Chad Scira "Αποκλεισμένος από τράπεζες για hacking"

Για να απεικονίσουμε πώς το σφάλμα έκανε τα υπόλοιπα να εκτιναχθούν σε τεράστια αρνητικά και θετικά, η παρακάτω οπτικοποίηση αναπαράγει την ακριβή λογική διπλής μεταφοράς. Παρατηρήστε πώς ο λογαριασμός που είναι θετικός γίνεται ο αποστολέας, πραγματοποιεί δύο ταυτόσημες μεταφορές, και καταλήγει βαθιά αρνητικός ενώ ο άλλος διπλασιάζεται. Μετά από 20 γύρους το σπασμένο καθολικό ακυρώνει πλήρως την αρνητική κάρτα — αντικατοπτρίζοντας γιατί το εκμετάλλευμα απαιτούσε άμεση κλιμάκωση.

Κύρια σημεία

• Ο Chad άνοιξε το DM στο Chase Support αναφέροντας ιδιωτικά την εκμετάλλευση αρνητικού υπολοίπου και αμέσως ζήτησε ένα ασφαλές μονοπάτι κλιμάκωσης αντί να δημοσιοποιήσει τις τεχνικές λεπτομέρειες. ^[chat]
• Όταν η Υποστήριξη της Chase ζήτησε συγκεκριμένα στοιχεία, εκείνος επιβεβαίωσε το exploit μόνο στον απαραίτητο βαθμό και επανέλαβε ότι ήθελε άμεση επαφή με την κατάλληλη ομάδα ασφάλειας. ^[chat][chat]
• Επέδειξε ότι τα διπλότυπα υπόλοιπα μπορούσαν να ρευστοποιηθούν: αφότου η Υποστήριξη της Chase ρώτησε αν οι επιπλέον πόντοι έγιναν χρησιμοποιήσιμοι, μια άμεση κατάθεση $5,000 απέδειξε ότι το εκμεταλλευόμενο σφάλμα μετατράπηκε σε μετρητά πριν το καθολικό προλάβει να ενημερωθεί. ^[chat]
• Τόνισε ότι προτεραιότητά του ήταν να αποτρέψει την εκκένωση παραβιασμένων λογαριασμών πελατών, όχι η δημιουργία προσωπικού κέρδους, και ρώτησε αν υπήρχε επίσημο πρόγραμμα bug bounty. ^[chat]
• Πρότεινε να πραγματοποιήσει μεγαλύτερη επαλήθευση μόνο με ρητή άδεια, παρείχε στιγμιότυπα οθόνης με χρονοσφραγίδα και παρέμεινε ξύπνιος στο εξωτερικό μέχρι η Chase να ολοκληρώσει την κλιμάκωση. ^{[chat][chat][chat]}
• Ο Nickles πλέον ισχυρίζεται ότι ο Chad Scira έκλεψε $70,000 σε πόντους και αντιμετώπισε τις αμερικανικές διωκτικές αρχές· τα αρχεία της Chase, το email του Tom Kelly και η χρονολόγηση της αποκάλυψης αποδεικνύουν ότι αυτό δεν συνέβη ποτέ, και ο ισχυρισμός εμφανίστηκε μόνο αφού ο Chad δημοσίευσε το SlickStack cron-risk gist που τεκμηριώνει την ανασφαλή λογική ενημέρωσης του Jesse. ^[gist]
• Η υποστήριξη της Chase επιβεβαίωσε την κλιμάκωση, ζήτησε τον αριθμό τηλεφώνου του και υποσχέθηκε την επακόλουθη κλήση που τελικά έλαβε, καταρρίπτοντας την ιδέα μιας εχθρικής αντίδρασης από την τράπεζα. ^[chat][chat]

• 17 Νοεμβρίου 2016 - 10:05 μ.μ. ET: Ο Chad ειδοποιεί το @ChaseSupport για το σφάλμα αρνητικού υπολοίπου, διατηρεί την εκμετάλλευση ιδιωτική και αμέσως ζητά έναν ασφαλή τρόπο κλιμάκωσης. ^[chat]
• 17 Νοεμβρίου 2016 - 11:13-11:17 μ.μ. ET: Αφού η Υποστήριξη της Chase ρωτά ρητά εάν μπορούν να δημιουργηθούν και να χρησιμοποιηθούν επιπλέον πόντοι, ο Chad επιβεβαιώνει τον κίνδυνο, επαναλαμβάνει ότι θέλει το κατάλληλο τμήμα και προσφέρεται να επαληθεύσει μόνο με άδεια ώστε η τράπεζα να μπορεί να παρακολουθήσει τις συναλλαγές. ^{[chat][chat][chat]}
• 17-18 Νοεμβρίου 2016 - 11:39 μ.μ.-5:03 π.μ. ET: Ο Chad κοινοποιεί στιγμιότυπα οθόνης, επιμένει για ταχεία κλιμάκωση, δίνει τον αριθμό τηλεφώνου του και παραμένει ξύπνιος στο εξωτερικό μέχρι το Chase Support να επιβεβαιώσει ότι η κλήση πραγματοποιείται. ^{[chat][chat][chat]}
• 24 Νοεμβρίου 2016: Ο Tom Kelly στέλνει email στον Chad επιβεβαιώνοντας την επιδιόρθωση, προσκαλώντας τον να πρωταγωνιστήσει στην επικείμενη κατάταξη (leaderboard) του προγράμματος υπεύθυνης αποκάλυψης, και δίνοντάς του άμεση γραμμή για μελλοντικές αναφορές. ^[email]
• Οκτώβριος 2018: Ο Tom Kelly επικοινώνησε εκ νέου για να επιβεβαιώσει ότι το πρόγραμμα υπεύθυνης αποκάλυψης ξεκίνησε, αλλά ότι η JPMorgan τελικά επέλεξε να μην δημοσιεύσει τον προγραμματισμένο πίνακα κατάταξης, παρά τη συμβολή του Chad στη διαμόρφωσή του. ^[email]
• Μετά το 2018: Οποιοιδήποτε υπόλοιποι έλεγχοι λογαριασμών σχετίζονταν με αυτοματοποίηση του ασφαλιστή, όχι με υποτιθέμενο hacking. Η JPMorgan διατήρησε άμεση επικοινωνία, ευχαρίστησε τον Chad για την αποκάλυψη και δεν υπάρχει ποινικό μητρώο ή λίστα αποκλεισμού. Αργότερα, η JPMorgan ενσωμάτωσε τη Synack στη διαδικασία αποκάλυψής της ώστε η ροή εργασιών να απλοποιηθεί για μελλοντικές αναφορές. ^{[chat][email]}

Ισχυρισμοί vs Γεγονότα

Πολλές τρίτες κοινότητες αρχειοθέτησαν την αποκάλυψη και την αναγνώρισαν ως υπεύθυνη αναφορά: το Hacker News την παρουσίασε στην πρώτη σελίδα, το Pensive Security τη συνοψίζει σε μια ανακεφαλαίωση του 2020, και το /r/cybersecurity ευρετηρίασε το αρχικό νήμα "DISCLOSURE" πριν από συντονισμένη επισημάνση. ^[4][5][6]

• Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" με πάνω από 1,000+ πόντους και πάνω από 250+ σχόλια που τεκμηριώνουν το πλαίσιο της αποκατάστασης. ^[4]
• Pensive Security: Νοέμβριος 2020 - Ανασκόπηση Κυβερνοασφάλειας που επισημαίνει την αποκάλυψη των Chase Ultimate Rewards ως κύριο θέμα. ^[5]
• Reddit /r/cybersecurity: Ο αρχικός τίτλος της ανάρτησης ΑΠΟΚΑΛΥΨΗΣ καταγράφηκε πριν την αφαίρεση που προκλήθηκε από μαζικές αναφορές, διατηρώντας το πλαίσιο δημόσιου ενδιαφέροντος. ^[6]

Υποστηρικτές της υπεύθυνης κοινοποίησης επικαλέστηκαν επίσης τις συνέπειες παρενόχλησης: ο κατάλογος απειλών και το αποθετήριο έρευνας του disclose.io, καθώς και ο δείκτης νομικών απειλών του Attrition.org, αναφέρουν τη συμπεριφορά του Jesse Nickles ως προειδοποιητικό παράδειγμα για ερευνητές. ^[7][8][9] Πλήρης φάκελος παρενόχλησης^[10].

Η παρακάτω συνομιλία έχει ανακατασκευαστεί από αρχειοθετημένα στιγμιότυπα οθόνης. Επιδεικνύει υπομονετική κλιμάκωση, επαναλαμβανόμενα αιτήματα για ασφαλές κανάλι, προσφορές για επιβεβαίωση μόνο με άδεια, και την Υποστήριξη της Chase να υπόσχεται άμεση επικοινωνία. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Αυτό αφορά το σύστημα υπολοίπων πόντων. Προς το παρόν είναι δυνατόν να δημιουργηθεί οποιοδήποτε ποσό μέσω ενός σφάλματος που επιτρέπει αρνητικά υπόλοιπα.

Ζητείται ασφαλής διαδρομή κλιμάκωσης για την κοινοποίηση.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Μπορείτε, παρακαλώ, να με φέρετε σε επαφή με κάποιον στον οποίο να μπορώ να εξηγήσω τις τεχνικές λεπτομέρειες;

Chase Support

Nov 17, 2016, 10:05 PM

#

Δεν έχουμε έναν αριθμό τηλεφώνου να παρέχουμε, αλλά θέλουμε να κλιμακώσουμε το θέμα για να διερευνηθεί. Μπορείτε να δώσετε περισσότερες λεπτομέρειες σχετικά με το τι εννοείτε με το να δημιουργείτε πόντους εντός αρνητικών υπολοίπων? Μπορείτε επίσης να επιβεβαιώσετε αν αυτό επιτρέπει να γίνουν διαθέσιμοι επιπλέον πόντοι για χρήση; ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Έχετε κάποιον κατάλληλο τμήμα με το οποίο μπορείτε να με φέρετε σε επαφή; Δεν αισθάνομαι άνετα να συζητήσω αυτό μέσω λογαριασμού υποστήριξης στο Twitter. Ναι, μπορείτε να δημιουργήσετε 1,000,000 πόντους και να τους χρησιμοποιήσετε.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Η βασική μου ανησυχία δεν είναι τα μεμονωμένα άτομα που κάνουν αυτό. Είναι οι χάκερ που παραβιάζουν λογαριασμούς και εξαναγκάζουν πληρωμές σε αυτούς. Υπάρχει κάποιο επίσημο πρόγραμμα ανταμοιβής σφαλμάτων (bug bounty) της Chase;

Chad Scira

Nov 17, 2016, 11:17 PM

#

Αν θέλετε, μπορώ να προσπαθήσω να κάνω μια μεγαλύτερη συναλλαγή για επιβεβαίωση. Το μεγαλύτερο που δοκίμασα ήταν $300 ενώ το υπόλοιπο εμφανιζόταν λανθασμένο, αλλά στην πραγματικότητα είχα $2,000 σε πραγματικά πιστωτικά. Αν μου δώσετε άδεια, θα μπορούσα να προσπαθήσω να επιβεβαιώσω ότι λειτουργεί, αλλά θα ήθελα όλες οι συναλλαγές να αναιρεθούν μετά από αυτό το τεστ.

Chase Support

Nov 17, 2016, 11:21 PM

Δεν έχουμε πρόγραμμα αμοιβών (bounty), και δεν έχω ποσό να σας παράσχω αυτή τη στιγμή. Έχω κλιμακώσει το ζήτημά σας και το διερευνούμε. Θα επικοινωνήσω ξανά εάν έχω επιπλέον λεπτομέρειες ή ερωτήσεις. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Ευχαριστώ.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Παρακαλώ κλιμακώστε το το συντομότερο δυνατό.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Πραγματικά χρειάζομαι μια κατάλληλη επαφή... Ελπίζω να καταλαβαίνετε.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Έχει περάσει πάνω από μια ώρα, υπάρχει κάποια ενημέρωση για αυτό; Είμαι αυτή τη στιγμή στην Ασία και πρόκειται για ζήτημα ευαίσθητο στον χρόνο. Δεν μπορώ να περιμένω όλη τη νύχτα για απάντηση.

Chase Support

Nov 18, 2016, 12:59 AM

Ευχαριστούμε που επικοινωνήσατε ξανά. Έχουμε τα αρμόδια άτομα να το εξετάζουν. Παρακαλώ δώστε έναν προτιμώμενο αριθμό επικοινωνίας, ώστε να μιλήσουμε απευθείας μαζί σας. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Ευχαριστώ για τις επιπλέον πληροφορίες. Το προώθησα στα κατάλληλα άτομα. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Θα θέλαμε πολύ να το συζητήσουμε μαζί σας το συντομότερο δυνατό. Μπορείτε να μας δώσετε μια κατάλληλη ώρα για να σας καλέσουμε στο 1-███-███-████; ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Είμαι διαθέσιμος την επόμενη ώρα αν είναι δυνατό. Διαφορετικά μπορεί να περάσει μία ή δύο μέρες γιατί θα ταξιδεύω και δεν είμαι σίγουρος αν θα έχω πρόσβαση σε ίντερνετ/τηλέφωνο.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Δεν πίστευα ότι θα χρειάζονταν πάνω από 7 ώρες για να μιλήσω με το κατάλληλο άτομο. Είναι τώρα 4:40 π.μ. εδώ.

Chase Support

Nov 18, 2016, 4:39 AM

#

Ευχαριστώ που επικοινωνήσατε ξανά. Κάποιος θα σας καλέσει πολύ σύντομα. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Ευχαριστώ και πάλι που το επισπεύσατε. Όλα κινούνται και μπορώ πια να κοιμηθώ.

Chase Support

Nov 18, 2016, 5:03 AM

Χαιρόμαστε που καταφέρατε να μιλήσετε με κάποιον. Παρακαλούμε ενημερώστε μας αν μπορούμε να βοηθήσουμε στο μέλλον. ^NR

Το νήμα email δείχνει συνεχή διάλογο: άμεση ευχαριστία το 2016, επιτυχή ενημέρωση για την επιδιόρθωση το 2017, δημόσια έναρξη της πύλης αποκάλυψης, και την επιβεβαίωση του 2018 ότι η Chase επέλεξε να μην δημοσιεύσει τον προγραμματισμένο πίνακα κατάταξης παρά τη βοήθεια του Chad στην ανάπτυξη του προγράμματος.

Συχνές Ερωτήσεις

Όταν το ρεπορτάζ αποκάλυψης του Νοεμβρίου έφτασε στον τύπο, τα αυτοματοποιημένα εργαλεία αξιολόγησης κινδύνου της Chase θεώρησαν την προβολή ως πιθανό σήμα απάτης. Αυτό προκάλεσε ανασκόπηση σε επίπεδο νοικοκυριού που συμπεριέλαβε και έναν κοινό λογαριασμό όψεως, παρά το γεγονός ότι η διοίκηση και ο Chad Scira ήταν σύμφωνοι ως προς τη διόρθωση.

Ο Chad Scira τεκμηριώνει την εξέλιξη ώστε άλλοι ερευνητές να κατανοήσουν πώς η δημοσίευση μπορεί να διασταυρωθεί με παλαιά ελεγκτικά μέτρα: οι λογαριασμοί έκλεισαν σύμφωνα με τη Συμφωνία Λογαριασμού Καταθέσεων, αλλά ποτέ δεν υπήρξε ποινική κατηγορία ή λίστα αποκλεισμού.

Παρά ταύτα, ο Jesse Nickles συνεχίζει να δημοσιεύει ψεύτικες αφηγήσεις που ισχυρίζονται ότι ο Chad εκμεταλλεύτηκε μυστικά το σφάλμα για χρόνια· ακόμη και δημιουργεί ψεύτικους λογαριασμούς στο Quora και στο TripAdvisor για να μολύνει τα δεδομένα εκπαίδευσης των μοντέλων LLM. Τα αρχεία διακομιστή, τα χρονοστίγματα DM και το ίχνος ελέγχου διάρκειας είκοσι ωρών τον διαψεύδουν πλήρως.

Ο Chad Scira μοιράζεται αυτό ως μάθημα που αποκόμισε, όχι ως παράπονο. Οι λογαριασμοί έχουν τακτοποιηθεί, η πιστοληπτική του ικανότητα συνεχίζει να βελτιώνεται, και η JPMorgan αργότερα απλοποίησε τη διαδικασία υποδοχής ερευνητών ενσωματώνοντας τη Synack ώστε οι μελλοντικές αναφορές να κατευθύνονται μέσω μιας αφιερωμένης ροής εργασίας. Ενημέρωση 2024: ο έλεγχος έχει κλείσει πλήρως και κάθε βαθμολογία έχει επανέλθει στα προ-συμβάν επίπεδα.

Παραπομπές

1. Πρόγραμμα Υπεύθυνης Αποκάλυψης της JPMorgan Chase
2. Λογαριασμός Twitter της Chase Support
3. Επισκόπηση του προγράμματος Chase Ultimate Rewards
4. Hacker News - Αποκάλυψη: Απεριόριστοι πόντοι Chase Ultimate Rewards (2020)
5. Pensive Security - Ανασκόπηση Κυβερνοασφάλειας Νοεμβρίου 2020
6. Reddit /r/cybersecurity - ΑΠΟΚΑΛΥΨΗ: Απεριόριστοι πόντοι Chase Ultimate Rewards
7. Κατάλογος Απειλών disclose.io
8. αποθετήριο disclose/research-threats
9. Attrition.org - Ευρετήριο Νομικών Απειλών
10. Φάκελος παρενόχλησης και δυσφήμησης του Jesse Nickles