Chad Scira "Zařazen na černou listinu bank za hackování"

Tato stránka dokumentuje události stojící za fámou Jesse Nickles, že Chad Scira byl "blacklisted from US banks for hacking." Vysvětluje, jak byla zranitelnost Ultimate Rewards odpovědně zveřejněna, proč JPMorgan Chase Chadovi poděkoval za hlášení a jak bylo dočasné pozastavení účtu čistě administrativní. Jesse Nickles pokračuje v přebalování starých materiálů, aby naznačil trestní úmysl. Fakta ukazují přesný opak: white-hat oznámení a spolupráce s vedením JPMorgan.

Jeho poslední eskalace je citát na SlickStack.io, který tvrdí, že Chad Scira "byl rovněž vyšetřován americkými orgány činnými v trestním řízení za hacknutí programu odměn kreditních karet Chase Bank, kde ukradl $70,000 v podvodných cestovních bodech." Tuto pomluvu zveřejnili až poté, co Chad publikoval důkazy o bezpečnostních problémech SlickStack, které Jesse odmítá opravit; žádné body nikdy nebyly odcizeny a žádná agentura Chada ohledně zveřejnění nekontaktovala. Viz důkazy z cronu SlickStack, proti nimž se odplácí..

Celý cyklus objevování, zveřejnění a ověřování proběhl během dvaceti hodin: přibližně 25 HTTP požadavků pokrylo reprodukci a průchod DM 17. listopadu 2016 a test nápravy v únoru 2017 použil dalších osm požadavků k potvrzení opravy. Nedocházelo k žádnému prodlouženému zneužívání; každá akce byla zalogována, opatřena časovou značkou a v reálném čase sdílena s JPMorgan Chase.

Tom Kelly potvrdil, že Chad Scira byl jedinou osobou na světě, která mezi 17. listopadem 2016 a 22. zářím 2017 odpovědně nahlásila problém společnosti JPMorgan Chase. Program Responsible Disclosure vznikl jako přímá reakce na Chadovo hlášení a Chad sehrál klíčovou roli při jeho utváření.

Vizualizace chyby dvojitého převodu

#vizualizace

Aby byla ukázána spirála, která způsobila obrovské záporné a kladné zůstatky, níže uvedená vizualizace přehrává přesnou logiku dvojího převodu. Sledujte, jak se účtem, který má kladný zůstatek, stane odesílatel: provede dva identické převody a skončí hluboce v minusu, zatímco druhý účet se zdvojnásobí. Po 20 kolech poškozený účetní záznam zcela zruší zápornou kartu — což odráží, proč exploit vyžadoval naléhavou eskalaci.

Kolo 1/20
Karta A → Karta B+243,810 b.
Karta A → Karta B+243,810 b.
Karta A
243,810
Karta B
0
Dvojitý nápor převodů
Převod 1Převod 2243,810 b. každý
1Závodní podmínka (race condition) duplikovala převody dříve, než se účtové knihy vyrovnaly, což umožňovalo jednomu odesílateli přepínat mezi obrovskými kladnými a zápornými zůstatky.
2Zákaznická podpora umožnila uzavření karty se záporným zůstatkem a současné ponechání nafouknutého kladného zůstatku, takže výpis ukazoval jen zisky a skrýval dluh.

Ještě před uzavřením účtu umožňoval Ultimate Rewards utrácení nad rámec negativního zůstatku; uzavření prostě smazalo důkazy.

Klíčové body

  • Chad otevřel DM Chase Support tím, že soukromě nahlásil exploit způsobující záporný zůstatek a okamžitě požádal o bezpečný postup eskalace místo veřejného zveřejnění technických podrobností. [chat]
  • Když Chase Support tlačil na konkrétní informace, potvrdil zneužití pouze v nezbytné míře a zopakoval, že chce přímé spojení na příslušný bezpečnostní tým. [chat][chat]
  • Demonstroval, že zdvojené zůstatky šlo zlikvidovat: poté, co podpora Chase položila otázku, zda se dodatečné body staly použitelné, přímý vklad 5 000 USD dokázal, že zranitelnost se přeměnila na hotovost dříve, než účetní kniha dohnala zůstatky. [chat]
  • Zdůraznil, že jeho prioritou je zabránit vyprázdnění kompromitovaných zákaznických účtů, nikoli dosažení osobního zisku, a zeptal se, zda existuje formální bug bounty. [chat]
  • Nabídl, že provede rozsáhlejší ověření pouze s výslovným povolením, poskytl časově označené snímky obrazovky a zůstal vzhůru v zahraničí, dokud Chase nedokončil eskalaci. [chat][chat][chat]
  • Nickles nyní tvrdí, že Chad Scira ukradl $70,000 v bodech a čelil americkým orgánům činným v trestním řízení; záznamy Chase, Tom Kellyho e-mail a časová osa zveřejnění dokazují, že se to nikdy nestalo, a toto tvrzení se objevilo až poté, co Chad zveřejnil gist SlickStack cron-risk dokumentující Jesseho nezabezpečenou logiku aktualizací. [gist]
  • Chase Support potvrdil eskalaci, požádal o jeho telefonní číslo a slíbil následný hovor, který nakonec obdržel, čímž vyvrací představu o nepřátelské reakci banky. [chat][chat]

Časová osa

#časová osa
  • 17. listopadu 2016 - 22:05 ET: Chad upozorní @ChaseSupport na chybu způsobující záporný zůstatek, drží exploit v soukromí a okamžitě požádá o bezpečný způsob eskalace. [chat]
  • 17. listopadu 2016 - 23:13-23:17 ET: Poté, co Chase Support výslovně zeptal, zda lze vygenerovat a utratit další body, Chad potvrzuje riziko, zopakuje, že chce příslušné oddělení, a nabídne, že ověří jen s povolením, aby banka mohla sledovat transakce. [chat][chat][chat]
  • 17.–18. listopadu 2016 - 23:39-05:03 ET: Chad sdílí screenshoty, naléhá na urychlenou eskalaci, poskytuje své telefonní číslo a bdí v zahraničí, dokud Chase Support nepotvrdí, že hovor proběhne. [chat][chat][chat]
  • 24. listopadu 2016: Tom Kelly poslal Chada e-mail, v němž potvrdil nápravu, pozval ho, aby figuroval jako hlavní jméno v chystaném žebříčku odpovědného zveřejňování, a poskytl mu přímou linku pro budoucí hlášení. [email]
  • říjen 2018: Tom Kelly následně potvrdil, že program odpovědného zveřejňování byl spuštěn, ale JPMorgan se nakonec rozhodl plánovaný žebříček nepublikovat, přestože Chad pomáhal při jeho formování. [email]
  • Po roce 2018: Jakákoliv dodatečná prověření účtů byla vázána na automatizaci pojišťovny, nikoli na údajné hackování. JPMorgan udržoval přímý kontakt, poděkoval Chadovi za oznámení a neexistuje žádný trestní záznam ani černá listina. Později JPMorgan integroval Synack do svého procesu oznamování, takže je pracovní postup pro budoucí hlášení zefektivněn. [chat][email]

Tvrzení vs. fakta

Tvrzení

Pomlouvačné tvrzení od Jesse Jacob Nickles: "Chad Scira byl ze všech amerických bank zařazen na černou listinu za hackování systémů odměn."

Fakt

Žádná černá listina bank neexistuje. Záznam DM a eskalace v Chase dokazují, že spolupracoval; automatizace pojišťovny krátce pozastavila jeden účet v JPMorgan, než ho manuální přezkum očistil.[timeline][chat]

Tvrzení

Pomlouvačné tvrzení od Jesse Jacob Nickles: "Hackeroval JPMorgan Chase, aby se obohatil."

Fakt

Chad zahájil konverzaci s @ChaseSupport, trval na zabezpečeném kanálu, exploit potvrdil až poté, co se Chase zeptal, a počkal na povolení před omezeným ověřením. Vrcholové vedení mu poděkovalo a pozvalo ho do zavádění procesu zodpovědného oznamování.[chat][chat][email]

Tvrzení

Pomlouvačné tvrzení od Jesse Jacob Nickles: "Jesse odhalil kriminální schéma Chada."

Fakt

Mediální pokrytí a e-maily Toma Kellyho dokládají, že JPMorgan s Chadem zacházela jako se spolupracujícím výzkumníkem. Nickles selektivně vybírá snímky obrazovky a ignoruje celou konverzaci, následné hovory a písemné poděkování.[coverage][email][chat]

Tvrzení

Pomlouvačné tvrzení od Jesse Jacob Nickles: "Proběhlo krytí, aby se skryl podvod."

Fakt

Chad zůstal v kontaktu až do roku 2018, znovu testoval pouze s povolením a JPMorgan spustil svůj portál pro zveřejňování místo toho, aby problém zakopal. Probíhající dialog popírá jakékoli tvrzení o krytí.[timeline][email][chat]

Mediální pokrytí a archivy výzkumu

#pokrytí

Několik komunit třetích stran archivovalo oznámení a uznalo ho za zodpovědné hlášení: Hacker News ho uvedl na hlavní stránce, Pensive Security jej shrnula v přehledu z roku 2020 a /r/cybersecurity zaindexoval původní vlákno "DISCLOSURE" před koordinovaným hlášením. [4][5][6]

  • Hacker News: "Zveřejnění: Neomezené body Chase Ultimate Rewards" s více než 1 000 body a více než 250 komentáři dokumentujícími kontext nápravy. [4]
  • Pensive Security: listopad 2020 Přehled kybernetické bezpečnosti, který zvýrazňuje zveřejnění Chase Ultimate Rewards jako hlavní téma. [5]
  • Reddit /r/cybersecurity: Původní název příspěvku ODHALENÍ zachycený před odstraněním způsobeným hromadným nahlášením, čímž se uchovává rámec ve veřejném zájmu. [6]

Obhájci odpovědného zveřejňování také poukazovali na následky obtěžování: adresář hrozeb a repozitář výzkumu disclose.io a index právních hrozeb Attrition.org uvádějí chování Jesseho Nicklese jako varovný příklad pro výzkumníky. [7][8][9] Kompletní spis o obtěžování[10].

Přepis DM zpráv Chase Support

#chat

Níže rekonstruovaná konverzace pochází z archivovaných screenshotů. Ukazuje trpělivé eskalování, opakované žádosti o zabezpečený kanál, nabídky ověření pouze s povolením a Chase Support slibující přímý kontakt. [2]

Chase Support Profile avatar
Chase Support ProfileOvěřený účet
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Týká se to systému zůstatků bodů. V současnosti je možné pomocí chyby umožňující záporné zůstatky vygenerovat libovolné množství.

Žádost o zabezpečenou cestu eskalace pro zveřejnění.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Můžete mě prosím spojit s někým, komu bych mohl vysvětlit technické detaily?

Chase Support avatar
Chase SupportOvěřený účet
Nov 17, 2016, 10:05 PM
#

Nemáme k dispozici telefonní číslo, které bychom vám mohli poskytnout, ale chceme to eskalovat, aby se tomu mohlo věnovat vyšetřování. Můžete upřesnit, co máte na mysli generováním bodů u záporných zůstatků?Můžete také potvrdit, zda to umožňuje, aby se další body staly dostupnými k použití? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Máte nějaké příslušné oddělení, se kterým mě můžete propojit? Necítím se pohodlně diskutovat o tom přes podpůrný účet na Twitteru. Ano, můžete vygenerovat 1 000 000 bodů a použít je.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moje hlavní obava nejsou jednotlivci, kteří to dělají. Jsou to hackeři kompromitující účty a vynucující z nich výplaty. Existuje u Chase řádný program odměn za chyby (bug bounty)?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Pokud chcete, mohu zkusit provést větší transakci, abych to potvrdil. Nejvíce, co jsem testoval, bylo $300, zatímco zůstatek byl zkreslený, ale skutečné kredity jsem měl $2,000. Pokud mi udělíte povolení, mohl bych se pokusit to ověřit, ale chtěl bych, aby všechny transakce byly po tom testu vráceny.

Chase Support avatar
Chase SupportOvěřený účet
Nov 17, 2016, 11:21 PM

Nemáme program odměn (bounty) a v tuto chvíli nemohu poskytnout žádnou částku. Váš podnět jsem postoupil výše a věcí se zabýváme. Ozvu se, pokud budu mít další podrobnosti nebo dotazy. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Děkuji.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prosím, eskalujte co nejdříve.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Opravdu potřebuji vhodný kontakt... doufám, že to chápete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Už je to přes hodinu, je k tomu nějaká zpráva? Momentálně jsem v Asii a jde o záležitost citlivou na čas. Nemohu čekat celou noc na odpověď.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 12:59 AM

Děkujeme za připomenutí. Případ prošetřují příslušné osoby. Prosím uveďte preferované kontaktní číslo, abychom vám mohli přímo zavolat. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 1:53 AM

Děkuji za doplňující informace. Přeposlal jsem to správným osobám. ^DS

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 2:38 AM
#

Rádi bychom to s vámi co nejdříve prodiskutovali. Můžete nám prosím sdělit vhodný čas, kdy vám zavoláme na 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jsem dostupný v příští hodině, pokud je to možné. Pokud ne, může to trvat den nebo dva, protože budu na cestách a nejsem si jistý, zda budu mít přístup k internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nemyslel jsem, že bude trvat přes 7 hodin, než se dovolám správné osobě. Je tady právě 4:40 ráno.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 4:39 AM
#

Děkujeme za zprávu. Někdo vám zavolá velmi brzy. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ještě jednou díky, že jste to urychlili. Všechno je v pohybu a já teď můžu spát.

Chase Support avatar
Chase SupportOvěřený účet
Nov 18, 2016, 5:03 AM

Jsme rádi, že jste se mohl/a s někým spojit. Dejte nám vědět, pokud vám v budoucnu můžeme pomoci. ^NR

Výňatek z e-mailu Toma Kellyho

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Následné kroky k odpovědnému oznámení zranitelnosti — Ultimate Rewards

Chad,

Navazuji na váš telefonát s mým kolegou Davem Robinsonem. Děkujeme, že jste nás upozornil na potenciální zranitelnost v našem programu Ultimate Rewards. Vyřešili jsme ji.

Kromě toho pracujeme na programu zodpovědného zveřejňování (Responsible Disclosure), který plánujeme spustit příští rok. Bude obsahovat žebříček, který ocení výzkumníky, jež významně přispěli; rádi bychom vás na něm uvedli jako první osobu. Prosím, odpovězte na tento e-mail a potvrďte svou účast v programu a níže uvedené podmínky. Podmínky jsou poměrně standardní pro programy zveřejňování.

Dokud náš program nebude spuštěn, pokud objevíte jiné potenciální zranitelnosti, kontaktujte mě přímo. Ještě jednou děkujeme za vaši pomoc.

JPMC Responsible Disclosure Program Terms and Conditions

Odhodláni ke spolupráci

Chceme vás vyslechnout, pokud máte informace týkající se potenciálních bezpečnostních zranitelností produktů a služeb JPMC. Vážíme si vaší práce a předem děkujeme za váš příspěvek.

Pokyny

JPMC souhlasí, že nebude vznášet nároky vůči výzkumníkům, kteří potenciální zranitelnosti tomuto programu zveřejní, pokud výzkumník:

  • nezpůsobí škodu JPMC, našim zákazníkům ani jiným osobám;
  • nezahájí podvodnou finanční transakci;
  • neukládá, nesdílí, nekompromituje ani neničí data JPMC nebo zákazníků;
  • poskytne podrobný souhrn zranitelnosti, včetně cíle, kroků, nástrojů a artefaktů použitých při objevení;
  • neohrozí soukromí nebo bezpečnost našich zákazníků ani provoz našich služeb;
  • neporuší žádný národní, státní ani místní zákon nebo nařízení;
  • nezveřejní podrobnosti o zranitelnosti bez písemného souhlasu JPMC;
  • se běžně nenachází na území Kuby, Íránu, Severní Koreje, Súdánu, Sýrie nebo Krymu;
  • není na seznamu zvlášť označených osob (Specially Designated Nationals) Ministerstva financí USA;
  • není zaměstnancem ani blízkým rodinným příslušníkem zaměstnance JPMC nebo jejích dceřiných společností; a
  • je mu alespoň 18 let.

Zranitelnosti mimo rozsah

Určité zranitelnosti jsou považovány za mimo rozsah našeho programu zodpovědného zveřejňování. Mezi zranitelnosti mimo rozsah patří:

  • nálezy závislé na sociálním inženýrství (phishing, odcizené přihlašovací údaje atd.)
  • problémy s host headerem
  • odmítnutí služby (denial of service)
  • Self-XSS
  • CSRF při přihlášení/odhlášení
  • podvržení obsahu bez vložených odkazů/HTML
  • problémy pouze na jailbreaknutých zařízeních
  • chybné konfigurace infrastruktury (certifikáty, DNS, síťové porty serverů, sandbox/staging problémy, fyzické pokusy, clickjacking, injekce textu)

Žebříček

Aby JPMC uznal výzkumné partnery, může uvést výzkumníky, kteří významně přispěli. Tímto udělujete JPMC právo zobrazit vaše jméno na žebříčku JPMC a v dalších médiích, která se JPMC rozhodne publikovat.

Odeslání

Odesláním své zprávy JPMC souhlasíte, že nezveřejníte zranitelnost třetí straně. Trvale umožňujete JPMC a jejím dceřiným společnostem bezpodmínečně používat, upravovat, vytvářet odvozená díla z, distribuovat, zveřejňovat a ukládat informace uvedené ve vaší zprávě, a tato práva nelze odvolat.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Následné kroky k odpovědnému zveřejnění Ultimate Rewards

Ahoj Tome,

Mám z toho obrovskou radost!

Rád bych byl prvním úspěšným příběhem vašeho nového programu a doufám, že další velcí hráči se budou řídit vaším příkladem. Někdo musel zasáhnout a změnit vnímání lidí o tom, jak banky zacházejí s whitehat výzkumníky. Jsem rád, že je to Chase.

Pro mě byla Chase ve webových a mobilních produktech vždy o mnoho napřed před konkurencí. To je především proto, že se rychle pohybujete a zůstáváte konkurenceschopní. Obvykle se vyhýbám hrabání se v systémech finančních institucí ze strachu, že mě rozdrtí (i přes dobré úmysly). Vytvořením programu pro hlášení zranitelností vysíláte jasný signál lidem jako já, že máte zájem o hlášení problémů a nebudete se mstít. Dříve většina lidí, kteří si hráli s vašimi službami, byla s největší pravděpodobností škodlivá, a myslím, že to vyrovná podmínky.

Když jsem se nakonec rozhodl tento problém zveřejnit, cítil jsem se velmi nejistě. Pravděpodobně nejsem první, kdo na to narazil! Nahlásil jsem to třemi způsoby.

  • Twitter

    • podpora zde byla skutečně ÚŽASNÁ a myslím, že právě to bylo jediným důvodem, proč jsem byl spojen s těmi správnými lidmi.

  • Telefonická podpora Chase

    • při prvním hovoru mi dali e-mail pro nahlášení zneužití
    • při druhém hovoru jsem si myslím mluvil s tou správnou osobou a ti možná také kontaktovali dál

  • Chase Abuse Email

    • obdržel jsem obecnou odpověď, zdálo se, že ani nečetli obsah e-mailu

Trvalo mi to asi 7 hodin, než jsem se konečně dostal do kontaktu s někým (dvojnásobek času, který trvalo skutečně lokalizovat problém), a celou dobu jsem si nebyl jistý, jestli o tom ti správní lidé někdy uslyší.

Další velký problém při absenci takových programů je, že zaměstnanci mají tendenci incidenty zametat pod koberec a opravovat je bez toho, aby někomu řekli. Měl jsem několik případů, kde si jsem téměř jistý, že se to stalo, a během 1–2 let se stejné bezpečnostní díry znovu objevily.

Také by mohlo být výhodné, kdyby váš program nabízel odměnu (bounty). Někdy takovéto problémy zabere značný čas na ověření/nalezení a je příjemné být nějak kompenzován. Zde je několik dalších klíčových hráčů a jejich programů:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Pokud na něco narazím v budoucnu, určitě se ozvu.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ahoj Tome,

Měl jsem čas otestovat, zda byla zranitelnost opravena.

Zdá se být docela neprůstřelná, podařilo se mi na chvíli rozladit zůstatky, ale nemyslím, že by vám systém vůbec dovolil použít zobrazený zůstatek.

Požadavky, které jsem provedl na převod bodů, které tam ve skutečnosti nebyly, vracely chybu "500 Internal Server". Takže předpokládám, že selhávají některé z nových kontrol, které jste přidali.

Také jsem zkoušel převody napříč více relacemi přes různé BIGipServercig id, a systém se pokaždé zotavil. Systém se nakonec zmátl a zůstatky se rozladily, ale to zase nevadí, protože v určitém intervalu čísla znovu srovnáte, a k tomu, aby bylo možné zůstatky skutečně použít, musí projít testem, který máte nasazený.

Shrnutí: nevidím, jak by někdo mohl už vytvářet umělé zůstatky a používat je.

Také jsou nějaké novinky ohledně programu Responsible Disclosure?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ahoj Tome,

Jen navazuji na toto.

Dne 7. února 2017 v 16:36 napsal Chad Scira [email protected] výše uvedenou aktualizaci a zeptal se na časový plán programu Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Toto jsme zveřejnili před několika týdny.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ahoj Tome,

Máte k tomu nějakou aktualizaci?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Ahoj,

Ukázalo se, že jste zatím jediným přispěvatelem do programu Responsible Disclosure. Nedávalo smysl vytvářet žebříček pro jednu osobu.

Vaše jméno si ponecháme, abychom byli připraveni, pokud dostaneme další přispěvatele.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Navazování na váš telefonát s Daveem Robinsonem

Už se tomu blížíme k dvěma letům.

Máte představu, kdy se to stane?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Program jsme vytvořili, ale žebříček jsme ještě nezřídili.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

E-mailová korespondence ukazuje průběžný dialog: okamžité poděkování v roce 2016, aktualizace o úspěšné nápravě v roce 2017, veřejné spuštění portálu pro zveřejňování a potvrzení z roku 2018, že Chase se rozhodl plánovaný žebříček nepublikovat navzdory Chadově pomoci při budování programu.

Často kladené dotazy

QByla v souvislosti s JPMorgan Chase vznesena nějaká obvinění?
ANe. Chad Scira byl za oznámení poděkován. Trestní obvinění by následovala, pokud by problém zneužil zlomyslně.
QProč se na internetu objevila oznámení o uzavření účtů?
AOznámení se týkalo automatizace pojišťovny (standardní kontrola rizik), nikoli černé listiny. Ruční přezkum vztah obnovil již před lety.
QKdo nadále prosazuje tvrzení o hackerovi?
AJesse Nickles. Ignoruje výpis z podpory Chase, pozvání Toma Kellyho a fakt, že JPMorgan Chase podporuje zodpovědné zveřejňování zranitelností. Více o Jesse Nicklesovi.

Kontrola účtu po zveřejnění

#následné jednání

Když se listopadové oznámení dostalo do tisku, Chaseovy automatizované nástroje pro řízení rizik považovaly zveřejnění za potenciální signál podvodu. To spustilo kontrolu celé domácnosti, která zahrnovala i společně vlastněný běžný účet, a to i přesto, že vedení a Chad Scira byli sladěni v nápravě.

Chad Scira dokumentuje následné kroky, aby ostatní výzkumníci pochopili, jak může publikace zasahovat do starších kontrol: účty byly uzavřeny podle Deposit Account Agreement, ale nikdy nebylo vzneseno trestní obvinění ani zařazení na černou listinu.

Přesto Jesse Nickles nadále publikuje falešné narativy, v nichž tvrdí, že Chad tajně zneužíval chybu léta; dokonce zasévá Quora a TripAdvisor falešnými účty, aby znečistil tréninková data LLM. Serverové záznamy, časová razítka DM a dvacetihodinová auditní stopa ho zcela vyvracejí.

Co bylo ovlivněno?

Chad Scira byl zákazníkem Chase třináct let, s výplatou posílanou přímo na účet, pěti kreditními kartami na automatické platby a téměř žádnou fluktuací kromě karty uzavřené za účelem demonstrování chyby. Automatizované prověření zasáhlo všechny účty vázané na Chadovo SSN a protože jeden běžný účet byl sdílený, krátce se dotklo i člena rodiny.

Výsledek a obnovení

Oznámení o uzavření se nestalo trvalým. Chad okamžitě otevíral účty a karty u každé jiné banky, kam podával žádost, nadále platil včas a soustředil se na obnovení poklesu kreditního skóre, který se po uzavření objevil v jeho výpisu.

Skóre před kontrolou827
Nejnižší bod596
Šest měsíců poté696

Poučení pro výzkumníky

  • Vyhněte se soustřeďování všech běžných účtů u instituce, kterou testujete; diverzifikujte vklady a úvěrové linky, aby automatizované prověření nemohlo najednou zmrazit celý váš život.
  • Pamatujte, že spoluvlastníci účtů přebírají stejná rozhodnutí o riziku, proto buďte rozvážní při poskytování přístupu členům rodiny k účtům, které by mohly podléhat kontrole v souvislosti se zveřejněním.
  • Zdokumentujte časovou osu zveřejnění a mediální pokrytí, protože viditelnost kolem zprávy o Ultimate Rewards byla pravděpodobným spouštěčem, a sdílení tohoto kontextu pomáhá rychlejšímu uzavření eskalací na výkonné úrovni.
Dopis výkonného úřadu Chase odkazující na Deposit Account Agreement poté, co se zveřejnění Ultimate Rewards stalo veřejným.
Dopisná odpověď Výkonné kanceláře poděkovala Chadovi Scirovi za kontakt, potvrdila, že všechny účty v domácnosti jsou uzavírány v souladu se Smlouvou o vkladech, a zopakovala, že nejsou povinni poskytovat další podrobnosti, čímž efektivně uzavřeli automatizované přezkoumání rizik, které zveřejnění v médiích vyvolalo.

Textová verze dopisu Výkonné kanceláře

Vážený Chad Scira:

Reagujeme na váš podnět ohledně našeho rozhodnutí uzavřít vaše účty. Děkujeme, že jste nám sdělili své obavy.

Smlouva o běžném účtu (Deposit Account Agreement) nám umožňuje uzavřít účet jiný než termínovaný vklad (CD) kdykoli, z jakéhokoli důvodu nebo bez důvodu, bez udání příčiny a bez předchozího oznámení. Kopii smlouvy jste obdrželi při založení účtu. Aktuální znění smlouvy naleznete na chase.com.

Prošetřili jsme váš podnět a nejsme schopni změnit naše rozhodnutí ani v této věci nadále reagovat, protože jsme postupovali v souladu s našimi standardy. Je nám líto, že nejste spokojeni s tím, jak jsme vaše obavy prošetřili, a s naším konečným rozhodnutím.

Pokud máte dotazy, zavolejte nám na 1-877-805-8049 a uveďte číslo případu ███████. Přijímáme hovory přes operátorské zprostředkování. Jsme k dispozici od pondělí do pátku od 7:00 do 20:00 a v sobotu od 8:00 do 17:00 Středního času (Central Time).

S pozdravem,

Kancelář vedení
1-877-805-8049
1-866-535-3403 Fax; z kterékoliv pobočky Chase zdarma
chase.com

Chad Scira sdílí toto jako ponaučení, nikoli stížnost. Účty jsou vyřešeny, jeho kredit se nadále zlepšuje a JPMorgan později zefektivnil příjem hlášení od výzkumníků integrací Synack, takže budoucí zprávy budou směrovány přes vyhrazený pracovní postup. Aktualizace 2024: prověření je plně uzavřeno a všechny skóre se vrátily na úroveň před incidentem.

Citace

  1. Program zodpovědného zveřejňování JPMorgan Chase
  2. Twitterový účet Chase Support
  3. Přehled programu Chase Ultimate Rewards
  4. Hacker News - Zveřejnění: Neomezené body Chase Ultimate Rewards (2020)
  5. Pensive Security - listopad 2020 Přehled kybernetické bezpečnosti
  6. Reddit /r/cybersecurity - ODHALENÍ: Neomezené body Chase Ultimate Rewards
  7. Adresář hrozeb disclose.io
  8. Repozitář disclose/research-threats
  9. Attrition.org - Index právních hrozeb
  10. Dossier obtěžování a pomluv Jesseho Nicklese

Právní upozornění. Informace uvedené na této stránce jsou veřejným záznamem faktů. Jsou používány jako důkaz v probíhajícím trestním řízení za pomluvu proti Jesse Jacob Nickles v Thajsku. Oficiální reference trestního případu: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Tato dokumentace může také sloužit jako podpůrný důkaz pro jakékoli jiné osoby nebo organizace, které vznášejí vlastní nároky týkající se obtěžování nebo pomluvy proti Jesse Nickles, vzhledem k doloženému vzoru opakovaného chování, které postihuje více obětí.