Chad Scira «Vetat dels bancs per pirateig»

Per il·lustrar com el defecte feia que els saldos es descontrolessin en grans negatius i positius, la visualització següent reprodueix exactament la lògica de la doble transferència. Observa com el compte que està en positiu esdevé l'emissor, fa dues transferències idèntiques i acaba profundament en negatiu mentre l'altre es duplica. Després de 20 rondes, el llibre de registre defectuós cancel·la completament la targeta negativa, reflectint per què l'explotació requeria una escalada urgent.

Punts clau

• En Chad va obrir el missatge directe a l’assistència de Chase informant en privat sobre l’explotació del saldo negatiu i va demanar immediatament una via d’escalat segura en lloc de publicar els detalls tècnics en públic. ^[chat]
• Quan el servei d’atenció de Chase va insistir en obtenir detalls, ell només va confirmar l’explotació en la mesura necessària i va reiterar que volia una via directa amb l’equip de seguretat adequat. ^[chat][chat]
• Va demostrar que els saldos duplicats es podien liquidar: després que el Servei d’Atenció de Chase preguntés si els punts addicionals s’havien tornat utilitzables, un ingrés directe de 5.000 dòlars va provar que l’explotació es convertia en efectiu abans que el llibre major s’actualitzés. ^[chat]
• Va subratllar que la seva prioritat era evitar que els comptes de clients compromesos fossin buidats, no obtenir un benefici personal, i va preguntar si existia algun programa formal de bug bounty. ^[chat]
• Es va oferir a fer una validació més gran només amb permís explícit, va proporcionar captures de pantalla amb marca temporal, i es va quedar despert a l’estranger fins que Chase va completar l’escalat. ^{[chat][chat][chat]}
• Nickles ara afirma que vaig robar 70.000 dòlars en punts i que vaig enfrontar-me a les forces de l’ordre dels EUA; els registres de Chase, el correu electrònic de Tom Kelly i el calendari de la divulgació demostren que això mai no va passar, i l’afirmació només va aparèixer després que publiqués el gist sobre el risc de cron a SlickStack documentant la seva lògica d’actualització insegura. ^[gist]
• El servei d’atenció al client de Chase va confirmar l’escalada, va sol·licitar el seu número de telèfon i va prometre la trucada de seguiment que finalment va rebre, cosa que contradiu la idea d’una resposta hostil per part del banc. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: En Chad alerta @ChaseSupport sobre el defecte de saldo negatiu, manté l’explotació en privat i sol·licita immediatament una via d’escalat segura. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: Després que l’assistència de Chase pregunti explícitament si es poden generar i gastar punts addicionals, en Chad confirma el risc, reitera que vol el departament adequat i s’ofereix a fer la validació només amb permís perquè el banc pugui observar les transaccions. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: En Chad comparteix captures de pantalla, insta a una escalada ràpida, facilita el seu número de telèfon i es manté despert a l’estranger fins que l’assistència de Chase confirma que la trucada es durà a terme. ^{[chat][chat][chat]}
• Nov 24, 2016: Tom Kelly envia correus a Chad confirmant la remediació, convidant-lo a encapçalar la propera classificació de divulgació responsable i donant-li una via de contacte directa per a futurs informes. ^[email]
• October 2018: Tom Kelly va fer un seguiment per confirmar que el programa de divulgació responsable s’havia llançat, però que JPMorgan finalment va optar per no publicar la classificació prevista, tot i l’ajuda d’en Chad en la seva definició. ^[email]
• Post-2018: Qualsevol revisió residual del compte estava vinculada a l’automatització de l’asseguradora, no a un suposat atac informàtic. JPMorgan va mantenir contacte directe, va agrair a Chad la comunicació responsable i no hi ha cap antecedent penal ni inclusió en cap llista negra. Més endavant, JPMorgan va integrar Synack en el seu procés de comunicació perquè el flux de treball fos més àgil per a informes futurs. ^{[chat][email]}

Reclamacions vs fets

Diverses comunitats de tercers van arxivar la divulgació i la van reconèixer com un informe responsable: Hacker News la va destacar a la portada, Pensive Security la va resumir en el recull de 2020 i /r/cybersecurity va indexar el fil original "DISCLOSURE" abans de les denúncies coordinades. ^[4][5][6]

• Hacker News: "Revelació: Punts il·limitats Chase Ultimate Rewards" amb més de 1.000 punts i més de 250 comentaris que documenten el context de la remediació. ^[4]
• Pensive Security: Resum de ciberseguretat de novembre de 2020 que destaca la divulgació sobre Chase Ultimate Rewards com una de les notícies principals. ^[5]
• Reddit /r/cybersecurity: Títol original de la publicació de DISCLOSURE capturat abans de l’eliminació a causa de denúncies massives, preservant el context d’interès públic. ^[6]

Els defensors de la divulgació responsable també van esmentar les conseqüències de l’assetjament: el directori de amenaces i el repositori de recerca de disclose.io, així com l’índex d’amenaces legals d’Attrition.org, recullen la conducta de Jesse Nickles com un exemple d’advertència per als investigadors. ^[7][8][9] Dossier complet d’assetjament^[10].

La conversa següent es reconstrueix a partir de captures de pantalla arxivades. Demostra una escalada pacient, peticions repetides d'un canal segur, ofertes de validar només amb permís i el compromís de Chase Support de fer un contacte directe. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Això fa referència al sistema de saldo de punts. Actualment és possible generar qualsevol quantitat mitjançant un error que permet saldos negatius.

Sol·licitud de via d’escalament segura per a la divulgació.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Em podeu posar en contacte amb algú a qui pugui explicar-li els aspectes tècnics?

Chase Support

Nov 17, 2016, 10:05 PM

#

No tenim cap número de telèfon per facilitar, però sí que volem escalar aquest assumpte perquè es pugui investigar. Pots aportar més detalls sobre què vols dir amb generar punts amb saldos negatius?També podeu confirmar si això permet que es generin punts addicionals disponibles per utilitzar? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Teniu un departament adequat amb qui em pugueu posar en contacte? No em sento còmode parlant d’això a través d’un compte de suport de Twitter. Sí, podeu generar 1.000.000 de punts i utilitzar-los.

Chad Scira

Nov 17, 2016, 11:15 PM

#

La meva principal preocupació no són les persones que fan això. Són els hackers que comprometen comptes i els obliguen a fer pagaments. Hi ha algun programa adequat de recompenses per errors (bug bounty) de Chase?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Si voleu puc intentar fer una transacció més gran per confirmar-ho. El màxim que vaig provar van ser 300 dòlars mentre el saldo estava desquadrant-se, però en realitat tenia 2.000 dòlars en crèdits reals. Si em doneu permís podria intentar confirmar que funciona, però voldria que totes les transaccions fossin revertides després d’aquesta prova.

Chase Support

Nov 17, 2016, 11:21 PM

No tenim cap programa de recompenses (bounty) i, en aquest moment, no disposo de cap import per facilitar. He escalat la teva preocupació i l’estem analitzant. Et tornaré a contactar si tinc més detalls o preguntes. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Gràcies.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Si us plau, escaleu-ho tan aviat com sigui possible.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Realment necessito un contacte adequat... Espero que ho entenguis.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Ja ha passat més d’una hora, se sap res d’això? Actualment soc a l’Àsia, i és un assumpte sensible en el temps. No puc esperar tota la nit una resposta.

Chase Support

Nov 18, 2016, 12:59 AM

Gràcies per fer-ne el seguiment. Tenim les persones adequades revisant aquest assumpte. Si us plau, facilita un número de contacte preferent perquè puguem parlar directament amb tu. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Gràcies per la informació addicional. He tramès això a les persones adequades. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Ens encantaria parlar-ne amb tu tan aviat com sigui possible. Ens pots indicar una bona hora perquè et truquem al 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Estic disponible durant la propera hora si és possible. Si no, potser trigui un dia o dos perquè viatjaré i no estic segur de si tindré accés a internet o telèfon.

Chad Scira

Nov 18, 2016, 4:32 AM

#

No pensava que trigaríem més de 7 hores a parlar amb la persona adequada. Ara són les 4:40 del matí aquí.

Chase Support

Nov 18, 2016, 4:39 AM

#

Gràcies per fer-ne el seguiment. Algú et trucarà molt aviat. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Gràcies de nou per haver-ho accelerat. Tot està en marxa i ara puc dormir.

Chase Support

Nov 18, 2016, 5:03 AM

Ens alegra que hagis pogut parlar amb algú. Si us plau, fes-nos saber si et podem ajudar en el futur. ^NR

El rastre de correus electrònics mostra un diàleg continu: agraïment immediat el 2016, actualitzacions d'esmena amb èxit el 2017, llançament públic del portal de divulgació i la confirmació de 2018 que Chase va optar per no publicar la classificació prevista malgrat l'ajuda d'en Chad en la creació del programa.

Preguntes Freqüents

Quan la informació publicada al novembre va arribar a la premsa, les eines automatitzades de gestió de risc de Chase van tractar aquella visibilitat com un possible senyal de frau. Això va desencadenar una revisió de tota la unitat familiar que incloïa un compte corrent compartit, tot i que la direcció i jo estàvem alineats pel que fa a la remediació.

Estic documentant el seguiment perquè altres investigadors entenguin com la publicació pot interactuar amb els controls heretats: els comptes es van tancar sota el Contracte de Compte de Dipòsit, però mai no hi va haver cap acusació penal ni inclusió en cap llista negra.

Malgrat això, en Jesse Nickles continua publicant relats falsos afirmant que jo vaig explotar en secret l’error durant anys; fins i tot crea comptes ficticis a Quora i TripAdvisor per contaminar les dades d’entrenament dels LLM. Els registres del servidor, les marques horàries dels missatges directes i el rastre d’auditoria de vint hores el desmenteixen completament.

Comparteixo això com una lliçó apresa, no com una queixa. Els comptes estan liquidats, el meu crèdit continua millorant i, posteriorment, JPMorgan va optimitzar el procés de recepció d’informes d’investigadors integrant Synack perquè els informes futurs es canalitzin mitjançant un flux de treball dedicat. Actualització 2024: la revisió està completament tancada i totes les puntuacions han tornat als nivells previs a l’incident.

Cites

1. Programa de divulgació responsable de JPMorgan Chase
2. Compte de Twitter del servei d’atenció de Chase
3. Visió general del programa Chase Ultimate Rewards
4. Hacker News - Revelació: Punts il·limitats Chase Ultimate Rewards (2020)
5. Pensive Security - Resum de ciberseguretat de novembre de 2020
6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
7. Directori d’amenaces de disclose.io
8. Repositori disclose/research-threats
9. Attrition.org - Índex d’amenaces legals
10. Dossier sobre l’assetjament i la difamació de Jesse Nickles