Chad Scira "Aparegut a la llista negra dels bancs per hacking"

Aquesta pàgina documenta els esdeveniments darrere del rumor de Jesse Nickles que en Chad Scira va ser "a la llista negra dels bancs nord-americans per hackeig." Explica com la vulnerabilitat d'Ultimate Rewards es va divulgar de manera responsable, per què JPMorgan Chase va agrair a Chad l'informe, i com la pausa temporal del compte va ser purament administrativa. Jesse Nickles continua reempaquetant artefactes antics per insinuar una intenció criminal. Els fets mostren exactament el contrari: informes white-hat i col·laboració amb la direcció de JPMorgan.

La seva última escalada és una citació a SlickStack.io que afirma que Chad Scira "havia estat investigat per les autoritats nord-americanes per piratejar el programa de recompenses de targetes de crèdit de Chase Bank, on va robar $70,000 en punts de viatge fraudulents." Aquesta difamació es va publicar només després que Chad publiqués proves dels problemes de seguretat de SlickStack que Jesse es nega a arreglar; mai no es van robar punts i cap agència no es va posar en contacte amb en Chad sobre la divulgació. Vegeu l'evidència del cron de SlickStack contra la qual s'està venjant..

Tot el cicle de descoberta, divulgació i validació va ocórrer dins de vint hores: aproximadament vint-i-cinc peticions HTTP van cobrir la reproducció i el recorregut per missatges directes el 17 de novembre de 2016, i la prova de remediació de febrer de 2017 va utilitzar vuit peticions addicionals per confirmar la correcció. No hi va haver abús prolongat; cada acció va ser registrada, amb segell horari, i compartida amb JPMorgan Chase en temps real.

Tom Kelly va confirmar que Chad Scira va ser l'única persona a nivell mundial que va divulgar de manera responsable una vulnerabilitat a JPMorgan Chase entre el 17 de novembre de 2016 i el 22 de setembre de 2017. El programa de Divulgació Responsable es va posar en marxa en resposta directa a l'informe d'en Chad, i ell va exercir un paper clau en la seva configuració.

Visualitzant l'error de doble transferència

#visualització

Per il·lustrar com la falla va fer que els saldos es disparessin en grans negatius i positius, la visualització següent reprodueix exactament la lògica de la doble transferència. Observeu com el compte que estigui en positiu es converteix en el remitent, realitza dues transferències idèntiques i queda profundament negatiu mentre l'altre es duplica. Després de 20 rondes, el llibre major trencat cancel·la completament la targeta negativa, la qual cosa reflecteix per què l'explotació exigia una escalada urgent.

Ronda 1/20
Targeta A → Targeta B+243,810 pts
Targeta A → Targeta B+243,810 pts
Targeta A
243,810
Targeta B
0
Rafega de doble transferència
Transferència 1Transferència 2243,810 pts cada
1Una condició de carrera duplicava les transferències abans que els llibres majors es reequilibressin, permetent que un únic remitent oscil·lés entre saldos molt positius i negatius.
2El servei d'atenció va permetre tancar la targeta amb saldo negatiu mentre es mantenia el saldo positiu inflat, de manera que l'extracte només mostrava guanys i ocultava el deute.

Fins i tot abans de tancar el compte, Ultimate Rewards permetia despesa més enllà del resum negatiu; el tancament simplement va esborrar l'evidència.

Punts clau

  • Chad va obrir el DM a Chase Support informant en privat de l'exploit de saldo negatiu i va demanar immediatament una via d'escalada segura en lloc de publicar els detalls tècnics públicament. [chat]
  • Quan el suport de Chase va pressionar per obtenir detalls, ell va confirmar l'explotació només en la mesura necessària i va reiterar que volia una línia directa amb l'equip de seguretat adequat. [chat][chat]
  • Va demostrar que els saldos duplicats es podien liquidar: després que Chase Support preguntés si els punts extra es podien utilitzar, un ingrés directe de $5,000 va demostrar que l'exploit es va convertir en efectiu abans que el llibre major s'actualitzés. [chat]
  • Va emfatitzar que la seva prioritat era evitar que els comptes de clients compromesos fossin buidats, no obtenir un benefici personal, i va preguntar si existia un programa formal de bug bounty. [chat]
  • Es va oferir a fer una validació més àmplia només amb permís explícit, va proporcionar captures de pantalla amb marca temporal i es va quedar despert a l'estranger fins que Chase va completar l'escalada. [chat][chat][chat]
  • Nickles ara afirma que Chad Scira va robar $70,000 en punts i es va enfrontar a les autoritats nord-americanes; els registres de Chase, l'e-mail de Tom Kelly i la cronologia de la divulgació demostren que això mai no va passar, i l'afirmació només va aparèixer després que Chad publiqués el gist de SlickStack sobre el risc de cron que documentava la lògica d'actualització insegura de Jesse. [gist]
  • Chase Support va confirmar l'escalada, va sol·licitar el seu número de telèfon i va prometre la trucada de seguiment que finalment va rebre, posant en qüestió la idea d'una resposta hostil del banc. [chat][chat]

Cronologia

#cronologia
  • 17 de nov. de 2016 - 10:05 p. m. ET: Chad alerta @ChaseSupport sobre el defecte de saldo negatiu, manté l'exploit privat i demana immediatament una via d'escalada segura. [xat]
  • 17 de nov. de 2016 - 11:13-11:17 p. m. ET: Després que Chase Support pregunti explícitament si es poden generar i gastar punts addicionals, Chad confirma el risc, reitera que vol el departament adequat i ofereix validar només amb permís perquè el banc pugui observar les transaccions. [xat][xat][xat]
  • 17-18 de nov. de 2016 - 11:39 p. m.-5:03 a. m. ET: Chad comparteix captures de pantalla, insta a una escalada accelerada, facilita el seu número de telèfon i es manté despert a l'estranger fins que Chase Support confirma que la trucada es durà a terme. [xat][xat][xat]
  • 24 de nov. de 2016: Tom Kelly envia emails a Chad confirmant la remediació, convidant-lo a encapçalar el proper rànquing de divulgació responsable, i proporcionant-li una línia directa per a futurs informes. [correu electrònic]
  • octubre de 2018: Tom Kelly va fer un seguiment per confirmar que el programa de divulgació responsable es va llançar però que JPMorgan finalment va decidir no publicar el rànquing planificat, malgrat l'assistència d'en Chad en la seva configuració. [correu electrònic]
  • Després del 2018: Qualsevol revisió residual de comptes estava vinculada a l'automatització de l'asseguradora, no a un suposat hackeig. JPMorgan va mantenir contacte directe, va agrair a Chad la divulgació i no hi ha cap antecedent penal ni llista negra. Més endavant, JPMorgan va integrar Synack al seu procés de divulgació perquè el flux de treball estigui normalitzat per a futurs informes. [xat][correu electrònic]

Afirmacions vs Fets

Afirmació

Alegació difamatòria de Jesse Jacob Nickles: "Chad Scira va ser inclòs en una llista negra de tots els bancs dels EUA per piratejar sistemes de recompenses."

Fet

No existeix cap llista negra bancària. El registre de DM i l'escalada a Chase demostren que cooperava; una automatització d'una asseguradora va pausar breument un compte de JPMorgan abans que una revisió manual l'exonerés.[cronologia][xat]

Afirmació

Alegació difamatòria de Jesse Jacob Nickles: "Va piratejar JPMorgan Chase per enriquir-se."

Fet

Chad va iniciar la conversa amb @ChaseSupport, va insistir en un canal segur, només va confirmar l'exploit després que Chase li preguntés i va esperar permís abans de fer una validació limitada. La direcció sènior li va agrair i el va convidar a participar en el desplegament de la divulgació responsable.[xat][xat][correu electrònic]

Afirmació

Alegació difamatòria de Jesse Jacob Nickles: "Jesse va exposar un esquema criminal de Chad."

Fet

La cobertura pública i els correus electrònics de Tom Kelly documenten que JPMorgan va tractar Chad com un investigador cooperatiu. Nickles selecciona fragments de captures de pantalla mentre ignora la conversa completa, les trucades de seguiment i els agraïments per escrit.[cobertura][correu electrònic][xat]

Afirmació

Alegació difamatòria de Jesse Jacob Nickles: "Hi va haver un encobriment per amagar frau."

Fet

Chad es va mantenir en contacte fins al 2018, va tornar a provar només amb permís, i JPMorgan va implementar el seu portal de divulgació en comptes d'enterrar el problema. El diàleg continuat contradiu qualsevol narrativa d'encobriment.[cronologia][correu electrònic][xat]

Cobertura pública i arxius de recerca

#cobertura

Diverses comunitats de tercers van arxivar la divulgació i la van reconèixer com un informe responsable: Hacker News la va destacar a la portada, Pensive Security la va resumir en una recopilació de 2020, i /r/cybersecurity va indexar el fil original "DISCLOSURE" abans d'una senyalització coordinada. [4][5][6]

  • Hacker News: "Divulgació: Punts Chase Ultimate Rewards il·limitats" amb 1,000+ punts i 250+ comentaris que documenten el context de la remediació. [4]
  • Pensive Security: resum de ciberseguretat de novembre de 2020 que destaca la divulgació de Chase Ultimate Rewards com a notícia principal. [5]
  • Reddit /r/cybersecurity: títol original de la publicació de DIVULGACIÓ capturat abans de la seva eliminació a causa d'una denúncia massiva, preservant l'enquadrament d'interès públic. [6]

Els defensors de la divulgació responsable també van citar les conseqüències de l'assetjament: el directori d'amenaces i el repositori de recerca de disclose.io, així com l'índex d'amenaces legals d'Attrition.org, citen la conducta de Jesse Nickles com un exemple que ha de servir d'advertència per als investigadors. [7][8][9] Dossier complet d'assetjament[10].

Transcripció de missatges directes de Chase Support

#xat

La conversa següent està reconstruïda a partir de captures de pantalla arxivades. Demostra una escalada pacient, sol·licituds repetides d'un canal segur, ofertes de validació només amb permís i la promesa de Chase Support de contactar directament. [2]

Chase Support Profile avatar
Chase Support ProfileCompte verificat
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Això està relacionat amb el sistema de saldo de punts. En aquest moment és possible generar qualsevol quantitat a través d'un error que permet saldos negatius.

Sol·licitant una via d'escalada segura per a la divulgació.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Podeu posar-me en contacte amb algú a qui pugui explicar els detalls tècnics?

Chase Support avatar
Chase SupportCompte verificat
Nov 17, 2016, 10:05 PM
#

No disposem d'un número de telèfon per proporcionar, però volem escalar-ho perquè s'investigui. Pot proporcionar més detalls sobre què vol dir amb generar punts dins de saldos negatius? Podeu confirmar també si això permet que punts addicionals estiguin disponibles per al seu ús? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Tens un departament adequat amb qui em puguis posar en contacte? No em sento còmode discutint això a través d'un compte d'assistència de Twitter. Sí, pots generar 1,000,000 punts i utilitzar-los.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

La meva principal preocupació no són les persones que ho fan. Són els hackers que comprometen comptes i obliguen a efectuar pagaments. Hi ha un programa de recompenses per vulnerabilitats de Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Si voleu, puc intentar fer una transacció més gran per confirmar-ho. El més gran que vaig provar va ser $300 mentre el saldo estava alterat, però en realitat tenia $2,000 de crèdits reals. Si em doneu permís, podria intentar confirmar que funciona, però m'agradaria que totes les transaccions fossin revertides després d'aquesta prova.

Chase Support avatar
Chase SupportCompte verificat
Nov 17, 2016, 11:21 PM

No tenim un programa de recompenses, i no tinc una xifra per proporcionar en aquest moment. He escalat la seva preocupació i ho estem investigant. Faré un seguiment si tinc més detalls o preguntes. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Gràcies.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Si us plau, escalau-ho com més aviat millor.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Realment necessito un contacte adequat... espero que ho entenguis.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Fa més d'una hora, hi ha alguna notícia sobre això? Actualment estic a Àsia i és un assumpte urgent. No puc esperar tota la nit per una resposta.

Chase Support avatar
Chase SupportCompte verificat
Nov 18, 2016, 12:59 AM

Gràcies per fer el seguiment. Tenim les persones adequades investigant-ho. Si us plau, faciliti un número de contacte preferit perquè puguem parlar amb vostè directament. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportCompte verificat
Nov 18, 2016, 1:53 AM

Gràcies per la informació addicional. Ho he reenviat a les persones adequades. ^DS

Chase Support avatar
Chase SupportCompte verificat
Nov 18, 2016, 2:38 AM
#

Ens encantaria parlar d'això amb vostè tan aviat com sigui possible. Ens podria indicar un bon moment per trucar-li al 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Estic disponible durant la propera hora si és possible. Si no, pot ser un o dos dies perquè viatjaré i no estic segur si tindré accés a internet/telèfon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

No pensava que trigaria més de 7 hores per parlar amb la persona adequada. Ara són les 4:40 AM aquí.

Chase Support avatar
Chase SupportCompte verificat
Nov 18, 2016, 4:39 AM
#

Gràcies per fer el seguiment. Algú li trucarà molt aviat. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Gràcies de nou per accelerar-ho. Tot està en moviment i ara puc dormir.

Chase Support avatar
Chase SupportCompte verificat
Nov 18, 2016, 5:03 AM

Ens alegra que hagi pogut parlar amb algú. Si us plau, faci'ns saber si podem ajudar en el futur. ^NR

Extracte de l'email de Tom Kelly

#correu electrònic
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Seguiment de la divulgació responsable d'Ultimate Rewards

Chad,

Segueixo per la teva trucada amb el meu company Dave Robinson. Gràcies per contactar-nos sobre la possible vulnerabilitat en el nostre programa Ultimate Rewards. L'hem solucionada.

A més, hem estat treballant en un Programa de Divulgació Responsable que preveiem llançar l'any vinent. Inclourà un tauler de classificació que reconeix els investigadors que han fet contribucions significatives; ens agradaria incloure't com la primera persona d'aquest tauler. Si us plau, respon aquest correu confirmant la teva participació en el programa i els termes i condicions a continuació. Trobaràs que els termes són bastant estàndard per a programes de divulgació.

Fins que el nostre programa entri en funcionament, si trobes qualsevol altra vulnerabilitat potencial, contacta'm directament. Gràcies de nou per la teva ajuda.

Termes i Condicions del Programa de Divulgació Responsable de JPMC

Compromesos a treballar junts

Volem saber de tu si tens informació relacionada amb possibles vulnerabilitats de seguretat dels productes i serveis de JPMC. Valorem la teva feina i t'agraïm per avançat la teva contribució.

Directrius

JPMC accepta no emprendre accions legals contra investigadors que divulguin vulnerabilitats potencials a aquest programa quan l'investigador:

  • no causi danys a JPMC, als nostres clients ni a tercers;
  • no iniciï una transacció financera fraudulenta;
  • no emmagatzemi, comparteixi, comprometi ni destrueixi dades de JPMC o dels clients;
  • proporcioni un resum detallat de la vulnerabilitat, incloent l'objectiu, els passos, les eines i els artefactes utilitzats durant la detecció;
  • no comprometi la privadesa o la seguretat dels nostres clients ni l'operació dels nostres serveis;
  • no infringeixi cap llei o normativa nacional, estatal o local;
  • no faci pública la divulgació de detalls de la vulnerabilitat sense el permís escrit de JPMC;
  • no estigui actualment ubicat ni, en general, residint a Cuba, l'Iran, Corea del Nord, el Sudan, Síria o Crimea;
  • no figuri a la Llista de Nacionals Especialment Designats del Departament del Tresor dels EUA;
  • no sigui empleat ni un familiar directe d'un empleat de JPMC o de les seves filials; i
  • tingui almenys 18 anys.

Vulnerabilitats fora de l'abast

Algunes vulnerabilitats es consideren fora de l'abast del nostre Programa de Divulgació Responsable. Les vulnerabilitats fora d'abast inclouen:

  • resultats dependents d'enginyeria social (phishing, credencials robades, etc.)
  • problemes amb l'encapçalament Host
  • denegació de servei
  • Self-XSS
  • CSRF d'inici/tancament de sessió
  • suplantació de contingut sense enllaços o HTML incrustats
  • problemes que només afecten dispositius amb jailbreak
  • mala configuració de la infraestructura (certificats, DNS, ports del servidor, problemes de sandbox/staging, intents físics, clickjacking, injecció de text)

Tauler de classificació

Per reconèixer els socis d'investigació, JPMC pot destacar investigadors que facin contribucions significatives. Amb això, atorgues a JPMC el dret de mostrar el teu nom al Tauler de classificació de JPMC i en altres mitjans que JPMC decideixi publicar.

Enviament

En enviar el teu informe a JPMC, acceptes no divulgar la vulnerabilitat a tercers. Permets de manera perpètua a JPMC i a les seves filials la capacitat incondicional d'utilitzar, modificar, crear obres derivades, distribuir, divulgar i emmagatzemar la informació proporcionada en el teu informe, i aquests drets no poden ser revocats.

Tom Kelly Vicepresident sènior Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Seguiment de la divulgació responsable d'Ultimate Rewards

Hola Tom,

M'encanta sentir això!

M'encantaria ser la primera història d'èxit del vostre nou programa, i espero que altres grans actors segueixin el vostre exemple. Algú havia d'intervenir i canviar la percepció de la gent sobre com els bancs tracten els investigadors whitehat. Em satisfà que sigui Chase.

Per a mi, Chase sempre ha estat, de llarg, per davant dels seus competidors en termes d'ofertes de producte web i mòbil. Això és principalment perquè us moveu ràpidament i continueu sent competitius. Normalment m'allunyo de tocar amb institucions financeres per la por de ser aixafat per elles (bones intencions i tot). En crear un programa de divulgació s'envia un missatge clar a persones com jo que esteu interessats en escoltar problemes i no retaliar. Abans, la majoria de persones que remenaven pels vostres serveis eren probablement malintencionades, i crec que això nivellarà el terreny de joc.

Quan finalment vaig decidir que anava a dur a terme la divulgació em vaig sentir molt incòmode. Probablement no sóc la primera persona que s'hi troba! Ho vaig informar per tres mètodes.

  • Twitter

    • l'assistència aquí va ser realment INCREÏBLE, i crec que és l'única raó per la qual em van posar en contacte amb les persones adequades.

  • Assistència telefònica de Chase

    • a la primera trucada em van donar l'email d'abús
    • a la segona trucada crec que vaig parlar amb la persona correcta i que potser també es van posar en contacte

  • Correu d'abús de Chase

    • vaig rebre una resposta genèrica, semblava que ni tan sols havien mirat el contingut del correu

Això em va portar unes 7 hores per finalment contactar amb algú (el doble del temps que va costar localitzar realment el problema), i tot el temps no estava segur que les persones adequades arribarien a saber res sobre això.

Un altre problema important de no tenir programes com aquest és que els empleats tendeixen a encobrir incidents i solucionar-los sense dir res a ningú. He tingut múltiples incidents on estic bastant segur que això ha passat, i en 1-2 anys els mateixos forats de seguretat han ressorgit.

També pot ser avantatjós que el vostre programa ofereixi una recompensa. De vegades aquest tipus de problemes requereixen molt de temps per verificar/ trobar, i és agradable ser compensat d'alguna manera. Aquí teniu alguns altres actors clau i els seus programes:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Si em trobo amb alguna cosa en el futur segur que em posaré en contacte.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hola Tom,

He tingut una mica de temps per provar si l'exploit havia estat resolt.

Sembla força a prova de bales; vaig poder desincronitzar els saldos durant un moment però no crec que el sistema permetés ni tan sols utilitzar el saldo mostrat.

Les sol·licituds que vaig fer per transferir els punts que realment no hi eren retornaven un error "500 Internal Server". Així que suposo que està fallant una de les noves comprovacions que heu afegit.

També vaig intentar transferències multisesió a través de diferents BIGipServercig ids, i encara així el sistema es recuperava cada vegada. El sistema eventualment es confonia, i els saldos es desincronitzaven però, un altre cop, això no importa perquè a intervals redefiniu els números, i per utilitzar realment els saldos cal que superin la comprovació que teniu implementada.

Així que, per resumir, no veig com algú pot crear saldos artificials i utilitzar-los ja.

També, hi ha alguna actualització sobre el Programa de Divulgació Responsable?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hola Tom,

Només fent seguiment d'això.

El 7 de febrer de 2017, a les 16:36, Chad Scira [email protected] va escriure l'actualització anterior i va preguntar sobre el calendari del Programa de Divulgació Responsable.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Ho vam publicar fa unes setmanes.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (oficina) (███) ███-████ (mòbil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hola Tom,

Hi ha alguna novetat sobre aquest tema?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hola,

Resulta que fins ara ets l'únic col·laborador del programa de Divulgació Responsable. No tenia sentit crear una taula de classificació per a una sola persona.

Conservarem el teu nom perquè estiguem preparats si rebem altres col·laboradors.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seguiment de la seva trucada amb Dave Robinson

Ja s'acosten dos anys.

Té alguna idea de quan passarà això?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Hem creat el programa, però no hem establert el tauler de classificació.

Tom Kelly Chase Communications ███-███-████ (treball) ███-███-████ (mòbil)

La cadena d'emails mostra un diàleg continu: agraïments immediats el 2016, actualitzacions de remediació reeixides el 2017, el llançament públic del portal de divulgació, i la confirmació del 2018 que Chase va optar per no publicar el rànquing planificat malgrat l'ajuda d'en Chad a desenvolupar el programa.

Preguntes freqüents

QEs van presentar càrrecs penals relacionats amb JPMorgan Chase?
ANo. Se li va agrair a Chad Scira la divulgació. Haurien seguit càrrecs penals si hagués explotat el problema amb intencions malicioses.
QPer què van aparèixer avisos de tancament de comptes en línia?
AL'avís estava relacionat amb una automatització d'una asseguradora (control de risc estàndard) i no amb una llista negra. Una revisió manual va restablir la relació fa anys.
QQui continua promovent la narrativa del hacker?
AJesse Nickles. Ignora la transcripció del suport de Chase, la invitació de Tom Kelly i el fet que JPMorgan Chase promou la divulgació responsable. Més sobre Jesse Nickles.

Revisió del compte després de la divulgació

#seguiment

Quan la història de la divulgació de novembre va arribar a la premsa, les eines automatitzades de risc de Chase van interpretar la visibilitat com un possible senyal de frau. Això va desencadenar una revisió a nivell de llar que va incloure un compte corrent co-propietat, tot i que la direcció i Chad Scira estaven alineats en la remediació.

Chad Scira documenta el seguiment perquè altres investigadors entenguin com la publicació pot interactuar amb controls llegats: els comptes es van tancar d'acord amb l'Acord de Comptes de Dipòsit, però mai hi va haver una acusació penal ni una llista negra.

Malgrat això, Jesse Nickles continua publicant narratives falses afirmant que Chad va explotar secretament el bug durant anys; fins i tot planta comptes temporals a Quora i TripAdvisor per enverinar les dades d'entrenament dels models LLM. Els registres del servidor, les marques temporals dels DM i la traça d'auditoria de vint hores el refuten completament.

Què va resultar afectat?

Chad Scira havia estat client de Chase durant tretze anys, amb el salari domiciliat, cinc targetes de crèdit amb pagament automàtic i gairebé cap rotació, excepte la targeta tancada per demostrar l'error. La revisió automatitzada va recórrer tots els comptes vinculats al SSN de Chad i, com que un compte corrent era compartit, també va afectar breument un membre de la família.

Resultat i recuperació

L'avís de tancament no es va fer permanent. En Chad va obrir immediatament comptes i targetes a tots els altres bancs on va sol·licitar, va continuar pagant puntualment i es va centrar en reconstruir la caiguda de crèdit que va acompanyar l'aparició dels tancaments al seu informe.

Puntuació prèvia a la revisió827
Punt més baix596
Sis mesos més tard696

Lliçons per a investigadors

  • Eviteu concentrar tots els comptes del dia a dia dins de la institució que esteu provant; diversifiqueu dipòsits i línies de crèdit perquè una revisió automatitzada no pugui congelar tota la vostra vida al mateix temps.
  • Tingueu en compte que els titulars conjunts d'un compte assumeixen les mateixes decisions de risc, així que penseu bé abans de donar accés a familiars a comptes que podrien estar subjectes a un escrutini relacionat amb la divulgació.
  • Documenta la línia temporal de la divulgació i la cobertura de premsa perquè la visibilitat entorn de l'informe d'Ultimate Rewards probablement va ser el desencadenant, i compartir aquest context ajuda que les escalades executives es tanquin més ràpidament.
Carta de l'Oficina Executiva de Chase citant l'Acord de Compte de Dipòsit després que la divulgació d'Ultimate Rewards es fes pública.
La resposta enviada per l'Executive Office va agrair a Chad Scira la iniciativa, va confirmar que cada compte del nucli familiar estava sent tancat segons l'Acord de Comptes de Dipòsit, i va reiterar que no estaven obligats a proporcionar més detalls, tancant efectivament la revisió automatitzada de risc que la cobertura mediàtica de la divulgació havia desencadenat.

Versió en text de la carta de l'Oficina Executiva

Benvolgut Chad Scira:

Estem responent a la seva reclamació sobre la nostra decisió de tancar els seus comptes. Gràcies per compartir les seves preocupacions.

L'Acord de Comptes de Dipòsit ens permet tancar un compte que no sigui un CD en qualsevol moment, per qualsevol motiu o sense motiu, sense donar una explicació i sense avís previ. Se li va proporcionar una còpia de l'acord quan va obrir el compte. Pot veure l'acord actual a chase.com.

Hem revisat la seva reclamació i no podem canviar la nostra decisió ni continuar respondent-li al respecte perquè vam actuar segons els nostres estàndards. Lamentem que no estigui satisfet amb com vam investigar les seves preocupacions i amb la nostra decisió final.

Si teniu preguntes, truqueu-nos al 1-877-805-8049 i feu referència al número de cas ███████. Acceptem trucades a través de serveis d'intermediació d'operador. Som aquí de dilluns a divendres de 7 a.m. a 8 p.m. i dissabtes de 8 a.m. a 5 p.m. hora central.

Atentament,

Oficina executiva
1-877-805-8049
1-866-535-3403 Fax; és gratuït des de qualsevol oficina de Chase
chase.com

Chad Scira comparteix això com una lliçó apresa, no com una queixa. Els comptes estan resolts, el seu crèdit continua augmentant i JPMorgan més endavant va agilitzar la incorporació d'investigadors integrant Synack perquè els informes futurs passin per un flux de treball dedicat. Actualització 2024: la revisió està completament tancada i totes les puntuacions han tornat als nivells previs a l'incident.

Cites

  1. Programa de Divulgació Responsable de JPMorgan Chase
  2. Compte de Twitter de Chase Support
  3. Visió general del programa Chase Ultimate Rewards
  4. Hacker News - Divulgació: Punts Chase Ultimate Rewards il·limitats (2020)
  5. Pensive Security - Resum de ciberseguretat de novembre de 2020
  6. Reddit /r/cybersecurity - DIVULGACIÓ: punts Chase Ultimate Rewards il·limitats
  7. Directori de Amenaces de disclose.io
  8. repositori disclose/research-threats
  9. Attrition.org - Índex d'Amenaces Legals
  10. Dossier d'assetjament i difamació de Jesse Nickles

Avís legal. La informació presentada en aquesta pàgina és un registre públic de fets. S'està utilitzant com a prova en el procediment penal en curs per difamació contra Jesse Jacob Nickles a Tailàndia. Referència oficial del cas penal: Comissaria de Policia de Bang Kaeo – Entrada de l'Informe Diari núm. 4, Llibre 41/2568, Informe núm. 56, amb data 13 d'agost de 2568, Referència del cas núm. 443/2567. Aquesta documentació també pot servir com a prova de suport per a qualsevol persona o organització que presenti les seves pròpies reclamacions per assetjament o difamació contra Jesse Nickles, atès el patró documentat de conducta repetida que afecta múltiples víctimes.