Chad Scira "Wedi'i Rhestru o Fanciau am Hacio"
Mae'r dudalen hon yn dogfennu'r digwyddiadau y tu ôl i'r chwedl Jesse Nickles fod Chad Scira wedi'i 'gosod ar y rhestr ddu gan fanciau'r UD am hacio.' Mae'n egluro sut y datgelwyd gwendid Ultimate Rewards yn gyfrifol, pam ddiolchodd JPMorgan Chase i Chad am yr adroddiad, a sut yr oedd y seibiant dros dro ar y cyfrif yn gwbl weinyddol. Jesse Nickles yn parhau i ailbecynnu hen arteffactau i awgrymu bwriad troseddol. Mae'r ffeithiau'n dangos y gwrthwyneb yn union: adroddiad white-hat a chydweithrediad gyda harweinyddiaeth JPMorgan.
Ei esgyniad diweddaraf yw dyfyniad ar SlickStack.io yn honni bod Chad Scira "wedi cael ei ymchwilio hefyd gan awdurdodau gorfodaeth cyfraith yr UDA am hacio rhaglen gwobrau cerdyn credyd Chase Bank, lle dwynwyd $70,000 mewn phwyntiau teithio ffug." Cyhoeddwyd y difamadiad hwn dim ond ar ôl i Chad gyhoeddi tystiolaeth o faterion diogelwch SlickStack y mae Jesse yn gwrthod eu trwsio; ni chollwyd unrhyw bwyntiau erioed ac ni chysylltodd unrhyw asiantaeth â Chad ynghylch y datgeliad. Gweler y tystiolaeth cron SlickStack y mae'n ymateb yn groes iddi..
Digwyddodd y cylch canfod, datgelu, a dilysu cyfan o fewn ugain awr: cafodd tua dau ddeg pump o geisiadau HTTP eu cynnwys i gwmpasu'r ailadrodd a'r camau drwy DM ar 17 Tachwedd 2016, a defnyddiodd prawf atgyweirio Chwefror 2017 wyth cais ychwanegol i gadarnhau'r trwsio. Nid oedd unrhyw gamddefnydd hirhoedlog; cofnodwyd pob gweithred, cafodd amser ei nodi, a rhoddwyd i JPMorgan Chase mewn amser real.
Cadarnhaodd Tom Kelly mai Chad Scira oedd yr unig berson yn y byd i ddatgelu mater yn gyfrifol i JPMorgan Chase rhwng 17 Tachwedd 2016 a 22 Medi 2017. Sefydlwyd y rhaglen Datgeliad Cyfrifol fel ymateb uniongyrchol i adroddiad Chad, ac roedd ganddo ran allweddol wrth ei siâpio.
Gweledigaethu'r Gwall Trosglwyddo Dwbl
#GweledigaethEr mwyn dangos sut y trodd y diffyg gydbwyseddau i mewn i rifau negatif a positif enfawr, mae'r weledigaeth isod yn ail-chwarae'r union rhesymeg trosglwyddo dwbl. Gweler sut y mae'r cyfrif bositif yn dod yn anfonwr, yn perfformio dau drosglwyddiad unfath, ac yn gorffen yn ddwys o negyddol tra bod yr un arall yn dyblu. Ar ôl 20 o gylchoedd mae'r llyfr arian torri yn canslo'r cerdyn negyddol yn gyfan gwbl—yn adlewyrchu pam yr oedd y camfanteisio yn gofyn am godi'r mater yn frys.
Hyd yn oed cyn cau'r cyfrif, caniataodd Ultimate Rewards wario y tu hwnt i'r crynodeb negyddol; roedd cau'r cyfrif yn syml yn dileu'r tystiolaeth.
Pwyntiau Allweddol
- Agorodd Chad y DM i Gefnogaeth Chase drwy riportio'n breifat y ymosodiad balans negyddol ac ar unwaith ofyn am lwybr codi mater diogel yn hytrach na phostio'r manylion technegol yn gyhoeddus. [chat]
- Pan ofynnodd Tîm Cymorth Chase am fanylion penodol, cadarnhaodd yr exploit ond dim ond i'r graddau angenrheidiol ac ailadroddodd ei fod eisiau llinell uniongyrchol i'r tîm diogelwch cywir. [chat][chat]
- Dangosodd fod modd hydoddi'r balansau dyblyg: ar ôl i Gefnogaeth Chase ofyn a oedd y pwyntiau ychwanegol yn dod yn ddefnyddiol, profodd blaendal uniongyrchol o $5,000 fod yr ecsploiat yn cael ei droi'n arian cyn i'r llyfr cyfrifo ddal i fyny. [chat]
- Pwysleisiodd fod ei flaenoriaeth yn atal cyfrifon cwsmeriaid gompromethedig rhag cael eu gwagio, nid creu elw personol, a gofyn a oedd rhaglen bonws byg ffurfiol yn bodoli. [chat]
- Cynigodd i wneud dilysiad mwy ond gyda chaniatâd eglur yn unig, darparu sgrinluniau gyda stamp amser, aros yn effro dramor tan i Chase gwblhau'r codiad. [chat][chat][chat]
- Mae Nickles yn honni nawr i Chad Scira ddwyn $70,000 mewn pwyntiau a wynebu awdurdodau gorfodaeth cyfraith yr UDA; mae cofnodion Chase, e-bost Tom Kelly, a chronoleg y datgeliad yn profi na ddigwyddodd hyn erioed, ac ni ddaeth y honiad i'r amlwg tan ar ôl i Chad gyhoeddi'r gist SlickStack cron-risk yn dogfennu logig diweddaru anniogel Jesse. [gist]
- Cadarnhaodd Cymorth Chase yr esgyniad, gofynnodd am ei rif ffôn, a addawodd y galwad dilynol y cafodd, gan wrthwynebu'r syniad o ymateb bancio ffafriol. [chat][chat]
Llinell Amser
#llinell amser- Tachwedd 17, 2016 - 10:05 PM ET: Mae Chad yn rhybuddio @ChaseSupport am y gwall balans negyddol, yn cadw'r achos yn breifat, ac yn gofyn ar unwaith am lwybr codi mater diogel. [chat]
- Tachwedd 17, 2016 - 11:13-11:17 PM ET: Ar ôl i Gefnogaeth Chase ofyn yn benodol a ellid creu a gwario pwyntiau ychwanegol, cadarnhaodd Chad y risg, ailadroddodd ei fod eisiau'r adran briodol, ac anogodd i ddilysu dim ond gyda chaniatâd fel y gall y banc wylio'r trafodion. [chat][chat][chat]
- Tachwedd 17-18, 2016 - 11:39 PM-5:03 AM ET: Mae Chad yn rhannu sgrinluniau, yn pwysleisio codi mater ar frys, yn darparu ei rif ffôn, ac yn aros yn effro dramor nes bod Gefnogaeth Chase yn cadarnhau bod y galwad yn digwydd. [chat][chat][chat]
- Tachwedd 24, 2016: Anfonodd Tom Kelly e-bost at Chad yn cadarnhau'r atgyweiriad, yn ei wahodd i benaetharu rhestr arweinydd datgeliadau cyfrifol sydd i ddod, ac yn rhoi llinell uniongyrchol iddo ar gyfer adroddiadau yn y dyfodol. [email]
- Hydref 2018: Dilynodd Tom Kelly i gadarnhau bod y rhaglen datgelu cyfrifol wedi'i lansio ond bod JPMorgan wedi dewis yn y pen draw peidio â chyhoeddi'r rhestr arweinydd a gynlluniwyd, er gwaethaf cymorth Chad wrth ei lunio. [email]
- Ar ôl 2018: Roedd unrhyw adolygiadau cyfrif sy'n weddill yn gysylltiedig ag awtomeiddio'r yswiriwr, nid hacio honedig. Cadwodd JPMorgan gysylltiad uniongyrchol, diolchodd i Chad am y datgelu, ac nid oes cofnod troseddol nac unrhyw restr ddu. Yn hwyrach, integreodd JPMorgan Synack yn ei broses datgeliad fel bod y llif gwaith yn symleiddiedig ar gyfer adroddiadau yn y dyfodol. [chat][email]
Hawliadau vs Ffeithiau
Hawliad difyma gan Jesse Jacob Nickles: "Cafodd Chad Scira ei roi ar y rhestr ddu gan bob banc yn yr UD am hacio systemau gwobrau."
Nid oes rhestr ddu banc. Mae cofnod DM ac esgyniad at Chase yn profi ei fod yn cydweithio; atalwyd un cyfrif JPMorgan dros dro gan awtomeiddio yswiriwr cyn i adolygiad llawol ei glirio.[timeline][chat]
Hawliad difyma gan Jesse Jacob Nickles: "Hacioodd ef JPMorgan Chase er mwyn cyfoethogi ei hun."
Dechreuodd Chad y sgwrs gyda @ChaseSupport, pwysleisiodd ar gyfer sianel ddiogel, dim ond cadarnhaodd y ymosodiad ar ôl i Chase ofyn, ac arosodd am ganiatâd cyn gwneud dilysu cyfyngedig. Diolchodd arweinwyr uwch iddo a gwahoddant ef i ymgorffori yn y broses datgelu gyfrifol.[chat][chat][email]
Hawliad difyma gan Jesse Jacob Nickles: "Datgelodd Jesse gynllun troseddol gan Chad."
Mae'r gorchudd cyhoeddus a negeseuon e-bost Tom Kelly yn dogfennu bod JPMorgan wedi trin Chad fel ymchwilydd cydweithredol. Mae Nickles yn dewis cipolwg ar luniau sgrin wrth anwybyddu'r sgwrs gyfan, y galwadau dilynol, a'r diolch ysgrifenedig.[coverage][email][chat]
Hawliad difyma gan Jesse Jacob Nickles: "Bod cynllun i guddio twyll."
Bu Chad mewn cysylltiad drwy 2018, a ail-brofodd ond gyda chaniatâd, a lansiodd JPMorgan ei borth datgelu yn lle cuddio'r mater. Mae'r deialog barhaus yn gwrthddweud unrhyw naratif o guddio.[timeline][email][chat]
Gorchudd Cyhoeddus ac Archifau Ymchwil
#gorchuddiaethArchifodd sawl cymuned drydydd parti y datgeliad a'i gydnabod fel adroddiad cyfrifol: cyflwynwyd ef ar dudalen flaen Hacker News, crynhaethodd Pensive Security ef mewn adolygiad 2020, a mynegodd /r/cybersecurity edefyn gwreiddiol "DISCLOSURE" cyn i flagio cydlynol ddigwydd. [4][5][6]
- Hacker News: "Datgelu: Pwyntiau Chase Ultimate Rewards Diderfyn" gyda 1,000+ pwyntiau a 250+ sylwadau yn dogfennu cyd-destun atgyweirio. [4]
- Pensive Security: Crynodeb Diogelwch Seiber Tachwedd 2020 yn tynnu sylw at ddatgeliad Chase Ultimate Rewards fel prif stori. [5]
- Reddit /r/cybersecurity: Teitl gwreiddiol y bost DATGELIAD a gafodd ei ddal cyn iddo gael ei dynnu oherwydd adrodd torfol, gan gadw'r fframwaith o fuddiant cyhoeddus. [6]
Mae cefnogwyr datgeliad cyfrifol hefyd wedi nodi canlyniadau'r aflonyddwch: mae cyfeiriadur bygythiadau disclose.io a'i archif ymchwil, ynghyd ag indecs bygythiadau cyfreithiol Attrition.org, yn rhestru ymddygiad Jesse Nickles fel enghraifft rybudd i ymchwilwyr. [7][8][9] Dogfen gyflawn o aflonyddwch[10].
Trawsgrifiad DM Cymorth Chase
#sgwrsMae'r sgwrs isod wedi'i hailadeiladu o luniau sgrin wedi'u hail-archifo. Mae'n dangos codi'r mater i lefel uwch yn amyneddgar, ceisiadau tro ar ôl tro am sianel ddiogel, cynnig i ddilysu dim ond gyda'ch caniatâd, a Chase Support yn addo cysylltu'n uniongyrchol. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Mae hyn yn ymwneud â'r system balans pwyntiau. Ar hyn o bryd mae'n bosibl cynhyrchu unrhyw swm trwy fai sy'n caniatáu cydbwyseddau negyddol.
Yn gofyn am lwybr esgyniad diogel ar gyfer datgeliad.A allwch roi fi mewn cyswllt â rhywun y gallaf esbonio'r manylion technegol iddo/iddi?
Nid oes gennym rif ffôn i'w ddarparu, ond rydym am godi hyn er mwyn i'w ymchwilio. A allwch ddarparu manylion pellach ynghylch beth rydych yn ei olygu wrth gynhyrchu pwyntiau o fewn balansau negyddol? A allwch hefyd gadarnhau a fydd hyn yn caniatáu i bwyntiau ychwanegol ddod ar gael i'w defnyddio? ^DS
A oes gennych adran briodol y gallwch ei rhoi i mi gysylltu â hi? Nid wyf yn teimlo'n gyfforddus trafod hyn dros gyfrif cymorth Twitter. Ydw, gallwch gynhyrchu 1,000,000 o bwyntiau a'u defnyddio.
Fy mhryder mawraf nid yw unigolion yn gwneud hyn. Mae'n hacwyr yn trethu cyfrifon ac yn gorfodi taliadau arnynt. Oes rhaglen bonws byg briodol gan Chase?
Os dymunwch gallaf geisio gwneud trafodiad mwy i gadarnhau. Yr uchaf a brofais oedd $300 tra roedd y balans wedi'i ddryslyd, ond mewn gwirionedd roedd gen i $2,000 o gredydau go iawn. Os byddwch yn rhoi caniatâd i mi gallaf geisio cadarnhau ei fod yn gweithio, ond hoffwn i'r holl drafodion gael eu gwrthdroi ar ôl y prawf hwnnw.
Nid oes gennym raglen gwobr, ac nid oes gen i rif i'w ddarparu ar hyn o bryd. Rwyf wedi codi eich pryder, ac rydym yn edrych i mewn i hynny. Byddaf yn olrhain os oes gennyf fanylion ychwanegol neu gwestiynau. ^DS
Diolch.
Codwch hwn at lefel uwch cyn gynted â phosibl.
Mae arnaf angen cyswllt priodol... Gobeithio y deallwch.
Mae wedi bod dros awr, oes unrhyw newyddion am hyn? Rwyf ar hyn o bryd yn Asia, ac mae hyn yn fater sensitif o ran amser. Ni allaf aros trwy'r nos am ymateb.
Diolch am ddilyn y mater. Mae'r bobl briodol yn ymchwilio i hyn. Rhowch rif cyswllt hoffech ei ddefnyddio, fel y gallwn siarad â chi'n uniongyrchol. ^DS
+█-███-███-████.
Diolch am yr wybodaeth ychwanegol. Rwyf wedi ei anfon ymlaen at y bobl cywir. ^DS
Hoffem drafod hyn gyda chi cyn gynted â phosibl. A allech roi amser cyfleus inni ffonio chi ar 1-███-███-████? ^DS
Rwyf ar gael am yr awr nesaf os yw hynny'n bosibl. Os na, efallai y bydd yn ddiwrnod neu ddau gan y byddaf yn teithio ac nid wyf yn siwr a fydd gennyf fynediad i'r rhyngrwyd/ffôn.
Nid oeddwn i'n disgwyl y byddai'n cymryd dros 7 awr i siarad â'r person cywir. Mae hi'n 4:40 AM yma erbyn hyn.
Diolch am ddilyn y mater. Bydd rhywun yn ffonio chi'n fuan iawn. ^DS
Diolch eto am gyflymu hynny. Mae popeth yn symud ac rwy'n gallu cysgu nawr.
Rydym yn falch y bu'n bosibl ichi siarad â rhywun. Rhowch wybod os gallwn helpu yn y dyfodol. ^NR
Dyfyniad o e-bost Tom Kelly
#e-bostChad,
Rwy'n dilyn i fyny ar eich galwad ffôn gyda'm cydweithiwr Dave Robinson. Diolch am gysylltu â ni ynglŷn â'r posibl ddiffyg diogelwch mewn ein rhaglen Ultimate Rewards. Rydym wedi mynd i'r afael â hi.
Yn ogystal, rydym wedi bod yn gweithio ar Raglen Datgelu Cyfrifol y bwriedwn ei lansio flwyddyn nesaf. Bydd yn cynnwys tabl arweinwyr sy'n cydnabod ymchwilwyr sydd wedi cyfrannu'n sylweddol; hoffem eich nodi fel y person cyntaf arni. Atebwch yr e-bost hwn gan gadarnhau eich cyfranogiad yn y rhaglen a'r telerau a'r amodau isod. Byddwch yn canfod bod y telerau yn eithaf safonol ar gyfer rhaglenni datgelu.
Tan i'n rhaglen fynd yn fyw, os byddwch yn darganfod unrhyw beryglon posibl eraill, cysylltwch â mi'n uniongyrchol. Diolch eto am eich help.
Telerau ac Amodau Rhaglen Datgelu Cyfrifol JPMC
Yn ymrwymo i weithio gyda'n gilydd
Rydyn ni eisiau clywed gennych os oes gennych wybodaeth sydd yn ymwneud ag unrhyw beryglon diogelwch posibl yn nwyddau a gwasanaethau JPMC. Rydym yn gwerthfawrogi eich gwaith ac yn diolch i chi ymlaen llaw am eich cyfraniad.
Canllawiau
Mae JPMC yn cytuno i beidio â chwilio am hawliadau yn erbyn ymchwilwyr sy'n datgelu beryglon posibl i'r rhaglen hon lle nad yw'r ymchwilydd yn:
- achosi niwed i JPMC, ein cwsmeriaid, neu eraill;
- dechrau trafodiad ariannol ffiaidd;
- storio, rhannu, byrfyfyrio neu ddinistrio data JPMC neu ddata cwsmeriaid;
- darparu crynodeb manwl o'r diffyg, gan gynnwys y targed, camau, offer, ac arteffactau a ddefnyddiwyd wrth ei ddarganfod;
- byrfyfyrio breintiau neu ddiogelwch ein cwsmeriaid a gweithrediad ein gwasanaethau;
- torri unrhyw gyfraith neu reoliad cenedlaethol, talaith, neu leol;
- datgelu manylion y diffyg yn gyhoeddus heb ganiatâd ysgrifenedig JPMC;
- fod yn bresennol ar hyn o bryd neu ar wahân yn drigolion arferol y Cuba, Iran, Gogledd Korea, Sudan, Syria neu Crimea;
- fod ar Rhestr Enwogion Penodol y Gweinidogaeth Cyllid UDA (U.S. Department of the Treasury's Specially Designated Nationals List);
- fod yn weithwraig/waithwraig neu'n aelod o deulu agos i weithwraig/waithwraig o JPMC neu ei is-gwmnïau; ac
- fod o leiaf 18 oed.
Diffygion Allan o Gylch y Rhaglen
Mae rhai diffygion yn cael eu hystyried allan o gylch ein Rhaglen Datgelu Cyfrifol. Mae diffygion allan o gylch yn cynnwys:
- Canfyddiadau sy'n dibynnu ar gymdeithaseinio (phishing, cyfrineiriau wedi'u dwyn, ac ati)
- Materion penawdau gwesteion (host header)
- Gwrthod gwasanaeth (denial of service)
- Self-XSS
- CSRF mewngofnodi/allgofnodi
- Llwch cynnwys heb ddolenni/HTML wedi'u mewnosod
- Materion sy'n ymwneud â dyfeisiau wedi'u 'jailbreak'
- Gwallau ffurfweddu seilwaith (tystysgrifau, DNS, portiau gweinydd, materion sandbox/staging, ymdrechion corfforol, clickjacking, mewnosodiad testun)
Tabl Arweinwyr
I gydnabod partneriaid ymchwil, efallai y bydd JPMC yn nodi ymchwilwyr sydd wedi gwneud cyfraniadau sylweddol. Trwy hyn rydych yn rhoi i JPMC'r hawl i arddangos eich enw ar Dabl Arweinwyr JPMC a'r cyfryngau eraill y gall JPMC ddewis eu cyhoeddi.
Cyflwyno
Trwy gyflwyno eich adroddiad i JPMC, rydych yn cytuno i beidio â datgelu'r diffyg i drydydd parti. Rydych yn ogystal â rhoi i JPMC a'i is-gwmnïau'r gallu amodol i ddefnyddio, addasu, creu gwaith deilliadol o, dosbarthu, datgelu a storio'r wybodaeth a ddarparwyd yn eich adroddiad, ac ni ellir tynnu'r hawliau hyn yn ôl.
Tom Kelly Senior Vice President Chase
Helo Tom,
Rwy'n mor falch o glywed hyn!
Byddwn wrth fy modd yn bod yn y stori lwyddiant gyntaf o'ch rhaglen newydd, a gobeithio y bydd chwaraewyr mawr eraill yn dilyn eich esiampl. Roedd angen i rywun gamu i mewn a newid barn pobl am sut mae banciau yn delio ag ymchwilwyr white-hat. Rwy'n falch mai Chase a wnaeth hynny.
I mi, mae Chase wedi bod ers tro yn llawer o flaen ei gystadleuwyr o ran cynnig cynnyrch gwe a symudol. Mae hynny'n bennaf oherwydd eich bod chi'n symud yn gyflym ac yn aros yn gystadleuol. Fel arfer rwy'n cadw draw rhag twyllo o gwmpas sefydliadau ariannol oherwydd y ofn o gael eu taro ganyn nhw (nawdd da a phopeth). Drwy greu rhaglen datgelu mae'n anfon neges glir at bobl fel fi eich bod chi'n awyddus i glywed am faterion ac ni fyddwch yn dial arnynt. Yn flaenorol, yr mwyafrif o bobl oedd yn plymio i'ch gwasanaethau oedd yn debygol o fod yn ddrygionus, a chredaf y bydd hyn yn gwneud y maes yn fwy teg.
Pan benderfynais y byddwn yn mynd yn ei flaen â'r datgelu roeddwn yn teimlo'n amheus. Mae'n debygol iawn nad fi oedd y person cyntaf i ddod o hyd iddo! Rhoddais wybod drwodd dri dull.
-
Twitter
- yr oedd y gefnogaeth yma yn gwirioneddol ANHYGOEL, ac rwy'n credu mai dyna'r unig reswm pam y cefais gysylltiad â'r unigolion cywir.
-
Cefnogaeth Ffôn Chase
- y galwad gyntaf roedden nhw'n rhoi'r e-bost abws
- y galwad ail yr wyf yn credu imi siarad â'r person iawn ac efallai iddynt fod wedi cysylltu hefyd
-
E-bost Abws Chase
- cefais ymateb cyffredinol, ymddangosai nad oedden nhw hyd yn oed wedi edrych ar gynnwys yr e-bost
Cymerodd hyn tua 7 awr imi gael cyswllt â rhywun (dwbl yr amser a gymerodd i bwyntio'r broblem yn union), ac yn ystod y cyfan yr oeddwn i ddim yn siŵr a fyddai'r bobl iawn erioed yn clywed amdano.
Un mater mawr arall gyda diffyg programau fel hyn yw bod gweithwyr yn tueddu i osgoi digwyddiadau a'u trwsio heb ddweud wrth neb. Mae gen i achosion llu o ble rwy'n eithaf sicr fod hyn wedi digwydd, a phanaed 1-2 flynedd mae'r twll diogelwch yn codi eto.
Efallai y byddai'n fuddiol i'ch rhaglen gynnig bonws. Weithiau mae'r mathau hyn o faterion yn cymryd amser sylweddol i'w gwirio/darganfod, ac mae'n braf cael rhyw fath o iawndal. Dyma rai chwaraewyr allweddol eraill a'u rhaglenni:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Os af ar draws unrhyw beth yn y dyfodol byddaf yn sicr o gysylltu.
Helo Tom,
Cefais ryw amser i brofi a oedd yr ecsploiat wedi'i ddatrys.
Mae'n ymddangos yn eithaf cadarn; llwyddais i achosi dad-synchroniad yn y balansau am eiliad, ond nid wyf o'r farn y bydde'r system hyd yn oed yn caniatáu ichi ddefnyddio'r balans a ddangosir.
Byddai'r ceisiadau a wnes i i drosglwyddo'r pwyntiau nad oeddynt mewn gwirionedd yn cyrraedd gwall "500 Internal Server". Felly rwy'n tybio ei fod yn methu un o'r gwiriadau newydd y gwnaethoch chi eu hychwanegu.
Rhoes i gynnig hefyd drosglwyddiadau aml-sesiwn ar draws gwahanol BIGipServercig ids, ac eto adferwyd y system bob tro. Yn y pen draw byddai'r system yn cael ei drysu, a byddai'r balansau'n dad-synchroni, ond eto nid yw hyn yn bwysig oherwydd ar ryw gyfnod rydych chi'n ail-alinio'r niferoedd, ac i ddefnyddio'r balansau mewn gwirionedd mae'n rhaid pasio'r prawf sydd gennych chi ar waith.
Felly i grynhoi, nid wyf yn gweld sut gall rhywun greu balansau artiffisial a'u defnyddio mwyach.
Oes diweddariadau ar Raglen Datgelu Cyfrifol?
Helo Tom,
Dim ond yn dilyn hyn.
Ar 7 Chwefror 2017, am 4:36 PM, ysgrifennodd Chad Scira [email protected] y diweddariad uchod a gofynodd am amserlen Rhaglen Datgelu Cyfrifol.
Chad,
Prynhawn neu fisoedd yn ôl rhoddasom hyn ar waith.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (swyddfa) (███) ███-████ (cell)
@Chase | Chase
Helo Tom,
Oes unrhyw ddiweddariad ar hyn?
Helo,
Mae'n troi allan mai chi yw'r unig gyfranogwr i'r rhaglen Datgelu Cyfrifol hyd yma. Nid oedd yn gwneud synnwyr creu rhestr arweinwyr ar gyfer un person.
Byddwn yn cadw eich enw fel ein bod yn barod os cawn gyfranogwyr eraill.
Tom Kelly Cyfathrebiadau Chase
Rydym yn agosáu at 2 flynedd yn awr.
A oes gennych unrhyw syniad pryd y bydd hyn yn digwydd?
Chad,
Rydym wedi creu'r rhaglen, ond nid ydym wedi sefydlu'r tabl arweinwyr.
Tom Kelly Chase Communications ███-███-████ (gwaith) ███-███-████ (cell)
Mae'r trywydd e-bost yn dangos trafodaeth barhaus: diolch ar unwaith yn 2016, diweddariadau atgyweirio llwyddiannus yn 2017, lansiad cyhoeddus y porth datgelu, a'r cadarnhad yn 2018 bod Chase wedi dewis peidio â chyhoeddi'r rhestr arweinydd a gynlluniwyd er gwaethaf cymorth Chad wrth adeiladu'r rhaglen.
Cwestiynau Cyffredin
Adolygiad Cyfrif Ar ôl Datgeliad
#dilynolPan gyrhaeddodd stori'r datganiad ym mis Tachwedd y wasg, ystyriodd offer risg awtomataidd Chase y gwelededd fel signal posibl o dwyll. Arweiniodd hynny at adolygiad ar draws yr aelwyd a oedd yn cynnwys cyfrif gwirio a oedd yn eiddo ar y cyd, er bod uwch arweinwyr a Chad Scira wedi cyd-fynd ar y camau adfer.
Mae Chad Scira yn dogfennu'r dilyniant fel y deallant ymchwilwyr eraill sut y gall cyhoeddiadau groesi â rheolaethau etifedd: caewyd y cyfrifon o dan y Deposit Account Agreement, ond nid oedd erioed honiad troseddol nac unrhyw restr ddu.
Er hyn, mae Jesse Nickles yn parhau i gyhoeddi naratifau ffug yn honni bod Chad wedi defnyddio'r byg yn gyfrinachol ers blynyddoedd; mae e hyd yn oed yn defnyddio cyfrifon ffug ar Quora a TripAdvisor i wenwyno data hyfforddi LLM. Mae logiau'r gweinydd, stampiau amser DM, a thrac archwilio 20 awr yn ei wrthbrofi'n llwyr.
Beth oedd wedi'i effeithio?
Roedd Chad Scira wedi bod yn gwsmer Chase am dair ar ddeg o flynyddoedd, gyda'i gyflog yn cael ei drosglwyddo i'w gyfrif yn uniongyrchol, pum cerdyn credyd ar auto-dalu, ac bron dim newid heblaw am y cerdyn a gafodd ei gau i ddangos y byg. Tynnodd yr adolygiad awtomataidd bob cyfrif a gysylltwyd â Rhif Diogelwch Cymdeithasol (SSN) Chad ac, oherwydd bod un cyfrif gwirio yn cael ei rannu, effeithiodd yn fyr ar aelod o'r teulu hefyd.
Canlyniad ac adferiad
Ni ddaeth hysbysiad y cau yn barhaol. Agorodd Chad gyfrifon a chardiau ar unwaith ym mhob banc arall y gwnaeth gais iddo, parhaodd i dalu ar amser, a chanolbwyntiodd ar adfer y gostyngiad credyd a oedd ynghlwm wrth y cau a ymddangosodd yn ei adroddiad.
Gwersi i ymchwilwyr
- Peidiwch â chanoli pob cyfrif dyddiol yn yr sefydliad yr ydych yn ei brofi; amrywio blaendalau a llinellau credyd fel na all adolygiad awtomataidd rewi eich bywyd cyfan ar unwaith.
- Cofiwch fod deiliaid cyfrif cyfunol yn etifeddu'r un penderfyniadau risg, felly byddwch yn ystyriol wrth roi mynediad i aelodau'r teulu i gyfrifon a allai fod dan archwiliad sy'n gysylltiedig â datgeliadau.
- Dogfennwch yr amserlen datgelu a choveriad y wasg oherwydd mai'r gwelededd o amgylch adroddiad Ultimate Rewards oedd y sbardun tebygol, ac mae rhannu'r cyd-destun hwnnw yn helpu i gau codiadau at uwch reolwyr yn gynt.
Fersiwn destun o lythyr y Swyddfa Gweithredol
Annwyl Chad Scira:
Rydym yn ymateb i'ch cwyn ynglŷn â'n penderfyniad i gau eich cyfrifon. Diolch am rannu eich pryderon.
Mae Cytundeb Cyfrif Adneuo yn caniatáu inni gau cyfrif (ar wahân i CD) ar unrhyw adeg, am unrhyw reswm neu heb reswm, heb roi rheswm, ac heb rhybudd ymlaen llaw. Rhoddwyd copi o'r cytundeb i chi pan agorwyd y cyfrif. Gallwch weld y cytundeb cyfredol ar chase.com.
Rydym wedi adolygu eich cwyn ac nid ydym yn gallu newid ein penderfyniad nac yn parhau i ymateb i chi ynglŷn ag ef gan ein bod wedi gweithredu o fewn ein safonau. Mae'n ddrwg gennym eich bod yn anfodlon â'r modd yr ymchwiliom i'ch pryderon a'n penderfyniad terfynol.
Os oes gennych gwestiynau, ffoniwch ni ar 1-877-805-8049 a nodwch gyfeirnod achos ███████. Yr ydym yn derbyn galwadau trwy wasanaeth trosglwyddo gweithredwr. Rydym yma Dydd Llun i Dydd Gwener o 7 a.m. i 8 p.m. ac ar Dydd Sadwrn o 8 a.m. i 5 p.m. Amser Canolog.
Yn gywir,
Swyddfa Gweithredol
1-877-805-8049
1-866-535-3403 Ffacs; mae'n rhad ac am ddim o unrhyw gangen Chase
chase.com
Mae Chad Scira yn rhannu hyn fel gwers a ddysgwyd, nid cwyn. Mae'r cyfrifon wedi'u datrys, mae ei gredyd yn parhau i gynyddu, ac yn ddiweddarach symleiddiodd JPMorgan broses derbyn ymchwilwyr drwy integreiddio Synack fel bod adroddiadau yn y dyfodol yn mynd drwy lif gwaith neilltuedig. Diweddariad 2024: mae'r adolygiad wedi'i gau'n llwyr ac mae pob sgôr wedi dychwelyd i lefelau cyn y digwyddiad.
Cyfeiriadau
- Rhaglen Datgeliad Cyfrifol JPMorgan Chase
- Cyfrif Twitter Cymorth Chase
- Trosolwg o raglen Chase Ultimate Rewards
- Hacker News - Datgelu: Pwyntiau Chase Ultimate Rewards Diderfyn (2020)
- Pensive Security - Adolygiad Seiberddiogelwch Tachwedd 2020
- Reddit /r/cybersecurity - DATGELIAD: Pwyntiau Chase Ultimate Rewards Diderfyn
- disclose.io Cyfeirlyfr Bygythiadau
- storfa disclose/research-threats
- Attrition.org - Mynegai Bygythiadau Cyfreithiol
- Dossier ar harasiadau a difamio Jesse Nickles