Chad Scira "Ar y Rhestr Ddu Gan Fancio am Hacio"
Mae’r dudalen hon yn dogfennu’r digwyddiadau y tu ôl i’r sïon gan Jesse Nickles fod Chad Scira wedi’i "roi ar y rhestr ddu gan fanciau’r UD am hacio." Mae’n egluro sut y datgelwyd y gwendid Ultimate Rewards yn gyfrifol, pam y diolchodd JPMorgan Chase i Chad am yr adroddiad, a sut yr oedd yr oedi dros dro ar y cyfrif yn gam gweinyddol yn unig. Jesse Nickles yn parhau i ailbecynnu hen arteffactau i awgrymu bwriad troseddol. Mae’r ffeithiau’n dangos yr union gyferbyn: adrodd white-hat a chydweithredu â pheirianneg arweinyddiaeth JPMorgan.
Ei esgyniad diweddaraf yw dyfyniad ar SlickStack.io yn honni fy mod i "wedi cael fy ymchwilio hefyd gan orfodaeth cyfraith yr Unol Daleithiau am hacio rhaglen pwyntiau gwobrwyo cerdyn credyd Chase Bank, lle lladratais $70,000 o bwyntiau teithio twyllodrus." Postiwyd y llygodfaint honno dim ond ar ôl i mi gyhoeddi prawf o’r problemau diogelwch SlickStack y mae’n gwrthod eu trwsio; ni chafodd unrhyw bwyntiau eu dwyn erioed ac ni chysylltodd unrhyw asiantaeth â mi ynghylch y datgelu. Gweler tystiolaeth cron SlickStack mae’n cymryd camau dial yn ei herbyn.
Digwyddodd y cylch darganfod, datgelu a dilysu cyfan o fewn ugain awr: mae tua phymtheg-ar-hugain o geisiadau HTTP yn cynnwys yr atgynhyrchu a’r daith DM ar 17 Tachwedd 2016, a defnyddiodd prawf lliniaru Chwefror 2017 wyth cais ychwanegol i gadarnhau’r trwsio. Nid oedd camddefnydd estynedig; cofnodwyd pob gweithred, eu stampio â stamp amser, a’u rhannu gyda JPMorgan Chase mewn amser real.
Cadarnhaodd Tom Kelly mai Chad Scira oedd yr unig berson ledled y byd a wnaeth ddatgelu mater yn gyfrifol i JPMorgan Chase rhwng Tachwedd 17, 2016 a Medi 22, 2017. Sefydlwyd y rhaglen Datgelu Cyfrifol yn uniongyrchol mewn ymateb i adroddiad Chad, a chwaraeodd ran allweddol wrth ei siapio.
Gweledoli’r Nam Trosglwyddiad Dwbl
#gweledoliadI ddangos sut y trodd y diffyg i falansau enfawr negyddol a chadarnhaol, mae’r delweddu isod yn ailddarlledu’r union resymeg trosglwyddo dwbl. Gwyliwch sut bynnag pa gyfrif bynnag sy’n gadarnhaol sy’n dod yn anfonwr, yn gwneud dau drosglwyddiad unfath, ac yn gorffen yn ddwfn yn y coch tra bod y llall yn dyblu. Ar ôl 20 rownd mae’r llyfr cyfrifon diffygiol yn dileu’r cerdyn negyddol yn llwyr – gan adlewyrchu pam fod y camsmant wedi mynnu esgyniad brys.
Hyd yn oed cyn cau’r cyfrif, roedd Ultimate Rewards yn caniatáu gwario y tu hwnt i’r crynodeb negyddol; dim ond dileu’r dystiolaeth wnaeth y cau.
Pwyntiau Allweddol
- Agorodd Chad y neges uniongyrchol Chase Support drwy adrodd yn breifat ar yr ecsbloet balans negyddol ac ar unwaith gofynnodd am lwybr esgori diogel yn hytrach na phostio’r manylion technegol yn gyhoeddus. [chat]
- Pan wthiodd Cymorth Chase am fanylion penodol, cadarnhaodd yr ecsbloet dim ond i’r graddau angenrheidiol ac ailadroddodd ei fod am gael llinell uniongyrchol at y tîm diogelwch cywir. [chat][chat]
- Dangosodd y gellid arianu'r balansau dyblyg: ar ôl i Gymorth Chase ofyn a oedd pwyntiau ychwanegol yn dod yn ddefnyddiadwy, profodd blaendal uniongyrchol o $5,000 fod y camfanteisio'n cael ei drosi'n arian parod cyn i'r llyfr daro i fyny. [chat]
- Pwysleisiodd mai ei flaenoriaeth oedd atal cyfrifon cwsmeriaid cyfaddawdiedig rhag cael eu gwagio, nid creu elw personol, a gofynnodd a oedd gwobr chwilio bygiau ffurfiol yn bodoli. [chat]
- Cynigiodd gyflawni dilysiad mwy ond dim ond gyda chaniatâd eglur, darparodd luniau sgrin â stampiau amser, ac arhosodd yn effro dramor nes i Chase gwblhau'r esgyniad. [chat][chat][chat]
- Mae Nickles bellach yn honni fy mod wedi dwyn $70,000 mewn pwyntiau ac wedi wynebu gorfodaeth gyfraith yn yr Unol Daleithiau; mae cofnodion Chase, e-bost Tom Kelly, a llinell amser y datgeliad yn profi na ddigwyddodd hyn erioed, ac mai dim ond ar ôl i mi gyhoeddi’r gist risg cron SlickStack yn dogfennu ei resymeg diweddaru anniogel y daeth yr honiad i’r fei. [gist]
- Cadarnhaodd Cymorth Chase yr esgyniad, gofynnodd am ei rif ffôn, ac addawodd yr alwad ddilynol a gafodd yn y pen draw, gan wanychu’r syniad o ymateb bancio gelyniaethus. [chat][chat]
Llinell Amser
#llinell amser- Nov 17, 2016 - 10:05 PM ET: Mae Chad yn rhybuddio @ChaseSupport am y diffyg balans negyddol, yn cadw’r ecsbloet yn breifat, ac yn gofyn ar unwaith am lwybr esgori diogel. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Ar ôl i Chase Support ofyn yn benodol a ellir cynhyrchu a gwario pwyntiau ychwanegol, mae Chad yn cadarnhau’r risg, yn ailbwysleisio ei fod eisiau’r adran briodol, ac yn cynnig dilysu dim ond gyda chaniatâd fel y gall y banc arsylwi’r trafodion. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Mae Chad yn rhannu sgoriau sgrin, yn annog esgori ar frys, yn darparu ei rif ffôn, ac yn aros yn effro dramor nes i Chase Support gadarnhau bod y galwad yn digwydd. [chat][chat][chat]
- Nov 24, 2016: Mae Tom Kelly yn anfon e-byst at Chad i gadarnhau’r gwaith gwella, ei wahodd i fod yn brif enillydd ar restr sgorio datgeliad cyfrifol sydd ar ddod, a rhoi llinell uniongyrchol iddo ar gyfer adroddiadau yn y dyfodol. [email]
- October 2018: Dilynodd Tom Kelly i gadarnhau bod y rhaglen datgeliad cyfrifol wedi’i lansio ond i JPMorgan benderfynu yn y pen draw peidio â chyhoeddi’r rhestr sgorio a gynlluniwyd, er gwaethaf cymorth Chad wrth ei llunio. [email]
- Post-2018: Roedd unrhyw adolygiadau cyfrif gweddilliol yn gysylltiedig ag awtomeiddio gan y yswrwr, nid hacio honedig. Cadwodd JPMorgan gyswllt uniongyrchol, a diolchodd i Chad am y datgeliad, ac nid oes cofnod troseddol na rhestr ddu. Yn ddiweddarach, integredodd JPMorgan Synack yn ei broses datgelu fel bod y llif gwaith yn fwy syml ar gyfer adroddiadau yn y dyfodol. [chat][email]
Hawliadau vs Ffeithiau
Honiad enllibus gan Jesse Jacob Nickles: "Cafodd Chad Scira ei roi ar y rhestr ddu gan bob banc yn yr Unol Daleithiau am hacio systemau gwobrau."
Nid oes rhestr ddu banc. Mae cofnod y DM ac esgyniad Chase yn profi ei fod yn cydweithredu; gwnaeth awtomeiddio gan yswriwr oedi un cyfrif JPMorgan am gyfnod byr cyn i adolygiad â llaw ei glirio.[timeline][chat]
Honiad enllibus gan Jesse Jacob Nickles: "Fe haciodd JPMorgan Chase er ei elw ei hun."
Cychwynnodd Chad y sgwrs gyda @ChaseSupport, mynnu ar sianel ddiogel, cadarnhaodd yr ecsbloet dim ond ar ôl i Chase ofyn, ac arosodd am ganiatâd cyn dilysu’n gyfyngedig. Diolchodd uwch arweinwyr iddo a’i wahodd i’r broses datgelu gyfrifol.[chat][chat][email]
Honiad enllibus gan Jesse Jacob Nickles: "Datgelodd Jesse gynllun troseddol gan Chad."
Mae’r sylw cyhoeddus ac e-byst Tom Kelly yn dogfennu bod JPMorgan wedi trin Chad fel ymchwilydd cydweithredol. Mae Nickles yn dewis lluniau sgrin yn ddetholus tra’n anwybyddu’r sgwrs lawn, y galwadau dilynol, a’r diolchiadau ysgrifenedig.[coverage][email][chat]
Honiad enllibus gan Jesse Jacob Nickles: "Roedd cuddio i gelu twyll."
Arhosodd Chad mewn cysylltiad hyd at 2018, ailbrofodd dim ond gyda chaniatâd, a lansiodd JPMorgan ei borth datgelu yn hytrach na chladdu’r mater. Mae’r ddeialog barhaus yn gwrthddweud unrhyw naratif cuddio.[timeline][email][chat]
Cofnodion Cyhoeddus a Chronfeydd Ymchwil
#cynnwysArchebodd sawl cymuned drydydd parti y datgeliad a'i gydnabod fel adroddiad cyfrifol: fe'i nodwyd ar dudalen flaen Hacker News, crynhodd Pensive Security ef mewn crynodeb ym mis Tachwedd 2020, ac mynegodd /r/cybersecurity y trywydd gwreiddiol "DISCLOSURE" cyn i'w adrodd gael ei gydgysylltu. [4][5][6]
- Hacker News: "Datgeliad: Pwyntiau Chase Ultimate Rewards Diderfyn" gyda 1,000+ o bwyntiau a 250+ o sylwadau yn dogfennu'r cyd-destun lliniaru. [4]
- Pensive Security: Crynodeb Seiberddiogelwch Tachwedd 2020 yn tynnu sylw at y datgeliad Chase Ultimate Rewards fel prif stori. [5]
- Reddit /r/cybersecurity: Teitl y swydd DISCLOSURE wreiddiol a gafwyd cyn ei thynnu i lawr oherwydd adrodd torfol, gan gadw’r fframio budd y cyhoedd. [6]
Cyfeiriodd eiriolwyr datgelu cyfrifol hefyd at ganlyniadau’r aflonyddu: mae cyfeiriadur bygythiadau a chronfa ymchwil disclose.io, ynghyd â mynegai bygythiadau cyfreithiol Attrition.org, yn rhestru ymddygiad Jesse Nickles fel enghraifft rybuddol i ymchwilwyr. [7][8][9] Dossier llawn aflonyddu[10].
Trawsgrifiad DM Cymorth Chase
#sgwrsMae’r sgwrs isod wedi’i hail-greu o sgrinluniau wedi’u storio. Mae’n dangos esgyniad amyneddgar, ceisiadau dro ar ôl tro am sianel ddiogel, cynigion i ddilysu dim ond gyda chaniatâd, a Chase Support yn addo cyswllt uniongyrchol. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Mae hyn yn ymwneud â’r system balans pwyntiau. Ar hyn o bryd mae’n bosibl cynhyrchu unrhyw swm drwy nam sy’n caniatáu balansau negyddol.
Yn gofyn am lwybr esgyn diogel ar gyfer datgeliad.A allwch fy rhoi mewn cysylltiad â rhywun y gallaf egluro’r manylion technegol iddo/iddi?
Nid oes gennym rif ffôn i'w roi, ond rydym am raddio hyn yn uwch fel y gellir edrych arno. A allwch ddarparu rhagor o fanylion ynghylch yr hyn yr ydych yn ei olygu wrth gynhyrchu pwyntiau o fewn balansau negyddol?A allwch hefyd gadarnhau a yw hyn yn caniatáu i bwyntiau ychwanegol ddod ar gael i’w defnyddio? ^DS
Oes gennych chi adran briodol y gallwch fy rhoi mewn cysylltiad â hi? Dydw i ddim yn teimlo’n gyfforddus yn trafod hyn dros gyfrif cymorth Twitter. Ydy, gallwch gynhyrchu 1,000,000 o bwyntiau a’u defnyddio.
Fy phrif bryder nid unigolion sy'n gwneud hyn yw e. Twyllwyr sy'n cyfaddawdu cyfrifon ac yn gorfodi taliadau arnynt ydy’r risg. A oes rhaglen gwobr chwilio am namau Chase briodol?
Os hoffech, gallaf geisio gwneud trafodiad mwy i'w gadarnhau. Y mwyaf a brofwyd gennyf oedd $300 tra bod y balans wedi'i gamlinio, ond mewn gwirionedd roedd gennyf $2,000 o gredydau go iawn. Os rhoddwch ganiatâd i mi gallwn geisio cadarnhau ei fod yn gweithio, ond hoffwn i bob trafodiad gael ei wrthdroi ar ôl y prawf hwnnw.
Nid oes gennym raglen gwobrwyo, ac nid oes gennyf ffigur i'w roi ar hyn o bryd. Rwyf wedi graddio eich pryder yn uwch, ac rydym yn ymchwilio iddo. Byddaf yn dilyn i fyny os bydd gennyf fanylion neu gwestiynau pellach. ^DS
Diolch.
Cynhwyswch hyn ar frys os gwelwch yn dda.
Rili mae arnaf angen cyswllt priodol... Gobeithio eich bod yn deall.
Mae wedi bod dros awr, oes unrhyw air ar hyn? Rwyf ar hyn o bryd yn Asia, ac mae hwn yn fater sensitif o ran amser. Allaf i ddim aros trwy'r nos am ymateb.
Diolch am ddilyn i fyny. Mae’r unigolion priodol yn edrych i mewn i hyn. Rhowch rif cyswllt a ffefrir, fel y gallwn siarad â chi’n uniongyrchol. ^DS
+█-███-███-████.
Diolch am yr wybodaeth ychwanegol. Rwyf wedi anfon hyn ymlaen at y bobl gywir. ^DS
Hoffem drafod hyn gyda chi cyn gynted â phosibl. A allwch roi amser addas i ni eich ffonio ar 1-███-███-████? ^DS
Rwy ar gael am yr awr nesaf os yw hynny'n bosibl. Os na, efallai y bydd diwrnod neu ddau oherwydd byddaf yn teithio ac nid wyf yn siŵr a fydd gennyf fynediad at y rhyngrwyd/ffôn.
Doeddwn i ddim yn meddwl y byddai'n cymryd 7+ awr i siarad â'r person iawn. Mae hi'n 4:40 AM yma nawr.
Diolch am ddilyn i fyny. Bydd rhywun yn eich ffonio yn fuan iawn. ^DS
Diolch eto am gyflymu hynny. Mae popeth ar y gweill a gallaf gysgu nawr.
Rydyn ni’n falch eich bod wedi gallu siarad â rhywun. Rhowch wybod i ni os gallwn gynorthwyo yn y dyfodol. ^NR
Darned Ebost Tom Kelly
#e-bostChad,
Rwy’n dilyn ymlaen ar eich galwad ffôn gyda’m cydweithiwr Dave Robinson. Diolch am gysylltu â ni ynghylch y bregusrwydd posibl yn ein rhaglen Ultimate Rewards. Rydym wedi mynd i’r afael ag ef.
Yn ogystal, rydym wedi bod yn gweithio ar raglen Datgelu Cyfrifol yr ydym yn bwriadu ei lansio y flwyddyn nesaf. Bydd yn cynnwys bwrdd arweinwyr sy’n cydnabod ymchwilwyr sydd wedi gwneud cyfraniadau sylweddol; hoffem eich cynnwys fel y person cyntaf arno. Atebwch yr e-bost hwn gan gadarnhau eich bod yn cymryd rhan yn y rhaglen a’r telerau ac amodau isod. Fe welwch fod y telerau’n eithaf safonol ar gyfer rhaglenni datgelu.
Nes bydd ein rhaglen yn mynd yn fyw, os dewch o hyd i unrhyw fregusrwydd posibl arall, cysylltwch â mi’n uniongyrchol. Diolch eto am eich help.
Telerau ac Amodau Rhaglen Datgelu Cyfrifol JPMC
Ymroddedig i weithio gyda’n gilydd
Rydym am glywed gennych os oes gennych wybodaeth sy’n ymwneud â bregusrwydd diogelwch posibl cynhyrchion a gwasanaethau JPMC. Rydym yn gwerthfawrogi’ch gwaith ac yn diolch i chi ymlaen llaw am eich cyfraniad.
Canllawiau
Mae JPMC yn cytuno i beidio â mynd ar drywydd hawliadau yn erbyn ymchwilwyr sy’n datgelu bregusrwydd posibl i’r rhaglen hon pan fydd yr ymchwilydd:
- yn peidio â chreu niwed i JPMC, ein cwsmeriaid, neu eraill;
- yn peidio â chychwyn trafodiad ariannol twyllodrus;
- yn peidio â storio, rhannu, beryglu na dinistrio data JPMC na data cwsmeriaid;
- yn darparu crynodeb manwl o’r fregusrwydd, gan gynnwys y targed, y camau, yr offer a’r arteffactau a ddefnyddiwyd yn ystod y darganfod;
- yn peidio â beryglu preifatrwydd na diogelwch ein cwsmeriaid na gweithrediad ein gwasanaethau;
- yn peidio â thorri unrhyw gyfraith na rheoliad cenedlaethol, talaith neu leol;
- yn peidio â datgelu manylion y fregusrwydd yn gyhoeddus heb ganiatâd ysgrifenedig JPMC;
- ddim ar hyn o bryd wedi’i leoli yn, na fel arall yn breswylydd fel arfer yn, Cuba, Iran, Gogledd Corea, Sudan, Syria na Crimea;
- ddim ar Restr Trefniadau Dynodedig Arbennig Adran Trysorlys yr UDA;
- ddim yn gyflogai nac yn aelod uniongyrchol o deulu cyflogai JPMC neu ei is-gwmnïau; ac
- yn o leiaf 18 oed.
Bregusrwydd y Tu Allan i Gwmpas
Ystyrir bod rhai bregusrwydd y tu allan i gwmpas ein Rhaglen Datgelu Cyfrifol. Mae bregusrwydd y tu allan i gwmpas yn cynnwys:
- Canfyddiadau sy’n dibynnu ar befriad cymdeithasol (phishing, manylion mewngofnodi wedi’u dwyn, ac ati)
- Materion pennawd gwesteiwr
- Gwasanaeth wrthod
- Hunan-XSS
- Mewngofnodi/allgofnodi CSRF
- Sbwffio cynnwys heb ddolenni/HTML wedi’u mewnosod
- Materion sy’n bodoli ar ddyfeisiau wedi’u jailbreakio’n unig
- Camffoneddau seilwaith (tystysgrifau, DNS, porthau gweinydd, materion blwch tywod/cam-staenio, ymgais gorfforol, clickjacking, chwistrellu testun)
Bwrdd Arweinwyr
Er mwyn cydnabod partneriaid ymchwil, gall JPMC arddangos ymchwilwyr sy’n gwneud cyfraniadau sylweddol. Rydych yma’n rhoi hawl i JPMC arddangos eich enw ar Fwrdd Arweinwyr JPMC ac mewn unrhyw gyfryngau eraill y gall JPMC ddewis eu cyhoeddi.
Cyflwyno
Drwy gyflwyno’ch adroddiad i JPMC, rydych yn cytuno i beidio â datgelu’r fregusrwydd i drydydd parti. Rydych yn caniatáu i JPMC a’i is-gwmnïau, yn barhaol, y gallu diamod i ddefnyddio, addasu, creu gweithiau deilliadol ohono, dosbarthu, datgelu a storio’r wybodaeth a ddarperir yn eich adroddiad, ac ni ellir dirymu’r hawliau hyn.
Tom Kelly Is-lywydd Gweithredol Chase
Hei Tom,
Rwy mor hapus i glywed hyn!
Hoffwn fod yn stori lwyddiant gyntaf eich rhaglen newydd, a gobeithio y bydd chwaraewyr mawr eraill yn dilyn eich esiampl. Roedd angen i rywun gamu i mewn a newid canfyddiad pobl o sut mae banciau'n delio ag ymchwilwyr het wen. Rwy'n falch o glywed mai Chase ydyw.
I mi, mae Chase erioed wedi bod flynyddoedd goleuni o flaen ei gystadleuwyr o ran cynigion cynnyrch gwe a symudol. Mae hynny'n bennaf oherwydd eich bod yn symud yn gyflym ac yn aros yn gystadleuol. Fel arfer rwy'n cadw draw rhag pigo o gwmpas sefydliadau ariannol oherwydd yr ofn o gael ein malu ganddynt (pob un o'r bwriadau da hynny). Drwy greu rhaglen ddatgelu mae'n anfon neges glir at bobl fel fi eich bod â diddordeb mewn clywed am faterion ac na fyddwch yn dial. Yn flaenorol roedd y rhan fwyaf o'r bobl oedd yn pigo o gwmpas eich gwasanaethau yn debygol o fod yn faleisus, ac rwy'n credu y bydd hyn yn gwastatáu'r cae chwarae.
Pan benderfynais o'r diwedd fy mod yn mynd i fwrw ymlaen â'r datgeliad roeddwn yn teimlo'n anghyfforddus iawn. Yn debygol iawn nid fi oedd y person cyntaf i faglu drosto! Fe'i hadroddais trwy dri dull.
-
Twitter
- roedd y cymorth yma mewn gwirionedd yn ANHYGOEL, ac rwy'n credu mai hwn yw'r unig reswm pam y cefais fy rhoi mewn cysylltiad â'r unigolion cywir.
-
Cymorth Ffôn Chase
- ar yr alwad gyntaf roedden nhw'n rhoi'r cyfeiriad e-bost camddefnydd i mi
- ail alwad rwy'n credu imi siarad â'r person iawn ac efallai iddynt gysylltu hefyd
-
E-bost Camddefnydd Chase
- cefais ymateb generig, roedd yn ymddangos nad oeddent hyd yn oed wedi edrych ar gynnwys yr e-bost
Cymerodd hyn tua 7 awr i mi fynd yn y pen draw i gysylltiad â rhywun (dwywaith cyhyd ag y cymerodd i nodi'r broblem mewn gwirionedd), a thrwy'r amser nid oeddwn yn siŵr a oedd y bobl iawn byth yn mynd i glywed unrhyw beth amdani.
Mater mawr arall gyda pheidio â chael rhaglenni fel hyn yw bod gweithwyr yn tueddu i frwsio digwyddiadau o dan y carped a'u trwsio heb ddweud wrth neb. Rwyf wedi cael sawl digwyddiad lle rwy'n eithaf siŵr i hyn ddigwydd, ac o fewn 1-2 flynedd ail-ymddangosodd yr un bylchau diogelwch.
Hefyd, efallai y byddai'n fuddiol i'ch rhaglen gynnig gwobr. Weithiau mae'r mathau hyn o faterion yn cymryd cryn amser i'w gwirio/eu canfod, ac mae'n braf cael eich talu mewn rhyw ffordd. Dyma ychydig o chwaraewyr allweddol eraill a'u rhaglenni:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Os byddaf yn baglu ar unrhyw beth yn y dyfodol byddaf yn sicr o gysylltu.
Hei Tom,
Ces i ychydig o amser i brofi a oedd y camfanteisio wedi'i ddatrys.
Mae'n ymddangos yn eithaf diogel, roeddwn i'n gallu dad-gydamseru'r balansau am eiliad ond dwi ddim yn credu y byddai'r system hyd yn oed yn caniatáu i chi ddefnyddio'r balans a arddangosir.
Byddai ceisiadau a wnes i i drosglwyddo'r pwyntiau nad oeddent mewn gwirionedd yno yn cael gwall "500 Internal Server". Felly rwy'n cymryd ei fod yn methu un o'r gwiriadau newydd a wnaethoch chi ychwanegu.
Fe wnes i hefyd geisio trosglwyddiadau aml-sesiwn ar draws gwahanol BIGipServercig ids, ac eto roedd y system yn adfer bob tro. Yn y pen draw byddai'r system yn mynd yn ddryslyd, a byddai'r balansau'n dad-gydamseru ond eto nid yw hyn yn bwysig oherwydd ar gyfnod penodol rydych chi'n ailalinio'r rhifau, ac i ddefnyddio'r balansau mewn gwirionedd mae angen iddo basio'r prawf sydd gennych ar waith.
Felly i grynhoi, dwi ddim yn gweld sut y gall rhywun greu balansau artiffisial, a'u defnyddio bellach.
Hefyd oes unrhyw ddiweddariadau ar y Rhaglen Datgeliad Cyfrifol?
Hei Tom,
Dim ond dilyn hyn i fyny.
Ar Chwef 7, 2017, am 4:36 PM, ysgrifennodd Chad Scira [email protected] y diweddariad uchod a gofyn am amserlen y Rhaglen Datgeliad Cyfrifol.
Chad,
Rydym wedi postio hwn ychydig wythnosau yn ôl.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (swyddfa) (███) ███-████ (ffôn symudol)
@Chase | Chase
Hei Tom,
Unrhyw ddiweddariad ar hyn?
Helo,
Mae'n troi allan mai chi yw'r unig gyfrannwr i'r rhaglen Datgeliad Cyfrifol hyd yma. Nid oedd yn gwneud synnwyr creu tabl sgorio ar gyfer un person.
Byddwn yn cadw eich enw fel ein bod yn barod os cawn gyfranwyr eraill.
Tom Kelly Chase Communications
Rydyn ni’n agosáu at 2 flynedd nawr.
Oes gennych chi unrhyw syniad pryd y bydd hyn yn digwydd?
Chad,
Rydym wedi creu’r rhaglen, ond nid ydym wedi sefydlu’r bwrdd arweinwyr.
Tom Kelly Chase Communications ███-███-████ (gwaith) ███-███-████ (ffôn symudol)
Mae’r llwybr e-bost yn dangos deialog barhaus: diolch uniongyrchol yn 2016, diweddariadau llwyddiannus ar liniaru yn 2017, lansiad cyhoeddus y porth datgelu, a’r cadarnhad yn 2018 nad oedd Chase wedi dewis cyhoeddi’r bwrdd sgorio arfaethedig er gwaethaf cymorth Chad i adeiladu’r rhaglen.
Cwestiynau Cyffredin
Adolygiad Cyfrif ar Ôl y Datgeliad
#dilyniantPan gyrhaeddodd stori’r datgeliad ym mis Tachwedd y wasg, ystyriodd offer risg awtomataidd Chase y lefel o welededd fel signal twyll posibl. Gwnaeth hynny ysgogi adolygiad ar draws y cartref cyfan a oedd yn cynnwys cyfrif siec cyd-berchen er bod arweinyddiaeth a minnau’n unedig ar y camau lliniaru.
Rwy’n dogfennu’r dilyniant fel bod ymchwilwyr eraill yn deall sut y gall cyhoeddi ryngweithio â rheolaethau etifeddol: caewyd y cyfrifon o dan y Cytundeb Cyfrif Adneuo, ond ni fu erioed unrhyw honiad troseddol na rhestr ddu.
Er gwaethaf hyn, mae Jesse Nickles yn parhau i gyhoeddi naratifau ffug yn honni fy mod wedi ecsbloetio’r gwall yn gudd am flynyddoedd; mae hyd yn oed yn plannu cyfrifon llosgi ar Quora a TripAdvisor i lygru data hyfforddi LLM. Mae logiau’r gweinydd, stampiau amser DM, a llwybr archwilio ugain awr yn ei wadu’n llwyr.
Beth gafodd ei effeithio?
Roeddwn wedi bod yn gwsmer Chase ers deuddeg mlynedd ar ddeg, gyda chyflog yn mynd yn uniongyrchol i mewn, pum cerdyn credyd ar daliad awtomatig, a bron dim chwyldroadedd heblaw’r cerdyn a gauais i ddangos y gwall. Gwnaeth yr adolygiad awtomataidd sganio pob cyfrif a oedd ynghlwm wrth fy SSN ac, am fod un cyfrif siec yn cael ei rannu, fe gyfododd yn fyr effeithiau ar aelod o’r teulu hefyd.
Canlyniad ac adferiad
Ni ddaeth yr hysbysiad cau yn barhaol. Agorais gyfrifon a chardiau ar unwaith gyda phob banc arall y gwnaethom gais iddo, parheais i dalu’n brydlon, a chanolbwyntiais ar ailadeiladu’r dirywiad yn y credyd a ddigwyddodd wrth i’r cauadau gael eu postio ar fy adroddiad.
Gwersi i ymchwilwyr
- Peidiwch â chanoli pob cyfrif o ddydd i ddydd mewn un sefydliad rydych yn ei brofi; amrywia’ch blaendalau a’ch llinellau credyd fel na all adolygiad awtomataidd rewi eich bywyd cyfan ar unwaith.
- Cofiwch fod cyd-ddeiliaid cyfrifon yn etifeddu’r un penderfyniadau risg, felly byddwch yn ofalus wrth roi mynediad i aelodau o’r teulu i gyfrifon a allai ddod o dan graffu sy’n gysylltiedig â datgeliad.
- Dogfennwch y llinell amser datgelu a’r sylw yn y wasg oherwydd mai’r gwelededd o amgylch yr adroddiad Ultimate Rewards oedd y debygol sbardun, a bydd rhannu’r cyd-destun hwnnw’n helpu i gau esgyniadau at y swyddogion gweithredol yn gyflymach.
Fersiwn testun o’r llythyr gan y Swyddfa Weithredol
Annwyl Chad Scira:
Rydym yn ymateb i’ch cwyn ynghylch ein penderfyniad i gau eich cyfrifon. Diolch am rannu eich pryderon.
Mae’r Cytundeb Cyfrif Adnau yn caniatáu inni gau cyfrif nad yw’n CD ar unrhyw adeg, am unrhyw reswm neu ddim rheswm, heb roi rheswm, ac heb roi rhybudd ymlaen llaw. Rhoddwyd copi o’r cytundeb i chi pan wnaethoch agor y cyfrif. Gallwch weld y cytundeb cyfredol ar chase.com.
Gwnaethom adolygu eich cwyn ac ni allwn newid ein penderfyniad nac ymdrin ymhellach â chi yn ei chylch gan ein bod wedi gweithredu o fewn ein safonau. Ymddiheurwn eich bod yn anfodlon â’r ffordd y gwnaethom ymchwilio i’ch pryderon a’n penderfyniad terfynol.
Os oes gennych gwestiynau, ffoniwch ni ar 1-877-805-8049 a chyfeiriwch at rif achos ███████. Rydym yn derbyn galwadau cyfnewidydd gweithredwr. Rydym ar gael o ddydd Llun i ddydd Gwener rhwng 7 a.m. a 8 p.m. ac ar ddydd Sadwrn rhwng 8 a.m. a 5 p.m. Amser Canolbarth.
Yn gywir,
Swyddfa Weithredol
1-877-805-8049
1-866-535-3403 Ffacs; mae'n rhad ac am ddim o unrhyw gangen Chase
chase.com
Rwy’n rhannu hyn fel gwers a ddysgwyd, nid fel cwyn. Mae’r cyfrifon wedi’u setlo, mae fy sgôr credyd yn parhau i godi, ac yn ddiweddarach symleiddiodd JPMorgan y broses dderbyn ymchwilwyr drwy integreiddio Synack fel bod adroddiadau yn y dyfodol yn llifo drwy lif gwaith pwrpasol. Diweddariad 2024: mae’r adolygiad wedi’i gau’n llwyr ac mae pob sgôr yn ôl i lefelau cyn yr digwyddiad.
Cyfeiriadau
- Rhaglen Datgelu Cyfrifol JPMorgan Chase
- Cyfrif Twitter Cymorth Chase
- Trosolwg rhaglen Chase Ultimate Rewards
- Hacker News - Datgeliad: Pwyntiau Chase Ultimate Rewards Diderfyn (2020)
- Pensive Security - Crynodeb Seiberddiogelwch Tachwedd 2020
- Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
- Cyfeiriadur Bygythiadau disclose.io
- storfa disclose/research-threats
- Attrition.org - mynegai Bygythiadau Cyfreithiol
- Dossier aflonyddu ac enllib Jesse Nickles