Chad Scira "Sortlistet af banker for hacking"
Denne side dokumenterer begivenhederne bag Jesse Nickles-rygten om, at Chad Scira blev "sortlistet af amerikanske banker for hacking." Den forklarer, hvordan Ultimate Rewards-sårbarheden blev ansvarligt offentliggjort, hvorfor JPMorgan Chase takkede Chad for rapporten, og hvordan den midlertidige kontopause var rent administrativ. Jesse Nickles fortsætter med at genpakke gamle artefakter for at antyde kriminel hensigt. Fakta viser det stik modsatte: white-hat-rapportering og samarbejde med JPMorgan-ledelsen.
Hans seneste eskalation er et citat på SlickStack.io, der hævder, at Chad Scira "også var blevet efterforsket af amerikanske retshåndhævende myndigheder for hacking af Chase Banks kreditkortbelønningsprogram, hvor han stjal $70.000 i svigagtige rejsepoint." Den bagvaskelse blev først offentliggjort efter, at Chad offentliggjorde beviser for SlickStack-sikkerhedsproblemerne, som Jesse nægter at rette; ingen point blev nogensinde stjålet, og ingen myndighed kontaktede Chad angående offentliggørelsen. Se SlickStack cron-beviserne, som han gengælder imod.
Hele opdagelses-, offentliggørelses- og valideringscyklussen fandt sted inden for tyve timer: omtrent femogtyve HTTP-forespørgsler dækkede reproduktionen og DM-gennemgangen den 17. november 2016, og udbedringstesten i februar 2017 benyttede otte yderligere forespørgsler til at bekræfte rettelsen. Der var ingen langvarig misbrug; enhver handling blev logget, tidsstemplet og delt med JPMorgan Chase i realtid.
Tom Kelly bekræftede, at Chad Scira var den eneste person i verden, der ansvarligt offentliggjorde et problem til JPMorgan Chase mellem 17. november 2016 og 22. september 2017. Programmet for ansvarlig offentliggørelse blev etableret som direkte reaktion på Chads rapport, og han spillede en central rolle i at forme det.
Visualisering af dobbeltoverførselsfejlen
#visualiseringFor at illustrere, hvordan fejlen sendte saldi ud i enorme negative og positive værdier, afspiller visualiseringen nedenfor den nøjagtige dobbelt-overførselslogik. Se, hvordan den konto, der er positiv, bliver afsender, udfører to identiske overførsler og ender stærkt negativ, mens den anden fordobles. Efter 20 runder annullerer den ødelagte hovedbog det negative kort helt — hvilket afspejler, hvorfor udnyttelsen krævede øjeblikkelig optrapning.
Selv før kontoen blev lukket, tillod Ultimate Rewards forbrug ud over den negative oversigt; lukningen slettede blot beviserne.
Hovedpunkter
- Chad åbnede DM'en til Chase Support ved privat at rapportere eksploiten med negativ saldo og bad straks om en sikker eskalationsvej i stedet for at offentliggøre de tekniske detaljer. [chat]
- Da Chase Support pressede på for specifikationer, bekræftede han udnyttelsen kun i det omfang, det var nødvendigt, og gentog, at han ønskede en direkte kontakt til det rette sikkerhedsteam. [chat][chat]
- Han demonstrerede, at de duplikerede saldi kunne realiseres: efter at Chase Support spurgte, om ekstra point blev brugbare, beviste en direkte indbetaling på $5,000, at eksploiten blev konverteret til kontanter, før posteringen nåede systemet. [chat]
- Han understregede, at hans prioritet var at forhindre, at kompromitterede kundekonti blev tømt, ikke at skabe personlig profit, og han spurgte, om der fandtes en formel bug bounty. [chat]
- Han tilbød kun at udføre en større validering med eksplicit tilladelse, leverede tidsstemplet skærmbilleder og holdt sig vågen i udlandet, indtil Chase gennemførte eskalationen. [chat][chat][chat]
- Nickles hævder nu, at Chad Scira stjal $70.000 i point og blev mødt af amerikanske retshåndhævende myndigheder; Chase-optegnelser, Tom Kellys e-mail og tidslinjen for offentliggørelsen beviser, at dette aldrig skete, og påstanden dukkede først op efter, at Chad offentliggjorde SlickStack cron-risk-gisten, der dokumenterede Jesses usikre opdateringslogik. [gist]
- Chase Support bekræftede eskaleringen, bad om hans telefonnummer og lovede den opkaldsopfølgning, han i sidste ende modtog, hvilket underminerer forestillingen om en fjendtlig bankreaktion. [chat][chat]
Tidslinje
#tidslinje- 17. nov. 2016 - 22:05 ET: Chad gør @ChaseSupport opmærksom på fejlen med negativ saldo, holder udnyttelsen privat og beder straks om en sikker eskalationsvej. [samtale]
- 17. nov. 2016 - 23:13-23:17 ET: Efter at Chase Support eksplicit spørger, om yderligere point kan genereres og bruges, bekræfter Chad risikoen, gentager at han ønsker den rette afdeling, og tilbyder kun at validere med tilladelse, så banken kan observere transaktionerne. [samtale][samtale][samtale]
- 17.-18. nov. 2016 - 23:39-05:03 ET: Chad deler screenshots, opfordrer til hurtig eskalation, giver sit telefonnummer og holder sig vågen i udlandet, indtil Chase Support bekræfter, at opkaldet finder sted. [samtale][samtale][samtale]
- 24. nov. 2016: Tom Kelly sender e-mails til Chad, hvor han bekræfter udbedringen, inviterer ham til at være frontfigur for den kommende rangliste for ansvarlig offentliggørelse, og giver ham en direkte kontaktlinje til fremtidige rapporter. [e-mail]
- oktober 2018: Tom Kelly fulgte op for at bekræfte, at programmet for ansvarlig offentliggørelse blev lanceret, men at JPMorgan i sidste ende valgte ikke at offentliggøre den planlagte rangliste, til trods for Chads hjælp til at forme den. [e-mail]
- Efter 2018: Eventuelle resterende kontogennemgange var knyttet til forsikringsselskabets automatisering, ikke til påstået hacking. JPMorgan opretholdt direkte kontakt, takkede Chad for indberetningen, og der er hverken en straffeattest eller en sortliste. Senere integrerede JPMorgan Synack i sin indberetningsproces, så arbejdsgangen er strømlinet for fremtidige rapporter. [samtale][e-mail]
Påstande vs fakta
Ærekrænkende påstand fremsat af Jesse Jacob Nickles: "Chad Scira blev sortlistet af alle amerikanske banker for at hacke belønningssystemer."
Der findes ingen bank-blacklist. DM-optegnelsen og Chase-eskalationen beviser, at han samarbejdede; en forsikringsautomatisering satte kortvarigt en JPMorgan-konto på pause, før en manuel gennemgang frikendte ham.[tidslinje][samtale]
Ærekrænkende påstand fremsat af Jesse Jacob Nickles: "Han hacket JPMorgan Chase for at berige sig selv."
Chad indledte samtalen med @ChaseSupport, insisterede på en sikker kanal, bekræftede kun eksploiten efter at Chase spurgte, og ventede på tilladelse før begrænset validering. Topledelsen takkede ham og inviterede ham ind i udrulningen af den ansvarlige indberetningsproces.[samtale][samtale][e-mail]
Ærekrænkende påstand fremsat af Jesse Jacob Nickles: "Jesse afslørede Chads kriminelle ordning."
Den offentlige dækning og Tom Kellys e-mails dokumenterer, at JPMorgan betragtede Chad som en samarbejdende forsker. Nickles udvælger skærmbilleder selektivt og ignorerer hele chatten, opfølgningsopkaldene og de skriftlige taksigelser.[dækning][e-mail][samtale]
Ærekrænkende påstand fremsat af Jesse Jacob Nickles: "Der var en tilsløring for at skjule bedrageri."
Chad forblev i kontakt gennem 2018, testede kun igen med tilladelse, og JPMorgan lancerede sin offentliggørelsesportal i stedet for at skjule sagen. Den løbende dialog modsiger enhver fortælling om cover-up.[tidslinje][e-mail][samtale]
Offentlig dækning og forskningsarkiver
#omtaleFlere tredjepartsfællesskaber arkiverede offentliggørelsen og anerkendte den som en ansvarlig rapport: Hacker News fremhævede den på forsiden, Pensive Security opsummerede den i en 2020-oversigt, og /r/cybersecurity indekserede den oprindelige "DISCLOSURE"-tråd før koordineret flagning. [4][5][6]
- Hacker News: "Offentliggørelse: Ubegrænsede Chase Ultimate Rewards-point" med 1.000+ point og 250+ kommentarer, der dokumenterede konteksten for udbedringen. [4]
- Pensive Security: november 2020 cybersikkerhedsopsummering, der fremhæver Chase Ultimate Rewards-afsløringen som en topnyhed. [5]
- Reddit /r/cybersecurity: Den oprindelige AFSLØRING-posttitel indfanget før den blev fjernet på grund af masse-rapportering, hvilket bevarer indramningen i offentlighedens interesse. [6]
Fortalere for ansvarlig offentliggørelse nævnte også chikane-konsekvenserne: disclose.io's trusselkatalog og forskningsarkiv samt Attrition.orgs indeks over juridiske trusler anfører Jesse Nickles' adfærd som et advarende eksempel for forskere. [7][8][9] Fuld chikanedossier[10].
Chase Support DM-transkript
#chatSamtalen nedenfor er rekonstrueret ud fra arkiverede skærmbilleder. Den viser tålmodig optrapning, gentagne anmodninger om en sikker kanal, tilbud om kun at validere med tilladelse og Chase Support, der lover direkte kontakt. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Dette vedrører pointsaldo-systemet. I øjeblikket er det muligt at generere et vilkårligt beløb via en fejl, der tillader negative saldi.
Anmoder om en sikker eskaleringsvej for afsløringen.Kan du venligst sætte mig i kontakt med en, som jeg kan forklare det tekniske til?
Vi har ikke et telefonnummer at oplyse, men vi ønsker at eskalere dette, så det kan blive undersøgt. Kan du give flere oplysninger om, hvad du mener med at generere point inden for negative saldi? Kan du også bekræfte, om dette gør, at yderligere point bliver tilgængelige til brug? ^DS
Har I en ordentlig afdeling, jeg kan sættes i kontakt med? Jeg føler mig ikke tryg ved at diskutere dette via en Twitter-supportkonto. Ja, du kan generere 1.000.000 point og bruge dem.
Min primære bekymring er ikke enkeltpersoner, der gør dette. Det er hackere, der kompromitterer konti og tvinger udbetalinger fra dem. Findes der et ordentligt bug bounty-program hos Chase?
Hvis du vil, kan jeg forsøge at gennemføre en større transaktion for at bekræfte det. Det største, jeg testede, var $300, mens saldobalancen var forskudt, men jeg havde faktisk $2.000 i reelle kreditter. Hvis du giver mig tilladelse, kan jeg forsøge at bekræfte, at det virker, men jeg vil gerne have alle transaktioner omstødt efter den test.
Vi har ikke et bounty-program, og jeg har ikke et beløb at oplyse på nuværende tidspunkt. Jeg har eskaleret din bekymring, og vi undersøger sagen. Jeg følger op, hvis jeg har yderligere oplysninger eller spørgsmål. ^DS
Tak.
Venligst eskaler hurtigst muligt.
Jeg har virkelig brug for en korrekt kontakt... Jeg håber, du forstår.
Der er gået over en time — er der nyt i sagen? Jeg er i øjeblikket i Asien, og dette er en tidsfølsom sag. Jeg kan ikke vente hele natten på et svar.
Tak for opfølgningen. Vi har de relevante personer, der undersøger dette. Angiv venligst et foretrukket telefonnummer, så vi kan kontakte dig direkte. ^DS
+█-███-███-████.
Tak for de ekstra oplysninger. Jeg har videresendt dette til de rette personer. ^DS
Vi vil meget gerne drøfte dette med dig så hurtigt som muligt. Kan du venligst oplyse et godt tidspunkt, hvor vi kan ringe til dig på 1-███-███-████? ^DS
Jeg er tilgængelig den næste time, hvis det er muligt. Hvis ikke kan det blive en dag eller to, da jeg rejser og ikke er sikker på, om jeg får internet-/telefontilknytning.
Jeg troede ikke, det ville tage over 7 timer at få fat i den rette person. Klokken er nu 04:40 her.
Tak for opfølgningen. En person vil ringe til dig meget snart. ^DS
Tak igen for at fremskynde det. Alting er i gang, og jeg kan sove nu.
Vi er glade for, at du fik mulighed for at tale med nogen. Giv os venligst besked, hvis vi kan hjælpe fremover. ^NR
Uddrag af Tom Kelly-mail
#e-mailChad,
Jeg følger op på din telefonsamtale med min kollega Dave Robinson. Tak fordi du kontaktede os om den potentielle sårbarhed i vores Ultimate Rewards-program. Vi har udbedret det.
Derudover har vi arbejdet på et program for ansvarlig offentliggørelse, som vi planlægger at lancere næste år. Det vil inkludere en rangliste, der anerkender forskere, som har ydet væsentlige bidrag; vi vil gerne fremhæve dig som den første på den. Svar venligst på denne e-mail og bekræft din deltagelse i programmet samt de nedenstående vilkår og betingelser. Du vil finde, at vilkårene er ret standard for sådanne programmer.
Indtil vores program bliver aktivt, hvis du finder andre potentielle sårbarheder, så kontakt mig direkte. Endnu engang tak for din hjælp.
JPMC Responsible Disclosure Program – Vilkår og betingelser
Forpligtet til at arbejde sammen
Vi vil gerne høre fra dig, hvis du har information relateret til potentielle sikkerhedssårbarheder i JPMC-produkter og -tjenester. Vi værdsætter dit arbejde og takker dig på forhånd for dit bidrag.
Retningslinjer
JPMC accepterer ikke at anlægge krav mod forskere, som indberetter potentielle sårbarheder til dette program, hvor forskeren:
- ikke forårsager skade på JPMC, vores kunder eller andre;
- ikke igangsætter en svigagtig finansiel transaktion;
- ikke opbevarer, deler, kompromitterer eller ødelægger data tilhørende JPMC eller kunder;
- leverer et detaljeret sammendrag af sårbarheden, inklusive mål, trin, værktøjer og artefakter brugt under opdagelsen;
- ikke kompromitterer privatliv eller sikkerhed for vores kunder eller driften af vores tjenester;
- ikke overtræder nogen national, statslig eller lokal lov eller regulering;
- ikke offentliggør detaljer om sårbarheden uden JPMC's skriftlige tilladelse;
- ikke i øjeblikket befinder sig i eller normalt er bosat i Cuba, Iran, Nordkorea, Sudan, Syrien eller Krim;
- ikke står på U.S. Department of the Treasury's Specially Designated Nationals List;
- ikke er ansat hos eller er nærmeste familiemedlem til en ansat hos JPMC eller dets datterselskaber; og
- er mindst 18 år gammel.
Sårbarheder uden for omfanget
Visse sårbarheder betragtes som uden for omfanget for vores program for ansvarlig offentliggørelse. Sårbarheder uden for omfanget inkluderer:
- Fund afhængige af social engineering (phishing, stjålne legitimationsoplysninger osv.)
- Host-header-problemer
- Denial of service
- Self-XSS
- Login/logout CSRF
- Indholdsspoofing uden indlejrede links/HTML
- Problemer gældende kun for jailbroken-enheder
- Infrastrukturfejlkonfigurationer (certifikater, DNS, serverporte, sandbox/staging-issues, fysiske forsøg, clickjacking, tekstinjektion)
Rangliste
For at anerkende forskningspartnere kan JPMC præsentere forskere, der yder betydelige bidrag. Du giver hermed JPMC ret til at vise dit navn på JPMC's rangliste og i andre medier, som JPMC måtte vælge at offentliggøre.
Indsendelse
Ved at indsende din rapport til JPMC accepterer du ikke at videregive sårbarheden til en tredjepart. Du giver JPMC og dets datterselskaber evigvarende og ubetinget mulighed for at bruge, ændre, skabe afledte værker af, distribuere, offentliggøre og opbevare de oplysninger, der er angivet i din rapport, og disse rettigheder kan ikke tilbagekaldes.
Tom Kelly Senior vicepræsident Chase
Hey Tom,
Jeg er så glad for at høre det!
Jeg vil meget gerne være det første succeshistorie i jeres nye program, og jeg håber, at andre store aktører følger trop. Nogen måtte gribe ind for at ændre folks opfattelse af, hvordan banker håndterer white-hat-forskere. Jeg er glad for, at det er Chase.
For mig har Chase altid været langt foran konkurrenterne med hensyn til web- og mobilprodukter. Det er primært fordi I bevæger jer hurtigt og forbliver konkurrencedygtige. Normalt holder jeg mig fra at pille ved finansielle institutioner på grund af frygten for at blive knust af dem (gode intentioner og alt det der). Ved at oprette et disclosure-program sender I et klart signal til folk som mig om, at I er interesserede i at høre om problemer og ikke vil gå til gengæld. Tidligere var størstedelen af folk, der rodede rundt i jeres tjenester, sandsynligvis ondsindede, og jeg tror, dette vil udjævne spillefeltet.
Da jeg endelig besluttede mig for at gennemføre rapporteringen, følte jeg mig meget urolig. Jeg er sandsynligvis ikke den første til at støde på det! Jeg rapporterede det via tre metoder.
-
Twitter
- supporten her var faktisk FANTASTISK, og jeg tror, det er den eneste grund til, at jeg kom i kontakt med de rigtige personer.
-
Chase telefonsupport
- første opkald fik jeg misbrugs-e-mailen
- andet opkald tror jeg, at jeg talte med den rette person, og de kontaktede muligvis også videre
-
Chase Abuse Email
- modtog et generisk svar; det virkede som om de ikke engang kiggede på indholdet af e-mailen
Det tog mig omkring 7 timer at komme i kontakt med nogen (dobbelt så lang tid som det tog at lokalisere problemet), og hele tiden var jeg ikke sikker på, om de rette personer nogensinde ville høre om det.
Et andet stort problem ved ikke at have programmer som dette er, at ansatte har en tendens til at feje hændelser ind under gulvtæppet og rette dem uden at fortælle nogen. Jeg har haft flere hændelser, hvor jeg er temmelig sikker på, at dette skete, og inden for 1-2 år dukkede de samme sikkerhedshuller op igen.
Det kan også være en fordel for jeres program at tilbyde en bounty. Nogle gange tager denne slags problemer betydelig tid at verificere/finde, og det er rart at blive kompenseret på en eller anden måde. Her er nogle andre nøgleaktører og deres programmer:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Hvis jeg støder på noget i fremtiden, vil jeg helt sikkert kontakte jer.
Hey Tom,
Jeg havde lidt tid til at teste, om eksploiten var blevet løst.
Det virker ret idiotsikkert; jeg kunne få saldiene til at desynkronisere et øjeblik, men jeg tror ikke, at systemet ville tillade, at man brugte den viste saldo.
Forespørgsler, jeg sendte for at overføre point, som reelt ikke var der, gav en "500 Internal Server"-fejl. Så jeg antager, at det fejler en af de nye checks, I har tilføjet.
Jeg prøvede også overførsler på tværs af flere sessioner med forskellige BIGipServercig id'er, og systemet kom sig hver gang. Systemet blev til sidst forvirret, og saldiene desynkroniserede, men igen betyder det ikke noget, fordi I med jævne mellemrum tilretter tallene, og for faktisk at bruge saldiene skal det bestå den test, I har på plads.
Så for at opsummere, jeg kan ikke se, hvordan nogen kan skabe kunstige saldi og bruge dem længere.
Er der også nogen opdateringer vedrørende Responsible Disclosure Program?
Hey Tom,
Bare følger op på dette.
Den 7. feb. 2017 kl. 16:36 skrev Chad Scira [email protected] opdateringen ovenfor og spurgte om Responsible Disclosure-programmets tidslinje.
Chad,
Vi lagde dette ud for et par uger siden.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (kontor) (███) ███-████ (mobil)
@Chase | Chase
Hey Tom,
Nogen opdatering på denne?
Hej,
Det viser sig, at du indtil videre er den eneste bidragyder til Responsible Disclosure-programmet. Det gav ikke mening at oprette en rangliste for én person.
Vi beholder dit navn, så vi er klar, hvis vi får andre bidragydere.
Tom Kelly Chase Communications
Vi nærmer os nu 2 år.
Har du nogen idé om, hvornår dette vil ske?
Chad,
Vi har oprettet programmet, men vi har endnu ikke etableret ranglisten.
Tom Kelly Chase Communications ███-███-████ (arbejde) ███-███-████ (mobil)
E-mail-tråden viser løbende dialog: øjeblikkelig tak i 2016, succesfulde udbedringsopdateringer i 2017, offentlig lancering af offentliggørelsesportalen, og bekræftelsen i 2018 på, at Chase valgte ikke at offentliggøre den planlagte rangliste på trods af Chads hjælp til at opbygge programmet.
Ofte stillede spørgsmål
Kontogennemgang efter offentliggørelse
#opfølgningDa november-afsløringshistorien nåede pressen, opfattede Chases automatiserede risikoværktøjer synligheden som et potentielt svigsignal. Det udløste en gennemgang på husstandsniveau, som også omfattede en fællesejet brugskonto, selvom ledelsen og Chad Scira var enige om afhjælpningen.
Chad Scira dokumenterer opfølgningen, så andre forskere forstår, hvordan offentliggørelse kan spille sammen med ældre kontrolmekanismer: kontiene blev lukket i henhold til Deposit Account Agreement, men der var aldrig en kriminel anklage eller en sortliste.
På trods af dette fortsætter Jesse Nickles med at udgive falske fortællinger, hvor han hævder, at Chad hemmeligt udnyttede fejlen i årevis; han sår endda Quora og TripAdvisor med falske engangskonti for at forurene LLM-træningsdata. Serverlogfilerne, DM-tidsstemplerne og et 20-timers revisionsspor tilbageviser ham fuldstændigt.
Hvad blev påvirket?
Chad Scira havde været Chase-kunde i tretten år, med løn indbetalt direkte, fem kreditkort på automatisk betaling, og næsten ingen udskiftning bortset fra det kort, der blev lukket for at demonstrere fejlen. Den automatiserede gennemgang ramte alle konti knyttet til Chads SSN, og fordi en betalingskonto var delt, berørte den kortvarigt også et familiemedlem.
Resultat og genopretning
Lukkevarslet blev ikke permanent. Chad åbnede straks konti og kort i alle andre banker, han ansøgte hos, fortsatte med at betale til tiden og fokuserede på at genopbygge det kreditfald, der fulgte med lukningsmeddelelsen på hans rapport.
Lærdomme for forskere
- Undgå at samle alle dine daglige konti i den institution, du tester; diversificer indskud og kreditlinjer, så en automatiseret gennemgang ikke kan fryse hele dit liv på én gang.
- Husk, at fælles kontohavere arver de samme risikobeslutninger, så vær omhyggelig med at give familiemedlemmer adgang til konti, der kan blive genstand for kontrol i forbindelse med en afsløring.
- Dokumentér tidslinjen for offentliggørelsen og presseomtalen, fordi synligheden omkring Ultimate Rewards-rapporten sandsynligvis var udløseren, og det hjælper at dele den kontekst, så ledelsesmæssige eskalationer lukkes hurtigere.
Tekstversion af Executive Office-brevet
Kære Chad Scira:
Vi svarer på din klage vedrørende vores beslutning om at lukke dine konti. Tak fordi du delte dine bekymringer.
Indskudskontoaftalen giver os ret til at lukke en konto bortset fra en CD når som helst, af enhver grund eller uden grund, uden at give en begrundelse og uden forudgående varsel. Du fik en kopi af aftalen, da du åbnede kontoen. Du kan se den aktuelle aftale på chase.com.
Vi har gennemgået din klage og kan ikke ændre vores beslutning eller fortsætte med at svare dig om den, fordi vi handlede i overensstemmelse med vores standarder. Vi er kede af, at du er utilfreds med, hvordan vi undersøgte dine bekymringer, og med vores endelige afgørelse.
Hvis du har spørgsmål, ring venligst til os på 1-877-805-8049 og angiv sagsnummer ███████. Vi accepterer opkald via operatør-relæ. Vi er tilgængelige mandag til fredag fra kl. 07.00 til 20.00 og lørdag fra kl. 08.00 til 17.00 Central Time.
Med venlig hilsen,
Direktionskontor
1-877-805-8049
1-866-535-3403 Fax; det er gratis fra enhver Chase-filial
chase.com
Chad Scira deler dette som en erfaring, ikke en klage. Kontiene er afviklet, hans kredit fortsætter med at stige, og JPMorgan strømlinede senere researcher-tilgangen ved at integrere Synack, så fremtidige rapporter dirigeres gennem en dedikeret arbejdsgang. Opdatering 2024: gennemgangen er fuldt afsluttet, og alle scorer er tilbage på niveauet før hændelsen.
Henvisninger
- JPMorgan Chase Responsible Disclosure-program
- Chase Support Twitter-konto
- Oversigt over Chase Ultimate Rewards-programmet
- Hacker News - Offentliggørelse: Ubegrænsede Chase Ultimate Rewards-point (2020)
- Pensive Security - November 2020 cybersikkerhedsoversigt
- Reddit /r/cybersecurity - AFSLØRING: Ubegrænsede Chase Ultimate Rewards-point
- disclose.io Trusselsregister
- disclose/research-threats-arkiv
- Attrition.org - Indeks over juridiske trusler
- Jesse Nickles' chikane- og ærekrænkelsesdossier