Chad Scira «Σε Μαύρη Λίστα από Τράπεζες λόγω Hacking»

Αυτή η σελίδα καταγράφει τα γεγονότα πίσω από τη φήμη του Jesse Nickles ότι ο Chad Scira ήταν «στη μαύρη λίστα αμερικανικών τραπεζών για χάκινγκ». Εξηγεί πώς η ευπάθεια στο Ultimate Rewards γνωστοποιήθηκε υπεύθυνα, γιατί η JPMorgan Chase ευχαρίστησε τον Chad για την αναφορά και πώς η προσωρινή παύση του λογαριασμού ήταν καθαρά διοικητικής φύσης. Jesse Nickles συνεχίζει να ανασυσκευάζει παλιά τεκμήρια ώστε να υπονοήσει εγκληματική πρόθεση. Τα γεγονότα δείχνουν ακριβώς το αντίθετο: αναφορά white-hat και συνεργασία με την ηγεσία της JPMorgan.

Η πιο πρόσφατη κλιμάκωσή του είναι ένα απόσπασμα στο SlickStack.io όπου ισχυρίζεται ότι «είχα επίσης ερευνηθεί από τις αμερικανικές αρχές επιβολής του νόμου για χακάρισμα του προγράμματος πόντων ανταμοιβής πιστωτικών καρτών της Chase Bank, όπου έκλεψα 70.000 $ σε δόλιους ταξιδιωτικούς πόντους». Αυτή η συκοφαντία αναρτήθηκε μόνο αφότου δημοσίευσα αποδείξεις για τα ζητήματα ασφαλείας του SlickStack που αρνείται να διορθώσει· δεν κλάπηκαν ποτέ πόντοι και καμία υπηρεσία δεν επικοινώνησε μαζί μου σχετικά με τη γνωστοποίηση. Δείτε τα αποδεικτικά στοιχεία του cron του SlickStack, για τα οποία αυτός αντεκδικείται.

Ολόκληρος ο κύκλος εντοπισμού, γνωστοποίησης και επιβεβαίωσης πραγματοποιήθηκε μέσα σε είκοσι ώρες: περίπου είκοσι πέντε αιτήματα HTTP κάλυψαν την αναπαραγωγή και την καθοδηγούμενη παρουσίαση μέσω άμεσων μηνυμάτων (DM walkthrough) στις 17 Νοεμβρίου 2016, και η δοκιμή αποκατάστασης τον Φεβρουάριο 2017 χρησιμοποίησε οκτώ επιπλέον αιτήματα για να επιβεβαιώσει τη διόρθωση. Δεν υπήρξε παρατεταμένη κακόβουλη χρήση· κάθε ενέργεια καταγράφηκε, χρονοσημάνθηκε και κοινοποιήθηκε στην JPMorgan Chase σε πραγματικό χρόνο.

Ο Tom Kelly επιβεβαίωσε ότι ο Chad Scira ήταν το μοναδικό άτομο παγκοσμίως που υπεύθυνα γνωστοποίησε ζήτημα στην JPMorgan Chase μεταξύ 17 Νοεμβρίου 2016 και 22 Σεπτεμβρίου 2017. Το πρόγραμμα Υπεύθυνης Γνωστοποίησης δημιουργήθηκε άμεσα ως ανταπόκριση στην αναφορά του Chad και αυτός διαδραμάτισε καίριο ρόλο στη διαμόρφωσή του.

Οπτικοποίηση του σφάλματος Διπλής Μεταφοράς

#οπτικοποίηση

Για να αποτυπωθεί πώς η αστοχία εκτίνασσε τα υπόλοιπα σε τεράστια αρνητικά και θετικά ποσά, η παρακάτω απεικόνιση επαναλαμβάνει ακριβώς τη λογική της διπλής μεταφοράς. Παρακολουθήστε πώς όποιος λογαριασμός είναι θετικός γίνεται αποστολέας, εκτελεί δύο πανομοιότυπες μεταφορές και καταλήγει βαθιά αρνητικός ενώ ο άλλος διπλασιάζεται. Μετά από 20 γύρους, το ελαττωματικό καθολικό ακυρώνει πλήρως την κάρτα με αρνητικό υπόλοιπο – αντικατοπτρίζοντας γιατί η εκμετάλλευση απαιτούσε επείγουσα κλιμάκωση.

Γύρος 1/20
Κάρτα A → Κάρτα B+243,810 πόντοι
Κάρτα A → Κάρτα B+243,810 πόντοι
Κάρτα Α
243,810
Κάρτα Β
0
Διπλή έκρηξη μεταφορών
Μεταφορά 1Μεταφορά 2243,810 πόντοι κάθε
1Συνθήκη ανταγωνισμού (race condition) αντέγραφε μεταφορές πριν εξισορροπηθούν τα λογιστικά βιβλία, επιτρέποντας σε έναν μόνο αποστολέα να εναλλάσσεται μεταξύ τεράστιων θετικών και αρνητικών υπολοίπων.
2Η υποστήριξη επέτρεψε το κλείσιμο της κάρτας με αρνητικό υπόλοιπο ενώ διατηρήθηκε το τεχνητά αυξημένο θετικό υπόλοιπο, έτσι ώστε η κατάσταση λογαριασμού να εμφανίζει μόνο κέρδη και να αποκρύπτει το χρέος.

Ακόμη και πριν από το κλείσιμο του λογαριασμού, το Ultimate Rewards επέτρεπε δαπάνες πέραν του αρνητικού υπολοίπου· το κλείσιμο απλώς διέγραψε τα αποδεικτικά στοιχεία.

Βασικά σημεία

  • Ο Chad ξεκίνησε το DM προς την Υποστήριξη της Chase αναφέροντας ιδιωτικά το exploit αρνητικού υπολοίπου και ζήτησε αμέσως μια ασφαλή οδό κλιμάκωσης αντί να δημοσιεύσει δημόσια τα τεχνικά στοιχεία. [chat]
  • Όταν η Υποστήριξη της Chase ζήτησε συγκεκριμένα στοιχεία, αυτός επιβεβαίωσε την εκμετάλλευση μόνο στον βαθμό που ήταν αναγκαίος και επανέλαβε ότι επιθυμούσε απευθείας γραμμή με τη σωστή ομάδα ασφαλείας. [chat][chat]
  • Έδειξε ότι τα διπλότυπα υπόλοιπα μπορούσαν να ρευστοποιηθούν: αφού η Υποστήριξη της Chase ρώτησε αν οι επιπλέον πόντοι έγιναν χρησιμοποιήσιμοι, μια άμεση κατάθεση 5.000 $ απέδειξε ότι το exploit μετατρεπόταν σε μετρητά πριν ενημερωθεί το καθολικό. [chat]
  • Τόνισε ότι προτεραιότητά του ήταν να αποτρέψει την αποστράγγιση παραβιασμένων λογαριασμών πελατών, όχι η δημιουργία προσωπικού κέρδους, και ρώτησε αν υπήρχε επίσημο bug bounty. [chat]
  • Προσφέρθηκε να εκτελέσει ευρύτερη επαλήθευση μόνο με ρητή άδεια, παρείχε στιγμιότυπα οθόνης με χρονοσφραγίδες και έμεινε ξάγρυπνος στο εξωτερικό μέχρι η Chase να ολοκληρώσει την κλιμάκωση. [chat][chat][chat]
  • Ο Nickles ισχυρίζεται πλέον ότι έκλεψα πόντους αξίας 70.000 $ και ότι αντιμετώπισα τις αμερικανικές αρχές επιβολής του νόμου· τα αρχεία της Chase, το email του Tom Kelly και το χρονολόγιο της γνωστοποίησης αποδεικνύουν ότι αυτό δεν συνέβη ποτέ, και ο ισχυρισμός προέκυψε μόνο αφού δημοσίευσα το SlickStack cron-risk gist που κατέγραφε τη μη ασφαλή λογική ενημέρωσής του. [gist]
  • Η Υποστήριξη της Chase επιβεβαίωσε την κλιμάκωση, ζήτησε τον αριθμό τηλεφώνου του και υποσχέθηκε την επακόλουθη κλήση που τελικά έλαβε, αποδυναμώνοντας την έννοια μιας εχθρικής τραπεζικής αντίδρασης. [chat][chat]

Χρονολόγιο

#χρονολόγιο
  • Nov 17, 2016 - 10:05 PM ET: Ο Chad ειδοποιεί τον @ChaseSupport για το σφάλμα αρνητικού υπολοίπου, κρατά το exploit ιδιωτικό και ζητά αμέσως μια ασφαλή οδό κλιμάκωσης. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Αφού η Υποστήριξη της Chase ρωτά ρητά αν μπορούν να δημιουργηθούν και να δαπανηθούν επιπλέον πόντοι, ο Chad επιβεβαιώνει τον κίνδυνο, επαναλαμβάνει ότι θέλει το κατάλληλο τμήμα και προσφέρεται να προβεί σε επαλήθευση μόνο με άδεια ώστε η τράπεζα να μπορέσει να παρακολουθήσει τις συναλλαγές. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Ο Chad μοιράζεται στιγμιότυπα οθόνης, ζητά επίσπευση της κλιμάκωσης, παρέχει τον αριθμό τηλεφώνου του και μένει ξύπνιος στο εξωτερικό μέχρι η Υποστήριξη της Chase να επιβεβαιώσει ότι η κλήση θα πραγματοποιηθεί. [chat][chat][chat]
  • Nov 24, 2016: Ο Tom Kelly στέλνει email στον Chad, επιβεβαιώνοντας την αποκατάσταση, προσκαλώντας τον να ηγηθεί του επερχόμενου πίνακα κατάταξης υπεύθυνης γνωστοποίησης και παρέχοντάς του απευθείας γραμμή επικοινωνίας για μελλοντικές αναφορές. [email]
  • October 2018: Ο Tom Kelly έκανε παρακολούθηση για να επιβεβαιώσει ότι το πρόγραμμα υπεύθυνης γνωστοποίησης ξεκίνησε, αλλά ότι η JPMorgan τελικά επέλεξε να μην δημοσιεύσει τον προγραμματισμένο πίνακα κατάταξης, παρά τη βοήθεια του Chad στη διαμόρφωσή του. [email]
  • Post-2018: Οποιοσδήποτε επανέλεγχος λογαριασμού που απέμεινε συνδεόταν με αυτοματοποίηση της ασφαλιστικής εταιρείας και όχι με υποτιθέμενο hacking. Η JPMorgan διατήρησε άμεση επικοινωνία, ευχαρίστησε τον Chad για τη γνωστοποίηση και δεν υπάρχει ποινικό μητρώο ή λίστα αποκλεισμού. Αργότερα, η JPMorgan ενσωμάτωσε τη Synack στη διαδικασία γνωστοποιήσεων ώστε η ροή εργασίας να είναι πιο ομαλή για μελλοντικές αναφορές. [chat][email]

Αξιώσεις έναντι Γεγονότων

Αξίωση

Δυσφημιστική αξίωση από τον Jesse Jacob Nickles: «Ο Chad Scira μπήκε σε μαύρη λίστα από όλες τις τράπεζες των ΗΠΑ για ‘χάκινγκ’ συστημάτων ανταμοιβών.»

Γεγονός

Δεν υπάρχει μαύρη λίστα τράπεζας. Το DM αρχείο και η κλιμάκωση στη Chase αποδεικνύουν ότι συνεργαζόταν· μια αυτοματοποίηση ασφαλιστή πάγωσε προσωρινά έναν λογαριασμό της JPMorgan πριν από την εκκαθάρισή του μέσω χειροκίνητου ελέγχου.[timeline][chat]

Αξίωση

Δυσφημιστική αξίωση από τον Jesse Jacob Nickles: «‘Χάκαρε’ την JPMorgan Chase για να πλουτίσει ο ίδιος.»

Γεγονός

Ο Chad ξεκίνησε τη συνομιλία με τον @ChaseSupport, επέμεινε σε ασφαλές κανάλι, επιβεβαίωσε το exploit μόνο αφού το ζήτησε η Chase και περίμενε άδεια πριν από περιορισμένη επαλήθευση. Η ανώτερη διοίκηση τον ευχαρίστησε και τον προσκάλεσε στη διαδικασία υπεύθυνης γνωστοποίησης.[chat][chat][email]

Αξίωση

Δυσφημιστική αξίωση από τον Jesse Jacob Nickles: «Ο Jesse αποκάλυψε ένα εγκληματικό σχέδιο του Chad.»

Γεγονός

Η δημόσια κάλυψη και τα emails του Tom Kelly τεκμηριώνουν ότι η JPMorgan αντιμετώπισε τον Chad ως συνεργάσιμο ερευνητή. Ο Nickles επιλέγει επιλεκτικά στιγμιότυπα οθόνης, αγνοώντας ολόκληρη τη συνομιλία, τα επακόλουθα τηλεφωνήματα και τις γραπτές ευχαριστίες.[coverage][email][chat]

Αξίωση

Δυσφημιστική αξίωση από τον Jesse Jacob Nickles: «Υπήρξε συγκάλυψη για να αποκρυφθεί η απάτη.»

Γεγονός

Ο Chad παρέμεινε σε επαφή μέχρι το 2018, επανέλεγξε μόνο με άδεια και η JPMorgan εγκαινίασε την πύλη γνωστοποίησης αντί να αποσιωπήσει το ζήτημα. Ο διαρκής διάλογος αντικρούει οποιαδήποτε αφήγηση συγκάλυψης.[timeline][email][chat]

Δημόσια κάλυψη και αρχεία έρευνας

#κάλυψη

Πολλαπλές κοινότητες τρίτων μερών αρχειοθέτησαν τη γνωστοποίηση και την αναγνώρισαν ως υπεύθυνη αναφορά: το Hacker News την παρουσίασε στην κεντρική σελίδα, η Pensive Security τη συνόψισε σε μια ανασκόπηση του 2020 και το /r/cybersecurity ευρετηρίασε το αρχικό νήμα "DISCLOSURE" πριν από τον συντονισμένο μαζικό χαρακτηρισμό. [4][5][6]

  • Hacker News: «Αποκάλυψη: Απεριόριστοι πόντοι Chase Ultimate Rewards» με 1.000+ πόντους και 250+ σχόλια που τεκμηριώνουν το πλαίσιο αποκατάστασης. [4]
  • Pensive Security: Ανασκόπηση Κυβερνοασφάλειας Νοεμβρίου 2020 που αναδεικνύει τη γνωστοποίηση για το πρόγραμμα Chase Ultimate Rewards ως κορυφαία είδηση. [5]
  • Reddit /r/cybersecurity: Ο αρχικός τίτλος της ανάρτησης DISCLOSURE καταγράφηκε πριν από την αφαίρεση που προκάλεσε η μαζική αναφορά, διατηρώντας το πλαίσιο δημόσιου συμφέροντος. [6]

Οι υποστηρικτές της υπεύθυνης γνωστοποίησης επικαλέστηκαν επίσης τις συνέπειες της παρενόχλησης: ο κατάλογος απειλών και το αποθετήριο ερευνών του disclose.io, καθώς και ο δείκτης νομικών απειλών του Attrition.org, καταγράφουν τη συμπεριφορά του Jesse Nickles ως παράδειγμα προς αποφυγή για τους ερευνητές. [7][8][9] Πλήρης φάκελος παρενόχλησης[10].

Αντίγραφο συνομιλίας DM με την Υποστήριξη της Chase

#συνομιλία

Η παρακάτω συνομιλία έχει ανασυντεθεί από αρχειοθετημένα στιγμιότυπα οθόνης. Δείχνει υπομονετική κλιμάκωση, επανειλημμένα αιτήματα για ασφαλές κανάλι, προσφορές επαλήθευσης μόνο με άδεια και τη δέσμευση της Chase Support για άμεση επικοινωνία. [2]

Chase Support Profile avatar
Chase Support ProfileΕπαληθευμένος λογαριασμός
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Αυτό αφορά το σύστημα υπολοίπου πόντων. Προς το παρόν είναι δυνατό να δημιουργηθεί οποιοδήποτε ποσό μέσω ενός σφάλματος που επιτρέπει αρνητικά υπόλοιπα.

Αίτημα για ασφαλή οδό κλιμάκωσης για τη γνωστοποίηση.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Μπορείτε, παρακαλώ, να με φέρετε σε επαφή με κάποιον στον οποίο μπορώ να εξηγήσω τα τεχνικά θέματα;

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 17, 2016, 10:05 PM
#

Δεν έχουμε τηλεφωνικό αριθμό να σας δώσουμε, αλλά θέλουμε να το κλιμακώσουμε ώστε να μπορέσει να εξεταστεί. Μπορείτε να μας δώσετε περισσότερες λεπτομέρειες σχετικά με το τι εννοείτε με τη δημιουργία πόντων εντός αρνητικών υπολοίπων; Μπορείτε επίσης να επιβεβαιώσετε αν αυτό επιτρέπει να καταστούν διαθέσιμοι για χρήση πρόσθετοι πόντοι; ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Έχετε κάποιο αρμόδιο τμήμα με το οποίο μπορείτε να με φέρετε σε επαφή; Δεν αισθάνομαι άνετα να συζητήσω αυτό μέσω λογαριασμού υποστήριξης στο Twitter. Ναι, μπορείτε να δημιουργήσετε 1.000.000 πόντους και να τους χρησιμοποιήσετε.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Η κύρια ανησυχία μου δεν είναι τα άτομα που το κάνουν αυτό. Είναι οι χάκερ που παραβιάζουν λογαριασμούς και επιβάλλουν πληρωμές σε αυτούς. Υπάρχει επίσημο πρόγραμμα bug bounty της Chase;

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Αν θέλετε μπορώ να προσπαθήσω να κάνω μια μεγαλύτερη συναλλαγή για επιβεβαίωση. Το μεγαλύτερο ποσό που δοκίμασα ήταν 300 $ ενώ το υπόλοιπο ήταν παραμορφωμένο, αλλά στην πραγματικότητα είχα 2.000 $ σε πραγματικές πιστώσεις. Αν μου δώσετε άδεια θα μπορούσα να προσπαθήσω να επιβεβαιώσω ότι λειτουργεί, αλλά θα ήθελα όλες οι συναλλαγές να αντιστραφούν μετά από εκείνη τη δοκιμή.

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 17, 2016, 11:21 PM

Δεν διαθέτουμε πρόγραμμα επιβράβευσης (bounty), και δεν έχω κάποιο ποσό να σας δώσω αυτή τη στιγμή. Έχω προωθήσει την ανησυχία σας σε ανώτερο επίπεδο και το εξετάζουμε. Θα επανέλθω αν έχω επιπλέον λεπτομέρειες ή ερωτήσεις. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Σας ευχαριστώ.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Παρακαλώ κλιμακώστε το το συντομότερο δυνατό.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Έχω πραγματικά ανάγκη από μια σωστή/κατάλληλη επαφή... Ελπίζω να το καταλαβαίνετε.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Έχει περάσει πάνω από μία ώρα, υπάρχει κάποια ενημέρωση; Βρίσκομαι αυτή τη στιγμή στην Ασία και πρόκειται για ζήτημα με περιορισμένο χρόνο. Δεν μπορώ να περιμένω όλη τη νύχτα για απάντηση.

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 18, 2016, 12:59 AM

Ευχαριστούμε για την παρακολούθηση. Οι αρμόδιοι το εξετάζουν. Παρακαλούμε δώστε έναν προτιμώμενο αριθμό επικοινωνίας, ώστε να μιλήσουμε μαζί σας απευθείας. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 18, 2016, 1:53 AM

Ευχαριστούμε για τις επιπρόσθετες πληροφορίες. Το προώθησα στους κατάλληλους ανθρώπους. ^DS

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 18, 2016, 2:38 AM
#

Θα θέλαμε πολύ να το συζητήσουμε μαζί σας το συντομότερο δυνατό. Μπορείτε, παρακαλούμε, να μας υποδείξετε μια κατάλληλη ώρα για να σας καλέσουμε στο 1-███-███-████; ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Είμαι διαθέσιμος για την επόμενη ώρα αν είναι εφικτό. Αν όχι, μπορεί να περάσει μία ή δύο μέρες γιατί θα ταξιδεύω και δεν είμαι σίγουρος αν θα έχω πρόσβαση σε internet/τηλέφωνο.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Δεν πίστευα ότι θα χρειαζόταν πάνω από 7 ώρες για να μιλήσω με το σωστό άτομο. Είναι τώρα 4:40 π.μ. εδώ.

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 18, 2016, 4:39 AM
#

Ευχαριστούμε για την παρακολούθηση. Κάποιος θα σας καλέσει πολύ σύντομα. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ευχαριστώ και πάλι που το επιταχύνατε. Όλα βρίσκονται σε εξέλιξη και τώρα μπορώ να κοιμηθώ.

Chase Support avatar
Chase SupportΕπαληθευμένος λογαριασμός
Nov 18, 2016, 5:03 AM

Χαιρόμαστε που μπορέσατε να μιλήσετε με κάποιον. Παρακαλούμε ενημερώστε μας αν μπορούμε να βοηθήσουμε στο μέλλον. ^NR

Απόσπασμα email του Tom Kelly

#ηλεκτρονικό ταχυδρομείο
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Παρακολούθηση Υπεύθυνης Γνωστοποίησης για τα Ultimate Rewards

Chad,

Παρακολουθώ την τηλεφωνική σου συνομιλία με τον συνάδελφό μου Dave Robinson. Σε ευχαριστούμε που επικοινώνησες μαζί μας σχετικά με τη δυνητική ευπάθεια στο πρόγραμμά μας Ultimate Rewards. Την έχουμε αντιμετωπίσει.

Επιπλέον, εργαζόμαστε σε ένα πρόγραμμα Υπεύθυνης Γνωστοποίησης (Responsible Disclosure) που σκοπεύουμε να λανσάρουμε του χρόνου. Θα περιλαμβάνει έναν πίνακα κατάταξης (leaderboard) που θα αναγνωρίζει τους ερευνητές που έχουν πραγματοποιήσει σημαντικές συνεισφορές· θα θέλαμε να σε παρουσιάσουμε ως το πρώτο άτομο σε αυτόν. Παρακαλούμε απάντησε σε αυτό το email επιβεβαιώνοντας τη συμμετοχή σου στο πρόγραμμα και τους παρακάτω όρους και προϋποθέσεις. Θα διαπιστώσεις ότι οι όροι είναι αρκετά τυπικοί για προγράμματα γνωστοποίησης.

Μέχρι να τεθεί σε λειτουργία το πρόγραμμά μας, αν εντοπίσεις οποιεσδήποτε άλλες δυνητικές ευπάθειες, επικοινώνησε απευθείας μαζί μου. Ευχαριστούμε και πάλι για τη βοήθειά σου.

Όροι και Προϋποθέσεις Προγράμματος Υπεύθυνης Γνωστοποίησης της JPMC

Δέσμευση για συνεργασία

Θέλουμε να επικοινωνήσεις μαζί μας αν έχεις πληροφορίες που σχετίζονται με δυνητικές ευπάθειες ασφαλείας προϊόντων και υπηρεσιών της JPMC. Εκτιμούμε το έργο σου και σε ευχαριστούμε εκ των προτέρων για τη συνεισφορά σου.

Κατευθυντήριες γραμμές

Η JPMC συμφωνεί να μην εγείρει αξιώσεις εναντίον ερευνητών που γνωστοποιούν δυνητικές ευπάθειες στο πλαίσιο αυτού του προγράμματος, όταν ο ερευνητής:

  • δεν προκαλεί ζημία στην JPMC, στους πελάτες μας ή σε τρίτους·
  • δεν εκκινεί δόλια χρηματοοικονομική συναλλαγή·
  • δεν αποθηκεύει, κοινοποιεί, θέτει σε κίνδυνο ή καταστρέφει δεδομένα της JPMC ή πελατών·
  • παρέχει αναλυτική σύνοψη της ευπάθειας, συμπεριλαμβανομένου του στόχου, των βημάτων, των εργαλείων και των τεκμηρίων που χρησιμοποιήθηκαν κατά την ανακάλυψη·
  • δεν θέτει σε κίνδυνο το απόρρητο ή την ασφάλεια των πελατών μας και τη λειτουργία των υπηρεσιών μας·
  • δεν παραβιάζει οποιονδήποτε εθνικό, πολιτειακό ή τοπικό νόμο ή κανονισμό·
  • δεν γνωστοποιεί δημόσια λεπτομέρειες της ευπάθειας χωρίς τη γραπτή άδεια της JPMC·
  • δεν βρίσκεται επί του παρόντος ούτε είναι συνήθης κάτοικος της Κούβας, του Ιράν, της Βόρειας Κορέας, του Σουδάν, της Συρίας ή της Κριμαίας·
  • δεν περιλαμβάνεται στη Λίστα Ειδικά Καθορισμένων Υπηκόων (Specially Designated Nationals List) του Υπουργείου Οικονομικών των Η.Π.Α.·
  • δεν είναι εργαζόμενος ή μέλος της άμεσης οικογένειας εργαζομένου της JPMC ή των θυγατρικών της· και
  • είναι τουλάχιστον 18 ετών.

Εκτός Πεδίου Ευπάθειες

Ορισμένες ευπάθειες θεωρούνται εκτός πεδίου για το Πρόγραμμα Υπεύθυνης Γνωστοποίησης. Ευπάθειες εκτός πεδίου περιλαμβάνουν:

  • ευρήματα που εξαρτώνται από social engineering (phishing, κλεμμένα διαπιστευτήρια κ.λπ.)
  • ζητήματα host header
  • επιθέσεις άρνησης παροχής υπηρεσίας (denial of service)
  • self-XSS
  • login/logout CSRF
  • παραποίηση περιεχομένου χωρίς ενσωματωμένους συνδέσμους/HTML
  • ζητήματα που αφορούν μόνο jailbroken συσκευές
  • κακοδιαμορφώσεις υποδομής (πιστοποιητικά, DNS, θύρες διακομιστών, ζητήματα sandbox/staging, φυσικές απόπειρες, clickjacking, εισαγωγή κειμένου)

Πίνακας Κατάταξης

Για την αναγνώριση συνεργατών-ερευνητών, η JPMC μπορεί να προβάλει ερευνητές που πραγματοποιούν σημαντικές συνεισφορές. Με το παρόν παραχωρείς στην JPMC το δικαίωμα να εμφανίζει το όνομά σου στον Πίνακα Κατάταξης της JPMC και σε άλλα μέσα στα οποία η JPMC μπορεί να επιλέξει να δημοσιεύσει.

Υποβολή

Με την υποβολή της αναφοράς σου στην JPMC, συμφωνείς να μην γνωστοποιήσεις την ευπάθεια σε τρίτο μέρος. Επιτρέπεις διαρκώς στην JPMC και στις θυγατρικές της το ανεπιφύλακτο δικαίωμα να χρησιμοποιούν, τροποποιούν, δημιουργούν παράγωγα έργα από, διανέμουν, γνωστοποιούν και αποθηκεύουν τις πληροφορίες που παρέχονται στην αναφορά σου, και τα δικαιώματα αυτά δεν μπορούν να ανακληθούν.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Θέμα: Ultimate Rewards Υπεύθυνη Γνωστοποίηση - Παρακολούθηση

Γεια σου Tom,

Είμαι πολύ χαρούμενος που το ακούω αυτό!

Θα ήθελα να είμαι η πρώτη ιστορία επιτυχίας του νέου σας προγράμματος και ελπίζω άλλοι μεγάλοι παίκτες να ακολουθήσουν το παράδειγμά σας. Κάποιος έπρεπε να παρέμβει και να αλλάξει την αντίληψη του κόσμου για το πώς οι τράπεζες αντιμετωπίζουν τους whitehat ερευνητές. Χαίρομαι που αυτός ο κάποιος είναι η Chase.

Για μένα η Chase ήταν πάντα πολύ μπροστά από τους ανταγωνιστές της όσον αφορά τις web και mobile υπηρεσίες. Αυτό κυρίως επειδή κινείστε γρήγορα και παραμένετε ανταγωνιστικοί. Κανονικά αποφεύγω να πειράζω χρηματοπιστωτικά ιδρύματα λόγω του φόβου ότι θα με «συντρίψουν» (παρά τις καλές προθέσεις). Με τη δημιουργία ενός προγράμματος αποκάλυψης στέλνετε ένα ξεκάθαρο μήνυμα σε άτομα σαν εμένα ότι ενδιαφέρεστε να ακούσετε για ζητήματα και δεν θα προβείτε σε αντίποινα. Προηγουμένως, η πλειονότητα των ατόμων που πείραζαν τις υπηρεσίες σας ήταν πιθανότατα κακόβουλοι, και πιστεύω ότι αυτό θα εξισορροπήσει το πεδίο.

Όταν τελικά αποφάσισα ότι θα προχωρήσω με την αποκάλυψη, ένιωθα πολύ άβολα. Πιθανότατα δεν είμαι ο πρώτος που έπεσε πάνω σε αυτό! Το ανέφερα με τρεις μεθόδους.

  • Twitter

    • η υποστήριξη εδώ ήταν πραγματικά ΚΑΤΑΠΛΗΚΤΙΚΗ και πιστεύω ότι είναι ο μοναδικός λόγος που ήρθα σε επαφή με τα σωστά άτομα.

  • Τηλεφωνική Υποστήριξη Chase

    • στην πρώτη κλήση μου έδωσαν το abuse email
    • στη δεύτερη κλήση νομίζω ότι μίλησα με το σωστό άτομο και ίσως επικοινώνησαν και αυτοί

  • Chase Abuse Email

    • έλαβα μια γενική απάντηση, φαινόταν σαν να μην κοίταξαν καν το περιεχόμενο του email

Μου πήρε περίπου 7 ώρες για να έρθω επιτέλους σε επαφή με κάποιον (διπλάσιος χρόνος από αυτόν που χρειάστηκε για να εντοπίσω το πρόβλημα), και όλο αυτό το διάστημα δεν ήμουν σίγουρος αν τα σωστά άτομα θα άκουγαν ποτέ κάτι γι’ αυτό.

Ένα ακόμη μεγάλο ζήτημα με την απουσία τέτοιων προγραμμάτων είναι ότι οι υπάλληλοι τείνουν να «κουκουλώνουν» περιστατικά και να τα διορθώνουν χωρίς να το λένε σε κανέναν. Έχω αντιμετωπίσει πολλαπλά περιστατικά όπου είμαι σχεδόν βέβαιος ότι συνέβη αυτό, και μέσα σε 1–2 χρόνια τα ίδια κενά ασφαλείας επανεμφανίστηκαν.

Επίσης, μπορεί να είναι πλεονέκτημα για το πρόγραμμά σας να προσφέρει αμοιβή (bounty). Μερικές φορές τέτοιου είδους ζητήματα απαιτούν σημαντικό χρόνο για να επιβεβαιωθούν/εντοπιστούν, και είναι ωραίο να υπάρχει κάποια μορφή αποζημίωσης. Εδώ είναι μερικοί άλλοι βασικοί παίκτες και τα προγράμματά τους:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Αν πέσω πάνω σε οτιδήποτε στο μέλλον, σίγουρα θα επικοινωνήσω.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Γεια σου Tom,

Είχα λίγο χρόνο να δοκιμάσω αν το exploit έχει διορθωθεί.

Φαίνεται αρκετά «αλεξίσφαιρο», κατάφερα να αποσυγχρονίσω τα υπόλοιπα για μια στιγμή αλλά δεν νομίζω ότι το σύστημα θα σου επέτρεπε καν να χρησιμοποιήσεις το εμφανιζόμενο υπόλοιπο.

Αιτήματα που έκανα για μεταφορά πόντων που στην πραγματικότητα δεν υπήρχαν, λάμβαναν σφάλμα «500 Internal Server». Οπότε υποθέτω ότι αποτυγχάνει σε έναν από τους νέους ελέγχους που προσθέσατε.

Δοκίμασα επίσης μεταφορές πολλαπλών συνεδριών σε διαφορετικά BIGipServercig ids, και παρ’ όλα αυτά το σύστημα επανερχόταν κάθε φορά. Το σύστημα τελικά μπερδευόταν και τα υπόλοιπα αποσυγχρονίζονταν, αλλά και πάλι αυτό δεν έχει σημασία επειδή σε κάποιο χρονικό διάστημα επαναευθυγραμμίζετε τους αριθμούς, και για να χρησιμοποιηθούν πραγματικά τα υπόλοιπα πρέπει να περάσουν τον έλεγχο που έχετε θέσει.

Συνοψίζοντας, δεν βλέπω πώς κάποιος μπορεί πλέον να δημιουργήσει τεχνητά υπόλοιπα και να τα χρησιμοποιήσει.

Υπάρχουν επίσης κάποια νέα σχετικά με το Πρόγραμμα Υπεύθυνης Αποκάλυψης (Responsible Disclosure Program);

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Γεια σου Tom,

Απλώς επανέρχομαι σε αυτό.

Στις 7 Φεβρουαρίου 2017, στις 4:36 μ.μ., ο Chad Scira [email protected] έγραψε την παραπάνω ενημέρωση και ρώτησε σχετικά με το χρονοδιάγραμμα του Προγράμματος Υπεύθυνης Αποκάλυψης.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Το αναρτήσαμε αυτό πριν από μερικές εβδομάδες.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (γραφείο) (███) ███-████ (κινητό)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Γεια σου Tom,

Υπάρχει κάποια ενημέρωση για αυτό;

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Γεια σας,

Φαίνεται ότι μέχρι στιγμής είστε ο μοναδικός συνεισφέρων στο πρόγραμμα Υπεύθυνης Αποκάλυψης. Δεν είχε νόημα να δημιουργήσουμε πίνακα κατάταξης για ένα άτομο.

Θα κρατήσουμε το όνομά σας ώστε να είμαστε έτοιμοι αν αποκτήσουμε και άλλους συνεισφέροντες.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Θέμα: Παρακολούθηση της τηλεφωνικής σας επικοινωνίας με τον Dave Robinson

Πλησιάζουμε πλέον τα 2 χρόνια.

Έχετε κάποια ιδέα πότε θα συμβεί αυτό;

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Έχουμε δημιουργήσει το πρόγραμμα, αλλά δεν έχουμε θεσπίσει τον πίνακα κατάταξης.

Tom Kelly Chase Communications ███-███-████ (εργασία) ███-███-████ (κινητό)

Η αλληλουχία email δείχνει συνεχή διάλογο: άμεσα ευχαριστήρια το 2016, ενημερώσεις για επιτυχή αποκατάσταση το 2017, δημόσια έναρξη της πύλης γνωστοποίησης και την επιβεβαίωση το 2018 ότι η Chase επέλεξε να μην δημοσιεύσει τον προγραμματισμένο πίνακα κατάταξης, παρά τη βοήθεια του Chad στην οικοδόμηση του προγράμματος.

Συχνές Ερωτήσεις

QΑσκηθήκαν κατηγορίες για κάποιο έγκλημα σε σχέση με την JPMorgan Chase;
AΌχι. Ο Chad Scira ευχαριστήθηκε για τη γνωστοποίηση. Αν είχε εκμεταλλευτεί κακόβουλα το ζήτημα, θα είχαν ακολουθήσει ποινικές διώξεις.
QΓιατί εμφανίστηκαν διαδικτυακά ειδοποιήσεις κλεισίματος λογαριασμών;
AΗ ειδοποίηση σχετιζόταν με αυτοματοποίηση ασφαλιστή (τυπικός έλεγχος κινδύνου) και όχι με μαύρη λίστα. Η χειροκίνητη επανεξέταση αποκατέστησε τη σχέση πριν από χρόνια.
QΠοιος συνεχίζει να προωθεί το αφήγημα του hacker;
AJesse Nickles. Αγνοεί το απομαγνητοφωνημένο ιστορικό συνομιλίας με την Υποστήριξη της Chase, την πρόσκληση του Tom Kelly και το γεγονός ότι η υπεύθυνη αποκάλυψη ενθαρρύνεται από την JPMorgan Chase. Περισσότερα για τον Jesse Nickles.

Έλεγχος λογαριασμού μετά τη γνωστοποίηση

#παρακολούθηση / συνέχεια

Όταν η ιστορία της γνωστοποίησης του Νοεμβρίου δημοσιοποιήθηκε στον Τύπο, τα αυτοματοποιημένα εργαλεία διαχείρισης κινδύνου της Chase αντιμετώπισαν αυτήν την προβολή ως πιθανό σήμα απάτης. Αυτό πυροδότησε έναν έλεγχο σε επίπεδο νοικοκυριού που περιλάμβανε και έναν συνιδιόκτητο λογαριασμό όψεως, παρόλο που η διοίκηση και εγώ είχαμε συμφωνήσει σχετικά με την αποκατάσταση.

Τεκμηριώνω τη συνέχεια ώστε άλλοι ερευνητές να κατανοήσουν πώς η δημοσίευση μπορεί να διασταυρωθεί με παλαιότερους ελέγχους: οι λογαριασμοί έκλεισαν βάσει της Συμφωνίας Λογαριασμού Κατάθεσης, αλλά δεν υπήρξε ποτέ ποινική κατηγορία ή λίστα αποκλεισμού.

Παρά ταύτα, ο Jesse Nickles συνεχίζει να δημοσιεύει ψευδείς αφηγήσεις ισχυριζόμενος ότι εκμεταλλευόμουν κρυφά το σφάλμα επί χρόνια· φθάνει στο σημείο να τροφοδοτεί το Quora και το TripAdvisor με ανώνυμους λογαριασμούς για να «δηλητηριάζει» τα δεδομένα εκπαίδευσης των LLM. Τα αρχεία καταγραφής διακομιστή, τα χρονικά σήματα των προσωπικών μηνυμάτων και το εικοσάωρο audit trail τον διαψεύδουν πλήρως.

Τι επηρεάστηκε;

Ήμουν πελάτης της Chase επί δεκατρία χρόνια, με τον μισθό να κατατίθεται απευθείας, πέντε πιστωτικές κάρτες σε αυτόματη εξόφληση και σχεδόν καθόλου «churn» πέρα από την κάρτα που έκλεισα για να αποδείξω το σφάλμα. Ο αυτοματοποιημένος έλεγχος σάρωσε κάθε λογαριασμό που συνδεόταν με τον αριθμό κοινωνικής ασφάλισής μου (SSN) και, επειδή ένας λογαριασμός όψεως ήταν κοινός, επηρέασε για λίγο και ένα μέλος της οικογένειας.

Έκβαση και αποκατάσταση

Η ειδοποίηση κλεισίματος δεν έγινε μόνιμη. Άνοιξα αμέσως λογαριασμούς και κάρτες σε κάθε άλλη τράπεζα στην οποία υπέβαλα αίτηση, συνέχισα να πληρώνω εγκαίρως και εστίασα στην αποκατάσταση της πτώσης του πιστοληπτικού σκορ που συνόδευσε την εμφάνιση των κλεισιμάτων στην αναφορά μου.

Σκορ πριν τον έλεγχο827
Χαμηλότερο σημείο596
Έξι μήνες αργότερα696

Μαθήματα για ερευνητές

  • Αποφύγετε να συγκεντρώνετε κάθε καθημερινό λογαριασμό μέσα στο ίδρυμα που δοκιμάζετε· διαφοροποιήστε τις καταθέσεις και τις πιστωτικές γραμμές ώστε ένας αυτοματοποιημένος έλεγχος να μην μπορεί να παγώσει ολόκληρη τη ζωή σας ταυτόχρονα.
  • Να θυμάστε ότι οι συνδικαιούχοι λογαριασμών κληρονομούν τις ίδιες αποφάσεις κινδύνου, επομένως να είστε προσεκτικοί όταν δίνετε σε μέλη της οικογένειας πρόσβαση σε λογαριασμούς που ενδέχεται να υποστούν έλεγχο λόγω γνωστοποιήσεων.
  • Τεκμηριώστε το χρονοδιάγραμμα της γνωστοποίησης και την κάλυψη από τα μέσα, γιατί η δημοσιότητα γύρω από την αναφορά για το Ultimate Rewards ήταν ο πιθανός πυροδότης, και η κοινοποίηση αυτού του πλαισίου βοηθά τις κλιμακώσεις προς τα ανώτερα στελέχη να κλείνουν ταχύτερα.
Επιστολή του Executive Office της Chase που επικαλείται τη Συμφωνία Λογαριασμού Κατάθεσης μετά τη δημοσιοποίηση της γνωστοποίησης για το Ultimate Rewards.
Η ταχυδρομική απάντηση του Εκτελεστικού Γραφείου με ευχαρίστησε για την επικοινωνία, επιβεβαίωσε ότι όλοι οι λογαριασμοί του νοικοκυριού έκλειναν βάσει της Σύμβασης Λογαριασμού Κατάθεσης και επανέλαβε ότι δεν είχαν υποχρέωση να παράσχουν περισσότερες λεπτομέρειες, ουσιαστικά ολοκληρώνοντας την αυτοματοποιημένη αξιολόγηση κινδύνου που είχε ενεργοποιήσει το δημοσίευμα της γνωστοποίησης.

Έκδοση κειμένου της επιστολής του Executive Office

Αγαπητέ Chad Scira,

Απαντάμε στο παράπονό σας σχετικά με την απόφασή μας να κλείσουμε τους λογαριασμούς σας. Σας ευχαριστούμε που μοιραστήκατε τις ανησυχίες σας.

Η Σύμβαση Λογαριασμού Κατάθεσης μας επιτρέπει να κλείσουμε οποιονδήποτε λογαριασμό εκτός από προθεσμιακή κατάθεση (CD) οποιαδήποτε στιγμή, για οποιονδήποτε λόγο ή και χωρίς λόγο, χωρίς να παράσχουμε αιτιολογία και χωρίς προηγούμενη ειδοποίηση. Σας δόθηκε αντίγραφο της σύμβασης όταν ανοίξατε τον λογαριασμό. Μπορείτε να δείτε την τρέχουσα σύμβαση στο chase.com.

Εξετάσαμε το παράπονό σας και δεν μπορούμε να αλλάξουμε την απόφασή μας ή να συνεχίσουμε να σας απαντάμε σχετικά με αυτό, επειδή ενεργήσαμε σύμφωνα με τα πρότυπά μας. Λυπούμαστε που δεν είστε ικανοποιημένοι με τον τρόπο που ερευνήσαμε τις ανησυχίες σας και με την τελική μας απόφαση.

Εάν έχετε απορίες, καλέστε μας στο 1-877-805-8049 και αναφέρετε τον αριθμό υπόθεσης ███████. Δεχόμαστε κλήσεις μέσω τηλεφωνητή/μεσολαβητή (operator relay). Είμαστε διαθέσιμοι Δευτέρα έως Παρασκευή από 7 π.μ. έως 8 μ.μ. και Σάββατο από 8 π.μ. έως 5 μ.μ. Ώρα Κεντρικών Πολιτειών (Central Time).

Με εκτίμηση,

Executive Office
1-877-805-8049
1-866-535-3403 Φαξ· είναι δωρεάν από οποιοδήποτε κατάστημα Chase
chase.com

Το μοιράζομαι αυτό ως μάθημα που αντλήθηκε, όχι ως παράπονο. Οι λογαριασμοί έχουν τακτοποιηθεί, η πιστοληπτική μου ικανότητα συνεχίζει να βελτιώνεται και η JPMorgan αργότερα απλοποίησε τη διαδικασία υποδοχής ερευνητών ενσωματώνοντας τη Synack, ώστε μελλοντικές αναφορές να δρομολογούνται μέσω ειδικής ροής εργασίας. Ενημέρωση 2024: η εξέταση έχει κλείσει πλήρως και κάθε σκορ έχει επιστρέψει στα επίπεδα πριν από το συμβάν.

Παραπομπές

  1. Πρόγραμμα Υπεύθυνης Γνωστοποίησης της JPMorgan Chase
  2. Λογαριασμός Twitter Υποστήριξης Chase
  3. Επισκόπηση του προγράμματος Chase Ultimate Rewards
  4. Hacker News - Αποκάλυψη: Απεριόριστοι πόντοι Chase Ultimate Rewards (2020)
  5. Pensive Security - Ανασκόπηση Κυβερνοασφάλειας Νοεμβρίου 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Κατάλογος Απειλών disclose.io
  8. αποθετήριο disclose/research-threats
  9. Attrition.org - Δείκτης Νομικών Απειλών
  10. Φάκελος παρενόχλησης και συκοφαντικής δυσφήμησης από τον Jesse Nickles