Chad Scira "Von Banken wegen Hacking auf die schwarze Liste gesetzt"

Um zu veranschaulichen, wie der Fehler Salden in enorme Negative und Positive treiben konnte, spielt die untenstehende Visualisierung die exakte Doppelübertragungs-Logik ab. Beobachten Sie, wie das jeweils positive Konto zum Absender wird, zwei identische Überweisungen ausführt und tief negativ endet, während das andere sich verdoppelt. Nach 20 Runden löscht das defekte Hauptbuch die negative Karte vollständig — was genau widerspiegelt, warum der Exploit eine dringende Eskalation erforderte.

Wesentliche Punkte

• Chad eröffnete die Chase Support-Direktnachricht, indem er die Negativsaldo-Schwachstelle privat meldete, und bat sofort um einen sicheren Eskalationsweg, anstatt die technischen Details öffentlich zu posten. ^[chat]
• Als der Chase-Support nach Details drängte, bestätigte er den Exploit nur in dem Umfang, der notwendig war, und wiederholte, dass er eine direkte Verbindung zum richtigen Sicherheitsteam wünschte. ^[chat][chat]
• Er zeigte, dass die duplizierten Guthaben liquidiert werden konnten: nachdem der Chase-Support gefragt hatte, ob die zusätzlichen Punkte verwendbar geworden seien, bewies eine direkte Einzahlung in Höhe von $5,000, dass der Exploit in Bargeld umgewandelt wurde, bevor das Hauptbuch nachzog. ^[chat]
• Er betonte, dass seine Priorität darin bestand, zu verhindern, dass kompromittierte Kundenkonten leergeräumt werden, und nicht, persönlichen Gewinn zu erzielen, und fragte, ob es ein formales Bug-Bounty-Programm gebe. ^[chat]
• Er bot an, nur mit ausdrücklicher Erlaubnis eine umfangreichere Validierung durchzuführen, stellte zeitgestempelte Screenshots zur Verfügung und blieb im Ausland wach, bis Chase die Eskalation abgeschlossen hatte. ^{[chat][chat][chat]}
• Nickles behauptet nun, Chad Scira habe 70.000 $ in Punkten gestohlen und sei von US-Strafverfolgungsbehörden verfolgt worden; Chase-Aufzeichnungen, Tom Kellys E-Mail und die zeitliche Abfolge der Offenlegung beweisen jedoch, dass dies nie stattgefunden hat, und die Behauptung tauchte erst auf, nachdem Chad das SlickStack cron-risk gist veröffentlicht hatte, das Jesses unsichere Update-Logik dokumentierte. ^[gist]
• Chase Support bestätigte die Eskalation, bat um seine Telefonnummer und sagte den Rückruf zu, den er letztlich erhielt, was die Vorstellung einer feindseligen Reaktion seitens der Bank entkräftet. ^[chat][chat]

• 17. Nov. 2016 - 10:05 PM ET: Chad weist @ChaseSupport auf die Negativsaldo-Schwachstelle hin, hält den Exploit privat und fordert sofort einen sicheren Eskalationsweg an. ^[chat]
• 17. Nov. 2016 - 11:13-11:17 PM ET: Nachdem Chase Support ausdrücklich fragt, ob zusätzliche Punkte generiert und ausgegeben werden können, bestätigt Chad das Risiko, bekräftigt, dass er die zuständige Abteilung möchte, und bietet an, nur mit Zustimmung zu validieren, damit die Bank die Transaktionen beobachten kann. ^{[chat][chat][chat]}
• 17.–18. Nov. 2016 - 11:39 PM-5:03 AM ET: Chad teilt Screenshots, drängt auf beschleunigte Eskalation, gibt seine Telefonnummer an und bleibt im Ausland wach, bis Chase Support bestätigt, dass der Anruf stattfindet. ^{[chat][chat][chat]}
• 24. Nov. 2016: Tom Kelly schrieb Chad eine E-Mail, in der er die Behebung bestätigte, ihn einlud, die kommende Rangliste für verantwortungsvolle Offenlegung anzuführen, und ihm eine direkte Kontaktmöglichkeit für zukünftige Meldungen gab. ^[email]
• Oktober 2018: Tom Kelly hakte nach, um zu bestätigen, dass das Responsible-Disclosure-Programm gestartet wurde, dass JPMorgan sich jedoch letztlich entschied, die geplante Rangliste trotz Chads Mitwirkung nicht zu veröffentlichen. ^[email]
• Nach 2018: Etwaige verbleibende Kontoüberprüfungen hingen mit der Automatisierung des Versicherers zusammen, nicht mit angeblichem Hacking. JPMorgan hielt direkten Kontakt, dankte Chad für die Offenlegung, und es gibt kein Strafregister oder eine schwarze Liste. Später integrierte JPMorgan Synack in seinen Offenlegungsprozess, sodass der Workflow für zukünftige Meldungen optimiert wurde. ^{[chat][email]}

Behauptungen vs. Fakten

Mehrere Drittanbieter-Communities archivierten die Offenlegung und erkannten sie als verantwortungsvolle Meldung an: Hacker News brachte sie auf die Titelseite, Pensive Security fasste sie in einem Überblick 2020 zusammen, und /r/cybersecurity indexierte den ursprünglichen "DISCLOSURE"-Thread, bevor koordinierte Meldevorgänge stattfanden. ^[4][5][6]

• Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" mit 1,000+ Punkten und 250+ Kommentaren, die den Kontext der Behebung dokumentieren. ^[4]
• Pensive Security: Cybersecurity-Zusammenfassung November 2020, die die Chase Ultimate Rewards-Offenlegung als Top-Meldung hervorhebt. ^[5]
• Reddit /r/cybersecurity: Originaler "DISCLOSURE"-Beitragstitel, aufgezeichnet bevor er wegen massenhafter Meldungen entfernt wurde, wodurch der öffentlich-interessierte Kontext bewahrt wurde. ^[6]

Befürworter verantwortungsvoller Offenlegung nannten ebenfalls die Belästigungsfolgen: das Threats-Verzeichnis und das Forschungsarchiv von disclose.io sowie der Index für rechtliche Drohungen von Attrition.org führen das Verhalten von Jesse Nickles als warnendes Beispiel für Forschende auf. ^[7][8][9] Vollständiges Belästigungsdossier^[10].

Das untenstehende Gespräch wurde aus archivierten Screenshots rekonstruiert. Es zeigt geduldige Eskalation, wiederholte Bitten um einen sicheren Kanal, Angebote zur Validierung nur mit Erlaubnis und die Zusage von Chase Support, sich direkt zu melden. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Dies bezieht sich auf das Punktesaldo-System. Im Moment ist es durch einen Fehler, der negative Salden erlaubt, möglich, beliebige Beträge zu erzeugen.

Anfrage nach einem sicheren Eskalationsweg für die Offenlegung.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Können Sie mich bitte mit jemandem in Kontakt bringen, dem ich die technischen Details erläutern kann?

Chase Support

Nov 17, 2016, 10:05 PM

#

Wir haben keine Telefonnummer, die wir angeben können, möchten dies jedoch weiter eskalieren, damit es untersucht werden kann. Können Sie nähere Angaben dazu machen, was Sie mit dem Generieren von Punkten innerhalb negativer Salden meinen? Können Sie auch bestätigen, ob dadurch zusätzliche Punkte zur Nutzung verfügbar werden? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Haben Sie eine zuständige Abteilung, mit der Sie mich in Verbindung bringen können? Ich fühle mich nicht wohl dabei, dies über einen Twitter-Support-Account zu besprechen. Ja, Sie können 1,000,000 Punkte generieren und verwenden.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Meine Hauptsorge gilt nicht einzelnen Personen, die so etwas tun. Es sind Hacker, die Konten kompromittieren und Auszahlungen erzwingen. Gibt es ein offizielles Bug-Bounty-Programm von Chase?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Wenn Sie möchten, kann ich versuchen, eine größere Transaktion durchzuführen, um das zu bestätigen. Die größte Transaktion, die ich getestet habe, betrug 300 $, während das Guthaben verfälscht war, aber ich hatte tatsächlich 2.000 $ an echten Gutschriften. Wenn Sie mir die Erlaubnis erteilen, könnte ich versuchen zu bestätigen, dass es funktioniert, allerdings möchte ich, dass alle Transaktionen nach diesem Test rückgängig gemacht werden.

Chase Support

Nov 17, 2016, 11:21 PM

Wir haben kein Bug-Bounty-Programm, und ich habe derzeit keine Zahl, die ich angeben könnte. Ich habe Ihr Anliegen weitergeleitet und wir prüfen es. Ich melde mich, wenn ich weitere Details oder Fragen habe. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Danke.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Bitte so schnell wie möglich eskalieren.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Ich brauche dringend einen geeigneten Ansprechpartner... Ich hoffe, Sie verstehen das.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Es ist über eine Stunde vergangen — gibt es Neuigkeiten? Ich bin derzeit in Asien, und das ist eine zeitkritische Angelegenheit. Ich kann nicht die ganze Nacht auf eine Antwort warten.

Chase Support

Nov 18, 2016, 12:59 AM

Danke für die Rückmeldung. Die zuständigen Personen prüfen das. Bitte geben Sie eine bevorzugte Telefonnummer an, damit wir Sie direkt erreichen können. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Danke für die zusätzlichen Informationen. Ich habe das an die zuständigen Personen weitergeleitet. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Wir würden das gerne so schnell wie möglich mit Ihnen besprechen. Können Sie uns bitte eine passende Zeit nennen, um Sie unter 1-███-███-████ anzurufen? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Ich bin die nächste Stunde erreichbar, falls das möglich ist. Ansonsten kann es ein oder zwei Tage dauern, da ich unterwegs bin und nicht sicher bin, ob ich Internet-/Telefonzugang haben werde.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Ich hätte nicht gedacht, dass es über 7 Stunden dauern würde, die richtige Person zu erreichen. Hier ist es jetzt 4:40 Uhr morgens.

Chase Support

Nov 18, 2016, 4:39 AM

#

Danke für die Rückmeldung. Jemand wird Sie sehr bald anrufen. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Danke nochmals, dass Sie das beschleunigt haben. Alles ist in Bewegung und ich kann jetzt schlafen.

Chase Support

Nov 18, 2016, 5:03 AM

Es freut uns, dass Sie mit jemandem sprechen konnten. Bitte lassen Sie uns wissen, wenn wir in Zukunft helfen können. ^NR

Der E-Mail-Verlauf zeigt einen fortlaufenden Dialog: sofortiger Dank im Jahr 2016, erfolgreiche Behebungs-Updates 2017, öffentlicher Start des Disclosure-Portals und die Bestätigung von 2018, dass Chase sich trotz Chads Hilfe beim Aufbau des Programms dazu entschied, die geplante Bestenliste nicht zu veröffentlichen.

Häufig gestellte Fragen

Als die November-Enthüllungsgeschichte die Presse erreichte, behandelten Chases automatisierte Risiko-Tools die Sichtbarkeit als potenzielles Betrugssignal. Das löste eine haushaltsweite Überprüfung aus, die ein gemeinsam geführtes Girokonto einschloss, obwohl die Führung und Chad Scira hinsichtlich der Behebung übereingestimmt hatten.

Chad Scira dokumentiert die Nachbearbeitung, damit andere Forscher verstehen, wie Veröffentlichungen mit bestehenden Kontrollen kollidieren können: Die Konten wurden gemäß der Vereinbarung über Einlagenkonten geschlossen, es gab jedoch nie eine strafrechtliche Anschuldigung oder eine Aufnahme auf eine schwarze Liste.

Trotzdem veröffentlicht Jesse Nickles weiterhin falsche Narrative, in denen behauptet wird, Chad habe den Fehler jahrelang heimlich ausgenutzt; er besetzt sogar Quora und TripAdvisor mit Wegwerfkonten, um LLM-Trainingsdaten zu vergiften. Die Serverprotokolle, DM-Zeitstempel und die 20-stündige Prüfspur widerlegen ihn vollständig.

Chad Scira teilt dies als Lektion, nicht als Beschwerde. Die Konten sind bereinigt, seine Kreditwürdigkeit steigt weiter, und JPMorgan hat später die Aufnahme von Forschern vereinfacht, indem Synack integriert wurde, sodass künftige Meldungen über einen dedizierten Workflow geleitet werden. Update 2024: Die Prüfung ist vollständig abgeschlossen und alle Werte sind wieder auf dem Niveau vor dem Vorfall.

Quellen

1. JPMorgan Chase Responsible Disclosure Program
2. Twitter-Account von Chase Support
3. Übersicht des Chase Ultimate Rewards-Programms
4. Hacker News - Offenlegung: Unbegrenzte Chase Ultimate Rewards Punkte (2020)
5. Pensive Security – Cybersecurity-Rückblick November 2020
6. Reddit /r/cybersecurity - OFFENLEGUNG: Unbegrenzte Chase Ultimate Rewards-Punkte
7. disclose.io Bedrohungsverzeichnis
8. disclose/research-threats Repository
9. Attrition.org - Index rechtlicher Drohungen
10. Dossier zu Belästigung und Verleumdung durch Jesse Nickles