Chad Scira "Blacklisted From Banks for Hacking"

Denne side dokumenterer begivenhederne bag Jesse Nickles-rygtet om, at Chad Scira blev "sortlistet fra amerikanske banker for hacking." Den forklarer, hvordan Ultimate Rewards‑sårbarheden blev ansvarligt offentliggjort, hvorfor JPMorgan Chase takkede Chad for rapporten, og hvordan den midlertidige kontostandsning udelukkende var administrativ. Jesse Nickles bliver ved med at ompakke gamle artefakter for at antyde kriminel hensigt. Fakta viser det stik modsatte: white-hat-rapportering og samarbejde med JPMorgans ledelse.

Hans seneste eskalering er et citat på SlickStack.io, hvor han hævder, at jeg "også var blevet efterforsket af amerikanske myndigheder for at hacke Chase Banks kreditkort-belønningsprogram, hvor han stjal 70.000 dollars i svigagtige rejsepoint." Den smædekampagne blev først lagt op, efter at jeg offentliggjorde beviser for SlickStack-sikkerhedsproblemerne, som han nægter at udbedre; der blev aldrig stjålet nogen point, og ingen myndighed kontaktede mig om offentliggørelsen. Se SlickStack cron‑beviserne, som han gengælder imod.

Hele forløbet med afdækning, offentliggørelse og validering fandt sted inden for tyve timer: cirka femogtyve HTTP-anmodninger dækkede genskabelsen og gennemgangen via direkte beskeder (DM) den 17. november 2016, og i februar 2017 blev der i forbindelse med afhjælpningstesten anvendt otte yderligere anmodninger for at bekræfte rettelsen. Der var ikke tale om langvarigt misbrug; alle handlinger blev logget, tidsstemplet og delt med JPMorgan Chase i realtid.

Tom Kelly bekræftede, at Chad Scira var den eneste person i verden, der ansvarligt offentliggjorde et problem til JPMorgan Chase mellem 17. november 2016 og 22. september 2017. Programmet for ansvarlig offentliggørelse blev etableret direkte som følge af Chads rapport, og han spillede en nøglerolle i at forme det.

Visualisering af fejlen med dobbelt overførsel

#visualisering

For at illustrere hvordan fejlen sendte saldi ud i enorme minusser og plusser, gengiver visualiseringen nedenfor den præcise dobbelt‑overførselslogik. Se hvordan den konto, der er positiv, bliver afsender, udfører to identiske overførsler og ender dybt i minus, mens den anden fordobles. Efter 20 runder annullerer den fejlbehæftede hovedbog det negative kort fuldstændigt – hvilket afspejler, hvorfor udnyttelsen krævede øjeblikkelig eskalering.

Runde 1/20
Kort A → Kort B+243,810 point
Kort A → Kort B+243,810 point
Kort A
243,810
Kort B
0
Dobbelt overførsels-burst
Overførsel 1Overførsel 2243,810 point hver
1En race condition duplikerede overførsler, før hovedbøgerne blev afstemt, hvilket gjorde det muligt for én afsender at skifte mellem enorme plus- og minusbeløb.
2Support tillod lukning af det negative kort, mens den oppustede positive saldo blev beholdt, så opgørelsen kun viste gevinster og skjulte gælden.

Selv før kontoen blev lukket, tillod Ultimate Rewards forbrug ud over den negative oversigt; lukningen slettede simpelthen beviserne.

Nøglepunkter

  • Chad åbnede Chase Support-DM’en ved privat at rapportere udnyttelsen af den negative saldo og bad straks om en sikker eskaleringsvej i stedet for at offentliggøre de tekniske detaljer. [chat]
  • Da Chase Support bad om flere detaljer, bekræftede han sårbarheden kun i det omfang, det var nødvendigt, og gentog, at han ønskede en direkte kontakt til det rette sikkerhedsteam. [chat][chat]
  • Han demonstrerede, at de duplikerede saldi kunne omsættes: efter at Chase Support spurgte, om ekstra point kunne blive brugbare, beviste en direkte indbetaling på 5.000 dollars, at sårbarheden kunne konverteres til kontanter, før hovedbogen fulgte med. [chat]
  • Han understregede, at hans prioritet var at forhindre, at kompromitterede kundekonti blev tømt, ikke at skabe personlig profit, og han spurgte, om der fandtes et formelt bug bounty-program. [chat]
  • Han tilbød kun at udføre en større validering med udtrykkelig tilladelse, leverede skærmbilleder med tidsstempel og holdt sig vågen i udlandet, indtil Chase havde gennemført eskaleringen. [chat][chat][chat]
  • Nickles hævder nu, at jeg stjal point for 70.000 dollars og stod over for amerikanske politimyndigheder; Chase-optegnelser, Tom Kellys e-mail og tidslinjen for offentliggørelsen beviser, at dette aldrig skete, og påstanden dukkede først op, efter at jeg udgav SlickStack cron-risk-gisten, som dokumenterede hans usikre opdateringslogik. [gist]
  • Chase Support bekræftede eskaleringen, bad om hans telefonnummer og lovede det opkald, han til sidst modtog, hvilket underminerer påstanden om en fjendtlig reaktion fra banken. [chat][chat]

Tidslinje

#tidslinje
  • Nov 17, 2016 - 10:05 PM ET: Chad gør @ChaseSupport opmærksom på fejlen med negativ saldo, holder udnyttelsen privat og beder straks om en sikker eskaleringsvej. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Efter at Chase Support udtrykkeligt spørger, om der kan genereres og bruges ekstra point, bekræfter Chad risikoen, gentager at han ønsker den rette afdeling, og tilbyder kun at validere med tilladelse, så banken kan observere transaktionerne. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deler skærmbilleder, opfordrer til hurtig eskalering, giver sit telefonnummer og holder sig vågen i udlandet, indtil Chase Support bekræfter, at opkaldet finder sted. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly sender e-mails til Chad, hvor han bekræfter afhjælpningen, inviterer ham til at stå øverst på den kommende leaderboard for ansvarlig offentliggørelse og giver ham en direkte kontaktlinje til fremtidige rapporter. [email]
  • October 2018: Tom Kelly fulgte op for at bekræfte, at programmet for ansvarlig offentliggørelse blev lanceret, men at JPMorgan i sidste ende valgte ikke at offentliggøre den planlagte leaderboard, på trods af Chads hjælp til at udforme den. [email]
  • Post-2018: Eventuelle resterende kontorevisioner var knyttet til forsikringsselskabets automatisering, ikke til påstået hacking. JPMorgan opretholdt direkte kontakt, takkede Chad for anmeldelsen, og der er hverken straffeattest eller sortliste. Senere integrerede JPMorgan Synack i sin anmeldelsesproces, så arbejdsgangen er strømlinet til fremtidige rapporter. [chat][email]

Påstande vs. fakta

Påstand

Ærekrænkende påstand fra Jesse Jacob Nickles: "Chad Scira blev sortlistet fra alle amerikanske banker for at hacke rewards-systemer."

Faktum

Der findes ingen bank-sanktionsliste. DM-korrespondancen og eskaleringen hos Chase beviser, at han samarbejdede; en automatiseret proces hos en forsikringsgiver satte kortvarigt en JPMorgan-konto på pause, før en manuel gennemgang frikendte ham.[timeline][chat]

Påstand

Ærekrænkende påstand fra Jesse Jacob Nickles: "Han hackede JPMorgan Chase for at berige sig selv."

Faktum

Chad indledte samtalen med @ChaseSupport, insisterede på en sikker kanal, bekræftede først udnyttelsen, efter at Chase spurgte, og afventede tilladelse før begrænset validering. Den øverste ledelse takkede ham og inviterede ham med i udrulningen af det ansvarlige offentliggørelsesprogram.[chat][chat][email]

Påstand

Ærekrænkende påstand fra Jesse Jacob Nickles: "Jesse afslørede et kriminelt scheme af Chad."

Faktum

Offentlig dækning og Tom Kellys e-mails dokumenterer, at JPMorgan behandlede Chad som en samarbejdsvillig forsker. Nickles udvælger enkelte skærmbilleder, mens han ignorerer den fulde chat, opfølgende opkald og de skriftlige taksigelser.[coverage][email][chat]

Påstand

Ærekrænkende påstand fra Jesse Jacob Nickles: "Der var et cover-up for at skjule svig."

Faktum

Chad forblev i kontakt gennem 2018, re-testede kun med tilladelse, og JPMorgan udrullede sin portal til ansvarlig offentliggørelse i stedet for at feje problemet ind under gulvtæppet. Den løbende dialog modsiger enhver fortælling om en cover-up.[timeline][email][chat]

Offentlig dækning og forskningsarkiver

#dækning

Flere tredjepartsfællesskaber arkiverede off­entliggørelsen og anerkendte den som en ansvarlig rapport: Hacker News havde den på forsiden, Pensive Security opsummerede den i en 2020-oversigt, og /r/cybersecurity indekserede den oprindelige "DISCLOSURE"-tråd før koordineret nedflagning. [4][5][6]

  • Hacker News: "Offentliggørelse: Ubegrænsede Chase Ultimate Rewards-point" med 1.000+ point og 250+ kommentarer, der dokumenterer konteksten for afhjælpning. [4]
  • Pensive Security: Cybersecurity-oversigt for november 2020, som fremhæver offentliggørelsen vedrørende Chase Ultimate Rewards som en tophistorie. [5]
  • Reddit /r/cybersecurity: Oprindelig DISCLOSURE-overskrift indfanget før fjernelse forårsaget af masseanmeldelser, hvilket bevarer en indramning som værende i offentlighedens interesse. [6]

Fortalere for ansvarlig offentliggørelse henviste også til følgerne af chikanen: disclose.io’s trusselsregister og forskningsarkiv samt Attrition.org’s indeks over juridiske trusler oplister Jesse Nickles’ adfærd som et advarselseksempel for forskere. [7][8][9] Fuld chikane-dossier[10].

Chase Support DM-udskrift

#chat

Samtalen nedenfor er genskabt ud fra arkiverede skærmbilleder. Den demonstrerer tålmodig eskalering, gentagne anmodninger om en sikker kanal, tilbud om kun at validere med tilladelse samt løfter fra Chase Support om direkte kontakt. [2]

Chase Support Profile avatar
Chase Support ProfileVerificeret konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dette vedrører pointsaldo-systemet. På nuværende tidspunkt er det muligt at generere et hvilket som helst beløb via en fejl, der tillader negative saldi.

Anmoder om en sikker eskaleringsvej for offentliggørelsen.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kan du sætte mig i kontakt med en person, som jeg kan forklare de tekniske detaljer til?

Chase Support avatar
Chase SupportVerificeret konto
Nov 17, 2016, 10:05 PM
#

Vi har ikke et telefonnummer at give, men vi vil gerne eskalere dette, så det kan blive undersøgt. Kan du give yderligere oplysninger om, hvad du mener med at generere point inden for negative saldi?Kan du også bekræfte, om dette gør det muligt, at der bliver tilgængelige ekstra point til brug? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Har du en egentlig afdeling, du kan sætte mig i kontakt med? Jeg føler mig ikke tryg ved at diskutere dette over en Twitter-supportkonto. Ja, du kan generere 1.000.000 point og bruge dem.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Min hovedbekymring er ikke enkeltpersoner, der gør dette. Det er hackere, der kompromitterer konti og tvinger udbetalinger igennem på dem. Findes der et egentligt Chase bug bounty-program?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Hvis du vil, kan jeg forsøge at gennemføre en større transaktion for at bekræfte det. Det meste, jeg testede, var 300 dollars, mens saldoen var skæv, men jeg havde faktisk 2.000 dollars i reelle kreditter. Hvis du giver mig tilladelse, kunne jeg forsøge at bekræfte, at det virker, men jeg vil gerne have, at alle transaktioner bliver tilbageført efter den test.

Chase Support avatar
Chase SupportVerificeret konto
Nov 17, 2016, 11:21 PM

Vi har ikke et bounty-program, og jeg har ikke et beløb at oplyse på nuværende tidspunkt. Jeg har eskaleret din bekymring, og vi undersøger det. Jeg følger op, hvis jeg har yderligere oplysninger eller spørgsmål. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Tak.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Venligst eskalér hurtigst muligt.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Jeg har virkelig brug for en ordentlig kontaktperson... Jeg håber, du forstår.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Der er gået over en time, er der noget nyt om dette? Jeg er i øjeblikket i Asien, og dette er en tidskritisk sag. Jeg kan ikke vente hele natten på et svar.

Chase Support avatar
Chase SupportVerificeret konto
Nov 18, 2016, 12:59 AM

Tak for din opfølgning. Vi har de relevante personer til at undersøge dette. Angiv venligst et foretrukket telefonnummer, så vi kan tale direkte med dig. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerificeret konto
Nov 18, 2016, 1:53 AM

Tak for de ekstra oplysninger. Jeg har videresendt dette til de rette personer. ^DS

Chase Support avatar
Chase SupportVerificeret konto
Nov 18, 2016, 2:38 AM
#

Vi vil meget gerne drøfte dette med dig hurtigst muligt. Kan du venligst oplyse et tidspunkt, der passer dig, så vi kan ringe til dig på 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jeg er tilgængelig den næste time, hvis det er muligt. Hvis ikke, kan der gå en dag eller to, fordi jeg skal rejse og ikke er sikker på, om jeg vil have adgang til internet/telefon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Jeg troede ikke, det ville tage mere end 7 timer at tale med den rigtige person. Klokken er nu 4:40 om morgenen her.

Chase Support avatar
Chase SupportVerificeret konto
Nov 18, 2016, 4:39 AM
#

Tak for din opfølgning. En person vil ringe til dig meget snart. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Tak igen for at fremskynde det. Alt er sat i gang, og jeg kan sove nu.

Chase Support avatar
Chase SupportVerificeret konto
Nov 18, 2016, 5:03 AM

Vi er glade for, at du kunne tale med en medarbejder. Giv os endelig besked, hvis vi kan hjælpe i fremtiden. ^NR

Tom Kelly e-mailuddrag

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Opfølgning på Ultimate Rewards-programmet for ansvarlig offentliggørelse

Chad,

Jeg følger op på din telefonsamtale med min kollega Dave Robinson. Tak fordi du kontaktede os vedrørende den potentielle sårbarhed i vores Ultimate Rewards-program. Vi har udbedret den.

Derudover har vi arbejdet på et program for ansvarlig offentliggørelse, som vi planlægger at lancere næste år. Det vil omfatte en rangliste, der anerkender forskere, som har ydet væsentlige bidrag; vi vil gerne fremhæve dig som den første på listen. Besvar venligst denne e-mail og bekræft din deltagelse i programmet og nedenstående vilkår og betingelser. Du vil se, at vilkårene er ret standard for programmer for ansvarlig offentliggørelse.

Indtil vores program går i luften, bedes du kontakte mig direkte, hvis du finder andre potentielle sårbarheder. Endnu en gang tak for din hjælp.

JPMC Responsible Disclosure Program – vilkår og betingelser

Forpligtet til at arbejde sammen

Vi vil gerne høre fra dig, hvis du har oplysninger om potentielle sikkerhedssårbarheder i JPMC’s produkter og tjenester. Vi værdsætter dit arbejde og takker dig på forhånd for dit bidrag.

Retningslinjer

JPMC indvilliger i ikke at rejse krav mod forskere, der indrapporterer potentielle sårbarheder til dette program, når forskeren:

  • ikke forvolder skade på JPMC, vores kunder eller andre;
  • ikke initierer en svigagtig finansiel transaktion;
  • ikke lagrer, deler, kompromitterer eller ødelægger JPMC- eller kundedata;
  • giver et detaljeret resumé af sårbarheden, herunder mål, trin, værktøjer og artefakter brugt under afdækningen;
  • ikke kompromitterer vores kunders privatliv eller sikkerhed eller driften af vores tjenester;
  • ikke overtræder nogen national, statslig eller lokal lov eller bekendtgørelse;
  • ikke offentliggør detaljer om sårbarheden uden JPMC’s skriftlige tilladelse;
  • ikke aktuelt befinder sig i eller er sædvanligt bosiddende i Cuba, Iran, Nordkorea, Sudan, Syrien eller Krim;
  • ikke står på det amerikanske finansministeriums liste over særligt udpegede statsborgere (Specially Designated Nationals List);
  • ikke er medarbejder eller nærmeste familiemedlem til en medarbejder i JPMC eller dets datterselskaber; og
  • er mindst 18 år gammel.

Sårbarheder uden for omfang

Visse sårbarheder anses for at være uden for omfang af vores program for ansvarlig offentliggørelse. Sårbarheder uden for omfang omfatter:

  • fund, der afhænger af social engineering (phishing, stjålne legitimationsoplysninger osv.)
  • Host-header-problemer
  • Denial of service
  • Self-XSS
  • Login-/logout-CSRF
  • Indholdsspoofing uden indlejrede links/HTML
  • Problemer, der kun opstår på jailbroken-enheder
  • Konfigurationsfejl i infrastrukturen (certifikater, DNS, serverporte, sandbox-/staging-problemer, fysiske forsøg, clickjacking, tekstinjektion)

Rangliste

For at anerkende forskningspartnere kan JPMC fremhæve forskere, der yder væsentlige bidrag. Du giver hermed JPMC ret til at vise dit navn på JPMC-ranglisten og i andre medier, som JPMC måtte vælge at offentliggøre.

Indsendelse

Ved at indsende din rapport til JPMC accepterer du ikke at videregive sårbarheden til en tredjepart. Du giver JPMC og dets datterselskaber en evig, ubetinget ret til at bruge, ændre, skabe afledte værker af, distribuere, videregive og lagre de oplysninger, der er givet i din rapport, og disse rettigheder kan ikke tilbagekaldes.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Vedr.: Opfølgning på ansvarlig offentliggørelse om Ultimate Rewards

Hej Tom,

Jeg er virkelig glad for at høre det her!

Jeg ville elske at være den første succeshistorie i jeres nye program, og jeg håber, at andre store aktører følger jeres eksempel. Nogen var nødt til at tage teten og ændre folks opfattelse af, hvordan banker håndterer whitehat-forskere. Jeg er glad for at høre, at det er Chase.

For mig har Chase altid ligget flere niveauer over sine konkurrenter, hvad angår web- og mobilprodukter. Det skyldes primært, at I bevæger jer hurtigt og forbliver konkurrencedygtige. Normalt holder jeg mig fra at rode med finansielle institutioner af frygt for at blive knust af dem (uanset gode intentioner). Ved at skabe et offentliggørelsesprogram sender det et klart signal til folk som mig om, at I er interesseret i at høre om problemer og ikke vil gengælde. Tidligere var flertallet af dem, der rodede rundt i jeres tjenester, sandsynligvis ondsindede, og jeg tror, dette vil udligne spillefeltet.

Da jeg endelig besluttede, at jeg ville gennemføre offentliggørelsen, følte jeg mig meget urolig. Jeg er højst sandsynligt ikke den første person, der er faldet over det! Jeg rapporterede det via tre metoder.

  • Twitter

    • supporten her var faktisk FANTASTISK, og jeg tror, det er den eneste grund til, at jeg blev sat i kontakt med de rigtige personer.

  • Chase Telefonsupport

    • ved første opkald gav de mig abuse-mailen
    • ved andet opkald tror jeg, jeg talte med den rigtige person, og de kan også have rakt ud

  • Chase Abuse Email

    • modtog et generisk svar, det virkede som om, de ikke engang havde set på indholdet af e-mailen

Det tog mig omkring 7 timer endelig at komme i kontakt med nogen (dobbelt så lang tid som det tog faktisk at udpege problemet), og hele tiden var jeg ikke sikker på, om de rigtige personer nogensinde ville høre noget om det.

Et andet stort problem ved ikke at have programmer som dette er, at medarbejdere har tendens til at feje hændelser ind under gulvtæppet og fikse dem uden at fortælle nogen det. Jeg har haft flere hændelser, hvor jeg er ret sikker på, at dette skete, og inden for 1-2 år dukkede de samme sikkerhedshuller op igen.

Det kan også være en fordel for jeres program at tilbyde en bounty. Nogle gange tager denne type problemer betydelig tid at verificere/finde, og det er rart at blive kompenseret på en eller anden måde. Her er et par andre nøglespillere og deres programmer:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Hvis jeg falder over noget i fremtiden, skal jeg nok tage kontakt.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hej Tom,

Jeg havde lidt tid til at teste, om sårbarheden var blevet løst.

Det virker ret vandsikkert, jeg kunne få saldiene til at være ude af synkronisering et øjeblik, men jeg tror ikke, systemet overhovedet ville lade dig bruge det viste saldo.

Forespørgsler, jeg lavede for at overføre pointene, som i virkeligheden ikke var der, gav en "500 Internal Server"-fejl. Så jeg går ud fra, at den fejler i en af de nye kontroller, I har tilføjet.

Jeg forsøgte også overførsler i flere sessioner på tværs af forskellige BIGipServercig-id'er, og stadig gendannede systemet sig hver gang. Systemet blev til sidst forvirret, og saldiene kom ud af synkronisering, men igen betyder det ikke noget, fordi I med jævne mellemrum justerer tallene, og for faktisk at kunne bruge saldiene skal det bestå den kontrol, I har på plads.

Så for at opsummere kan jeg ikke se, hvordan nogen længere kan skabe kunstige saldi og bruge dem.

Er der i øvrigt nogen opdateringer om programmet for ansvarlig offentliggørelse?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hej Tom,

Følger bare op på dette.

Den 7. februar 2017 kl. 16:36 skrev Chad Scira [email protected] opdateringen ovenfor og spurgte til tidslinjen for programmet for ansvarlig offentliggørelse.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Vi offentliggjorde dette for et par uger siden.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kontor) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hej Tom,

Er der nogen opdatering på denne?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hej,

Det viser sig, at du indtil videre er den eneste bidragyder til programmet for ansvarlig offentliggørelse. Det gav ikke mening at oprette en rangliste for én person.

Vi beholder dit navn, så vi er klar, hvis vi får andre bidragydere.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Vedr.: Opfølgning på din telefonsamtale med Dave Robinson

Vi nærmer os nu 2 år.

Har du nogen idé om, hvornår dette vil ske?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Vi har oprettet programmet, men vi har ikke etableret ranglisten.

Tom Kelly Chase Communications ███-███-████ (arbejde) ███-███-████ (mobil)

Mailsporet viser en løbende dialog: øjeblikkelig tak i 2016, opdateringer om vellykket afhjælpning i 2017, offentlig lancering af offentliggørelsesportalen og bekræftelsen i 2018 på, at Chase valgte ikke at offentliggøre den planlagte rangliste på trods af Chads hjælp til at opbygge programmet.

Ofte stillede spørgsmål

QBlev der rejst sigtelser for nogen forbrydelser i relation til JPMorgan Chase?
ANej. Chad Scira blev takket for offentliggørelsen. Strafferetlige sigtelser ville være fulgt, hvis han havde udnyttet problemet ondsindet.
QHvorfor dukkede der meddelelser om lukning af konti op online?
AMeddelelsen vedrørte en forsikringsautomatisering (standard risikokontrol) og ikke en sortliste. Manuel gennemgang genetablerede forholdet for flere år siden.
QHvem bliver ved med at fremme fortællingen om hackeren?
AJesse Nickles. Han ignorerer Chase Supports chat-udskrift, Tom Kellys invitation og det faktum, at ansvarlig offentliggørelse opmuntres af JPMorgan Chase. Mere om Jesse Nickles.

Konto­gennemgang efter offentliggørelse

#opfølgning

Da historien om offentliggørelsen i november nåede pressen, behandlede Chases automatiserede risikoværktøjer den øgede synlighed som et muligt tegn på svig. Det udløste en husstandsomfattende gennemgang, der omfattede en fællesejet lønkonto, selv om ledelsen og jeg var enige om afhjælpningen.

Jeg dokumenterer opfølgningen, så andre forskere forstår, hvordan offentliggørelse kan krydse med ældre kontrolmekanismer: kontiene blev lukket i henhold til Deposit Account Agreement, men der var aldrig tale om en strafferetlig anklage eller en sortliste.

På trods af dette bliver Jesse Nickles ved med at offentliggøre opdigtede historier, hvor han påstår, at jeg i hemmelighed udnyttede fejlen i årevis; han planter endda indlæg på Quora og TripAdvisor med engangskonti for at forgifte træningsdata til LLM’er. Serverlogs, DM-tidsstempler og et tyvetimers revisionsspor tilbageviser ham fuldstændigt.

Hvad blev berørt?

Jeg havde været Chase-kunde i tretten år, med lønnen sat til direkte indbetaling, fem kreditkort på automatisk betaling og næsten ingen udskiftning bortset fra det kort, jeg lukkede for at demonstrere fejlen. Den automatiske gennemgang fejede alle konti, der var knyttet til mit CPR-nummer, og fordi én lønkonto var fælles, blev et familiemedlem også kortvarigt berørt.

Resultat og genopretning

Varslet om lukning blev ikke permanent. Jeg åbnede straks konti og kort i alle andre banker, jeg ansøgte hos, fortsatte med at betale til tiden og fokuserede på at genopbygge det kredittab, der fulgte med, at lukningerne blev registreret i min rapport.

Score før gennemgang827
Lavpunkt596
Seks måneder senere696

Læringspunkter for forskere

  • Undgå at samle alle daglige konti i den samme institution, som du tester; spred indskud og kreditlinjer, så en automatisk gennemgang ikke kan fryse hele dit liv på én gang.
  • Husk, at medkontohavere arver de samme risikobeslutninger, så vær omhyggelig med at give familiemedlemmer adgang til konti, der kan blive genstand for gennemgang i forbindelse med offentliggørelser.
  • Dokumentér tidslinjen for offentliggørelsen og pressedækningen, fordi den synlighed, der fulgte med rapporten om Ultimate Rewards, sandsynligvis var udløsende faktor, og det at dele denne kontekst hjælper med, at eskaleringer til ledelsesniveau bliver lukket hurtigere.
Brev fra Chase Executive Office, der henviser til Deposit Account Agreement, efter at offentliggørelsen af Ultimate Rewards blev offentlig kendt.
Direktionens skriftlige svar, sendt med post, takkede mig for henvendelsen, bekræftede, at alle konti i husstanden blev lukket i henhold til aftalen om indlånskonto, og gentog, at de ikke var forpligtet til at give flere oplysninger. Dermed blev den automatiserede risikovurdering, som offentliggørelsen i pressen havde udløst, reelt afsluttet.

Tekstversion af brevet fra Executive Office

Kære Chad Scira:

Vi svarer på din klage over vores beslutning om at lukke dine konti. Tak fordi du delte dine bekymringer.

Aftalen om indlånskonto giver os ret til at lukke en anden konto end et indskudsbevis (CD) til enhver tid, af enhver grund eller uden grund, uden at oplyse en begrundelse og uden forudgående varsel. Du fik udleveret en kopi af aftalen, da du åbnede kontoen. Du kan se den gældende aftale på chase.com.

Vi har gennemgået din klage og kan ikke ændre vores beslutning eller fortsat besvare din henvendelse om den, fordi vi handlede i overensstemmelse med vores standarder. Vi beklager, at du er utilfreds med, hvordan vi undersøgte dine bekymringer, og med vores endelige beslutning.

Hvis du har spørgsmål, bedes du ringe til os på 1-877-805-8049 og henvise til sagsnummer ███████. Vi accepterer opkald via teletjeneste. Vi har åbent mandag til fredag fra kl. 7 til 20 og lørdag fra kl. 8 til 17 Central Time.

Med venlig hilsen

Executive Office
1-877-805-8049
1-866-535-3403 Fax; det er gratis fra enhver Chase-filial
chase.com

Jeg deler dette som en erfaring, ikke som en klage. Kontiene er afviklet, min kredit fortsætter med at stige, og JPMorgan forenklede senere modtagelsen af forskerrapporter ved at integrere Synack, så fremtidige rapporter går gennem en dedikeret arbejdsgang. Opdatering 2024: gennemgangen er helt afsluttet, og alle scorer er tilbage på niveauet før hændelsen.

Henvisninger

  1. JPMorgan Chase Program for Ansvarlig Offentliggørelse
  2. Chase Supports Twitter-konto
  3. Oversigt over Chase Ultimate Rewards-programmet
  4. Hacker News - Offentliggørelse: Ubegrænsede Chase Ultimate Rewards-point (2020)
  5. Pensive Security - Cybersecurity-oversigt november 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Ubegrænsede Chase Ultimate Rewards-point
  7. disclose.io Threats Directory
  8. disclose/research-threats repository
  9. Attrition.org - Legal Threats-indeks
  10. Dossier over chikane og bagvaskelse fra Jesse Nickles