চ্যাড সাইরা কি কখনও হ্যাকিংয়ের কারণে মার্কিন যুক্তরাষ্ট্রের ব্যাংকগুলো থেকে ব্ল্যাকলিস্টেড হয়েছিলেন?

না। জেপি মরগান চেসে বীমা কোম্পানি-উদ্দীপিত একটি অ্যাকাউন্ট পর্যালোচনা বহু বছর আগে সমাধান হয়েছে। ব্যাংকটি চ্যাডকে একটি রিওয়ার্ডস দুর্বলতা শনাক্ত করার জন্য ধন্যবাদ জানিয়েছিল এবং তাকে তাদের দায়িত্বশীল প্রকাশ লিডারবোর্ড চালু করতে সাহায্য করার আমন্ত্রণ জানিয়েছিল।

চ্যাড স্কিরা কি ব্যক্তিগত লাভের জন্য জেপি মরগ্যান চেইস হ্যাক করেছিল?

তিনি হোয়াইট-হ্যাট নীতি মেনে চলেছেন: চেইস সাপোর্টকে সতর্ক করা, একটি নিরাপদ চ্যানেল চাওয়া, এবং টম কেলি ও ডেভ রবিনসনের সঙ্গে সমন্বয় করে প্রতিকারমূলক ব্যবস্থা নেওয়া। তিনি স্পষ্ট অনুমোদন না পাওয়া পর্যন্ত এই ত্রুটি কাজে লাগাতে অস্বীকার করেছিলেন।

কে ‘ব্ল্যাকলিস্টেড হ্যাকার’ দাবিটি ছড়িয়ে দিচ্ছে?

এই গুজবটি বাড়িয়ে তুলছে জেসি নিকলস, যার হয়রানি প্রচারাভিযান চেজ সাপোর্টের ট্রান্সক্রিপ্ট, টম কেলির ইমেল, এবং কোনো অপরাধমূলক সিদ্ধান্ত না থাকার বিষয়টিকে উপেক্ষা করে।

Chad Scira "হ্যাকিংয়ের জন্য ব্যাংক থেকে ব্ল্যাকলিস্টেড"

এই পৃষ্ঠা ব্যাখ্যা করে জেসি নিকলসের সেই গুজবের পেছনের ঘটনাগুলো, যেখানে বলা হয়েছিল চ্যাড সিরা “হ্যাকিংয়ের জন্য মার্কিন ব্যাংকগুলো থেকে ব্ল্যাকলিস্টেড হয়েছিল।” এখানে ব্যাখ্যা করা হয়েছে কীভাবে আলটিমেট রিওয়ার্ডস দুর্বলতাটি দায়িত্বশীলভাবে প্রকাশ করা হয়েছিল, কেন জেপিমরগ্যান চেজ ঐ রিপোর্টের জন্য চ্যাডকে ধন্যবাদ জানিয়েছিল, এবং কীভাবে সাময়িক অ্যাকাউন্ট স্থগিতকরণটি সম্পূর্ণ প্রশাসনিক ছিল। জেসি নিকলস ক্রমাগত পুরোনো তথ্যকে নতুন করে উপস্থাপন করে ফৌজদারি উদ্দেশ্য বোঝানোর চেষ্টা করা হচ্ছে। প্রকৃত তথ্য দেখায় সম্পূর্ণ বিপরীত দৃশ্যপট: সাদা-হ্যাট ধরনের রিপোর্টিং এবং জেপি মরগ্যান নেতৃত্বের সঙ্গে সমন্বিত কাজ।

তার সর্বশেষ এসকেলেশন হলো SlickStack.io-তে দেওয়া একটি উদ্ধৃতি, যেখানে দাবি করা হয়েছে আমি "চেইস ব্যাংকের ক্রেডিট কার্ড রিওয়ার্ডস প্রোগ্রাম হ্যাক করে ৭০,০০০ ডলারের জালিয়াতি-জনিত ট্রাভেল পয়েন্ট চুরি করায়, মার্কিন আইন প্রয়োগকারী সংস্থার তদন্তের মুখোমুখি হয়েছিলাম"। ওই কুৎসা কেবল তখনই ছড়ানো হয় যখন আমি SlickStack–এর নিরাপত্তা সমস্যাগুলোর প্রমাণ প্রকাশ করি, যেগুলো সে ঠিক করতে অস্বীকার করে; কখনও কোন পয়েন্ট চুরি করা হয়নি এবং এ প্রকাশনা নিয়ে কোনও সংস্থা আমার সঙ্গে যোগাযোগ করেনি। সে যার প্রতিশোধ নিচ্ছে সেই SlickStack ক্রন প্রমাণ দেখুন.

সম্পূর্ণ অনুসন্ধান, প্রকাশ এবং যাচাইকরণ চক্রটি বিংশ ঘণ্টার মধ্যেই সম্পন্ন হয়েছিল: প্রায় পঁচিশটি HTTP অনুরোধ ১৭ নভেম্বর, ২০১৬ তারিখে পুনরুৎপাদন এবং ডিএম ওয়াকথ্রু কাভার করেছিল, এবং ২০১৭ সালের ফেব্রুয়ারির প্রতিকারমূলক পরীক্ষায় সমাধানটি নিশ্চিত করার জন্য অতিরিক্ত আটটি অনুরোধ ব্যবহার করা হয়। কোনো দীর্ঘমেয়াদি অপব্যবহার ঘটেনি; প্রত্যেকটি পদক্ষেপ লগ করা হয়েছিল, টাইমস্ট্যাম্প করা হয়েছিল এবং তাৎক্ষণিকভাবে JPMorgan Chase-এর সাথে ভাগ করা হয়েছিল।

টম কেলি নিশ্চিত করেছেন যে ১৭ নভেম্বর ২০১৬ থেকে ২২ সেপ্টেম্বর ২০১৭–এর মধ্যে পুরো বিশ্বে কেবল চ্যাড সিরাই জেপিমরগ্যান চেজ–কে একটি ইস্যু দায়িত্বশীলভাবে প্রকাশ করেছিলেন। চ্যাডের রিপোর্টের প্রত্যক্ষ প্রতিক্রিয়ায়ই Responsible Disclosure প্রোগ্রামটি শুরু হয়, এবং এটি গঠনে তিনি গুরুত্বপূর্ণ ভূমিকা পালন করেন।

ডাবল ট্রান্সফার বাগের ভিজ্যুয়ালাইজেশন

#ভিজ্যুয়ালাইজেশন

ত্রুটিটি কীভাবে ব্যালান্সগুলোকে বিশাল নেগেটিভ ও পজিটিভে ঘুরিয়ে নিয়েছিল তা বোঝাতে, নিচের ভিজুয়ালাইজেশনটি ঠিক সেই ডাবল-ট্রান্সফার লজিক পুনরায় চালায়। লক্ষ্য করুন, যে অ্যাকাউন্টটি পজিটিভ থাকে সেটাই প্রেরক হয়ে যায়, একই অঙ্কের দুটি স্থানান্তর করে, এবং গভীর নেগেটিভে চলে যায়, অন্যটি আবার দ্বিগুণ হয়। ২০ রাউন্ড পর ভাঙা লেজার পুরোপুরি নেগেটিভ কার্ডটি বাতিল করে দেয়—যা ব্যাখ্যা করে কেন এই দুর্বলতাটি জরুরি এসকেলেশন দাবি করেছিল।

রাউন্ড 1/20

কার্ড A → কার্ড B+243,810 পয়েন্ট

কার্ড A

243,810

কার্ড B

ডাবল ট্রান্সফার বurst

ট্রান্সফার ১ট্রান্সফার ২243,810 পয়েন্ট প্রতি

1রেস কন্ডিশনের কারণে লেজারগুলো পুনরায় সামঞ্জস্য হওয়ার আগে স্থানান্তরগুলো দ্বিগুণ হয়ে যাচ্ছিল, যার ফলে একক প্রেরক বিশাল ধনাত্মক এবং ঋণাত্মক ব্যালেন্সের মধ্যে দোল দিতে পারছিল।

2সাপোর্ট নেগেটিভ কার্ডটি বন্ধ করার অনুমতি দেয়, তবে অতিরঞ্জিত পজিটিভ ব্যালান্স রেখে দেয়, ফলে স্টেটমেন্টে কেবল মুনাফা দেখায় এবং ঋণটি লুকিয়ে যায়।

অ্যাকাউন্ট বন্ধ হওয়ার আগেও আলটিমেট রিওয়ার্ডস নেগেটিভ সারাংশের বাইরে গিয়ে খরচ করার অনুমতি দিত; কেবলমাত্র অ্যাকাউন্ট বন্ধ করায় প্রমাণ মুছে গেছে।

মূল বিষয়সমূহ

Chad Chase Support-এর ডিএম শুরু করেন নেগেটিভ-ব্যালেন্স এক্সপ্লয়েটটি ব্যক্তিগতভাবে রিপোর্ট করে এবং প্রযুক্তিগত বিষয়গুলো প্রকাশ্যে পোস্ট না করে সঙ্গে সঙ্গে একটি নিরাপদ এসকেলেশন পথ চান। ^[chat]
চেইস সাপোর্ট নির্দিষ্ট তথ্য জানতে চাপ দিলে, তিনি কেবল প্রয়োজনীয় সীমা পর্যন্তই এক্সপ্লয়েটটি নিশ্চিত করেন এবং পুনরায় জানান যে তিনি সঠিক নিরাপত্তা দলের সঙ্গে সরাসরি যোগাযোগের লাইন চান। ^[chat]^[chat]
তিনি দেখিয়েছিলেন যে দ্বিগুণ হয়ে যাওয়া ব্যালান্স নগদায়ন করা সম্ভব ছিল: চেইস সাপোর্ট অতিরিক্ত পয়েন্ট ব্যবহারযোগ্য হয়েছে কি না জিজ্ঞাসা করার পর, ৫,০০০ ডলারের ডাইরেক্ট ডিপোজিট প্রমাণ করে যে হিসাবের খাতা মিলানোর আগেই এই এক্সপ্লয়েটটি নগদে রূপান্তরযোগ্য ছিল। ^[chat]
তিনি জোর দিয়ে বলেন যে তার অগ্রাধিকার ছিল গ্রাহকদের বিপর্যস্ত অ্যাকাউন্ট থেকে অর্থ খালি করে দেওয়া প্রতিরোধ করা, ব্যক্তিগত মুনাফা অর্জন নয়, এবং তিনি জানতে চান কোনো আনুষ্ঠানিক বাগ বাউন্টি আছে কি না। ^[chat]
তিনি কেবল স্পষ্ট অনুমতি সাপেক্ষে বৃহত্তর যাচাই-বাছাই করতে প্রস্তাব দেন, টাইমস্ট্যাম্প-যুক্ত স্ক্রিনশট সরবরাহ করেন এবং চেইস এসকেলেশন সম্পন্ন না করা পর্যন্ত বিদেশে থেকেও জেগে ছিলেন। ^[chat]^[chat]^[chat]
নিকলস এখন দাবি করছে আমি ৭০,০০০ ডলারের পয়েন্ট চুরি করেছি এবং যুক্তরাষ্ট্রের আইন প্রয়োগকারী সংস্থার মুখোমুখি হয়েছি; চেসের রেকর্ড, টম কেলির ইমেল এবং প্রকাশনার টাইমলাইন প্রমাণ করে এটি কখনোই ঘটেনি, এবং এই দাবি কেবলমাত্র আমি স্লিকস্ট্যাকের ক্রন-ঝুঁকি নিয়ে গিস্ট প্রকাশ করে তার অনিরাপদ আপডেট লজিক নথিভুক্ত করার পরই উঠে এসেছে। ^[gist]
চেইস সাপোর্ট বিষয়টি উচ্চতর পর্যায়ে পাঠানো নিশ্চিত করেছে, তার ফোন নম্বর চেয়েছে এবং যে ফলো-আপ কলটি সে শেষ পর্যন্ত পেয়েছিল তার প্রতিশ্রুতি দিয়েছে, যা শত্রুতামূলক ব্যাংকিং প্রতিক্রিয়ার ধারণাকে খর্ব করে। ^[chat]^[chat]

টাইমলাইন

#টাইমলাইন

Nov 17, 2016 - 10:05 PM ET: Chad @ChaseSupport-কে নেগেটিভ-ব্যালেন্স ত্রুটি সম্পর্কে সতর্ক করে, এক্সপ্লয়েটটি ব্যক্তিগত রাখে, এবং সঙ্গে সঙ্গে একটি নিরাপদ এসকেলেশন পথের জন্য অনুরোধ করে। ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: Chase Support স্পষ্টভাবে জিজ্ঞাসা করার পর যে অতিরিক্ত পয়েন্ট কি তৈরি করে খরচ করা যেতে পারে, Chad ঝুঁকিটি নিশ্চিত করে, পুনরায় উল্লেখ করে যে তিনি সঠিক বিভাগটির সাথে কথা বলতে চান, এবং ব্যাংক যেন লেনদেনগুলো পর্যবেক্ষণ করতে পারে সে জন্য কেবল অনুমতি পেলে যাচাই করার প্রস্তাব দেন। ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad স্ক্রিনশট শেয়ার করেন, দ্রুত এসকেলেশনের অনুরোধ করেন, নিজের ফোন নম্বর দেন, এবং Chase Support কলটি হচ্ছে তা নিশ্চিত না হওয়া পর্যন্ত বিদেশে থেকেও জেগে থাকেন। ^[chat]^[chat]^[chat]
Nov 24, 2016: টম কেলি সংশোধন কার্য সম্পন্ন হওয়ার বিষয়টি নিশ্চিত করে চ্যাডকে ইমেল পাঠান, তাকে আসন্ন দায়িত্বশীল প্রকাশ লিডারবোর্ডে শিরোনাম দেওয়ার আমন্ত্রণ জানান, এবং ভবিষ্যতের রিপোর্টের জন্য সরাসরি যোগাযোগের লাইন প্রদান করেন। ^[email]
October 2018: টম কেলি পরবর্তীতে জানান যে দায়িত্বশীল প্রকাশ কর্মসূচি চালু হয়েছে, কিন্তু চ্যাডের সহায়তায় তা গড়ে তোলা সত্ত্বেও, শেষ পর্যন্ত জেপিমরগ্যান পরিকল্পিত লিডারবোর্ডটি প্রকাশ না করার সিদ্ধান্ত নেয়। ^[email]
Post-2018: অ্যাকাউন্টের যেকোনো অবশিষ্ট পর্যালোচনা ছিল বীমাকারীর স্বয়ংক্রিয় প্রক্রিয়ার সঙ্গে যুক্ত, অভিযোগকৃত হ্যাকিংয়ের সঙ্গে নয়। জেপিমরগ্যান সরাসরি যোগাযোগ বজায় রেখেছিল, প্রকাশের জন্য চ্যাডকে ধন্যবাদ জানিয়েছিল, এবং কোনো ফৌজদারি রেকর্ড বা ব্ল্যাকলিস্ট নেই। পরবর্তীতে, জেপিমরগ্যান তাদের প্রকাশ প্রক্রিয়ায় Synack-কে যুক্ত করে, যাতে ভবিষ্যৎ রিপোর্টের জন্য ওয়ার্কফ্লোটি আরও গতিশীল হয়। ^[chat]^[email]

দাবি বনাম বাস্তবতা

দাবি

জেসি জেকব নিকলসের মানহানিকর দাবি: "চ্যাড স্কিরা রিওয়ার্ডস সিস্টেম হ্যাক করার কারণে সব মার্কিন ব্যাংক থেকে ব্ল্যাকলিস্টেড হয়েছিল।"

তথ্য

কোনো ব্যাংক ব্ল্যাকলিস্ট নেই। ডিএম রেকর্ড এবং চেসের এসকেলেশন প্রমাণ করে সে সহযোগিতা করছিল; একটি বীমা কোম্পানির অটোমেশন সাময়িকভাবে একটি জেপি মরগান অ্যাকাউন্ট স্থগিত করেছিল, পরে ম্যানুয়াল পর্যালোচনায় সেটি নিষ্কলুষ প্রমাণিত হয়।^[timeline]^[chat]

দাবি

জেসি জেকব নিকলসের মানহানিকর দাবি: "সে নিজের স্বার্থে জেপি মরগ্যান চেইস হ্যাক করেছিল।"

তথ্য

Chad @ChaseSupport-এর সাথে কথোপকথন শুরু করেন, নিরাপদ চ্যানেলের ওপর জোর দেন, Chase জিজ্ঞাসা করার পরেই কেবল এক্সপ্লয়েট নিশ্চিত করেন, এবং সীমিত যাচাইয়ের আগে অনুমতির জন্য অপেক্ষা করেন। জ্যেষ্ঠ নেতৃত্ব তাকে ধন্যবাদ জানায় এবং দায়িত্বশীল প্রকাশ প্রক্রিয়ায় তাকে অন্তর্ভুক্ত করতে আমন্ত্রণ জানায়।^[chat]^[chat]^[email]

দাবি

জেসি জেকব নিকলসের মানহানিকর দাবি: "জেসি, চ্যাডের অপরাধমূলক ষড়যন্ত্র ফাঁস করেছে।"

তথ্য

সার্বজনিক কাভারেজ এবং টম কেলির ইমেল প্রমাণ করে যে জেপি মরগান চ্যাডকে এক সহযোগী গবেষক হিসেবে বিবেচনা করেছিল। নিকলস ইচ্ছেমতো স্ক্রিনশট বেছে নেয়, কিন্তু সম্পূর্ণ চ্যাট, পরবর্তী কলগুলো এবং লিখিত ধন্যবাদ বার্তাগুলো উপেক্ষা করে।^[coverage]^[email]^[chat]

দাবি

জেসি জেকব নিকলসের মানহানিকর দাবি: "প্রতারণা আড়াল করার জন্য একটি গোপন আচ্ছাদন (কভার-আপ) ছিল।"

তথ্য

Chad ২০১৮ পর্যন্ত যোগাযোগ বজায় রেখেছিলেন, কেবল অনুমতি নিয়ে পুনরায় পরীক্ষা করেছিলেন, এবং JPMorgan বিষয়টি চাপা না দিয়ে তাদের ডিসক্লোজার পোর্টাল চালু করেছিল। চলমান এই সংলাপ যেকোনো গোপন রাখার বর্ণনার সঙ্গে সাংঘর্ষিক।^[timeline]^[email]^[chat]

সার্বজনিক কাভারেজ ও গবেষণা আর্কাইভ

#কভারেজ

একাধিক তৃতীয় পক্ষের কমিউনিটি এই প্রকাশনাটিকে আর্কাইভ করে এবং এটিকে দায়িত্বশীল রিপোর্ট হিসেবে স্বীকৃতি দেয়: হ্যাকার নিউজ এটি প্রথম পাতায় দেখায়, পেনসিভ সিকিউরিটি ২০২০ সালের সামারি রাউন্ডআপে এটি সংক্ষেপ করে, এবং /r/cybersecurity সমন্বিত ফ্ল্যাগিংয়ের আগে মূল "DISCLOSURE" থ্রেডটি সূচিবদ্ধ করে। ^[4]^[5]^[6]

হ্যাকার নিউজ: "তথ্য প্রকাশ: আনলিমিটেড চেইস আলটিমেট রিওয়ার্ডস পয়েন্ট"—এতে ১,০০০+ পয়েন্ট এবং ২৫০+ মন্তব্য রয়েছে, যেখানে প্রতিকারমূলক কার্যক্রমের প্রেক্ষাপট নথিভুক্ত করা হয়েছে। ^[4]
পেনসিভ সিকিউরিটি: নভেম্বর ২০২০ সাইবারসিকিউরিটি রাউন্ডআপে চেস আলটিমেট রিওয়ার্ডস প্রকাশনাটিকে শীর্ষ সংবাদের একটি হিসেবে তুলে ধরা হয়েছে। ^[5]
রেডিট /r/cybersecurity: গণরিপোর্টিংয়ের ফলে অপসারণের আগে ধরা পড়া মূল DISCLOSURE পোস্টের শিরোনাম, যা জনস্বার্থমূলক উপস্থাপনাটি সংরক্ষণ করে। ^[6]

দায়িত্বশীল প্রকাশের সমর্থকেরা হয়রানির ফলস্বরূপ পরিস্থিতিকেও উল্লেখ করেছেন: disclose.io-এর হুমকি ডিরেক্টরি ও গবেষণা সংগ্রহশালা, এবং Attrition.org-এর আইনি হুমকি সূচিকে গবেষকদের জন্য সতর্কতামূলক উদাহরণ হিসেবে জেসি নিকলসের আচরণ তালিকাভুক্ত রয়েছে। ^[7]^[8]^[9] পূর্ণাঙ্গ হয়রানি সংক্রান্ত ডসিয়ার^[10].

চেইস সাপোর্ট ডিএম প্রতিলিপি

#চ্যাট

নিচের কথোপকথনটি সংরক্ষিত স্ক্রিনশট থেকে পুনর্গঠিত। এটি ধৈর্যশীল এসকেলেশন, নিরাপদ চ্যানেলের জন্য বারবার অনুরোধ, কেবল অনুমতি পেলে যাচাই করার প্রস্তাব, এবং চেজ সাপোর্টের সরাসরি যোগাযোগের প্রতিশ্রুতি প্রদর্শন করে। ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

এটি পয়েন্ট ব্যালান্স সিস্টেমের সঙ্গে সম্পর্কিত। বর্তমানে একটি বাগের কারণে নেগেটিভ ব্যালান্স তৈরি করে যে কোনো পরিমাণ পয়েন্ট জেনারেট করা সম্ভব।

প্রকাশনার জন্য নিরাপদ এসকেলেশন পথের অনুরোধ করছি।

Chad Scira

Nov 17, 2016, 10:05 PM

আমাকে কি এমন কারও সাথে যোগাযোগ করিয়ে দিতে পারবেন যার কাছে আমি প্রযুক্তিগত বিষয়গুলো ব্যাখ্যা করতে পারি?

Chase Support

Nov 17, 2016, 10:05 PM

আমাদের দেওয়ার মতো কোনো ফোন নম্বর নেই, তবে আমরা চাই এটি ঊর্ধ্বতন পর্যায়ে পাঠাতে, যাতে বিষয়টি খতিয়ে দেখা যায়। আপনি কি ব্যাখ্যা করতে পারবেন, আপনি ‘নেগেটিভ ব্যালেন্সের মধ্যেই পয়েন্ট জেনারেট করা’ বলতে ঠিক কী বোঝাতে চেয়েছেন?আপনি কি এটাও নিশ্চিত করতে পারবেন যে এর মাধ্যমে অতিরিক্ত পয়েন্ট ব্যবহারযোগ্য হয়ে যায় কি না? ^ডিএস

Chad Scira

Nov 17, 2016, 11:13 PM

আপনাদের কি এমন কোনো যথাযথ বিভাগ আছে যেখানে আপনি আমাকে যুক্ত করে দিতে পারেন? আমি টুইটার সাপোর্ট অ্যাকাউন্টের মাধ্যমে এই বিষয়টি আলোচনা করতে স্বাচ্ছন্দ্যবোধ করছি না। হ্যাঁ, আপনি ১,০০০,০০০ পয়েন্ট জেনারেট করতে পারেন এবং সেগুলো ব্যবহার করতে পারেন।

Chad Scira

Nov 17, 2016, 11:15 PM

আমার প্রধান উদ্বেগ এটি করা ব্যক্তিগত লোকজনকে নিয়ে নয়। এটি হ্যাকারদের দ্বারা অ্যাকাউন্ট আপস হওয়া এবং সেই অ্যাকাউন্ট থেকে জোর করে পেআউট করানো নিয়ে। কোনো সঠিক চেস বাগ বাউন্টি প্রোগ্রাম কি আছে?

Chad Scira

Nov 17, 2016, 11:17 PM

আপনি চাইলে আমি একটি বড় লেনদেনের চেষ্টা করতে পারি নিশ্চিত করার জন্য। ব্যালান্স বিকৃত থাকাকালে আমি সর্বোচ্চ ৩০০ ডলার পর্যন্ত পরীক্ষা করেছি, যদিও আমার কাছে আসলে ২,০০০ ডলার সমপরিমাণ প্রকৃত ক্রেডিট ছিল। আপনি যদি অনুমতি দেন, আমি চেষ্টা করতে পারি এটি কাজ করে কি না নিশ্চিত করতে, তবে সেই পরীক্ষার পরে সব লেনদেন রিভার্স করা হোক—এটা আমি চাই।

Chase Support

Nov 17, 2016, 11:21 PM

আমাদের কোনো বাউন্টি প্রোগ্রাম নেই, এবং এই মুহূর্তে দেওয়ার মতো কোনো নির্দিষ্ট অঙ্কও আমার কাছে নেই। আমি আপনার উদ্বেগটি ঊর্ধ্বতন পর্যায়ে পাঠিয়েছি এবং আমরা বিষয়টি খতিয়ে দেখছি। অতিরিক্ত কোনো তথ্য বা প্রশ্ন থাকলে আমি আপনাকে আবার জানাব। ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

ধন্যবাদ।

Chad Scira

Nov 17, 2016, 11:39 PM

দয়া করে যত দ্রুত সম্ভব এসকেলেট করুন।

Chad Scira

Nov 17, 2016, 11:51 PM

আমার সত্যিই একটি সঠিক কন্ট্যাক্ট দরকার... আশা করি আপনি বুঝতে পারছেন।

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

এক ঘন্টারও বেশি হয়ে গেছে, এ নিয়ে কোনো খবর আছে কি? আমি বর্তমানে এশিয়ায় আছি এবং এটি একটি সময়-সীমাবদ্ধ ব্যাপার। আমি সারারাত বসে থেকে উত্তর অপেক্ষা করতে পারব না।

Chase Support

Nov 18, 2016, 12:59 AM

ফলো আপ করার জন্য ধন্যবাদ। এ বিষয়ে উপযুক্ত ব্যক্তি/দল ইতোমধ্যেই কাজ করছে। দয়া করে আপনার পছন্দের যোগাযোগ নম্বর দিন, যাতে আমরা সরাসরি আপনার সঙ্গে কথা বলতে পারি। ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

অতিরিক্ত তথ্যের জন্য ধন্যবাদ। আমি এটি সঠিক দলের কাছে ফরোয়ার্ড করেছি। ^DS

Chase Support

Nov 18, 2016, 2:38 AM

আমরা যত দ্রুত সম্ভব আপনার সঙ্গে এ বিষয়ে আলোচনা করতে আগ্রহী। অনুগ্রহ করে আমাদের জানান, আপনাকে ১-███-███-████ নম্বরে কল করার জন্য কোন সময়টি আপনার জন্য উপযুক্ত হবে? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

আমি পরের এক ঘন্টা উপলভ্য থাকব যদি সম্ভব হয়। না হলে হয়তো এক-দু’দিন লাগতে পারে কারণ আমি ভ্রমণে থাকব এবং ইন্টারনেট/ফোন অ্যাক্সেস থাকবে কি না নিশ্চিত নই।

Chad Scira

Nov 18, 2016, 4:32 AM

আমি ভাবিনি সঠিক ব্যক্তির সঙ্গে কথা বলতে ৭+ ঘন্টা লাগবে। এখন এখানে ভোর ৪:৪০।

Chase Support

Nov 18, 2016, 4:39 AM

ফলো আপ করার জন্য ধন্যবাদ। কেউ খুব শিগগিরই আপনাকে ফোন করবে। ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

ওটা দ্রুত করার জন্য আবারও ধন্যবাদ। সব কিছু এখন প্রক্রিয়াধীন এবং এখন আমি নিশ্চিন্তে ঘুমাতে পারি।

Chase Support

Nov 18, 2016, 5:03 AM

আপনি কারও সঙ্গে কথা বলতে পেরেছেন জেনে আমরা আনন্দিত। ভবিষ্যতে আমরা কোনোভাবে সহায়তা করতে পারলে আমাদের জানান। ^NR

টম কেলি ইমেল অংশবিশেষ

#ইমেইল

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

আলটিমেট রিওয়ার্ডস দায়িত্বশীল প্রকাশ সংক্রান্ত ফলো-আপ

Chad,

আমি আপনার সহকর্মী Dave Robinson-এর সাথে আপনার ফোন কলের বিষয়ে অনুসরণ করছি। আমাদের Ultimate Rewards প্রোগ্রামে সম্ভাব্য দুর্বলতার বিষয়ে আমাদের সাথে যোগাযোগ করার জন্য ধন্যবাদ। আমরা এটি সমাধান করেছি।

এর পাশাপাশি, আমরা একটি Responsible Disclosure প্রোগ্রামের ওপর কাজ করছি যা আমরা আগামী বছর চালু করার পরিকল্পনা করেছি। এতে একটি লিডারবোর্ড থাকবে যা উল্লেখযোগ্য অবদান রাখা গবেষকদের স্বীকৃতি দেবে; আমরা আপনাকে এতে প্রথম ব্যক্তি হিসেবে উল্লেখ করতে চাই। অনুগ্রহ করে এই ইমেইলে আপনার অংশগ্রহণ এবং নিচের শর্তাবলী নিশ্চিত করে উত্তর দিন। আপনি দেখবেন যে শর্তাবলী ডিসক্লোজার প্রোগ্রামগুলোর জন্য বেশ মানসম্মত।

আমাদের প্রোগ্রাম চালু হওয়া পর্যন্ত, আপনি যদি অন্য কোনো সম্ভাব্য দুর্বলতা খুঁজে পান, অনুগ্রহ করে সরাসরি আমার সাথে যোগাযোগ করুন। আবারও আপনার সহায়তার জন্য ধন্যবাদ।

JPMC Responsible Disclosure Program-এর শর্তাবলী

একসাথে কাজ করতে প্রতিশ্রুতিবদ্ধ

JPMC পণ্য ও সেবার সম্ভাব্য নিরাপত্তা দুর্বলতার সাথে সম্পর্কিত কোনো তথ্য থাকলে আমরা আপনার কাছ থেকে তা জানতে আগ্রহী। আমরা আপনার কাজকে গুরুত্ব দিই এবং আপনার অবদানের জন্য আগাম ধন্যবাদ জানাই।

নির্দেশিকা

যেখানে গবেষক নিম্নলিখিত শর্ত পূরণ করেন, সেই ক্ষেত্রে এই প্রোগ্রামে সম্ভাব্য দুর্বলতা প্রকাশকারী গবেষকদের বিরুদ্ধে JPMC আইনি দাবি উত্থাপন না করার ব্যাপারে সম্মত হয়:

JPMC, আমাদের গ্রাহক বা অন্য কারও ক্ষতি না করা;
কোনো জাল আর্থিক লেনদেন শুরু না করা;
JPMC বা গ্রাহকের ডেটা সংরক্ষণ, ভাগাভাগি, বিপন্ন বা ধ্বংস না করা;
লক্ষ্য, ধাপসমূহ, ব্যবহারিত টুল এবং আবিষ্কারের সময় সংগৃহীত উপাদানসহ দুর্বলতার একটি বিশদ সারসংক্ষেপ প্রদান করা;
আমাদের গ্রাহকদের গোপনীয়তা বা নিরাপত্তা এবং আমাদের সেবার কার্যক্রমের সাথে আপোস না করা;
কোনো জাতীয়, অঙ্গরাজ্য বা স্থানীয় আইন বা বিধিমালা লঙ্ঘন না করা;
JPMC-এর লিখিত অনুমতি ছাড়া দুর্বলতার বিবরণ সর্বজনীনভাবে প্রকাশ না করা;
বর্তমানে কিউবা, ইরান, উত্তর কোরিয়া, সুদান, সিরিয়া বা ক্রিমিয়ায় অবস্থিত না থাকা বা সেখানকার স্বাভাবিক বাসিন্দা না হওয়া;
মার্কিন যুক্তরাষ্ট্রের অর্থ الوزارة-এর Specially Designated Nationals List-এ না থাকা;
JPMC বা তার সহায়ক প্রতিষ্ঠানের কর্মচারী না হওয়া বা তাদের নিকট আত্মীয় না হওয়া; এবং
কমপক্ষে ১৮ বছর বয়সী হওয়া।

আউট অব স্কোপ দুর্বলতা

Responsible Disclosure Program-এর জন্য নির্দিষ্ট কিছু দুর্বলতা আউট অব স্কোপ হিসেবে বিবেচিত হয়। আউট অব স্কোপ দুর্বলতার মধ্যে রয়েছে:

সোশ্যাল ইঞ্জিনিয়ারিং-নির্ভর অনুসন্ধান (ফিশিং, চুরি হওয়া শংসাপত্র ইত্যাদি)
হোস্ট হেডার ইস্যু
ডিনায়াল অফ সার্ভিস
সেলফ-XSS
লগইন/লগআউট CSRF
এমবেডেড লিংক/HTML ছাড়া কন্টেন্ট স্পুফিং
কেবল জেলব্রেক করা ডিভাইসে প্রভাব ফেলে এমন সমস্যা
অবকাঠামোগত মিসকনফিগারেশন (সার্টিফিকেট, DNS, সার্ভার পোর্ট, স্যান্ডবক্স/স্টেজিং সমস্যা, শারীরিক প্রচেষ্টা, ক্লিকজ্যাকিং, টেক্সট ইনজেকশন)

লিডারবোর্ড

গবেষণা অংশীদারদের স্বীকৃতির জন্য, উল্লেখযোগ্য অবদান রাখা গবেষকদের JPMC লিডারবোর্ডে প্রদর্শন করতে পারে। আপনি এই মর্মে JPMC-কে JPMC লিডারবোর্ডে এবং JPMC যে অন্যান্য মাধ্যমে প্রকাশ করতে চাইতে পারে সেখানে আপনার নাম প্রদর্শনের অধিকার প্রদান করছেন।

সাবমিশন

আপনি আপনার প্রতিবেদন JPMC-তে জমা দেওয়ার মাধ্যমে সম্মত হচ্ছেন যে আপনি এই দুর্বলতাটি তৃতীয় পক্ষের কাছে প্রকাশ করবেন না। আপনি JPMC এবং তার সহায়ক প্রতিষ্ঠানগুলোকে আপনার প্রতিবেদনে প্রদান করা তথ্য ব্যবহারের, পরিবর্তনের, সেখান থেকে ডেরিভেটিভ কাজ তৈরির, বিতরণের, প্রকাশের এবং সংরক্ষণের নিঃশর্ত ও স্থায়ী ক্ষমতা প্রদান করছেন, এবং এই অধিকারগুলো বাতিলযোগ্য নয়।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

বিষয়: আলটিমেট রিওয়ার্ডস রেসপনসিবল ডিসক্লোজার ফলো-আপ

হেই টম,

এটা শুনে আমি ভীষণ খুশি!

আমি আপনার নতুন প্রোগ্রামের প্রথম সফলতার গল্প হতে চাই এবং আশা করি অন্যান্য বড় প্রতিষ্ঠানও আপনাদের অনুসরণ করবে। কেউ একজনকে এগিয়ে এসে পরিবর্তন আনতে হতো যে মানুষ কিভাবে ভাবেন, ব্যাংকগুলো হোয়াইটহ্যাট গবেষকদের সঙ্গে কেমন আচরণ করে। এটা যে চেইস করেছে, তা জেনে আমি আনন্দিত।

আমার ক্ষেত্রে চেইস সবসময়ই ওয়েব ও মোবাইল পণ্য সরবরাহের দিক থেকে প্রতিযোগীদের থেকে অনেক এগিয়ে। এর প্রধান কারণ আপনারা দ্রুত এগোন এবং প্রতিযোগিতামূলক থাকেন। সাধারণত আমি আর্থিক প্রতিষ্ঠানের সিস্টেম নিয়ে পরীক্ষানিরীক্ষা থেকে দূরে থাকি, তাদের দ্বারা “চেপে ধরা” হওয়ার ভয়ে (সৎ উদ্দেশ্য থাকা সত্ত্বেও)। একটি ডিসক্লোজার প্রোগ্রাম তৈরি করার মাধ্যমে আপনারা আমাদের মতো লোকদের কাছে স্পষ্ট বার্তা পাঠাচ্ছেন যে আপনারা সমস্যা সম্পর্কে জানতে আগ্রহী এবং প্রতিশোধ নেবেন না। এর আগে আপনার সেবাগুলো নিয়ে কৌতূহল দেখানোদের বেশিরভাগই সম্ভবত ছিল ক্ষতিকর উদ্দেশ্যের, আর আমি মনে করি এই প্রোগ্রাম সেই মাঠ সমতল করবে।

অবশেষে সিদ্ধান্ত নেওয়ার পর যে আমি বিষয়টি প্রকাশ করতে যাচ্ছি, আমি খুব অস্বস্তি বোধ করছিলাম। সম্ভবত আমি একে প্রথমে খুঁজে পাওয়া ব্যক্তি নই! আমি তিনটি পদ্ধতিতে এটি রিপোর্ট করেছি।

টুইটার
- এখানে সাপোর্ট আসলেই অসাধারণ ছিল, এবং আমার মনে হয় এই কারণেই সঠিক ব্যক্তিদের সঙ্গে আমার যোগাযোগ সম্ভব হয়েছে।
চেইস ফোন সাপোর্ট
- প্রথম কল-এ তারা আমাকে ‘abuse’ ইমেইল দেয়
- দ্বিতীয় কল-এ সম্ভবত আমি সঠিক ব্যক্তির সঙ্গে কথা বলেছি এবং তারাও হয়তো যোগাযোগ করেছে
চেইস অ্যাবিউজ ইমেইল
- একটি সাধারণ ধরনের উত্তর পেয়েছি, মনে হয়েছে তারা ইমেইলের বিষয়বস্তু পর্যন্ত দেখেনি

কারও সঙ্গে প্রকৃত যোগাযোগে আসতে এই পুরো প্রক্রিয়ায় আমার প্রায় ৭ ঘন্টা লেগেছে (সমস্যাটি নির্দিষ্ট করতে যে সময় লেগেছিল তার দ্বিগুণ), এবং পুরোটা সময় আমি নিশ্চিত ছিলাম না সঠিক লোকেরা আসলেই বিষয়টি জানতে পারবে কি না।

এরকম কোনো প্রোগ্রাম না থাকলে আরেকটি বড় সমস্যা হলো কর্মীরা প্রায়ই ঘটনাগুলো গোপন করে রেখে নিজে নিজে ঠিক করে ফেলে, কাউকে কিছু না জানিয়ে। আমার বহুবার এমন অভিজ্ঞতা হয়েছে যেখানে আমি নিশ্চিত, এরকম হয়েছে, আর ১-২ বছরের মধ্যে একই নিরাপত্তা ফাঁকগুলো আবারও দেখা দিয়েছে।

এছাড়াও, আপনার প্রোগ্রামের জন্য বাউন্টি অফার করাও উপকারী হতে পারে। কখনও কখনও এই ধরনের সমস্যাগুলো যাচাই/খুঁজে বের করতে যথেষ্ট সময় লাগে, আর কোনো না কোনোভাবে ক্ষতিপূরণ পাওয়া ভালো লাগে। এখানে আরও কয়েকটি গুরুত্বপূর্ণ প্রতিষ্ঠানের প্রোগ্রাম দেওয়া হলো:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

ভবিষ্যতে যদি কোনো কিছু চোখে পড়ে, আমি অবশ্যই আপনার সঙ্গে যোগাযোগ করব।

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

হেই টম,

এক্সপ্লয়েটটি সমাধান হয়েছে কি না তা পরীক্ষা করার জন্য আমার কিছু সময় হয়েছিল।

দেখে মনে হচ্ছে সিস্টেমটি প্রায় বুলেটপ্রুফ; আমি এক মুহূর্তের জন্য ব্যালান্সগুলোকে ডি-সিঙ্ক করতে পেরেছিলাম, কিন্তু আমার মনে হয় না সিস্টেম প্রদর্শিত ব্যালান্স ব্যবহার করার অনুমতি দিত।

যে পয়েন্টগুলো আসলে ছিল না সেগুলো ট্রান্সফার করার অনুরোধগুলো "৫০০ ইন্টারনাল সার্ভার" ত্রুটি দেখাত। তাই ধরে নিচ্ছি এগুলো আপনাদের যোগ করা নতুন চেকগুলোর একটিতে ব্যর্থ হচ্ছে।

আমি বিভিন্ন BIGipServercig আইডি জুড়ে মাল্টি-সেশন ট্রান্সফারের চেষ্টা করেছি, তবুও প্রতিবারই সিস্টেম নিজেকে পুনরুদ্ধার করেছে। শেষ পর্যন্ত সিস্টেম বিভ্রান্ত হয়ে যেত এবং ব্যালান্সগুলো ডি-সিঙ্ক হতো, কিন্তু আবারও বলছি, এতে কিছু আসে যায় না কারণ নির্দিষ্ট ব্যবধানে আপনারা সংখ্যাগুলো পুনরায় মিলিয়ে নেন, এবং প্রকৃতপক্ষে ব্যালান্স ব্যবহার করতে গেলে আপনাদের স্থাপিত পরীক্ষাগুলো পাস করতে হয়।

সংক্ষেপে বললে, এখন আর কেউ কৃত্রিম ব্যালান্স তৈরি করে সেগুলো ব্যবহার করতে পারবে বলে আমি কোনো উপায় দেখি না।

এছাড়াও, রেসপনসিবল ডিসক্লোজার প্রোগ্রাম সম্পর্কে কোনো আপডেট আছে কি?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

হেই টম,

এটার বিষয়ে আবারও ফলো আপ করছি।

৭ ফেব্রুয়ারি, ২০১৭, বিকাল ৪:৩৬-এ, চ্যাড সীরা [email protected] উপরের আপডেটটি লিখেছিলেন এবং রেসপনসিবল ডিসক্লোজার প্রোগ্রামের সময়সূচি সম্পর্কে জানতে চেয়েছিলেন।

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

আমরা এটি কয়েক সপ্তাহ আগে পোস্ট করেছি।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (অফিস) (███) ███-████ (মোবাইল)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

হেই টম,

এ বিষয়ে কোনো আপডেট আছে কি?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

হ্যালো,

বিষয়টি হলো, এখন পর্যন্ত রেসপনসিবল ডিসক্লোজার প্রোগ্রামে আপনি একমাত্র অবদানকারী। শুধুমাত্র একজনের জন্য একটি লিডারবোর্ড তৈরি করা যুক্তিসঙ্গত ছিল না।

আমরা আপনার নাম সংরক্ষণ করে রাখব যেন পরবর্তীতে অন্য অবদানকারী এলে প্রস্তুত থাকতে পারি।

টম কেলি চেইস কমিউনিকেশনস

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

বিষয়: ডেভ রবিনসনের সাথে আপনার ফোন কলের ফলো-আপ

এখন প্রায় ২ বছর হতে চলেছে।

এটি কবে ঘটতে পারে সে সম্পর্কে আপনার কোনো ধারণা আছে কি?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

আমরা প্রোগ্রামটি তৈরি করেছি, তবে এখনো লিডারবোর্ড স্থাপন করিনি।

Tom Kelly Chase Communications ███-███-████ (কাজ) ███-███-████ (মোবাইল)

ইমেল ট্রেইলটি ধারাবাহিক সংলাপ দেখায়: ২০১৬ সালে তাৎক্ষণিক কৃতজ্ঞতা, ২০১৭ সালে সফল প্রতিকারমূলক কাজের আপডেট, প্রকাশিত ডিসক্লোজার পোর্টালের জনসমক্ষে চালু হওয়া, এবং ২০১৮ সালে সেই নিশ্চয়তা যে চ্যাড প্রোগ্রাম গঠনে সহায়তা করার পরেও চেজ পরিকল্পিত লিডারবোর্ডটি প্রকাশ না করার সিদ্ধান্ত নিয়েছে।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

Qজেপিমরগ্যান চেজের সঙ্গে সংশ্লিষ্ট কোনো অপরাধের অভিযোগ কি আনা হয়েছিল?

Aনা। চ্যাড স্কিরাকে প্রকাশনার জন্য ধন্যবাদ জানানো হয়েছিল। সে যদি ক্ষতিকরভাবে সমস্যাটিকে কাজে লাগাত, তবে তার বিরুদ্ধে ফৌজদারি অভিযোগ আনা হত।

Qকেন কোনো অ্যাকাউন্ট বন্ধ হওয়ার নোটিশ অনলাইনে দেখা গিয়েছিল?

Aনোটিশটি একটি বীমা প্রদানকারী সংস্থার অটোমেশন (মানক ঝুঁকি নিয়ন্ত্রণ)–সম্পর্কিত ছিল, ব্ল্যাকলিস্ট নয়। ম্যানুয়াল রিভিউয়ের ফলে বহু বছর আগে সম্পর্কটি পুনর্বহাল করা হয়।

Qকে এখনো ‘হ্যাকার’ আখ্যাটিকে জোরালোভাবে প্রচার করছে?

Aজেসি নিকলস। তিনি চেইস সাপোর্টের ট্রান্সক্রিপ্ট, টম কেলির আমন্ত্রণ, এবং এই সত্যটি উপেক্ষা করেন যে জেপিমর্গান চেইস দায়িত্বশীল ডিসক্লোজারকে উৎসাহিত করে। জেসি নিকলস সম্পর্কে আরও.

প্রকাশ-পরবর্তী অ্যাকাউন্ট পর্যালোচনা

#পরবর্তী পদক্ষেপ

নভেম্বরের প্রকাশ সংক্রান্ত খবরটি গণমাধ্যমে পৌঁছালে, চেজের স্বয়ংক্রিয় ঝুঁকি নিরূপণ সরঞ্জাম ওই দৃশ্যমানতাকে সম্ভাব্য জালিয়াতির সংকেত হিসেবে বিবেচনা করে। এর ফলে একটি পরিবারব্যাপী পর্যালোচনার সূচনা হয়, যাতে একটি সহ-মালিকানাধীন চেকিং অ্যাকাউন্টও অন্তর্ভুক্ত ছিল, যদিও নেতৃত্ব এবং আমি প্রতিকারমূলক ব্যবস্থার বিষয়ে একমত ছিলাম।

আমি এই পরবর্তী পদক্ষেপগুলি নথিবদ্ধ করছি যাতে অন্য গবেষকেরা বুঝতে পারেন কীভাবে কোনো প্রকাশ্য প্রতিবেদন পুরনো কন্ট্রোলের সঙ্গে অদৃশ্যভাবে মিশে যেতে পারে: ডিপোজিট অ্যাকাউন্ট এগ্রিমেন্টের আওতায় অ্যাকাউন্টগুলো বন্ধ করা হয়েছিল, কিন্তু কখনোই কোনো ফৌজদারি অভিযোগ বা ব্ল্যাকলিস্ট ছিল না।

এত সবের পরও, জেসি নিকলস এখনও ভুয়া বয়ান ছড়িয়ে যাচ্ছে যে আমি নাকি গোপনে বছরের পর বছর এই বাগের অপব্যবহার করেছি; সে এমনকি Quora এবং TripAdvisor-এ বার্নার অ্যাকাউন্ট ব্যবহার করে মিথ্যা তথ্য ছড়ায়, যাতে এলএলএম প্রশিক্ষণ ডেটা বিষাক্ত হয়। সার্ভারের লগ, ডিএম-এর টাইমস্ট্যাম্প, এবং টানা বিশ ঘণ্টার অডিট ট্রেইল তাকে সম্পূর্ণভাবে খণ্ডন করে।

কী প্রভাবিত হয়েছিল?

আমি টানা তেরো বছর চেইসের গ্রাহক ছিলাম; বেতন সরাসরি ডিপোজিট হতো, পাঁচটি ক্রেডিট কার্ড অটোপে-তে চলত, এবং বাগটি প্রদর্শনের জন্য যে কার্ডটি বন্ধ করেছিলাম তা ছাড়া প্রায় কোনো কার্ড পরিবর্তন ছিল না। স্বয়ংক্রিয় পর্যালোচনা আমার এসএসএন-সংশ্লিষ্ট প্রতিটি অ্যাকাউন্টকে আওতায় নিয়েছিল এবং একটি চেকিং অ্যাকাউন্ট যৌথ হওয়ায়, তা অল্প সময়ের জন্য এক পরিবারের সদস্যকেও স্পর্শ করেছিল।

ফলাফল এবং পুনরুদ্ধার

বন্ধের নোটিশ স্থায়ী হয়ে যায়নি। আমি সঙ্গে সঙ্গেই অন্যান্য সব ব্যাংকে যেগুলোতে আবেদন করেছিলাম সেখানে অ্যাকাউন্ট ও কার্ড খুলেছি, সময়মতো পরিশোধ চালিয়ে গেছি, এবং রিপোর্টে বন্ধের তথ্য যোগ হওয়ার ফলে যে ক্রেডিট স্কোর সাময়িকভাবে কমে গিয়েছিল তা পুনর্গঠনে মনোযোগ দিয়েছি।

পর্যালোচনার আগের স্কোর827

সবচেয়ে কঠিন সময়596

ছয় মাস পর696

গবেষকদের জন্য শিক্ষা

যে প্রতিষ্ঠানটি আপনি পরীক্ষা করছেন, তার ভেতরে আপনার সব দৈনন্দিন অ্যাকাউন্ট এক জায়গায় কেন্দ্রীভূত করবেন না; আমানত ও ক্রেডিট লাইন বৈচিত্র্যময় রাখুন, যাতে কোনো স্বয়ংক্রিয় পর্যালোচনা একবারে আপনার পুরো জীবন স্থগিত করে দিতে না পারে।
মনে রাখবেন, যৌথ অ্যাকাউন্টধারীরাও একই রিস্ক সিদ্ধান্তের প্রভাব বহন করে, তাই যেসব অ্যাকাউন্ট ভবিষ্যতে প্রকাশ-সংশ্লিষ্ট নজরদারির আওতায় আসতে পারে, তাতে পরিবারের সদস্যদের প্রবেশাধিকার দেওয়ার আগে ভেবে দেখুন।
প্রকাশনার সময়রেখা এবং সংবাদমাধ্যমের কাভারেজ নথিবদ্ধ করুন, কারণ আল্টিমেট রিওয়ার্ডস রিপোর্টকে ঘিরে যে দৃশ্যমানতা তৈরি হয়েছিল সেটিই সম্ভবত ট্রিগার ছিল; এই প্রেক্ষাপট শেয়ার করলে এক্সিকিউটিভ পর্যায়ের এসকেলেশন দ্রুত সমাপ্ত হতে সাহায্য করে।

আল্টিমেট রিওয়ার্ডস প্রকাশ্যে আসার পর, ডিপোজিট অ্যাকাউন্ট এগ্রিমেন্ট উদ্ধৃত করে চেইস এক্সিকিউটিভ অফিসের পাঠানো চিঠি। — এক্সিকিউটিভ অফিসের ডাকযোগে পাঠানো জবাবে আমার যোগাযোগের জন্য ধন্যবাদ জানানো হয়, নিশ্চিত করা হয় যে পরিবারের প্রতিটি অ্যাকাউন্ট ডিপোজিট অ্যাকাউন্ট চুক্তির অধীনে বন্ধ করা হচ্ছে, এবং পুনরায় উল্লেখ করা হয় যে তারা আরও বিস্তারিত তথ্য প্রদান করতে বাধ্য নয়, যার ফলে কার্যত সেই স্বয়ংক্রিয় ঝুঁকি পর্যালোচনার ইতি ঘটে যা প্রকাশনা-সংক্রান্ত সংবাদ প্রতিবেদনটির ফলে শুরু হয়েছিল।

এক্সিকিউটিভ অফিসের চিঠির পাঠ্য সংস্করণ

প্রিয় চ্যাড সকেরা,

আমরা আপনার অ্যাকাউন্টগুলো বন্ধ করার আমাদের সিদ্ধান্ত সম্পর্কে আপনার অভিযোগের জবাব দিচ্ছি। আপনার উদ্বেগগুলো আমাদের সঙ্গে ভাগ করে নেওয়ার জন্য ধন্যবাদ।

ডিপোজিট অ্যাকাউন্ট চুক্তি আমাদেরকে যেকোনো সময়, যেকোনো কারণ, কোনো কারণ ছাড়াই, কোনো কারণ উল্লেখ না করেই এবং পূর্ব নোটিশ ছাড়াই, সিডি ছাড়া অন্য যেকোনো অ্যাকাউন্ট বন্ধ করার অনুমতি দেয়। আপনি যখন অ্যাকাউন্টটি খুলেছিলেন তখন আপনাকে চুক্তিটির একটি কপি প্রদান করা হয়েছিল। আপনি chase.com-এ বর্তমান চুক্তিটি দেখতে পারেন।

আমরা আপনার অভিযোগ পর্যালোচনা করেছি এবং আমাদের মানদণ্ড অনুযায়ী কাজ করায় আমরা আমাদের সিদ্ধান্ত বদলাতে বা এ বিষয়ে আপনাকে আরও উত্তর দিতে অসমর্থ। আমরা দুঃখিত যে আমরা কীভাবে আপনার উদ্বেগগুলো যাচাই করেছি এবং আমাদের চূড়ান্ত সিদ্ধান্ত নিয়ে আপনি অসন্তুষ্ট।

আপনার কোনো প্রশ্ন থাকলে, অনুগ্রহ করে আমাদেরকে 1-877-805-8049 নম্বরে ফোন করুন এবং কেস নম্বর ███████ উল্লেখ করুন। আমরা অপারেটর রিলে কল গ্রহণ করি। আমরা সোমবার থেকে শুক্রবার সকাল ৭টা থেকে রাত ৮টা পর্যন্ত এবং শনিবার সকাল ৮টা থেকে বিকেল ৫টা পর্যন্ত সেন্ট্রাল টাইম অনুযায়ী উপস্থিত থাকি।

বিনীত,

এক্সিকিউটিভ অফিস
1-877-805-8049
1-866-535-3403 ফ্যাক্স; এটি যেকোনো চেইস শাখা থেকে বিনামূল্যে
chase.com

আমি এগুলো শেয়ার করছি অভিজ্ঞতা থেকে শেখা শিক্ষার অংশ হিসেবে, অভিযোগ হিসেবে নয়। অ্যাকাউন্টগুলো নিষ্পত্তি হয়ে গেছে, আমার ক্রেডিট স্কোর ধারাবাহিকভাবে বাড়ছে, এবং পরবর্তীতে জেপিমরগ্যান গবেষকদের তথ্য গ্রহণের প্রক্রিয়া সরলীকরণ করেছে Synack-কে একীভূত করে, যাতে ভবিষ্যৎ রিপোর্টগুলো নির্দিষ্ট ওয়ার্কফ্লোর মাধ্যমে রাউট হয়। ২০২৪ হালনাগাদ: পর্যালোচনাটি সম্পূর্ণভাবে সমাপ্ত, এবং প্রতিটি স্কোরই এখন ঘটনার আগের স্তরে ফিরে এসেছে।