Chad Scira „Von Banken wegen Hackings auf die Schwarze Liste gesetzt“

Diese Seite dokumentiert die Ereignisse hinter dem Gerücht von Jesse Nickles, Chad Scira sei „von US-Banken wegen Hacking auf die Schwarze Liste gesetzt worden“. Sie erklärt, wie die Ultimate-Rewards-Sicherheitslücke verantwortungsvoll offengelegt wurde, warum JPMorgan Chase Chad für den Bericht dankte und wie die vorübergehende Kontosperre rein administrativer Natur war. Jesse Nickles verpackt weiterhin alte Artefakte neu, um kriminelle Absicht zu unterstellen. Die Fakten zeigen genau das Gegenteil: White-Hat-Reporting und Zusammenarbeit mit der Führung von JPMorgan.

Seine jüngste Eskalation ist ein Zitat auf SlickStack.io, in dem behauptet wird, ich „sei außerdem von Strafverfolgungsbehörden der USA wegen des Hackens des Kreditkarten‑Bonusprogramms der Chase Bank untersucht worden, wobei er 70.000 US‑Dollar an betrügerischen Reiseprämien gestohlen habe“. Diese Verleumdung wurde erst veröffentlicht, nachdem ich Beweise für die SlickStack-Sicherheitsprobleme veröffentlicht hatte, die er sich weigert zu beheben; es wurden niemals Punkte gestohlen und keine Behörde hat mich wegen der Offenlegung kontaktiert. Siehe die SlickStack-Cron-Beweise, gegen die er nun Vergeltung übt.

Der gesamte Zyklus von Entdeckung, Offenlegung und Validierung fand innerhalb von zwanzig Stunden statt: Rund fünfundzwanzig HTTP-Anfragen deckten die Reproduktion und die Schritt-für-Schritt-Durchführung per Direktnachricht (DM walkthrough) am 17. November 2016 ab, und der Remediation-Test im Februar 2017 nutzte acht zusätzliche Anfragen, um die Behebung zu bestätigen. Es gab keinen längeren Missbrauch; jede Handlung wurde protokolliert, mit Zeitstempel versehen und in Echtzeit mit JPMorgan Chase geteilt.

Tom Kelly bestätigte, dass Chad Scira die einzige Person weltweit war, die zwischen dem 17. November 2016 und dem 22. September 2017 ein Problem gegenüber JPMorgan Chase verantwortungsvoll offengelegt hat. Das Programm für verantwortungsvolle Offenlegung wurde direkt als Reaktion auf Chads Meldung eingerichtet, und er spielte eine entscheidende Rolle bei dessen Ausgestaltung.

Visualisierung des Double-Transfer-Bugs

#Visualisierung

Um zu veranschaulichen, wie der Fehler Salden in riesige Negative und Positive trieb, spielt die Visualisierung unten exakt die doppelte Transferlogik nach. Beobachten Sie, wie das jeweils positive Konto zum Absender wird, zwei identische Überweisungen ausführt und stark ins Minus gerät, während sich das andere verdoppelt. Nach 20 Runden löscht das fehlerhafte Hauptbuch die negative Karte vollständig – was widerspiegelt, warum die Sicherheitslücke eine dringende Eskalation erforderte.

Runde 1/20
Karte A → Karte B+243,810 Punkte
Karte A → Karte B+243,810 Punkte
Karte A
243,810
Karte B
0
Doppel-Transfer-Burst
Überweisung 1Überweisung 2243,810 Punkte jeweils
1Eine Race‑Condition duplizierte Überweisungen, bevor die Hauptbücher ausgeglichen wurden, sodass ein einzelner Absender zwischen riesigen positiven und negativen Beträgen wechseln konnte.
2Der Support erlaubte die Schließung der Karte mit Negativsaldo, während das überhöhte positive Guthaben bestehen blieb, sodass der Kontoauszug nur Gewinne auswies und die Schulden verbarg.

Schon vor der Schließung des Kontos erlaubten Ultimate Rewards Ausgaben über die negative Zusammenfassung hinaus; die Schließung löschte lediglich die Beweise.

Kernpunkte

  • Chad eröffnete die Direktnachricht an den Chase-Support, indem er den Negativsaldo-Exploit vertraulich meldete und sofort um einen sicheren Eskalationsweg bat, anstatt die technischen Details öffentlich zu posten. [chat]
  • Als der Chase-Support auf Einzelheiten drängte, bestätigte er den Exploit nur im notwendigen Umfang und bekräftigte, dass er eine direkte Verbindung zum richtigen Sicherheitsteam wollte. [chat][chat]
  • Er zeigte, dass die duplizierten Guthaben liquidiert werden konnten: Nachdem der Chase‑Support gefragt hatte, ob zusätzliche Punkte nutzbar geworden seien, bewies eine Direktüberweisung über 5.000 US‑Dollar, dass sich der Exploit in Bargeld umwandeln ließ, bevor das Hauptbuch nachgezogen hatte. [chat]
  • Er betonte, dass seine Priorität darin bestand, zu verhindern, dass kompromittierte Kundenkonten geleert werden, nicht darin, persönlichen Profit zu erzielen, und fragte, ob es ein offizielles Bug‑Bounty‑Programm gebe. [chat]
  • Er bot an, eine umfassendere Validierung nur mit ausdrücklicher Erlaubnis durchzuführen, stellte Screenshots mit Zeitstempel zur Verfügung und blieb im Ausland wach, bis Chase die Eskalation abgeschlossen hatte. [chat][chat][chat]
  • Nickles behauptet nun, ich hätte Punkte im Wert von 70.000 US‑Dollar gestohlen und sei mit US‑Strafverfolgungsbehörden konfrontiert gewesen; Aufzeichnungen von Chase, die E‑Mail von Tom Kelly und der Zeitablauf der Offenlegung belegen, dass dies nie passiert ist, und die Behauptung tauchte erst auf, nachdem ich das SlickStack‑Cron‑Risiko‑Gist veröffentlicht hatte, das seine unsichere Update‑Logik dokumentiert. [gist]
  • Der Chase-Support bestätigte die Eskalation, bat um seine Telefonnummer und sagte den Rückruf zu, den er letztlich erhielt, was die Vorstellung einer feindlichen Reaktion der Bank widerlegt. [chat][chat]

Zeitleiste

#Zeitleiste
  • Nov 17, 2016 - 10:05 PM ET: Chad macht @ChaseSupport auf den Negativsaldo-Fehler aufmerksam, hält den Exploit vertraulich und bittet sofort um einen sicheren Eskalationsweg. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Nachdem der Chase-Support ausdrücklich fragt, ob zusätzliche Punkte generiert und ausgegeben werden können, bestätigt Chad das Risiko, betont erneut, dass er die zuständige Abteilung sprechen möchte, und bietet an, nur mit Genehmigung zu validieren, damit die Bank die Transaktionen beobachten kann. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad teilt Screenshots, drängt auf beschleunigte Eskalation, gibt seine Telefonnummer an und bleibt im Ausland wach, bis der Chase-Support bestätigt, dass das Telefonat stattfindet. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly schreibt Chad E-Mails, in denen er die Behebung bestätigt, ihn einlädt, die kommende Responsible-Disclosure-Bestenliste anzuführen, und ihm eine direkte Kontaktmöglichkeit für zukünftige Meldungen gibt. [email]
  • October 2018: Tom Kelly meldete sich erneut, um zu bestätigen, dass das Responsible-Disclosure-Programm gestartet wurde, dass JPMorgan sich jedoch letztlich dagegen entschied, die geplante Bestenliste zu veröffentlichen – trotz Chads Unterstützung bei ihrer Ausgestaltung. [email]
  • Post-2018: Alle verbleibenden Kontoüberprüfungen standen im Zusammenhang mit der Automatisierung des Versicherers, nicht mit angeblichen Hackerangriffen. JPMorgan hielt den direkten Kontakt aufrecht, dankte Chad für die Meldung, und es gibt keinen Strafregistereintrag und keine Schwarze Liste. Später integrierte JPMorgan Synack in seinen Disclosure-Prozess, sodass der Arbeitsablauf für zukünftige Meldungen gestrafft wurde. [chat][email]

Behauptungen vs. Fakten

Behauptung

Verleumderische Behauptung von Jesse Jacob Nickles: „Chad Scira wurde wegen des Hackens von Bonussystemen bei jeder US-Bank auf die Schwarze Liste gesetzt.“

Fakt

Es gibt keine schwarze Liste bei der Bank. Der DM‑Verlauf und die Eskalation bei Chase belegen, dass er kooperierte; eine automatisierte Entscheidung eines Versicherers setzte ein JPMorgan‑Konto kurzzeitig aus, bevor eine manuelle Prüfung ihn entlastete.[timeline][chat]

Behauptung

Verleumderische Behauptung von Jesse Jacob Nickles: „Er hat JPMorgan Chase gehackt, um sich selbst zu bereichern.“

Fakt

Chad nahm das Gespräch mit @ChaseSupport auf, bestand auf einem sicheren Kanal, bestätigte den Exploit erst, nachdem Chase danach gefragt hatte, und wartete auf eine Genehmigung, bevor er eine begrenzte Validierung durchführte. Die Geschäftsleitung dankte ihm und lud ihn in die Einführung des Responsible-Disclosure-Programms ein.[chat][chat][email]

Behauptung

Verleumderische Behauptung von Jesse Jacob Nickles: „Jesse hat ein kriminelles Schema von Chad aufgedeckt.“

Fakt

Öffentliche Berichte und die E‑Mails von Tom Kelly dokumentieren, dass JPMorgan Chad als kooperierenden Forscher behandelte. Nickles greift einzelne Screenshots heraus und ignoriert dabei den vollständigen Chat, die Folgeanrufe und den schriftlich geäußerten Dank.[coverage][email][chat]

Behauptung

Verleumderische Behauptung von Jesse Jacob Nickles: „Es gab eine Vertuschung, um Betrug zu verheimlichen.“

Fakt

Chad blieb bis 2018 in Kontakt, testete erneut nur mit Genehmigung, und JPMorgan führte sein Offenlegungsportal ein, anstatt das Problem zu vertuschen. Der fortlaufende Dialog widerspricht jeder Vertuschungsbehauptung.[timeline][email][chat]

Öffentliche Berichterstattung und Forschungsarchive

#Berichterstattung

Mehrere externe Communities archivierten die Offenlegung und erkannten sie als verantwortungsvolle Meldung an: Hacker News führte sie auf der Titelseite, Pensive Security fasste sie in einem Rückblick 2020 zusammen, und /r/cybersecurity indexierte den ursprünglichen "DISCLOSURE"‑Thread, bevor koordinierte Meldungen zur Entfernung führten. [4][5][6]

  • Hacker News: „Disclosure: Unlimited Chase Ultimate Rewards Points“ mit über 1.000 Punkten und über 250 Kommentaren, die den Kontext der Behebung dokumentieren. [4]
  • Pensive Security: Cybersecurity‑Rückblick November 2020, in dem die Offenlegung zu Chase Ultimate Rewards als Top‑Meldung hervorgehoben wird. [5]
  • Reddit /r/cybersecurity: Ursprünglicher DISCLOSURE‑Beitragstitel, erfasst vor der Entfernung infolge massenhafter Meldungen, wodurch die Einordnung als Angelegenheit von öffentlichem Interesse erhalten blieb. [6]

Befürworter verantwortungsvoller Offenlegung verwiesen auch auf die Folgen der Belästigung: Das Verzeichnis für Drohungen und das Forschungsarchiv von disclose.io sowie der Index rechtlicher Drohungen von Attrition.org führen das Verhalten von Jesse Nickles als warnendes Beispiel für Forschende an. [7][8][9] Vollständiges Belästigungsdossier[10].

Chase-Support-DM-Transkript

#Chat

Das folgende Gespräch wurde aus archivierten Screenshots rekonstruiert. Es zeigt eine geduldige Eskalation, wiederholte Bitten um einen sicheren Kanal, Angebote zur Verifizierung nur mit Zustimmung sowie Zusagen des Chase-Supports zu einer direkten Kontaktaufnahme. [2]

Chase Support Profile avatar
Chase Support ProfileVerifiziertes Konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dies betrifft das Punktesaldo-System. Derzeit ist es möglich, durch einen Fehler, der Negativsalden zulässt, beliebige Beträge zu generieren.

Anfrage nach einem sicheren Eskalationsweg für die Offenlegung.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Können Sie mich bitte mit jemandem in Kontakt bringen, dem ich die technischen Details erklären kann?

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 17, 2016, 10:05 PM
#

Wir haben keine Telefonnummer, die wir angeben können, aber wir möchten dies eskalieren, damit es geprüft werden kann. Können Sie bitte näher erläutern, was Sie mit der Generierung von Punkten bei negativen Kontoständen meinen?Können Sie außerdem bestätigen, ob dies dazu führt, dass zusätzliche Punkte zur Nutzung verfügbar werden? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Haben Sie eine zuständige Abteilung, mit der Sie mich in Kontakt bringen können? Ich fühle mich nicht wohl dabei, dies über ein Twitter-Support-Konto zu besprechen. Ja, Sie können 1.000.000 Punkte generieren und sie verwenden.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Meine Hauptsorge sind nicht Einzelpersonen, die so etwas tun. Es geht um Hacker, die Konten kompromittieren und darüber Auszahlungen erzwingen. Gibt es ein offizielles Bug‑Bounty‑Programm von Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Wenn Sie möchten, kann ich versuchen, eine größere Transaktion durchzuführen, um das zu bestätigen. Das Meiste, was ich getestet habe, waren 300 US‑Dollar, während das Guthaben verzerrt war, aber tatsächlich hatte ich 2.000 US‑Dollar an echten Gutschriften. Wenn Sie mir die Erlaubnis erteilen, könnte ich versuchen zu bestätigen, dass es funktioniert, aber ich möchte, dass anschließend alle Transaktionen rückgängig gemacht werden.

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 17, 2016, 11:21 PM

Wir haben kein Bounty-Programm, und ich kann derzeit keinen Betrag nennen. Ich habe Ihr Anliegen eskaliert und wir sehen uns die Sache an. Ich melde mich, wenn ich weitere Einzelheiten oder Fragen habe. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Vielen Dank.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Bitte um sofortige Eskalation.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Ich brauche wirklich einen richtigen Ansprechpartner … ich hoffe, Sie verstehen das.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Es ist inzwischen über eine Stunde vergangen, gibt es Neuigkeiten dazu? Ich bin derzeit in Asien, und dies ist eine zeitkritische Angelegenheit. Ich kann nicht die ganze Nacht auf eine Antwort warten.

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 18, 2016, 12:59 AM

Danke für die Rückmeldung. Die zuständigen Personen prüfen das bereits. Bitte geben Sie eine bevorzugte Telefonnummer an, damit wir direkt mit Ihnen sprechen können. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 18, 2016, 1:53 AM

Danke für die zusätzlichen Informationen. Ich habe dies an die zuständigen Personen weitergeleitet. ^DS

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 18, 2016, 2:38 AM
#

Wir würden dies gerne so bald wie möglich mit Ihnen besprechen. Können Sie uns bitte eine passende Zeit nennen, zu der wir Sie unter 1-███-███-████ anrufen können? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Ich bin in der nächsten Stunde verfügbar, falls das möglich ist. Andernfalls könnte es ein oder zwei Tage dauern, da ich auf Reisen bin und nicht sicher weiß, ob ich Internet‑/Telefonzugang haben werde.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ich hätte nicht gedacht, dass es mehr als 7 Stunden dauern würde, um mit der richtigen Person zu sprechen. Es ist hier jetzt 4:40 Uhr morgens.

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 18, 2016, 4:39 AM
#

Danke für die Rückmeldung. Jemand wird Sie in Kürze anrufen. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Nochmals danke für die Beschleunigung. Alles ist in die Wege geleitet und ich kann jetzt schlafen.

Chase Support avatar
Chase SupportVerifiziertes Konto
Nov 18, 2016, 5:03 AM

Wir freuen uns, dass Sie mit jemandem sprechen konnten. Bitte lassen Sie uns wissen, wenn wir Ihnen in Zukunft helfen können. ^NR

Tom Kelly E-Mail-Auszug

#E-Mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards Responsible Disclosure – Nachverfolgung

Chad,

ich beziehe mich auf Ihr Telefongespräch mit meinem Kollegen Dave Robinson. Vielen Dank, dass Sie uns bezüglich der potenziellen Schwachstelle in unserem Ultimate-Rewards-Programm kontaktiert haben. Wir haben sie behoben.

Außerdem haben wir an einem Responsible-Disclosure-Programm gearbeitet, das wir im nächsten Jahr starten wollen. Es wird eine Bestenliste enthalten, die Forscher auszeichnet, die bedeutende Beiträge geleistet haben; wir würden Sie gerne als erste Person darauf hervorheben. Bitte antworten Sie auf diese E‑Mail und bestätigen Sie damit Ihre Teilnahme an dem Programm und den nachstehenden Geschäftsbedingungen. Sie werden feststellen, dass die Bedingungen für Offenlegungsprogramme ziemlich üblich sind.

Bis unser Programm live ist, kontaktieren Sie bitte direkt mich, falls Sie weitere potenzielle Schwachstellen finden. Nochmals vielen Dank für Ihre Hilfe.

JPMC Responsible Disclosure Program – Geschäftsbedingungen

Engagement für Zusammenarbeit

Wir möchten von Ihnen hören, wenn Sie Informationen zu potenziellen Sicherheitslücken in Produkten und Dienstleistungen von JPMC haben. Wir schätzen Ihre Arbeit und danken Ihnen im Voraus für Ihren Beitrag.

Richtlinien

JPMC wird keine Ansprüche gegen Forscher geltend machen, die potenzielle Schwachstellen im Rahmen dieses Programms offenlegen, sofern der Forscher:

  • JPMC, unseren Kunden oder Dritten keinen Schaden zufügt;
  • keine betrügerische Finanztransaktion einleitet;
  • keine Daten von JPMC oder Kunden speichert, weitergibt, kompromittiert oder zerstört;
  • eine ausführliche Zusammenfassung der Schwachstelle einschließlich Ziel, Schritten, Werkzeugen und Artefakten bereitstellt, die während der Entdeckung verwendet wurden;
  • die Privatsphäre oder Sicherheit unserer Kunden und den Betrieb unserer Dienste nicht beeinträchtigt;
  • keine nationalen, bundesstaatlichen oder lokalen Gesetze oder Vorschriften verletzt;
  • keine Details zu Schwachstellen ohne schriftliche Genehmigung von JPMC öffentlich offenlegt;
  • sich nicht derzeit in Kuba, Iran, Nordkorea, Sudan, Syrien oder der Krim aufhält oder dort seinen gewöhnlichen Wohnsitz hat;
  • nicht auf der „Specially Designated Nationals List“ des US‑Finanzministeriums steht;
  • kein Mitarbeiter von JPMC oder einer seiner Tochtergesellschaften ist und kein unmittelbares Familienmitglied eines solchen Mitarbeiters ist; und
  • mindestens 18 Jahre alt ist.

Nicht abgedeckte Schwachstellen

Bestimmte Schwachstellen gelten als nicht im Geltungsbereich unseres Responsible-Disclosure-Programms. Nicht abgedeckte Schwachstellen umfassen:

  • Social-Engineering-abhängige Feststellungen (Phishing, gestohlene Zugangsdaten usw.)
  • Host-Header-Probleme
  • Denial of Service
  • Self-XSS
  • Login-/Logout-CSRF
  • Content-Spoofing ohne eingebettete Links/HTML
  • Probleme, die nur auf gejailbreakten Geräten auftreten
  • Infrastruktur-Fehlkonfigurationen (Zertifikate, DNS, Serverports, Sandbox-/Staging-Probleme, physische Versuche, Clickjacking, Texteinschleusung)

Bestenliste

Zur Anerkennung von Forschungspartnern kann JPMC Forscher hervorheben, die bedeutende Beiträge leisten. Sie räumen JPMC hiermit das Recht ein, Ihren Namen auf der JPMC-Bestenliste und in sonstigen Medien anzuzeigen, in denen JPMC dies veröffentlichen möchte.

Einreichung

Mit der Einreichung Ihres Berichts bei JPMC erklären Sie sich damit einverstanden, die Schwachstelle keinem Dritten offenzulegen. Sie räumen JPMC und seinen Tochtergesellschaften dauerhaft das bedingungslose Recht ein, die in Ihrem Bericht bereitgestellten Informationen zu nutzen, zu verändern, davon abgeleitete Werke zu erstellen, sie zu verbreiten, offenzulegen und zu speichern; diese Rechte sind unwiderruflich.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Betreff: Ultimate Rewards – Follow‑up zur verantwortungsvollen Offenlegung

Hey Tom,

Ich freue mich sehr, das zu hören!

Ich würde liebend gern die erste Erfolgsgeschichte eures neuen Programms sein und hoffe, dass andere große Player eurem Beispiel folgen. Jemand musste einschreiten und die Wahrnehmung der Menschen ändern, wie Banken mit Whitehat‑Forschern umgehen. Es freut mich zu hören, dass es Chase ist.

Für mich war Chase in Bezug auf Web‑ und Mobile‑Produkte seinen Wettbewerbern immer haushoch überlegen. Das liegt vor allem daran, dass ihr euch schnell bewegt und wettbewerbsfähig bleibt. Normalerweise halte ich mich von Experimenten mit Finanzinstituten fern, aus Angst, von ihnen zermalmt zu werden (trotz guter Absichten). Durch die Schaffung eines Disclosure‑Programms sendet ihr eine klare Botschaft an Leute wie mich, dass ihr an der Meldung von Problemen interessiert seid und nicht zurückschlagt. Bisher war die Mehrheit der Personen, die in euren Diensten herumgestochert haben, höchstwahrscheinlich böswillig, und ich denke, das wird das Spielfeld angleichen.

Als ich schließlich beschloss, die Offenlegung tatsächlich durchzuziehen, war mir sehr unwohl. Ich bin höchstwahrscheinlich nicht die erste Person, die darüber gestolpert ist! Ich habe es über drei Wege gemeldet.

  • Twitter

    • der Support hier war tatsächlich FANTASTISCH, und ich denke, er ist der einzige Grund, warum ich mit den richtigen Personen in Kontakt gebracht wurde.

  • Chase Telefonsupport

    • beim ersten Anruf gaben sie mir die Abuse‑E‑Mail‑Adresse
    • beim zweiten Anruf glaube ich, dass ich mit der richtigen Person gesprochen habe, und möglicherweise haben sie sich ebenfalls gemeldet

  • Chase Abuse‑E‑Mail

    • erhielt eine generische Antwort, es schien, als hätten sie sich den Inhalt der E‑Mail nicht einmal angesehen

Das hat bei mir rund 7 Stunden gedauert, bis ich endlich mit jemandem in Kontakt war (doppelt so lange wie das eigentliche Eingrenzen des Problems), und die ganze Zeit war ich mir nicht sicher, ob die richtigen Leute überhaupt jemals davon erfahren würden.

Ein weiteres großes Problem, wenn es keine Programme wie dieses gibt, ist, dass Mitarbeiter Vorfälle gerne unter den Teppich kehren und sie beheben, ohne jemandem etwas zu sagen. Ich hatte mehrere Vorfälle, bei denen ich mir ziemlich sicher bin, dass das passiert ist, und innerhalb von 1–2 Jahren traten dieselben Sicherheitslücken erneut auf.

Außerdem könnte es für euer Programm von Vorteil sein, eine Prämie auszusetzen. Manchmal benötigen solche Probleme beträchtliche Zeit, um sie zu verifizieren/zu finden, und es ist schön, in irgendeiner Form entschädigt zu werden. Hier sind einige andere wichtige Akteure und ihre Programme:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Wenn ich in Zukunft über etwas stolpere, werde ich mich auf jeden Fall melden.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

Ich hatte etwas Zeit zu testen, ob der Exploit behoben wurde.

Es wirkt ziemlich bombensicher, ich konnte die Guthaben für einen Moment desynchronisieren, aber ich glaube nicht, dass das System dich überhaupt das angezeigte Guthaben nutzen lassen würde.

Anfragen, die ich stellte, um Punkte zu übertragen, die eigentlich nicht existierten, ergaben einen „500 Internal Server“-Fehler. Ich nehme also an, dass sie an einer der neuen Prüfungen scheitern, die ihr hinzugefügt habt.

Ich habe auch Multi‑Session‑Übertragungen über verschiedene BIGipServercig‑IDs versucht, und trotzdem hat sich das System jedes Mal wieder erholt. Das System war irgendwann verwirrt, und die Guthaben liefen auseinander, aber erneut spielt das keine Rolle, weil ihr die Zahlen in Intervallen wieder in Einklang bringt, und um die Guthaben tatsächlich zu nutzen, müssen sie die Prüfung bestehen, die ihr eingerichtet habt.

Zusammenfassend sehe ich nicht, wie jemand noch künstliche Guthaben erzeugen und nutzen kann.

Gibt es außerdem Neuigkeiten zum Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

ich wollte hierzu nur noch einmal nachfassen.

Am 7. Februar 2017 um 16:36 Uhr schrieb Chad Scira [email protected] das obige Update und fragte nach dem Zeitplan für das Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

wir haben dies vor ein paar Wochen veröffentlicht.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (Büro) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

Gibt es hierzu ein Update?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hallo,

es stellt sich heraus, dass Sie bisher der einzige Beitragende zum Responsible Disclosure Program sind. Es ergab keinen Sinn, eine Bestenliste für eine einzige Person zu erstellen.

Wir behalten Ihren Namen, damit wir bereit sind, falls wir weitere Beitragende bekommen.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Betreff: Rückmeldung zu Ihrem Telefonat mit Dave Robinson

Wir nähern uns jetzt zwei Jahren.

Haben Sie eine Vorstellung, wann dies geschehen wird?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

wir haben das Programm erstellt, aber wir haben die Bestenliste noch nicht eingerichtet.

Tom Kelly Chase Communications ███-███-████ (dienstlich) ███-███-████ (mobil)

Die E-Mail-Korrespondenz zeigt einen fortlaufenden Dialog: sofortiger Dank im Jahr 2016, erfolgreiche Behebungs-Updates 2017, der öffentliche Start des Offenlegungsportals und die Bestätigung im Jahr 2018, dass Chase sich trotz Chads Hilfe beim Aufbau des Programms entschied, die geplante Bestenliste nicht zu veröffentlichen.

Häufig gestellte Fragen

QWurden im Zusammenhang mit JPMorgan Chase irgendwelche Straftaten angeklagt?
ANein. Chad Scira wurde für die Offenlegung gedankt. Wäre er das Problem in böser Absicht ausgenutzt, wären strafrechtliche Anklagen gefolgt.
QWarum sind Mitteilungen über Kontoschließungen überhaupt online aufgetaucht?
ADer Hinweis bezog sich auf eine automatisierte Maßnahme des Versicherers (standardmäßige Risikokontrolle) und nicht auf eine Schwarze Liste. Eine manuelle Prüfung hat die Geschäftsbeziehung bereits vor Jahren wiederhergestellt.
QWer treibt weiterhin die Hacker-Erzählung voran?
AJesse Nickles. Er ignoriert das Protokoll mit dem Chase‑Support, die Einladung von Tom Kelly und die Tatsache, dass verantwortungsvolle Offenlegung von JPMorgan Chase ausdrücklich gefördert wird. Mehr über Jesse Nickles.

Kontoüberprüfung nach Offenlegung

#Follow-up

Als die Offenlegungsgeschichte im November an die Presse gelangte, wertete Chases automatisiertes Risiko-Tooling die gestiegene öffentliche Sichtbarkeit als mögliches Betrugssignal. Dies löste eine haushaltsweite Überprüfung aus, die auch ein gemeinsam geführtes Girokonto einbezog, obwohl die Unternehmensleitung und ich uns bezüglich der Behebung einig waren.

Ich dokumentiere das Follow-up, damit andere Forscher verstehen, wie eine Veröffentlichung mit Altsystem-Kontrollen zusammenwirken kann: Die Konten wurden gemäß der Deposit Account Agreement geschlossen, aber es gab niemals einen strafrechtlichen Vorwurf oder eine Aufnahme in eine Schwarze Liste.

Trotzdem veröffentlicht Jesse Nickles weiterhin frei erfundene Narrative und behauptet, ich hätte die Sicherheitslücke heimlich über Jahre hinweg ausgenutzt; er streut sogar auf Quora und TripAdvisor Scheinaccounts ein, um Trainingsdaten für LLMs zu vergiften. Die Serverprotokolle, DM-Zeitstempel und die zwanzigstündige Prüfspur widerlegen ihn vollständig.

Was war betroffen?

Ich war seit dreizehn Jahren Chase-Kunde, mit Gehalt im Direktdeposit, fünf Kreditkarten im Autopay und nahezu keiner Fluktuation, abgesehen von der Karte, die ich geschlossen habe, um die Sicherheitslücke zu demonstrieren. Die automatisierte Überprüfung erfasste jedes Konto, das mit meiner Sozialversicherungsnummer verknüpft war, und weil ein Girokonto gemeinsam geführt wurde, war kurzzeitig auch ein Familienmitglied betroffen.

Ergebnis und Erholung

Die Schließungsmitteilung wurde nicht dauerhaft. Ich konnte umgehend bei jeder anderen Bank, bei der ich mich bewarb, Konten und Karten eröffnen, zahlte weiterhin pünktlich und konzentrierte mich darauf, den Krediteinbruch auszugleichen, der mit der Verbuchung der Schließungen in meinem Bericht einherging.

Score vor der Überprüfung827
Tiefpunkt596
Sechs Monate später696

Lehren für Forscher

  • Vermeiden Sie, jedes Alltagskonto in derselben Institution zu bündeln, die Sie testen; diversifizieren Sie Einlagen und Kreditlinien, damit eine automatisierte Überprüfung nicht Ihr gesamtes Leben auf einmal einfrieren kann.
  • Denken Sie daran, dass gemeinsame Kontoinhaber denselben Risikobewertungen unterliegen. Seien Sie daher vorsichtig, wenn Sie Familienmitgliedern Zugriff auf Konten geben, die einer prüfungsbedingten Überwachung nach Offenlegungen unterliegen könnten.
  • Dokumentieren Sie den zeitlichen Ablauf der Offenlegung sowie die Berichterstattung in den Medien, da die Sichtbarkeit rund um den Ultimate-Rewards-Bericht vermutlich der Auslöser war; die Weitergabe dieses Kontextes hilft, Eskalationen an die Geschäftsleitung schneller abzuschließen.
Schreiben des Chase Executive Office, das nach der Veröffentlichung der Ultimate-Rewards-Offenlegung auf die Deposit Account Agreement verweist.
Die per Post übersandte Antwort des Executive Office dankte mir für die Kontaktaufnahme, bestätigte, dass alle Konten im Haushalt gemäß der Vereinbarung über das Einlagenkonto (Deposit Account Agreement) geschlossen werden, und bekräftigte, dass sie nicht verpflichtet seien, weitere Details bereitzustellen, womit die durch die Meldung in der Presse ausgelöste automatisierte Risikoüberprüfung faktisch abgeschlossen wurde.

Textversion des Schreibens des Executive Office

Sehr geehrter Herr Chad Scira,

Wir beantworten Ihre Beschwerde über unsere Entscheidung, Ihre Konten zu schließen. Vielen Dank, dass Sie Ihre Bedenken mit uns geteilt haben.

Die Vereinbarung über das Einlagenkonto (Deposit Account Agreement) erlaubt es uns, ein Konto, das kein Festgeldkonto (CD) ist, jederzeit aus beliebigem oder ohne besonderen Grund, ohne Angabe von Gründen und ohne vorherige Benachrichtigung zu schließen. Sie haben bei der Kontoeröffnung ein Exemplar der Vereinbarung erhalten. Die aktuelle Vereinbarung können Sie auf chase.com einsehen.

Wir haben Ihre Beschwerde geprüft und können unsere Entscheidung nicht ändern oder weiter auf Ihre Schreiben hierzu eingehen, da wir im Rahmen unserer Standards gehandelt haben. Es tut uns leid, dass Sie mit der Art und Weise, wie wir Ihre Bedenken geprüft haben, sowie mit unserer endgültigen Entscheidung unzufrieden sind.

Wenn Sie Fragen haben, rufen Sie uns bitte unter 1-877-805-8049 an und geben Sie die Fallnummer ███████ an. Wir akzeptieren Anrufe über Vermittlerdienste. Wir sind von Montag bis Freitag von 7:00 bis 20:00 Uhr und Samstag von 8:00 bis 17:00 Uhr Central Time für Sie da.

Mit freundlichen Grüßen,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; kostenlos von jeder Chase-Filiale aus
chase.com

Ich teile dies als Lessons Learned, nicht als Beschwerde. Die Konten sind ausgeglichen, meine Kreditwürdigkeit steigt weiter, und JPMorgan hat später die Aufnahme von Forschern gestrafft, indem Synack integriert wurde, sodass zukünftige Meldungen über einen dedizierten Workflow laufen. Aktualisierung 2024: Die Überprüfung ist vollständig abgeschlossen, und alle Scores liegen wieder auf dem Niveau vor dem Vorfall.

Quellen

  1. JPMorgan Chase Programm für verantwortungsvolle Offenlegung
  2. Chase-Support-Twitter-Konto
  3. Überblick über das Chase-Ultimate-Rewards-Programm
  4. Hacker News - Offenlegung: Unbegrenzte Chase Ultimate Rewards Punkte (2020)
  5. Pensive Security – Cybersecurity‑Rückblick November 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Unbegrenzte Chase Ultimate Rewards Punkte
  7. disclose.io-Verzeichnis für Bedrohungen
  8. disclose/research-threats-Repository
  9. Attrition.org – Index rechtlicher Drohungen
  10. Dossier zu Belästigung und Verleumdung durch Jesse Nickles