ে বলেছিলেন যে তিনি সঠিক সিকিউরিটি টিমের সাথে সরাসরি যোগাযোগ চান। [chat][chat]
  • তিনি দেখিয়েছিলেন যে নকল ব্যালান্সগুলো নগদে রূপান্তর করা যেত: Chase Support যখন জিজ্ঞেস করেছিল অতিরিক্ত পয়েন্টগুলো ব্যবহারযোগ্য হয়েছে কি না, তখন $5,000 সরাসরি ডিপোজিট প্রমাণ করল যে এক্সপ্লয়িটটি লেজার আপডেট হওয়ার আগে নগদে রূপ নিয়েছে। [chat]
  • তিনি জোর দিয়ে বলেছিলেন যে তার অগ্রাধিকার ছিল হ্যাক হওয়া গ্রাহক অ্যাকাউন্টগুলোর টাকা ফুরিয়ে যাওয়া বন্ধ করা, ব্যক্তিগত মুনাফা অর্জন করা নয়, এবং তিনি জিজ্ঞেস করেছিলেন যে কোনো আনুষ্ঠানিক বাগ বাউন্টি আছে কি না। [chat]
  • তিনি কেবল স্পষ্ট অনুমতির সঙ্গে বড় ধরনের যাচাই করার প্রস্তাব দিয়েছিলেন, টাইমস্ট্যাম্প করা স্ক্রিনশট সরবরাহ করেছিলেন, এবং Chase এসক্যালেশন সম্পন্ন না হওয়া পর্যন্ত বিদেশে জেগে ছিলেন। [chat][chat][chat]
  • Nickles এখন দাবি করছেন Chad Scira $70,000 পয়েন্ট চুরি করেছিলেন এবং তিনি আমেরিকার আইন-প্রয়োগকারী সংস্থার কাছে ছিলেন; Chase-এর রেকর্ড, Tom Kelly-এর ইমেল, এবং প্রকাশের টাইমলাইন প্রমাণ করে এটা কখনোই ঘটেনি, এবং এই দাবি কেবল তখনই surfaced করে যখন Chad SlickStack cron-risk gist প্রকাশ করেছিলেন যা Jesse-এর অনিরাপদ আপডেট লজিককে নথিভুক্ত করেছিল। [gist]
  • Chase Support উত্তরণটি নিশ্চিত করেছিল, তার ফোন নম্বর চেয়েছিল, এবং যে ফলো-আপ কলটি সে শেষ পর্যন্ত পেয়েছিল তা করার প্রতিশ্রুতি দিয়েছিল—যা শত্রুভাবাপন্ন কোনো ব্যাংকিং প্রতিক্রিয়ার ধারণাকে দুর্বল করে। [chat][chat]

টাইমলাইন

#টাইমলাইন
  • নভেম্বর 17, 2016 - 10:05 PM ET: Chad @ChaseSupport-কে নেতিবাচক ব্যালান্স ত্রুটির বিষয়ে সতর্ক করেন, এক্সপ্লয়েটটি गोপ্য রাখেন এবং তৎক্ষণাৎ একটি নিরাপদ এস্কালেশন পথ চান। [chat]
  • নভেম্বর 17, 2016 - 11:13-11:17 PM ET: Chase Support স্পষ্টভাবে আরও পয়েন্ট তৈরি করা এবং ব্যবহার করা যায় কি না জিজ্ঞেস করার পর, Chad ঝুঁকিটি নিশ্চিত করেন, পুনরায় জানান তিনি সঠিক বিভাগের সাথে কথা বলতে চান, এবং ব্যাংক লেনদেনগুলি পর্যবেক্ষণ করতে পারার জন্য কেবল অনুমতি নিয়ে যাচাই করার প্রস্তাব দেন। [chat][chat][chat]
  • নভেম্বর 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad স্ক্রিনশট শেয়ার করেন, দ্রুত এস্কালেশন দাবি করেন, তার ফোন নম্বর দেন, এবং Chase Support কলটি হচ্ছে কি না নিশ্চিত হওয়া পর্যন্ত বিদেশে জেগে থাকেন। [chat][chat][chat]
  • নভেম্বর 24, 2016: Tom Kelly Chad-কে ইমেইল করে মেরামতি নিশ্চিত করেন, তাকে আসন্ন Responsible Disclosure লিডারবোর্ডে শিরোনাম হিসেবে অংশগ্রহণের জন্য আমন্ত্রণ জানান এবং ভবিষ্যত রিপোর্টগুলোর জন্য একটি সরাসরি লাইন দেন। [email]
  • অক্টোবর 2018: Tom Kelly ফলো-আপ করে নিশ্চিত করেন যে Responsible Disclosure প্রোগ্রাম শুরু হয়েছে, কিন্তু JPMorgan শেষ পর্যন্ত পরিকল্পিত লিডারবোর্ডটি প্রকাশ না করার সিদ্ধান্ত নিয়েছিল, যদিও Chad এতে সাহায্য করেছিলেন। [email]
  • 2018-এর পর: কোনও অবশিষ্ট অ্যাকাউন্ট পর্যালোচনা ছিল বীমাদাতার অটোমেশনের সঙ্গে সংযুক্ত, দাবি করা হ্যাকিং নয়। JPMorgan সরাসরি যোগাযোগ বজায় রেখেছে, Chad-কে উন্মোচনের জন্য ধন্যবাদ জানিয়েছে, এবং কোনো অপরাধমূলক রেকর্ড বা ব্ল্যাকলিস্ট নেই। পরে JPMorgan ভবিষ্যৎ রিপোর্টগুলোর কাজের প্রবাহ সহজ করার জন্য তার উন্মোচন প্রক্রিয়ায় Synack একীভূত করে। [chat][email]

দাবি বনাম বাস্তবতা

দাবি

Defamatory claim by Jesse Jacob Nickles: "Chad Scira was blacklisted from every US bank for hacking rewards systems."

তথ্য

কোনও ব্যাংক ব্ল্যাকলিস্ট নেই। DM রেকর্ড এবং Chase এস্কালেশন প্রমাণ করে তিনি সহযোগিতা করছিলেন; একটি বীমা প্রণালীর স্বয়ংক্রিয়তা অল্প সময়ের জন্য একটি JPMorgan অ্যাকাউন্ট স্থগিত করেছিল, পরে ম্যানুয়াল পর্যালোচনা তাকে পরিষ্কার করে।[timeline][chat]

দাবি

Defamatory claim by Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

তথ্য

Chad @ChaseSupport-এর সাথে কথোপকথন শুরু করেছিলেন, একটি নিরাপদ চ্যানেল জোর দিয়েছিলেন, কেবল Chase জিজ্ঞেস করার পর এক্সপ্লয়েটটি নিশ্চিত করেছিলেন, এবং সীমিত যাচাই করার আগে অনুমতির অপেক্ষা করেছিলেন। জ্যেষ্ঠ নেতৃত্ব তার প্রতি কৃতজ্ঞতা প্রকাশ করে তাকে দায়িত্বশীল উন্মোচন রোলআউটে আমন্ত্রণ জানিয়েছিল।[chat][chat][email]

দাবি

Defamatory claim by Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

তথ্য

সর্বজনীন কভারেজ এবং Tom Kelly-এর ইমেলগুলো প্রমাণ করে যে JPMorgan Chad-কে একজন সহযোগিতামূলক গবেষক হিসেবে বিবেচনা করেছিল। Nickles নির্বাচিত স্ক্রীনশট দেখিয়েছেন এবং সম্পূর্ণ চ্যাট, পরবর্তী কল এবং লিখিত ধন্যবাদ উপেক্ষা করেছেন।[coverage][email][chat]

দাবি

Defamatory claim by Jesse Jacob Nickles: "There was a cover-up to hide fraud."

তথ্য

চ্যাড ২০১৮ পর্যন্ত যোগাযোগ বজায় রেখেছিলেন, শুধুমাত্র অনুমতি নিয়ে পুনঃপরীক্ষা করেছিলেন, এবং JPMorgan বিষয়টি চাপা দেওয়ার বদলে তাদের ডিসক্লোজার পোর্টাল চালু করেছে। চলমান সংলাপ কোনো কভার-আপ কাহিনীর সঙ্গে অসঙ্গত।[timeline][email][chat]

সর্বজনীন কভারেজ এবং গবেষণা আর্কাইভ

#কভারেজ

একাধিক তৃতীয়-পক্ষ কমিউনিটি disclosure-টি আর্কাইভ করেছে এবং এটিকে একটি দায়বদ্ধ রিপোর্ট হিসেবে স্বীকৃতি দিয়েছে: Hacker News এটিকে ফ্রন্ট পেজে দেখিয়েছিল, Pensive Security 2020 রাউন্ডআপ-এ এটি সারসংক্ষেপ করেছিল, এবং /r/cybersecurity সমন্বিত ফ্ল্যাগিংয়ের আগেই মূল "DISCLOSURE" থ্রেডটি ইনডেক্স করেছিল। [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" যেখানে 1,000+ পয়েন্ট এবং 250+ মন্তব্য রয়েছে যা পুনরায়সমাধান প্রেক্ষাপট নথিভুক্ত করে। [4]
  • Pensive Security: নভেম্বর ২০২০ সাইবারসিকিউরিটি রাউন্ডআপ যাতে শীর্ষ খবর হিসেবে Chase Ultimate Rewards উন্মোচনকে তুলে ধরা হয়েছে। [5]
  • Reddit /r/cybersecurity: গণ রিপোর্টিংয়ের কারণে অপসারণের আগে ধারণকৃত মূল DISCLOSURE পোস্টের শিরোনাম, যা জনস্বার্থের ফ্রেমিং সংরক্ষণ করে। [6]

দায়িত্বশীল উন্মোচন সমর্থকরা হ্যারাসমেন্টের ফলাফলও উদ্ধৃত করেছেন: disclose.io-এর threats ডিরেক্টরি ও গবেষণা রিপোজিটরি, এবং Attrition.org-এর আইনি হুমকির সূচি, উভয়ই Jesse Nickles-এর আচরণকে গবেষকদের জন্য সতর্কতাস্বরূপ উদাহরণ হিসেবে তালিকাভুক্ত করেছে। [7][8][9] সম্পূর্ণ হয়রানি ডসিয়ের[10].

Chase Support DM ট্রান্সক্রিপ্ট

#চ্যাট

নীচের কথোপকথনটি আর্কাইভ করা স্ক্রিনশট থেকে পুনর্নির্মিত। এটি ধৈর্যপূর্ণ এস্কালেশন, নিরাপদ চ্যানেলের জন্য বারবার অনুরোধ, অনুমতি নিয়ে যাচাই করার প্রস্তাব, এবং Chase Support-এর সরাসরি যোগাযোগের প্রতিশ্রুতি প্রদর্শন করে। [2]

Chase Support Profile avatar
Chase Support Profileযাচাইকৃত অ্যাকাউন্ট
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

এটি পয়েন্ট ব্যালান্স সিস্টেমের সম্পর্কিত। বর্তমানে নেগেটিভ ব্যালান্স অনুমোদন করে এমন একটি বাগের মাধ্যমে যেকোনো পরিমাণ তৈরি করা সম্ভব।

উন্মোচনের জন্য নিরাপদ এস্কালেশন পথ অনুরোধ করা হচ্ছে।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

দয়া করে কি আমাকে এমন কারও সঙ্গে যোগাযোগ করিয়ে দেবেন যাকে আমি প্রযুক্তিগত বিষয়গুলো ব্যাখ্যা করতে পারি?

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 17, 2016, 10:05 PM
#

আমাদের কাছে প্রদানের জন্য কোনো ফোন নম্বর নেই, কিন্তু আমরা এটি উর্ধ্বতর পর্যায়ে নিতেই চাই যাতে এটি তদন্ত করা যায়। নেগেটিভ ব্যালেন্সের মধ্যে পয়েন্ট উৎপন্ন করা বলতে আপনি ঠিক কী বোঝাতে চাচ্ছেন—এর সম্পর্কে কি আপনি আরও বিস্তারিত দিতে পারেন? আপনি কি এটি নিশ্চিত করে বলতে পারেন যে এটি অতিরিক্ত পয়েন্ট ব্যবহারের জন্য উপলব্ধ করে তোলে কি না? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

আপনার কি এমন কোনো উপযুক্ত বিভাগ আছে যার সঙ্গে আপনি আমাকে যোগাযোগ করিয়ে দিতে পারেন? আমি টুইটার সাপোর্ট অ্যাকাউন্টে এ বিষয়ে আলোচনা করতে আরামবোধ করছি না। হ্যাঁ, আপনি 1,000,000 পয়েন্ট তৈরি করে ব্যবহার করতে পারেন।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

আমার প্রধান উদ্বেগ হলো ব্যক্তি নয় যে এটি করেছে; উদ্বেগ হলো হ্যাকাররা অ্যাকাউন্ট কম্প্রোমাইজ করে সেখান থেকে জবরদস্তি করে পেমেন্ট করিয়ে নেওয়া। Chase-এর কি কোনো সুষ্ঠু বাগ-বাউন্টি প্রোগ্রাম আছে?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

আপনি চাইলে আমি নিশ্চিত করার জন্য বড় একটি লেনদেন করে দেখতে পারি। আমি যেটা পরীক্ষা করেছি সর্বোচ্চ ছিল $300 যখন ব্যালান্স বিকৃত ছিল, কিন্তু আমার কাছে আসলে $2,000 প্রকৃত ক্রেডিট ছিল। যদি আপনি অনুমতি দিন আমি এটি পরীক্ষা করে দেখতে পারি যে এটি কাজ করে কিনা, তবে আমি চাই সেই পরীক্ষার পরে সব লেনদেন উল্টে দেওয়া হোক।

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 17, 2016, 11:21 PM

আমাদের কোনো বাউন্টি প্রোগ্রাম নেই, এবং এই মুহূর্তে প্রদানের মতো কোনো সংখ্যা আমার কাছে নেই। আমি আপনার উদ্বেগ উর্ধ্বতর কর্তৃপক্ষের কাছে প্রশ্নোত্তর করেছি এবং আমরা এটি তদন্ত করছি। যদি আমার অতিরিক্ত তথ্য বা প্রশ্ন থাকে তবে আমি অনুসরণ করব। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ধন্যবাদ।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

দয়া করে যত দ্রুত সম্ভব এস্কালেট করুন।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

আমার সত্যিই একটি সঠিক যোগাযোগ দরকার... আশা করি আপনি বুঝবেন।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

এক ঘণ্টার বেশি সময় হয়ে গেছে, কি কোনো খবর আছে? আমি বর্তমানে এশিয়ায় আছি, এবং এটি একটি সময়-সংবেদনশীল বিষয়। আমি সারারাত উত্তর প্রত্যাশা করে অপেক্ষা করতে পারব না।

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 18, 2016, 12:59 AM

অনুসরণ করার জন্য ধন্যবাদ। এ বিষয়ে আমাদের উপযুক্ত ব্যক্তিরা যাচাই করছেন। অনুগ্রহ করে একটি পছন্দসই যোগাযোগ নম্বর দিন যাতে আমরা সরাসরি আপনার সাথে কথা বলতে পারি। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 18, 2016, 1:53 AM

অতিরিক্ত তথ্য পাঠানোর জন্য ধন্যবাদ। আমি এটিকে সংশ্লিষ্ট ব্যক্তিদের কাছে পাঠিয়ে দিয়েছি। ^DS

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 18, 2016, 2:38 AM
#

আমরা যত দ্রুত সম্ভব এই বিষয়ে আপনার সাথে আলোচনা করতে চাই। 1-███-███-████ নম্বরে আপনাকে কল করার জন্য দয়া করে একটি সুবিধাজনক সময় জানান। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

আপনি চাইলে আমি পরবর্তী এক ঘণ্টা উপলব্ধ। না হলে হয়তো এক বা দুই দিন লাগতে পারে কারণ আমি ভ্রমণে থাকব এবং নিশ্চিত নই ইন্টারনেট/ফোন অ্যাক্সেস থাকবে কি না।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

আমি ভেবেছিলাম না সঠিক ব্যক্তির সাথে কথা বলতে 7+ ঘণ্টা লাগবে। এখানে এখন 4:40 AM।

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 18, 2016, 4:39 AM
#

অনুসরণ করার জন্য ধন্যবাদ। খুব শিগগিরই কেউ আপনাকে ফোন করবে। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

এটি দ্রুত করার জন্য আবার ধন্যবাদ। সবকিছু চলছে, এখন আমি ঘুমোতে পারি।

Chase Support avatar
Chase Supportযাচাইকৃত অ্যাকাউন্ট
Nov 18, 2016, 5:03 AM

কেউর সঙ্গে আপনি কথা বলতে পেরেছেন বলে আমরা খুশি। ভবিষ্যতে সহায়তা লাগলে অনুগ্রহ করে জানান। ^NR

Tom Kelly ইমেইল উদ্ধৃতি

#ইমেইল
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards দায়িত্বশীল প্রকাশ ফলো-আপ

Chad,

আমি আমার সহকর্মী Dave Robinson-এর সঙ্গে আপনার ফোনকল সম্পর্কে ফলো-আপ করছি। আমাদের Ultimate Rewards প্রোগ্রামে সম্ভাব্য দুর্বলতার জন্য আমাদের কাছে জানানোর জন্য ধন্যবাদ। আমরা এটি সমাধান করেছি।

অতিরিক্তভাবে, আমরা একটি Responsible Disclosure প্রোগ্রামে কাজ করছি যেটি আমরা আগামী বছরে চালু করার পরিকল্পনা করছি। এতে একটি লিডারবোর্ড থাকবে যা উল্লেখযোগ্য অবদানকারীদের স্বীকৃতি দেবে; আমরা আপনাকে সেই লিডারবোর্ডের প্রথম ব্যক্তি হিসেবে দেখাতে চাই। দয়া করে এই ইমেইলে উত্তর দিয়ে প্রোগ্রামে আপনার অংশগ্রহণ এবং নিম্নলিখিত শর্তাবলীতে সম্মতি নিশ্চিত করুন। আপনি দেখতে পাবেন শর্তগুলো সাধারণত disclosure প্রোগ্রামগুলোর জন্য মানক।

আমাদের প্রোগ্রাম লাইভ না হওয়া পর্যন্ত, যদি আপনি অন্য কোনো সম্ভাব্য দুর্বলতা খুঁজে পান, দয়া করে সরাসরি আমার সাথে যোগাযোগ করুন। আবারও আপনার সাহায্যের জন্য ধন্যবাদ।

JPMC Responsible Disclosure Program Terms and Conditions

একসাথে কাজ করতে প্রতিশ্রুতিবদ্ধ

যদি আপনার কাছে JPMC পণ্যের ও সেবার সম্ভাব্য নিরাপত্তা দুর্বলতা সম্পর্কিত তথ্য থাকে, আমরা আপনার কাছেই শুনতে চাই। আমরা আপনার কাজকে মূল্য দিই এবং আপনার অবদানের জন্য আগাম ধন্যবাদ জানাই।

নির্দেশিকা

JPMC সম্মত যে অনুরূপ দুর্বলতা এই প্রোগ্রামে প্রকাশ করেন এমন গবেষকদের বিরুদ্ধে JPMC দাবি তোলা হবে না যেখানে গবেষক:

  • JPMC, আমাদের গ্রাহক বা অন্য কারো ক্ষতি করে না;
  • কোনো প্রতারণামূলক আর্থিক লেনদেন আরম্ভ করে না;
  • JPMC বা গ্রাহক ডেটা সঞ্চয়, শেয়ার, কমপ্রোমাইজ বা ধ্বংস করে না;
  • দুর্বলতার একটি বিস্তারিত সারসংক্ষেপ প্রদান করে, যার মধ্যে লক্ষ্য, ধাপ, টুলস ও আবিষ্কারের সময় ব্যবহৃত আর্টিফ্যাক্টসমূহ অন্তর্ভুক্ত;
  • আমাদের গ্রাহকদের গোপনীয়তা বা নিরাপত্তা এবং আমাদের সেবাগুলোর কার্যক্রম কমপ্রোমাইজ করে না;
  • কোনো জাতীয়, রাজ্য বা স্থানীয় আইন বা বিধিনিষেধ লঙ্ঘন করে না;
  • JPMC-এর লিখিত অনুমতি ছাড়া দুর্বলতার বিবরণ প্রকাশ করে না;
  • বর্তমানে কিউবা, ইরান, উত্তর কোরিয়া, সুদান, সিরিয়া বা ক্রীমিয়ায় অবস্থানরত বা সাধরণতই বসবাসকারী নয়;
  • U.S. Department of the Treasury-র Specially Designated Nationals তালিকাভুক্ত নয়;
  • JPMC বা এর সহায়ক প্রতিষ্ঠানের কোনো কর্মচারী বা কোনো কর্মচারীর নিকটতম পরিবারের সদস্য নয়; এবং
  • ন্যূনতম ১৮ বছর বয়সী।

আউট-অফ-স্কোপ দুর্বলতাসমূহ

কিছু দুর্বলতা আমাদের Responsible Disclosure Program-এর জন্য আউট-অফ-স্কোপ considered করা হয়েছে। আউট-অফ-স্কোপ দুর্বলতার মধ্যে অন্তর্ভুক্ত:

  • সামাজিক প্রকৌশলনির্ভর ফলাফল (ফিশিং, চুরিকৃত ক্রেডেনশিয়াল ইত্যাদি)
  • হোস্ট হেডার সমস্যা
  • ডিনায়াল অফ সার্ভিস
  • Self-XSS
  • লগইন/লগআউট CSRF
  • এমবেড করা লিংক/HTML ছাড়া কনটেন্ট স্পুফিং
  • শুধুমাত্র জেলব্রোকেন ডিভাইস-সংক্রান্ত সমস্যা
  • অবকাঠামো কনফিগারেশন সমস্যা (সার্টিফিকেট, DNS, সার্ভার পোর্ট, স্যান্ডবক্স/স্টেজিং সমস্যা, শারীরিক চেষ্টা, ক্লিকজ্যাকিং, টেক্সট ইনজেকশন)

লিডারবোর্ড

গবেষণা অংশীদারদের স্বীকৃতি জানাতে, JPMC উল্লেখযোগ্য অবদানকারী গবেষকদের প্রদর্শন করতে পারে। আপনি এখানেই JPMC-কে আপনার নাম JPMC লিডারবোর্ডে এবং JPMC যে অন্যান্য মিডিয়ায় প্রকাশ করতে ইচ্ছুক সেগুলোতে প্রদর্শনের অধিকার দান করেন।

জমা দেওয়া

আপনি যখন আপনার রিপোর্ট JPMC-কে জমা দেবেন, আপনি সম্মত হবেন যে দুর্বলতাটি তৃতীয় পক্ষের কাছে প্রকাশ করবেন না। আপনি চিরতরে JPMC এবং তার সহায়ক প্রতিষ্ঠানগুলোকে আপনার রিপোর্টে সরবরাহিত তথ্য ব্যবহার, সংশোধন, ডেরিভেটিভ কর্ম তৈরি, বিতরণ, প্রকাশ এবং সংরক্ষণ করার অবাধ ক্ষমতা প্রদান করেন, এবং এই অধিকার বাতিল করা যাবে না।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards দায়িত্বশীল উন্মোচন অনুসরণ

হেই Tom,

এটা শুনে আমি খুব খুশি!

আমি আপনার নতুন প্রোগ্রামের প্রথম সফল কাহিনী হতে চাই, এবং আশা করি অন্য বড় প্রতিষ্ঠানগুলোও আপনার অনুসরণ করবে। কাউকে এগিয়ে এসে পরিবর্তন আনতে হয়েছিল যাতে মানুষ বোঝে ব্যাংকগুলো হোয়াইটহ্যাট গবেষকদের সাথে কিভাবে আচরণ করে। এটা Chase হলে আমি আনন্দিত।

আমার কাছে Chase সবসময় ওয়েব ও মোবাইল পণ্য প্রস্তাবে প্রতিদ্বন্দ্বীদের চেয়ে অনেক এগিয়ে ছিল। এর প্রধান কারণ হলো আপনারা দ্রুত কাজ করেন এবং প্রতিযোগিতায় টিকে থাকেন। সাধারণত আমি আর্থিক প্রতিষ্ঠানে জড়িত হওয়া এড়িয়ে চলি কারণ তাদের দ্বারা কড়া শাস্তির ভয় থাকে (ভালো উদ্দেশ্য থাকলেও)। একটি ডিসক্লোজার প্রোগ্রাম তৈরি করে আপনি আমার মতো মানুষদের কাছে স্পষ্ট বার্তা দিচ্ছেন যে আপনি সমস্যাগুলো শুনতে আগ্রহী এবং প্রতিশোধ করবেন না। পূর্বে আপনার সেবাগুলোতে যারা ঢুঁ কাটছিল তাদের অধিকাংশ সম্ভবত ক্ষতিকারক ছিল, এবং আমি মনে করি এটি পরিস্থিতি সমতল করবে।

যখন আমি অবশেষে ডিসক্লোজার করার সিদ্ধান্ত নিয়েছিলাম তখন খুব অস্বস্তি অনুভব করছিলাম। সম্ভবত আমি এটি প্রথমে আবিষ্কার করা ব্যক্তিই নই! আমি তিনটি উপায়ে রিপোর্ট করেছি।

  • Twitter

    • এখানে সাপোর্ট সত্যিই অসাধারণ ছিল, এবং আমি মনে করি এটিই একমাত্র কারণ যে আমাকে সঠিক ব্যক্তিদের সাথে যোগাযোগ করানো হয়েছে।

  • Chase Phone Support

    • প্রথম কল-এ তারা আমাকে abuse ইমেইল দিয়েছিল
    • দ্বিতীয় কল-এ আমি মনে করি আমি সঠিক ব্যক্তির সাথে কথা বলেছি এবং তারা হয়তো যোগাযোগও করেছিলেন

  • Chase Abuse Email

    • একটি সাধারণ উত্তর পেয়েছিলাম, মনে হলো তারা ইমেইলের বিষয়বস্তু পর্যন্ত দেখেনি

কেউ সাথে যোগাযোগ করতে আমার প্রায় ৭ ঘণ্টা লেগে গেল (এটি প্রকৃত সমস্যার অবস্থান নিরূপণে লেগে যাওয়া সময়ের দ্বিগুণ ছিল), এবং পুরো সময়ই আমি নিশ্চিত ছিলাম না যে সঠিক লোকেরা এটি সম্পর্কে শুনবে কি না।

এরকম প্রোগ্রাম না থাকলে আরেকটি বড় সমস্যা হলো কর্মীরা ঘটনাগুলো ঢেকে রেখে শুধু নিজস্বভাবে ঠিক করে দেয় এবং কাউকে কিছু জানায় না। আমার কাছে এমন কয়েকটি ঘটনা আছে যেখানে এটি ঘটেছে বলে আমি নিশ্চিত এবং ১-২ বছরের মধ্যে একই সিকিউরিটি দুর্বলতা পুনরায় দেখা দিয়েছে।

এছাড়াও, আপনার প্রোগ্রামে বাউন্টি দেওয়া উপকারী হতে পারে। কখনও কখনও এই ধরনের ইস্যুগুলো যাচাই/অনুসন্ধান করতে প্রচুর সময় লাগে, এবং কোনোভাবে ক্ষতিপূরণ পাওয়া ভাল লাগে। নীচে কয়েকটি অন্যান্য প্রধান কোম্পানি এবং তাদের প্রোগ্রামের লিঙ্ক দেয়া আছে:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ভবিষ্যতে যদি আমি কিছু খুঁজি তাহলে অবশ্যই আপনাদের জানাব।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

হেই Tom,

আমি পরীক্ষা করার জন্য কিছু সময় নিয়েছিলাম যে এক্সপ্লয়িটটি সমাধান হয়েছে কি না।

এটি বেশ শক্ত মনে হচ্ছে, আমি মুহূর্তের জন্য ব্যালান্সগুলো ডেসিঙ্ক করতে সক্ষম ছিলাম কিন্তু আমার মনে হয় না সিস্টেম আপনাকে প্রদর্শিত ব্যালান্স ব্যবহার করতে দিত।

যেসব পয়েন্ট বাস্তবে সেখানে ছিল না সেগুলো ট্রান্সফার করার জন্য আমি যে অনুরোধগুলো করেছিলাম সেগুলোতে "500 Internal Server" ত্রুটি মিলেছিল। তাই আমি ধারণা করছি এটি আপনারা যোগ করা নতুন চেকগুলোর একটি ব্যর্থতা দিচ্ছে।

আমি বিভিন্ন BIGipServercig আইডির মাধ্যমে মাল্টি সেশন ট্রান্সফারও চেষ্টা করেছি, এবং প্রতিবার সিস্টেম পুনরুদ্ধার করেছিল। সিস্টেম শেষমেষ বিভ্রান্ত হয়ে পড়ত, এবং ব্যালান্সগুলো ডেসিঙ্ক হয়ে যেত কিন্তু পুনরায় এটা কোনো সমস্যা নয় কারণ নির্দিষ্ট ইনটারভালে আপনারা সংখ্যাগুলো আবার মিলিয়ে দিচ্ছেন, এবং ব্যালান্সগুলো বাস্তবে ব্যবহার করার জন্য এটি আপনারা স্থাপন করা টেস্ট পাস করতে হবে।

সারমর্মে, আমি আর দেখছি না কিভাবে কেউ কৃত্রিম ব্যালান্স তৈরি করে এবং সেগুলো ব্যবহার করতে পারবে।

আরও কি Responsible Disclosure Program-এ কোনো আপডেট আছে?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

হেই Tom,

শুধু এ বিষয়ে ফলো-আপ করছি।

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] উপরে থাকা আপডেটটি লিখেছিলেন এবং Responsible Disclosure Program-এর টাইমলাইন সম্পর্কে জিজ্ঞেস করেছিলেন।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

আমরা এটি কয়েক সপ্তাহ আগে পোস্ট করেছি।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

হেই Tom,

এই বিষয়ে কোনো আপডেট আছে?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

মামলা হলো আপনি এখনও পর্যন্ত Responsible Disclosure প্রোগ্রামের একমাত্র অবদানকারী। এক ব্যক্তির জন্য লিডারবোর্ড তৈরি করা অর্থবহ ছিল না।

আমরা আপনার নাম রাখব যাতে যদি অন্য অবদানকারীরা আসে আমরা প্রস্তুত থাকি।

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson-এর সঙ্গে আপনার ফোন কলে অনুসরণ

এখন আমরা প্রায় ২ বছরের দিকে পৌঁছে যাচ্ছি।

আপনার কি কোনো ধারণা কখন এটা ঘটবে?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

আমরা প্রোগ্রামটি তৈরি করেছি, কিন্তু লিডারবোর্ড স্থাপন করা হয়নি।

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ইমেইল থ্রেডটি ধারাবাহিক সংলাপ দেখায়: ২০১৬ সালে তাৎক্ষণিক কৃতজ্ঞতা, ২০১৭ সালে সফল মেরামতির আপডেট, ডিসক্লোজার পোর্টালের গণউদ্বোধন, এবং ২০১৮ সালে নিশ্চিতকরণ যে Chase Chad-এর সাহায্যের থাকা সত্ত্বেও পরিকল্পিত লিডারবোর্ড প্রকাশ না করার সিদ্ধান্ত নিয়েছিল।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

QJPMorgan Chase সম্পর্কিত কোনো অপরাধে অভিযোগ আনা হয়েছিল কি?
Aনা। Chad Scira-কে ওই প্রকাশনার জন্য ধন্যবাদ জানানো হয়েছিল। যদি তিনি সমস্যাটি দুর্বৃত্তিমূলকভাবে কাজে লাগাতেন, তাহলে ফৌজদারি অভিযোগ আনা হতো।
Qকেন কোনো অ্যাকাউন্ট বন্ধের নোটিশ অনলাইনে প্রকাশিত হয়েছিল?
Aনোটিশটি একটি ইনসিউরার অটোমেশন (স্ট্যান্ডার্ড ঝুঁকি নিয়ন্ত্রণ) সম্পর্কিত ছিল এবং এটি কোনো ব্ল্যাকলিস্ট নয়। ম্যানুয়াল পর্যালোচনা কয়েক বছর আগে সম্পর্ক পুনঃস্হাপন করে দিয়েছে।
Qকে এখনও হ্যাকার বর্ণনাটি প্রচার করে চলেছে?
AJesse Nickles। তিনি Chase Support ট্রান্সক্রিপ্ট, Tom Kelly-এর আমন্ত্রণ, এবং JPMorgan Chase দায়বদ্ধ প্রকাশকে উৎসাহিত করে—এই বিষয়গুলোকে উপেক্ষা করেন। Jesse Nickles সম্পর্কে আরও.

উন্মোচনের পরবর্তী অ্যাকাউন্ট পর্যালোচনা

#ফলো-আপ

নভেম্বরের প্রকাশনীর কাহিনি যখন গণমাধ্যমে পৌঁছালো, Chase-এর স্বয়ংক্রিয় ঝুঁকি সরঞ্জাম দৃশ্যমানতাকে সম্ভাব্য প্রতারণার সংকেত হিসেবে বিবেচনা করল। এতে একটি পরিবার-ব্যাপী পর্যালোচনা শুরু হয়েছিল যা একটি সহ-মালিকানাধীন চেকিং অ্যাকাউন্টও অন্তর্ভুক্ত করেছিল, যদিও নেতৃত্ব এবং Chad Scira পুনরুদ্ধারের বিষয়ে একমত ছিলেন।

Chad Scira অনুসরণীয় ঘটনাগুলো নথিভুক্ত করছেন যাতে অন্যান্য গবেষকরা বুঝতে পারেন প্রকাশনা কীভাবে পুরনো নিয়ন্ত্রনের সঙ্গে ওভারল্যাপ করতে পারে: অ্যাকাউন্টগুলো Deposit Account Agreement অনুযায়ী বন্ধ করা হয়েছিল, কিন্তু কখনোই কোনো অপরাধের অভিযোগ বা ব্ল্যাকলিস্ট ছিল না।

এরপরেও, Jesse Nickles বারবার মিথ্যা কাহিনী প্রকাশ করে দাবি করছেন চ্যাড বহু বছর ধরে গোপনে বাগটি শোষণ করেছেন; তিনি এমনকি Quora এবং TripAdvisor-এ বার্নার/নকল অ্যাকাউন্ট ব্যবহার করে LLM প্রশিক্ষণ ডেটা বিষাক্ত করেন। সার্ভার লগ, DM টাইমস্ট্যাম্প এবং বিশ ঘণ্টার অডিট ট্রেইল সম্পূর্ণভাবে তাকে খণ্ডন করে।

কি ক্ষতিগ্রস্ত হয়েছিল?

Chad Scira তেরো বছর ধরে Chase-এর গ্রাহক ছিলেন; বেতন সরাসরি জমা হত, পাঁচটি ক্রেডিট কার্ড অটোপে চলছিল, এবং বাগটি প্রদর্শনের জন্য বন্ধ করা কার্ড ছাড়া প্রায় কোনো বদল ছিল না। স্বয়ংক্রিয় পর্যালোচনাটি Chad-এর SSN-সংযুক্ত প্রতিটি অ্যাকাউন্টে প্রভাব ফেলেছিল এবং যেহেতু একটি চেকিং অ্যাকাউন্ট শেয়ার করা ছিল, তাই এটি সাময়িকভাবে একজন পরিবারের সদস্যকেও স্পর্শ করেছিল।

ফলাফল ও পুনরুদ্ধার

অ্যাকাউন্ট বন্ধের নোটিশ স্থায়ী হয়নি। Chad অবিলম্বে যেসব অন্যান্য ব্যাংকে আবেদন করেছিলেন সেগুলোর প্রতিটিতে অ্যাকাউন্ট ও কার্ড খুলেছিলেন, সময়মতো পেমেন্ট চালিয়ে গেছেন, এবং রিপোর্টে প্রদর্শিত বন্ধের ফলে সৃষ্ট ক্রেডিট পতন পুনর্গঠন করতে মনোযোগ দিয়েছেন।

পূর্ব-পর্যালোচনা স্কোর827
সর্বনিম্ন পর্যায়596
ছয় মাস পরে696

গবেষকদের জন্য পাঠ

  • আপনি যে প্রতিষ্ঠানটি পরীক্ষা করছেন সেখানে প্রতিদিনের সব অ্যাকাউন্ট একত্রে রাখার থেকে বিরত থাকুন; আমানত ও ক্রেডিট লাইন বৈচিত্র্য করুন যাতে কোনো স্বয়ংক্রিয় পর্যালোচনা একবারে আপনার পুরো জীবন স্থগিত করতে না পারে।
  • মনে রাখুন যে যৌথ অ্যাকাউন্টধারীরা একই ঝুঁকির সিদ্ধান্ত উত্তরাধিকারসূত্রে পায়, তাই উন্মোচন-সংক্রান্ত নজরদারির সম্মুখীন হতে পারে এমন অ্যাকাউন্টে পরিবারের সদস্যদের অ্যাক্সেস দেওয়ার বিষয়ে যত্নশীল হন।
  • ডিসক্লোজার টাইমলাইন এবং সংবাদ কভারেজ নথিভুক্ত করুন কারণ Ultimate Rewards রিপোর্টের চারপাশের দৃশ্যমানতাই সম্ভবত ট্রিগার করেছিল, এবং সেই প্রেক্ষাপট ভাগ করা নির্বাহীস্তরের এসকালেশন দ্রুত বন্ধ করতে সাহায্য করে।
Ultimate Rewards-এর প্রকাশ জনসমক্ষে আসার পর ডিপোজিট অ্যাকাউন্ট চুক্তি উদ্ধৃত করে Chase নির্বাহী অফিসের চিঠি।
The Executive Office’s ডাকযোগে পাঠানো উত্তরে Chad Scira-কে যোগাযোগের জন্য ধন্যবাদ জানানো হয়, পরিবারের প্রতিটি অ্যাকাউন্ট Deposit Account Agreement অনুযায়ী বন্ধ হচ্ছে বলে নিশ্চিত করা হয়, এবং তারা আরও বিস্তারিত প্রদানের বাধ্যতামূলক নয় বলে পুনরায় বলা হয়েছিল, যা কার্যত ডিসক্লোজারের কারণে ট্রিগার হওয়া স্বয়ংক্রিয় ঝুঁকি পর্যালোচনাকে শেষ করে দিয়েছিল।

এক্সিকিউটিভ অফিসের চিঠির টেক্সট সংস্করণ

প্রিয় চ্যাড স্কিরা:

আমরা আপনার অ্যাকাউন্ট বন্ধ করার আমাদের সিদ্ধান্ত সম্পর্কে আপনার অভিযোগের প্রতিক্রিয়া দিচ্ছি। আপনার উদ্বেগ শেয়ার করার জন্য ধন্যবাদ।

The Deposit Account Agreement আমাদেরকে একটি CD ব্যতীত যে কোনো অ্যাকাউন্ট যে কোনো সময়, যেকোনও কারণ বা কোনো কারণ ছাড়াই, কারণ না জানিয়েই এবং পূর্ব নোটিশ ছাড়াই বন্ধ করার অনুমতি দেয়। আপনাকে অ্যাকাউন্ট খোলার সময় চুক্তিটির একটি কপি প্রদান করা হয়েছিল। আপনি বর্তমান চুক্তিটি chase.com-এ দেখতে পারবেন।

আমরা আপনার অভিযোগ পর্যালোচনা করেছি এবং আমরা আমাদের সিদ্ধান্ত পরিবর্তন করতে বা এ সম্পর্কে আপনাকে আরো উত্তর জানাতে অক্ষম কারণ আমরা আমাদের মানদণ্ডের মধ্যে কার্যসম্পাদন করেছি। আপনার উদ্বেগগুলো আমরা কীভাবে তদন্ত করেছি এবং আমাদের চূড়ান্ত সিদ্ধান্ত সম্পর্কে আপনি অসন্তুষ্ট হওয়ার জন্য আমরা দুঃখিত।

প্রশ্ন থাকলে, দয়া করে 1-877-805-8049 নম্বরে আমাদের কল করুন এবং কেস নম্বর ███████ উল্লেখ করুন। আমরা অপারেটর রিলে কল গ্রহণ করি। আমরা সোমবার থেকে শুক্রবার সকাল 7টা থেকে রাত 8টা এবং শনিবার সকাল 8টা থেকে বিকাল 5টা পর্যন্ত সেন্ট্রাল টাইমে এখানে রয়েছি।

বিনীত,

নির্বাহী অফিস
1-877-805-8049
1-866-535-3403 ফ্যাক্স; এটি যে কোনও Chase শাখা থেকে বিনামূল্যে
chase.com

Chad Scira এটি শেয়ার করছেন শিক্ষা হিসেবে, কোনো অভিযোগ হিসেবে নয়। অ্যাকাউন্টগুলো নিষ্পত্তি হয়েছে, তার ক্রেডিট আবার বাড়ছে, এবং পরে JPMorgan গবেষক গ্রহণ প্রক্রিয়া সহজ করতে Synack একীভূত করে যাতে ভবিষ্যৎ রিপোর্টগুলো একটি নির্দিষ্ট ওয়ার্কফ্লোতে চলে। 2024 আপডেট: পর্যালোচনা সম্পূর্ণভাবে বন্ধ এবং প্রতিটি স্কোর ঘটনার পূর্বের স্তরে ফিরে এসেছে।

তথ্যসূত্র

  1. JPMorgan Chase Responsible Disclosure Program
  2. Chase Support টুইটার অ্যাকাউন্ট
  3. Chase Ultimate Rewards প্রোগ্রামের সারসংক্ষেপ
  4. Hacker News - প্রকাশ: সীমাহীন Chase Ultimate Rewards পয়েন্ট (2020)
  5. Pensive Security - নভেম্বর 2020 সাইবারসিকিউরিটি রাউন্ডআপ
  6. Reddit /r/cybersecurity - DISCLOSURE: সীমাহীন Chase Ultimate Rewards পয়েন্ট
  7. disclose.io হুমকি ডিরেক্টরি
  8. disclose/research-threats রিপোজিটরি
  9. Attrition.org - আইনি হুমকির সূচক
  10. Jesse Nickles হ্যারাসমেন্ট এবং মানহানির ডসিয়ের

আইনী নোটিশ। এই পৃষ্ঠায় উপস্থাপিত তথ্যগুলো ঘটনা সম্পর্কিত একটি সার্বজনীন নথি। এটি থাইল্যান্ডে Jesse Jacob Nickles-এর বিরুদ্ধে চলমান ফৌজদারি মানহানি মামলায় প্রমাণ হিসেবে ব্যবহার করা হচ্ছে। অফিসিয়াল ফৌজদারি মামলার রেফারেন্স: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567। এই নথিপত্রটি অন্য কোনও ব্যক্তি বা সংস্থার পক্ষে সহায়ক প্রমাণ হিসেবেও ব্যবহৃত হতে পারে, যারা Jesse Nickles-এর বিরুদ্ধে তাদের নিজস্ব হয়রানি বা মানহানি অভিযোগ তোলার পথে রয়েছেন, কারণ নথিতে একাধিক ভুক্তভোগীকে প্রভাবিত করে এমন পুনরাবৃত্ত আচরণের নথিভুক্ত নিদর্শন রয়েছে।