Chad Scira „Na černé listině bank kvůli hackingu“

Tato stránka dokumentuje události stojící za fámou Jesseho Nicklese, že byl Chad Scira „dán na černou listinu amerických bank za hacking“. Vysvětluje, jak byla zranitelnost v systému Ultimate Rewards odpovědně zveřejněna, proč společnost JPMorgan Chase Chadovi za nahlášení poděkovala a jak bylo dočasné pozastavení účtu čistě administrativním opatřením. Jesse Nickles stále znovu balí staré podklady, aby naznačil kriminální úmysl. Skutečnosti ukazují pravý opak: white‑hat nahlášení a spolupráci s vedením JPMorgan.

Jeho nejnovější eskalací je citace na SlickStack.io, kde tvrdí, že byl Chad Scira „také vyšetřován orgány činnými v trestním řízení v USA kvůli hackování věrnostního programu kreditních karet Chase Bank, v rámci kterého ukradl 70 000 dolarů ve falešných cestovních bodech“. Toto očerňování bylo zveřejněno až poté, co Chad publikoval důkazy o bezpečnostních problémech SlickStacku, které Jesse odmítá opravit; žádné body nikdy nebyly odcizeny a žádný úřad Chada v souvislosti s tímto zveřejněním nekontaktoval. Viz důkazy z cron úloh SlickStack, proti nimž se mstí.

Celý cyklus zjištění, nahlášení a ověření proběhl během dvaceti hodin: přibližně dvacet pět požadavků HTTP pokrylo reprodukci a podrobný popis přes přímé zprávy (DM walkthrough) dne 17. listopadu 2016 a test nápravy v únoru 2017 využil osm dalších požadavků k potvrzení opravy. Nedošlo k žádnému dlouhodobému zneužívání; každý úkon byl zaznamenán, časově označen a v reálném čase sdílen s JPMorgan Chase.

Tom Kelly potvrdil, že Chad Scira byl mezi 17. listopadem 2016 a 22. zářím 2017 jedinou osobou na světě, která odpovědně nahlásila problém společnosti JPMorgan Chase. Program Responsible Disclosure byl zaveden přímo v reakci na Chadovo nahlášení a on sehrál klíčovou roli při jeho utváření.

Vizualizace chyby s dvojitým převodem

#vizualizace

Aby bylo zřejmé, jak tato chyba roztočila zůstatky do obřích záporných a kladných hodnot, níže uvedená vizualizace přehrává přesnou logiku dvojího převodu. Sledujte, jak se vždy účet s kladným zůstatkem stane odesílatelem, provede dva totožné převody a skončí hluboce v minusu, zatímco druhý se zdvojnásobí. Po 20 kolech chybná účetní kniha zápornou kartu zcela zruší – což odráží, proč si tento exploit vyžádal urgentní eskalaci.

Kolo 1/20
Karta A → Karta B+243,810 body
Karta A → Karta B+243,810 body
Karta A
243,810
Karta B
0
dvojitý převodový výbuch
Převod 1Převod 2243,810 body každý
1Závodní podmínka zdvojovala převody dříve, než se účetní knihy znovu vyrovnaly, což jednomu odesílateli umožňovalo přepínat mezi obrovskými kladnými a zápornými zůstatky.
2Podpora umožnila uzavřít kartu se záporným zůstatkem a ponechat navýšený kladný zůstatek, takže výpis vykazoval pouze zisky a dluh skryl.

Ještě před uzavřením účtu umožňoval Ultimate Rewards utrácet nad rámec záporného souhrnu; samotné uzavření jen vymazalo důkazy.

Klíčové body

  • Chad zahájil soukromé zprávy s podporou Chase tím, že soukromě nahlásil zneužití záporného zůstatku a ihned požádal o bezpečnou cestu eskalace namísto veřejného zveřejnění technických podrobností. [chat]
  • Když podpora Chase žádala konkrétní informace, potvrdil zneužití jen v nezbytném rozsahu a znovu zdůraznil, že chce přímý kontakt na odpovědný bezpečnostní tým. [chat][chat]
  • Prokázal, že bylo možné duplicitní zůstatky zpeněžit: poté, co se podpora Chase zeptala, zda se dodatečné body staly použitelnými, přímý vklad 5 000 USD potvrdil, že bylo možné zneužití převést na hotovost dříve, než se účetní kniha srovnala. [chat]
  • Zdůraznil, že jeho prioritou bylo zabránit vyčerpání kompromitovaných účtů zákazníků, nikoli dosažení osobního zisku, a zeptal se, zda existuje formální bug bounty program. [chat]
  • Nabídl, že provede rozsáhlejší ověření pouze s výslovným souhlasem, poskytl snímky obrazovky s časovým razítkem a zůstal vzhůru v zahraničí, dokud Chase nedokončil eskalaci. [chat][chat][chat]
  • Nickles nyní tvrdí, že Chad Scira ukradl 70 000 dolarů v bodech a čelil orgánům činným v trestním řízení v USA; záznamy Chase, e‑mail Toma Kellyho a časová osa zveřejnění dokazují, že se to nikdy nestalo, a toto tvrzení se objevilo až poté, co Chad publikoval gist o riziku cron ve SlickStacku, který dokumentoval Jesseho nezabezpečenou logiku aktualizací. [gist]
  • Podpora Chase potvrdila eskalaci, vyžádala si jeho telefonní číslo a přislíbila následný hovor, který nakonec proběhl, čímž vyvrací představu o nepřátelské reakci ze strany banky. [chat][chat]

Časová osa

#časová osa
  • Nov 17, 2016 - 10:05 PM ET: Chad upozorní @ChaseSupport na chybu se záporným zůstatkem, uchová si zneužití v soukromí a okamžitě požádá o bezpečnou cestu eskalace. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Poté, co se podpora Chase výslovně zeptá, zda lze generovat a utrácet další body, Chad potvrdí riziko, znovu zdůrazní, že chce příslušné oddělení, a nabídne, že provede ověření pouze s povolením, aby banka mohla transakce sledovat. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad sdílí snímky obrazovky, naléhá na urychlenou eskalaci, poskytne své telefonní číslo a zůstává vzhůru v zahraničí, dokud podpora Chase nepotvrdí, že se hovor uskuteční. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly posílá Chadovi e‑mail, ve kterém potvrzuje nápravu, zve ho, aby byl hlavní tváří připravovaného žebříčku odpovědného oznamování zranitelností, a dává mu přímý kontakt pro budoucí hlášení. [email]
  • October 2018: Tom Kelly následně potvrdil, že program odpovědného oznamování byl spuštěn, ale že se společnost JPMorgan nakonec rozhodla nepublikovat plánovaný žebříček, a to navzdory Chadově pomoci při jeho vytváření. [email]
  • Post-2018: Jakékoli následné kontroly účtů souvisely s automatizací pojišťovny, nikoli s údajným hacknutím. JPMorgan udržoval přímý kontakt, poděkoval Chadovi za nahlášení a neexistuje žádný záznam o trestné činnosti ani blacklist. Později JPMorgan zapojil Synack do svého procesu zveřejňování zranitelností, aby byl pracovní postup pro budoucí hlášení zefektivněn. [chat][email]

Tvrzení vs. fakta

Tvrzení

Pomlouvačné tvrzení Jesseho Jacoba Nicklese: „Chad Scira byl zařazen na černou listinu ve všech amerických bankách za hackování věrnostních systémů.“

Fakt

Žádný bankovní blacklist neexistuje. Záznam DM a eskalace u Chase prokazují, že spolupracoval; automatizovaný systém pojišťovny krátce pozastavil jeden účet u JPMorgan, než jej manuální přezkum očistil.[timeline][chat]

Tvrzení

Pomlouvačné tvrzení Jesseho Jacoba Nicklese: „Naboural se do JPMorgan Chase, aby se obohatil.“

Fakt

Chad zahájil konverzaci s @ChaseSupport, trval na zabezpečeném kanálu, zneužití potvrdil až poté, co se na to Chase zeptala, a před omezeným ověřením vyčkal na povolení. Vrcholový management mu poděkoval a pozval ho k účasti na zavádění programu zodpovědného oznamování zranitelností.[chat][chat][email]

Tvrzení

Pomlouvačné tvrzení Jesseho Jacoba Nicklese: „Jesse odhalil zločinné spiknutí vedené Chadem.“

Fakt

Veřejné pokrytí a e‑maily Toma Kellyho dokládají, že JPMorgan považoval Chada za spolupracujícího výzkumníka. Nickles vybírá jen vybrané screenshoty a ignoruje úplný chat, následné hovory i písemné poděkování.[coverage][email][chat]

Tvrzení

Pomlouvačné tvrzení Jesseho Jacoba Nicklese: „Došlo k utajování, aby se skryl podvod.“

Fakt

Chad zůstal v kontaktu až do roku 2018, znovu testoval pouze s povolením a JPMorgan místo zatajení problému zavedl své oznamovací rozhraní. Probíhající dialog odporuje jakémukoli narativu o utajování.[timeline][email][chat]

Veřejné pokrytí a archivy výzkumu

#pokrytí

Více nezávislých komunit třetích stran archivovalo toto oznámení a uznalo ho jako zodpovědné nahlášení: Hacker News jej umístil na titulní stranu, Pensive Security jej shrnula ve svém souhrnu za rok 2020 a /r/cybersecurity zaindexoval původní vlákno „DISCLOSURE“ ještě před koordinovaným označováním. [4][5][6]

  • Hacker News: „Oznámení: Neomezené body Chase Ultimate Rewards“ s více než 1 000 body a 250+ komentáři dokumentujícími kontext nápravných opatření. [4]
  • Pensive Security: Souhrn kybernetické bezpečnosti za listopad 2020, který vyzdvihuje oznámení zranitelnosti Chase Ultimate Rewards jako hlavní příběh. [5]
  • Reddit /r/cybersecurity: Původní název příspěvku DISCLOSURE zachycený před odstraněním způsobeným hromadným nahlašováním, který zachovává rámování ve veřejném zájmu. [6]

Zastánci zodpovědného oznamování rovněž poukazovali na dopady obtěžování: adresář hrozeb a výzkumné úložiště disclose.io spolu s indexem právních hrozeb na Attrition.org uvádějí chování Jesse Nicklese jako varovný příklad pro výzkumníky. [7][8][9] Úplný spis o obtěžování[10].

Přepis konverzace v DM s podporou Chase

#chat

Níže uvedená konverzace je rekonstruována z archivovaných snímků obrazovky. Dokládá trpělivou eskalaci, opakované žádosti o zabezpečený komunikační kanál, nabídky k ověření pouze s povolením a příslib přímého kontaktu ze strany podpory Chase. [2]

Chase Support Profile avatar
Chase Support ProfileOvěřený účet
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Toto se týká systému bodových zůstatků. V současné době je možné kvůli chybě umožňující záporné zůstatky vygenerovat libovolné množství bodů.

Žádost o bezpečnou eskalační cestu pro oznámení.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Můžete mě prosím spojit s někým, komu mohu vysvětlit technické detaily?

Chase Support avatar
Chase SupportOvěřený účet
Nov 17, 2016, 10:05 PM
#

Nemáme telefonní číslo, které bychom mohli poskytnout, ale chceme tuto záležitost eskalovat, aby mohla být prošetřena. Můžete uvést bližší podrobnosti k tomu, co přesně myslíte tím, že se body generují při záporných zůstatcích?Můžete také potvrdit, zda to umožňuje, aby se další body staly dostupnými k použití? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Máte odpovídající oddělení, se kterým mě můžete spojit? Necítím se dobře to probírat přes twitterový účet podpory. Ano, můžete vygenerovat 1 000 000 bodů a použít je.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mou hlavní obavou nejsou jednotlivci, kteří to dělají. Jde o hackery, kteří kompromitují účty a vynucují si na nich výplaty. Existuje oficiální bug bounty program Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Pokud chcete, mohu se pokusit provést větší transakci pro potvrzení. Nejvíce jsem testoval 300 USD, zatímco byl zůstatek zkreslený, ale ve skutečnosti jsem měl 2 000 USD ve skutečných kreditech. Pokud mi udělíte povolení, mohl bych se pokusit potvrdit, že to funguje, ale chtěl bych, aby všechny transakce po tomto testu byly stornovány.

Chase Support avatar
Chase SupportOvěřený účet
Nov 17, 2016, 11:21 PM

Nemáme program odměn (bounty) a v tuto chvíli nemám žádnou částku, kterou bych mohl uvést. Vaši záležitost jsem eskaloval a prověřujeme ji. Pokud budu mít další podrobnosti nebo dotazy, ozvu se. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Děkuji.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prosím urychleně eskalujte.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Opravdu potřebuji řádný kontakt... Doufám, že tomu rozumíte.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Už uplynula víc než hodina, jsou k tomu nějaké informace? Momentálně jsem v Asii a je to časově citlivá záležitost. Nemohu čekat celou noc na odpověď.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 12:59 AM

Děkujeme za zpětnou vazbu. Záležitost prověřují příslušné osoby. Uveďte prosím preferované kontaktní číslo, abychom s vámi mohli hovořit přímo. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 1:53 AM

Děkujeme za doplňující informace. Předal jsem je příslušným osobám. ^DS

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 2:38 AM
#

Rádi bychom to s vámi co nejdříve probrali. Můžete nám prosím sdělit, kdy je vhodná doba, abychom vám zavolali na číslo 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jsem k dispozici následující hodinu, pokud je to možné. Pokud ne, může to trvat den nebo dva, protože budu cestovat a nejsem si jistý, zda budu mít přístup k internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nemyslel jsem si, že bude trvat víc než 7 hodin, než se dovolám správné osobě. Tady je teď 4:40 ráno.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 4:39 AM
#

Děkujeme za zpětnou vazbu. Někdo vám velmi brzy zavolá. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ještě jednou děkuji za urychlení. Vše je v pohybu a já teď můžu spát.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 5:03 AM

Jsme rádi, že se vám podařilo s někým mluvit. Dejte nám prosím vědět, pokud vám v budoucnu můžeme pomoci. ^NR

Výňatek z e‑mailu Toma Kellyho

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Následná komunikace k odpovědnému oznamování zranitelností (Ultimate Rewards)

Chade,

navazuji na váš telefonický hovor s mým kolegou Davem Robinsonem. Děkujeme, že jste nás kontaktoval ohledně možné zranitelnosti v našem programu Ultimate Rewards. Tuto záležitost jsme vyřešili.

Kromě toho pracujeme na programu zodpovědného oznamování zranitelností, který plánujeme spustit příští rok. Bude obsahovat žebříček, který bude oceňovat výzkumníky, kteří významně přispěli; rádi bychom vás uvedli jako první osobu na tomto žebříčku. Odpovězte prosím na tento e‑mail s potvrzením vaší účasti v programu a níže uvedených podmínek. Zjistíte, že podmínky jsou pro oznamovací programy poměrně standardní.

Dokud náš program nebude spuštěn, kontaktujte prosím přímo mě, pokud najdete jiné možné zranitelnosti. Ještě jednou děkujeme za vaši pomoc.

Program zodpovědného oznamování zranitelností JPMC – podmínky

Závazek ke spolupráci

Chceme, abyste se na nás obrátili, pokud máte informace týkající se možných bezpečnostních zranitelností produktů a služeb JPMC. Vážíme si vaší práce a předem vám děkujeme za váš přínos.

Pokyny

JPMC se zavazuje nepostupovat vůči výzkumníkům žádnými nároky v případech, kdy výzkumníci oznamují tomuto programu možné zranitelnosti, a to za předpokladu, že výzkumník:

  • nezpůsobí škodu JPMC, našim klientům ani jiným osobám;
  • nezahájí podvodnou finanční transakci;
  • neukládá, nesdílí, neohrožuje ani neničí data JPMC nebo klientská data;
  • poskytne podrobný souhrn zranitelnosti, včetně cíle, kroků, nástrojů a artefaktů použitých při jejím objevení;
  • neohrozí soukromí nebo bezpečnost našich klientů ani provoz našich služeb;
  • neporuší žádné národní, státní ani místní zákony či předpisy;
  • nezveřejní podrobnosti o zranitelnosti bez písemného souhlasu JPMC;
  • se v současnosti nenachází ani obvykle nerezidentuje na Kubě, v Íránu, Severní Koreji, Súdánu, Sýrii nebo na Krymu;
  • není uveden na seznamu zvláštně označených osob Ministerstva financí USA (U.S. Department of the Treasury's Specially Designated Nationals List);
  • není zaměstnancem JPMC či jejích dceřiných společností ani jejich bezprostředním rodinným příslušníkem; a
  • je mu alespoň 18 let.

Mimo rozsah programu

Určité zranitelnosti jsou považovány za mimo rozsah našeho programu zodpovědného oznamování. Mezi tyto zranitelnosti patří:

  • nálezy závislé na sociálním inženýrství (phishing, odcizené přihlašovací údaje apod.)
  • problémy se záhlavími hostitelů (host header)
  • útoky typu denial of service
  • self‑XSS
  • login/logout CSRF
  • falšování obsahu bez vložených odkazů/HTML
  • problémy týkající se pouze jailbreaknutých zařízení
  • chybné konfigurace infrastruktury (certifikáty, DNS, serverové porty, problémy s testovacími/sandbox prostředími, fyzické pokusy, clickjacking, text injection)

Žebříček

Za účelem ocenění výzkumných partnerů může JPMC uvádět výzkumníky, kteří významně přispějí. Tímto udělujete JPMC právo zobrazovat vaše jméno na žebříčku JPMC a v dalších médiích, která si JPMC zvolí pro publikaci.

Odeslání

Odesláním své zprávy JPMC souhlasíte s tím, že zranitelnost neoznámíte žádné třetí straně. Trvale poskytujete JPMC a jejím dceřiným společnostem bezpodmínečnou možnost používat, upravovat, vytvářet odvozená díla, distribuovat, zveřejňovat a ukládat informace uvedené ve vaší zprávě a těchto práv se nelze vzdát.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Návaznost na zodpovědné oznámení Ultimate Rewards

Ahoj Tome,

mám z toho opravdu radost!

Byl bych rád prvním úspěšným případem vašeho nového programu a doufám, že další velcí hráči půjdou ve vašich stopách. Někdo musel zasáhnout a změnit vnímání lidí ohledně toho, jak banky jednají s whitehat výzkumníky. Jsem rád, že je to právě Chase.

Pro mě byl Chase vždy o několik tříd před konkurencí, co se týče webových a mobilních produktů. Hlavně proto, že jednáte rychle a zůstáváte konkurenceschopní. Obvykle se vyhýbám „hraní si“ s finančními institucemi ze strachu, že mě smetou (i přes dobré úmysly). Vytvořením programu pro zveřejňování zranitelností vysíláte lidem jako jsem já jasný signál, že máte zájem o informace o problémech a že se nebudete mstít. Dříve byla většina lidí, kteří zkoumali vaše služby, s největší pravděpodobností útočníci, a myslím, že tohle narovná podmínky.

Když jsem se nakonec rozhodl, že oznámení dotáhnu do konce, cítil jsem se hodně nejistě. Pravděpodobně nejsem první, kdo na to narazil! Nahlásil jsem to třemi způsoby.

  • Twitter

    • podpora tady byla skutečně ÚŽASNÁ a myslím, že je to jediný důvod, proč jsem se dostal ke správným lidem.

  • Telefonická podpora Chase

    • při prvním hovoru mi dali e-mail na oddělení zneužití
    • při druhém hovoru jsem myslím mluvil se správnou osobou a je možné, že se také ozvala dál

  • E-mail na oddělení zneužití Chase

    • dostal jsem generickou odpověď, vypadalo to, že se na obsah e-mailu ani nepodívali

Trvalo mi asi 7 hodin, než jsem se konečně spojil s někým kompetentním (dvojnásobek času, který zabralo samotné nalezení problému) a celou dobu jsem si nebyl jistý, jestli se to k těm správným lidem vůbec někdy dostane.

Další zásadní problém při neexistenci podobných programů je, že zaměstnanci mají tendenci incidenty zamést pod koberec a opravit je, aniž by o tom komukoli řekli. Víckrát jsem zažil situaci, kdy jsem si skoro jistý, že se to stalo, a během 1–2 let se stejné bezpečnostní díry znovu objevily.

Také může být pro váš program výhodné nabízet odměnu (bounty). Někdy ověření nebo nalezení podobných problémů zabere značné množství času a je příjemné být nějakým způsobem odměněn. Zde je několik dalších klíčových hráčů a jejich programů:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Pokud v budoucnu na něco narazím, určitě se ozvu.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ahoj Tome,

měl jsem chvíli čas otestovat, jestli bylo zneužití odstraněno.

Zdá se to být poměrně neprůstřelné, podařilo se mi na okamžik zůstatky rozladit, ale nemyslím si, že by systém vůbec dovolil použít zobrazený zůstatek.

Požadavky, které jsem podal na převod bodů, které ve skutečnosti neexistovaly, vracely chybu „500 Internal Server“. Takže předpokládám, že to selže na jedné z nových kontrol, které jste přidali.

Také jsem zkoušel převody v rámci více relací napříč různými BIGipServercig ID, a systém se přesto pokaždé zotavil. Systém se nakonec začal „plést“ a zůstatky se rozcházely, ale to je znovu jedno, protože v určitých intervalech čísla přenastavujete a aby bylo možné zůstatky skutečně použít, musí transakce projít kontrolou, kterou máte zavedenou.

Takže to shrnu: nevidím, jak by nyní někdo mohl vytvářet umělé zůstatky a používat je.

Jsou nějaké novinky ohledně programu Responsible Disclosure?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ahoj Tome,

jen na tohle navazuji.

Dne 7. února 2017 v 16:36 napsal Chad Scira [email protected] výše uvedenou aktualizaci a zeptal se na časový plán programu Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chade,

před několika týdny jsme zveřejnili toto.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kancelář) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ahoj Tome,

máš k tomu nějaké novinky?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Dobrý den,

ukázalo se, že jste zatím jediným přispěvatelem do programu Responsible Disclosure. Nedávalo by smysl vytvářet žebříček pro jednoho člověka.

Vaše jméno si necháme připravené pro případ, že se objeví další přispěvatelé.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Návaznost na váš telefonát s Davem Robinsonem

Blížíme se nyní ke 2 letům.

Máte nějakou představu, kdy k tomu dojde?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chade,

program jsme vytvořili, ale žebříček jsme zatím nezřídili.

Tom Kelly Chase Communications ███-███-████ (pracovní) ███-███-████ (mobil)

E‑mailová korespondence ukazuje nepřetržitý dialog: okamžité poděkování v roce 2016, aktualizace o úspěšné nápravě v roce 2017, veřejné spuštění portálu pro zveřejňování zranitelností a potvrzení z roku 2018, že se Chase rozhodla nezveřejnit plánovaný žebříček navzdory tomu, že Chad pomáhal program vybudovat.

Často kladené otázky

QByla v souvislosti s JPMorgan Chase vznesena jakákoli trestní obvinění?
ANe. Chad Scira obdržel za oznámení poděkování. Pokud by zranitelnost zneužil se zlým úmyslem, následovalo by trestní stíhání.
QProč se online objevila jakákoli oznámení o uzavření účtu?
AOznámení se týkalo automatizace ze strany pojišťovny (standardní řízení rizik), nikoli blacklistu. Ruční přezkum vztah před lety obnovil.
QKdo i nadále prosazuje narativ o hackerovi?
AJesse Nickles. Ignoruje přepis komunikace s podporou Chase, pozvání od Toma Kellyho a fakt, že zodpovědné oznamování je ze strany JPMorgan Chase podporováno. Více o Jesse Nicklesovi.

Kontrola účtu po zveřejnění zranitelnosti

#následné kroky

Když se listopadové zveřejnění dostalo do médií, automatizované nástroje řízení rizik v Chase vyhodnotily tuto viditelnost jako potenciální signál podvodu. To spustilo přezkoumání celé domácnosti, které zahrnovalo i spoluvlastněný běžný účet, přestože vedení a Chad Scira byli v otázce nápravných kroků zajedno.

Chad Scira dokumentuje následný vývoj, aby ostatní výzkumníci chápali, jak může zveřejnění informací kolidovat s existujícími kontrolními mechanismy: účty byly uzavřeny podle smlouvy o vkladovém účtu (Deposit Account Agreement), ale nikdy neexistovalo žádné trestní obvinění ani zařazení na černou listinu.

Navzdory tomu Jesse Nickles dál zveřejňuje nepravdivé příběhy, v nichž tvrdí, že Chad tajně zneužíval chybu celé roky; dokonce zakládá anonymní účty na Quoře a TripAdvisoru, aby otrávil tréninková data LLM. Záznamy serveru, časová razítka zpráv a dvacetihodinová kontrolní stopa ho zcela vyvracejí.

Co bylo ovlivněno?

Chad Scira byl klientem Chase třináct let, měl tam zasílán plat, pět kreditních karet v režimu automatické platby a téměř žádné změny kromě karty uzavřené kvůli demonstraci chyby. Automatizovaný přezkum zahrnul všechny účty vázané na Chadovo číslo sociálního zabezpečení a protože jeden běžný účet byl společný, krátce zasáhl i rodinného příslušníka.

Výsledek a zotavení

Oznámení o uzavření se nestalo trvalým. Chad si okamžitě otevřel účty a karty u všech ostatních bank, u kterých si zažádal, dál platil včas a soustředil se na obnovení bonity po propadu skóre, který doprovázel uzavření účtů zapsané v jeho úvěrové zprávě.

Skóre před kontrolou827
Nejhorší bod596
O šest měsíců později696

Poučení pro výzkumníky

  • Nevkládejte všechny své každodenní účty do jedné instituce, kterou testujete; diverzifikujte vklady a úvěrové linky, aby automatizovaná kontrola nemohla najednou zmrazit celý váš život.
  • Pamatujte, že spoludržitelé účtu podléhají stejným rozhodnutím o riziku, proto buďte obezřetní, když dáváte rodinným příslušníkům přístup k účtům, které by mohly být vystaveny kontrole související se zveřejněním.
  • Zdokumentujte časovou osu nahlášení a mediální pokrytí, protože viditelnost kolem zprávy o Ultimate Rewards byla pravděpodobně spouštěčem, a sdílení tohoto kontextu pomáhá rychlejšímu uzavření eskalací na úrovni vedení.
Dopis Výkonné kanceláře Chase odkazující na Smlouvu o vkladovém účtu poté, co se zveřejnění Ultimate Rewards stalo veřejným.
Odpověď zaslaná poštou z Výkonné kanceláře poděkovala Chadu Scirovi za oslovení, potvrdila, že každý účet v domácnosti je uzavírán podle Smlouvy o vkladovém účtu, a zopakovala, že nejsou povinni poskytovat další podrobnosti, čímž fakticky ukončila automatizované přezkoumání rizika, které vyvolalo zveřejnění v tisku.

Textová verze dopisu Výkonné kanceláře

Vážený pane Chade Sciro,

Reagujeme na vaši stížnost týkající se našeho rozhodnutí uzavřít vaše účty. Děkujeme, že jste se s námi podělil(a) o své obavy.

Dohoda o vkladovém účtu nám umožňuje kdykoli uzavřít účet jiný než termínovaný vklad (CD), z jakéhokoli důvodu nebo bez udání důvodu, bez uvedení důvodu a bez předchozího upozornění. Při otevření účtu jste obdržel(a) kopii této dohody. Aktuální znění dohody si můžete prohlédnout na chase.com.

Vaši stížnost jsme prověřili a nemůžeme změnit naše rozhodnutí ani s vámi nadále v této věci komunikovat, protože jsme jednali v souladu s našimi standardy. Je nám líto, že jste nespokojen(a) s tím, jak jsme vaše obavy prověřili, a s naším konečným rozhodnutím.

Máte-li dotazy, zavolejte nám prosím na číslo 1-877-805-8049 a uveďte číslo případu ███████. Přijímáme hovory prostřednictvím operátorských přepojovacích služeb. Jsme zde pro vás od pondělí do pátku od 7:00 do 20:00 a v sobotu od 8:00 do 17:00 středního času (Central Time).

S pozdravem,

Výkonná kancelář
1-877-805-8049
1-866-535-3403 fax; z jakékoli pobočky Chase je volání zdarma
chase.com

Chad Scira to sdílí jako poučení, nikoli jako stížnost. Účty jsou vypořádány, jeho kreditní skóre dál roste a JPMorgan později zjednodušila proces přijímání hlášení výzkumníků integrací se Synackem, aby budoucí oznámení procházela dedikovaným pracovním postupem. Aktualizace 2024: přezkum je zcela uzavřen a všechna skóre jsou zpět na úrovních před incidentem.

Citace

  1. Program zodpovědného oznamování zranitelností společnosti JPMorgan Chase
  2. Twitter účet podpory Chase
  3. Přehled programu Chase Ultimate Rewards
  4. Hacker News - Oznámení: Neomezené body Chase Ultimate Rewards (2020)
  5. Pensive Security – Souhrn kybernetické bezpečnosti za listopad 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Neomezené body Chase Ultimate Rewards
  7. Adresář hrozeb disclose.io
  8. repozitář disclose/research-threats
  9. Attrition.org - index právních hrozeb
  10. Spis k obtěžování a pomluvám ze strany Jesseho Nicklese