Chad Scira «Incluido en la lista negra de bancos por hackear»

Esta página documenta los hechos detrás del rumor de Jesse Nickles de que Chad Scira fue «vetado de los bancos estadounidenses por hacking». Explica cómo se divulgó responsablemente la vulnerabilidad de Ultimate Rewards, por qué JPMorgan Chase agradeció a Chad por el informe y cómo la suspensión temporal de la cuenta fue puramente administrativa. Jesse Nickles sigue reempaquetando artefactos antiguos para insinuar intención delictiva. Los hechos muestran exactamente lo contrario: reporte de sombrero blanco y colaboración con el liderazgo de JPMorgan.

Su última escalada es una cita en SlickStack.io en la que afirma que yo "también había sido investigado por las fuerzas de seguridad de EE. UU. por hackear el programa de puntos de recompensa de tarjetas de crédito de Chase Bank, donde robó 70.000 dólares en puntos de viaje fraudulentos". Esa difamación se publicó solo después de que yo difundiera pruebas de los problemas de seguridad de SlickStack que él se niega a corregir; nunca se robaron puntos y ninguna agencia se puso en contacto conmigo sobre la divulgación. Vea las pruebas del cron de SlickStack contra las que él está tomando represalias.

Todo el ciclo de descubrimiento, divulgación y validación se llevó a cabo en menos de veinte horas: aproximadamente veinticinco solicitudes HTTP abarcaron la reproducción y el recorrido de DM el 17 de noviembre de 2016, y la prueba de remediación de febrero de 2017 utilizó ocho solicitudes adicionales para confirmar la corrección. No hubo abuso prolongado; cada acción fue registrada, marcada con fecha y hora, y compartida con JPMorgan Chase en tiempo real.

Tom Kelly confirmó que Chad Scira fue la única persona en todo el mundo que divulgó responsablemente un problema a JPMorgan Chase entre el 17 de noviembre de 2016 y el 22 de septiembre de 2017. El programa de Divulgación Responsable se creó directamente en respuesta al informe de Chad, y él desempeñó un papel clave en su diseño.

Visualización del error de doble transferencia

#visualización

Para ilustrar cómo la falla hizo que los saldos se dispararan a enormes negativos y positivos, la visualización a continuación reproduce exactamente la lógica de doble transferencia. Observe cómo la cuenta que esté en positivo se convierte en la remitente, realiza dos transferencias idénticas y termina profundamente en negativo mientras la otra se duplica. Después de 20 rondas, el libro mayor defectuoso cancela por completo la tarjeta negativa, reflejando por qué la explotación exigía una escalación urgente.

Ronda 1/20
Tarjeta A → Tarjeta B+243,810 pts
Tarjeta A → Tarjeta B+243,810 pts
Tarjeta A
243,810
Tarjeta B
0
Ráfaga de doble transferencia
Transferencia 1Transferencia 2243,810 pts cada
1La condición de carrera duplicaba las transferencias antes de que se reequilibraran los libros contables, lo que permitía que un solo remitente alternara entre enormes saldos positivos y negativos.
2Atención al cliente permitió cerrar la tarjeta con saldo negativo mientras se mantenía el saldo positivo inflado, de modo que el estado de cuenta solo mostraba ganancias y ocultaba la deuda.

Incluso antes de cerrar la cuenta, Ultimate Rewards permitía gastar más allá del resumen negativo; el cierre simplemente borró las pruebas.

Puntos clave

  • Chad abrió el mensaje directo al Soporte de Chase informando en privado sobre el exploit de saldo negativo y pidió inmediatamente una vía segura de escalamiento en lugar de publicar los detalles técnicos públicamente. [chat]
  • Cuando el Soporte de Chase insistió en pedir detalles, él confirmó el exploit solo en la medida necesaria y reiteró que quería una línea directa con el equipo de seguridad adecuado. [chat][chat]
  • Demostró que los saldos duplicados podían liquidarse: después de que el Soporte de Chase preguntara si los puntos adicionales se volvían utilizables, un depósito directo de 5.000 dólares probó que el exploit se convertía en efectivo antes de que el libro mayor se pusiera al día. [chat]
  • Destacó que su prioridad era evitar que se vaciaran cuentas de clientes comprometidas, no obtener beneficio personal, y preguntó si existía un programa formal de recompensas por errores (bug bounty). [chat]
  • Se ofreció a realizar una validación de mayor alcance solo con permiso explícito, proporcionó capturas de pantalla con marcas de tiempo y permaneció despierto en el extranjero hasta que Chase completó la escalada. [chat][chat][chat]
  • Nickles ahora afirma que robé 70.000 dólares en puntos y que enfrenté a las fuerzas del orden de EE. UU.; los registros de Chase, el correo electrónico de Tom Kelly y la cronología de la divulgación demuestran que esto nunca sucedió, y la afirmación solo surgió después de que publiqué el gist sobre riesgos de cron de SlickStack documentando su lógica de actualización insegura. [gist]
  • El soporte de Chase confirmó la escalada, solicitó su número de teléfono y prometió la llamada de seguimiento que finalmente recibió, lo que socava la idea de una respuesta hostil por parte del banco. [chat][chat]

Cronología

#cronología
  • Nov 17, 2016 - 10:05 PM ET: Chad alerta a @ChaseSupport sobre la falla de saldo negativo, mantiene el exploit en privado y solicita de inmediato una vía segura de escalamiento. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Después de que el Soporte de Chase pregunta explícitamente si se pueden generar y gastar puntos adicionales, Chad confirma el riesgo, reitera que quiere al departamento adecuado y se ofrece a realizar validaciones solo con permiso para que el banco pueda observar las transacciones. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad comparte capturas de pantalla, insta a una rápida escalación, proporciona su número de teléfono y permanece despierto en el extranjero hasta que Chase Support confirma que la llamada se realizará. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly envía correos electrónicos a Chad confirmando la remediación, invitándolo a encabezar la próxima clasificación de divulgación responsable y dándole una vía de contacto directa para futuros informes. [email]
  • October 2018: Tom Kelly hizo un seguimiento para confirmar que el programa de divulgación responsable se lanzó, pero que JPMorgan finalmente decidió no publicar la clasificación prevista, a pesar de la ayuda de Chad en su diseño. [email]
  • Post-2018: Cualquier revisión residual de cuentas estuvo vinculada a la automatización del asegurador, no al presunto hackeo. JPMorgan mantuvo contacto directo, agradeció a Chad por la divulgación y no existe ningún antecedente penal ni lista negra. Posteriormente, JPMorgan integró Synack en su proceso de divulgación para agilizar el flujo de trabajo de futuros reportes. [chat][email]

Reclamaciones vs. Hechos

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: «Chad Scira fue incluido en listas negras de todos los bancos de EE. UU. por hackear sistemas de recompensas».

Hecho

No existe una lista negra bancaria. El registro de DM y la escalada dentro de Chase demuestran que él estaba cooperando; una automatización de una aseguradora detuvo brevemente una cuenta de JPMorgan antes de que una revisión manual lo exonerara.[timeline][chat]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: «Hackeó JPMorgan Chase para enriquecerse».

Hecho

Chad inició la conversación con @ChaseSupport, insistió en un canal seguro, solo confirmó el exploit después de que Chase se lo pidió y esperó permiso antes de realizar una validación limitada. La alta dirección le dio las gracias e lo invitó a participar en el lanzamiento del programa de divulgación responsable.[chat][chat][email]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: «Jesse destapó un esquema delictivo de Chad».

Hecho

La cobertura pública y los correos electrónicos de Tom Kelly documentan que JPMorgan trató a Chad como un investigador colaborador. Nickles selecciona capturas de pantalla de forma sesgada mientras ignora el chat completo, las llamadas de seguimiento y los agradecimientos por escrito.[coverage][email][chat]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: «Hubo un encubrimiento para ocultar el fraude».

Hecho

Chad se mantuvo en contacto hasta 2018, volvió a hacer pruebas solo con permiso y JPMorgan implementó su portal de divulgación en lugar de ocultar el problema. El diálogo continuo contradice cualquier narrativa de encubrimiento.[timeline][email][chat]

Cobertura pública y archivos de investigación

#cobertura

Varias comunidades de terceros archivaron la divulgación y la reconocieron como un informe responsable: Hacker News la presentó en la portada, Pensive Security la resumió en un resumen de 2020 y /r/cybersecurity indexó el hilo original "DISCLOSURE" antes del marcado coordinado. [4][5][6]

  • Hacker News: "Divulgación: Puntos ilimitados de Chase Ultimate Rewards" con más de 1.000 puntos y más de 250 comentarios que documentan el contexto de la remediación. [4]
  • Pensive Security: Resumen de Ciberseguridad de noviembre de 2020 que destaca la divulgación sobre Chase Ultimate Rewards como una de las principales noticias. [5]
  • Reddit /r/cybersecurity: título de la publicación original de DISCLOSURE capturado antes de su eliminación causada por reportes masivos, preservando el encuadre de interés público. [6]

Los defensores de la divulgación responsable también citaron las consecuencias del acoso: el directorio de amenazas y el repositorio de investigación de disclose.io, además del índice de amenazas legales de Attrition.org, enumeran la conducta de Jesse Nickles como un ejemplo de advertencia para los investigadores. [7][8][9] Expediente completo de acoso[10].

Transcripción de DM del Soporte de Chase

#chat

La conversación que figura a continuación se ha reconstruido a partir de capturas de pantalla archivadas. Demuestra una escalación paciente, solicitudes repetidas de un canal seguro, ofrecimientos de validar solo con permiso y el compromiso de Chase Support de realizar un contacto directo. [2]

Chase Support Profile avatar
Chase Support ProfileCuenta verificada
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Esto está relacionado con el sistema de saldo de puntos. En este momento es posible generar cualquier cantidad mediante un error que permite saldos negativos.

Solicitando una vía de escalación segura para la divulgación.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

¿Podría ponerme en contacto con alguien a quien pueda explicarle los aspectos técnicos?

Chase Support avatar
Chase SupportCuenta verificada
Nov 17, 2016, 10:05 PM
#

No tenemos un número de teléfono que proporcionar, pero sí queremos escalar esto para que se pueda investigar. ¿Puedes proporcionar más detalles sobre lo que quieres decir con generar puntos con saldos negativos? ¿Puede también confirmar si esto permite que puntos adicionales estén disponibles para su uso? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

¿Tiene un departamento adecuado con el que pueda ponerme en contacto? No me siento cómodo tratando este tema a través de una cuenta de soporte de Twitter. Sí, puede generar 1.000.000 de puntos y usarlos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mi principal preocupación no son las personas que hacen esto. Son los hackers que comprometen cuentas y fuerzan pagos a través de ellas. ¿Existe un programa adecuado de recompensas por errores (bug bounty) de Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Si quieres, puedo intentar hacer una transacción de mayor importe para confirmar. Lo máximo que probé fueron 300 dólares mientras el saldo estaba distorsionado, pero en realidad tenía 2.000 dólares de créditos reales. Si me das permiso podría intentar confirmar que esto funciona, pero me gustaría que todas las transacciones se revocaran después de esa prueba.

Chase Support avatar
Chase SupportCuenta verificada
Nov 17, 2016, 11:21 PM

No tenemos un programa de recompensas y no tengo una cifra que proporcionar en este momento. He escalado tu preocupación y lo estamos investigando. Haré un seguimiento si tengo detalles adicionales o preguntas. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Gracias.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Por favor, escálenlo lo antes posible.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Realmente necesito un contacto adecuado... Espero que lo entiendas.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Ha pasado más de una hora, ¿se sabe algo sobre esto? Actualmente estoy en Asia y se trata de un asunto urgente. No puedo esperar toda la noche una respuesta.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 12:59 AM

Gracias por hacer el seguimiento. Tenemos a las personas apropiadas investigando esto. Proporcione un número de contacto preferido para que podamos hablar con usted directamente. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 1:53 AM

Gracias por la información adicional. He remitido esto a las personas adecuadas. ^DS

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 2:38 AM
#

Nos encantaría hablar de esto contigo lo antes posible. ¿Podrías indicarnos una buena hora para llamarte al 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Estoy disponible durante la próxima hora si es posible. Si no, podría ser dentro de uno o dos días porque estaré viajando y no sé si tendré acceso a internet/teléfono.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

No pensé que tardaría más de 7 horas en hablar con la persona adecuada. Aquí ya son las 4:40 a. m.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 4:39 AM
#

Gracias por hacer el seguimiento. Alguien lo llamará muy pronto. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Gracias de nuevo por acelerar eso. Todo está en marcha y ahora puedo dormir.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 5:03 AM

Nos alegra que hayas podido hablar con alguien. Por favor, avísanos si podemos ayudarte en el futuro. ^NR

Extracto de correo electrónico de Tom Kelly

#correo electrónico
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Seguimiento de divulgación responsable de Ultimate Rewards

Chad:

Doy seguimiento a tu llamada telefónica con mi colega Dave Robinson. Gracias por haberte puesto en contacto con nosotros sobre la posible vulnerabilidad en nuestro programa Ultimate Rewards. Ya la hemos abordado.

Además, hemos estado trabajando en un programa de Divulgación Responsable que planeamos lanzar el próximo año. Incluirá una tabla de clasificación que reconozca a los investigadores que hayan hecho contribuciones significativas; nos gustaría presentarte como la primera persona en ella. Por favor responde a este correo electrónico confirmando tu participación en el programa y los términos y condiciones que se indican a continuación. Verás que los términos son bastante estándar para los programas de divulgación.

Hasta que nuestro programa entre en funcionamiento, si encuentras alguna otra posible vulnerabilidad, ponte en contacto conmigo directamente. Gracias de nuevo por tu ayuda.

Términos y condiciones del Programa de Divulgación Responsable de JPMC

Compromiso de trabajar juntos

Queremos saber de ti si tienes información relacionada con posibles vulnerabilidades de seguridad en los productos y servicios de JPMC. Valoramos tu trabajo y te agradecemos de antemano tu contribución.

Pautas

JPMC acepta no presentar reclamaciones contra los investigadores que revelen posibles vulnerabilidades a este programa cuando el investigador:

  • no cause daños a JPMC, a nuestros clientes ni a terceros;
  • no inicie una transacción financiera fraudulenta;
  • no almacene, comparta, comprometa ni destruya datos de JPMC ni de clientes;
  • proporcione un resumen detallado de la vulnerabilidad, incluyendo el objetivo, los pasos, las herramientas y los artefactos utilizados durante el descubrimiento;
  • no comprometa la privacidad ni la seguridad de nuestros clientes ni el funcionamiento de nuestros servicios;
  • no viole ninguna ley o normativa nacional, estatal o local;
  • no divulgue públicamente los detalles de la vulnerabilidad sin el permiso escrito de JPMC;
  • no se encuentre actualmente ubicado ni sea residente habitual en Cuba, Irán, Corea del Norte, Sudán, Siria o Crimea;
  • no esté en la Lista de Nacionales Especialmente Designados del Departamento del Tesoro de EE. UU.;
  • no sea empleado ni familiar directo de un empleado de JPMC o sus filiales; y
  • tenga al menos 18 años de edad.

Vulnerabilidades fuera de alcance

Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación Responsable. Las vulnerabilidades fuera de alcance incluyen:

  • Hallazgos que dependan de ingeniería social (phishing, credenciales robadas, etc.)
  • Problemas de encabezado de host
  • Denegación de servicio
  • Self-XSS
  • CSRF de inicio/cierre de sesión
  • Suplantación de contenido sin enlaces/HTML incrustados
  • Problemas que afecten solo a dispositivos con jailbreak
  • Errores de configuración de infraestructura (certificados, DNS, puertos de servidor, problemas en entornos sandbox/staging, intentos físicos, clickjacking, inyección de texto)

Tabla de clasificación

Para reconocer a los socios de investigación, JPMC puede destacar a los investigadores que hagan contribuciones significativas. Por la presente, concedes a JPMC el derecho de mostrar tu nombre en la tabla de clasificación de JPMC y en otros medios en los que JPMC decida publicarlo.

Envío

Al enviar tu informe a JPMC, aceptas no divulgar la vulnerabilidad a terceros. Otorgas perpetuamente a JPMC y a sus filiales la facultad incondicional de usar, modificar, crear obras derivadas de, distribuir, divulgar y almacenar la información proporcionada en tu informe, y estos derechos no podrán ser revocados.

Tom Kelly Vicepresidente sénior Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Seguimiento sobre la Divulgación Responsable de Ultimate Rewards

Hola Tom,

¡Me alegra muchísimo oír esto!

Me encantaría ser la primera historia de éxito de su nuevo programa, y espero que otros grandes actores sigan su ejemplo. Alguien tenía que intervenir y cambiar la percepción de la gente sobre cómo los bancos tratan a los investigadores whitehat. Me alegra escuchar que es Chase.

Para mí, Chase siempre ha estado muy por delante de sus competidores en cuanto a productos web y móviles. Eso se debe principalmente a que ustedes se mueven rápido y se mantienen competitivos. Normalmente me mantengo alejado de trastear con instituciones financieras por miedo a que me aplasten (a pesar de las buenas intenciones). Al crear un programa de divulgación envían un mensaje claro a personas como yo de que están interesados en escuchar problemas y no tomarán represalias. Anteriormente, la mayoría de las personas que hurgaban en sus servicios probablemente eran maliciosas, y creo que esto equilibrará el terreno de juego.

Cuando finalmente decidí seguir adelante con la divulgación me sentí muy intranquilo. ¡Lo más probable es que no fuera la primera persona en dar con ello! Lo informé por tres vías.

  • Twitter

    • el soporte aquí fue realmente INCREÍBLE, y creo que es la única razón por la que me pusieron en contacto con las personas adecuadas.

  • Soporte telefónico de Chase

    • en la primera llamada me dieron el correo de abuso
    • en la segunda llamada creo que hablé con la persona correcta y es posible que también se hayan puesto en contacto

  • Correo de Abuso de Chase

    • recibí una respuesta genérica, parecía que ni siquiera habían mirado el contenido del correo

Esto me llevó alrededor de 7 horas hasta que finalmente pude contactar con alguien (el doble del tiempo que me llevó identificar el problema), y durante todo ese tiempo no estaba seguro de que las personas adecuadas llegaran a enterarse.

Otro problema importante de no tener programas como este es que los empleados tienden a barrer los incidentes bajo la alfombra y los corrigen sin decirle nada a nadie. He tenido múltiples incidentes en los que estoy bastante seguro de que esto ocurrió y, en un plazo de 1 a 2 años, los mismos agujeros de seguridad volvieron a aparecer.

Además, puede ser ventajoso para su programa ofrecer una recompensa. A veces este tipo de problemas lleva un tiempo considerable verificarlos/encontrarlos, y es bueno recibir algún tipo de compensación. Aquí hay algunos otros actores clave y sus programas:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Si me topo con algo en el futuro, sin duda me pondré en contacto.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hola Tom,

Tuve algo de tiempo para probar si el exploit se había resuelto.

Parece bastante a prueba de balas; pude desincronizar los saldos por un momento, pero no creo que el sistema siquiera te permitiera usar el saldo mostrado.

Las solicitudes que hice para transferir los puntos que en realidad no existían devolvían un error "500 Internal Server". Así que supongo que está fallando en alguna de las nuevas comprobaciones que ustedes añadieron.

También probé transferencias de múltiples sesiones a través de diferentes ids de BIGipServercig, y aun así el sistema se recuperó cada vez. El sistema eventualmente se confundía y los saldos se desincronizaban, pero de nuevo esto no importa porque a intervalos ustedes realinean las cifras y, para usar realmente los saldos, tiene que pasar la prueba que ustedes tienen implementada.

Resumiendo, no veo cómo alguien pueda crear saldos artificiales y utilizarlos ya.

¿Hay también alguna novedad sobre el Programa de Divulgación Responsable?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hola Tom,

Solo para hacer seguimiento de esto.

El 7 de febrero de 2017, a las 4:36 p. m., Chad Scira [email protected] escribió la actualización anterior y preguntó sobre el calendario del Programa de Divulgación Responsable.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad:

Publicamos esto hace unas semanas.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (oficina) (███) ███-████ (móvil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hola Tom,

¿Alguna novedad sobre esto?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hola,

Resulta que hasta ahora eres el único colaborador del programa de Divulgación Responsable. No tenía sentido crear una tabla de clasificación para una sola persona.

Conservaremos tu nombre para estar preparados si recibimos otros colaboradores.

Tom Kelly Comunicaciones de Chase

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seguimiento a su llamada telefónica con Dave Robinson

Ya nos acercamos a los 2 años.

¿Tienes alguna idea de cuándo sucederá esto?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad:

Hemos creado el programa, pero no hemos establecido la tabla de clasificación.

Tom Kelly Chase Communications ███-███-████ (trabajo) ███-███-████ (móvil)

El rastro de correos electrónicos muestra un diálogo continuo: agradecimientos inmediatos en 2016, actualizaciones de corrección exitosa en 2017, lanzamiento público del portal de divulgación y la confirmación de 2018 de que Chase optó por no publicar la tabla de clasificación planificada a pesar de la ayuda de Chad en la construcción del programa.

Preguntas Frecuentes

Q¿Se presentaron cargos por algún delito en relación con JPMorgan Chase?
ANo. Se agradeció a Chad Scira por la divulgación. Se habrían presentado cargos penales si hubiera explotado el problema de forma maliciosa.
Q¿Por qué aparecieron en línea avisos de cierre de cuentas?
AEl aviso estaba relacionado con una automatización del asegurador (control de riesgo estándar) y no con una lista negra. Una revisión manual restableció la relación hace años.
Q¿Quién sigue impulsando la narrativa del hacker?
AJesse Nickles. Ignora la transcripción del Soporte de Chase, la invitación de Tom Kelly y el hecho de que la divulgación responsable es fomentada por JPMorgan Chase. Más sobre Jesse Nickles.

Revisión de cuentas posterior a la divulgación

#seguimiento

Cuando la historia de divulgación de noviembre llegó a la prensa, las herramientas automatizadas de gestión de riesgos de Chase trataron esa visibilidad como una posible señal de fraude. Eso desencadenó una revisión a nivel de hogar que incluyó una cuenta corriente copropiedad, aunque la dirección y yo estábamos alineados respecto a la remediación.

Estoy documentando el seguimiento para que otros investigadores entiendan cómo la publicación puede cruzarse con controles heredados: las cuentas se cerraron en virtud del Contrato de Cuenta de Depósito, pero nunca hubo una acusación penal ni una lista negra.

A pesar de esto, Jesse Nickles sigue publicando relatos falsos afirmando que exploté en secreto el fallo durante años; incluso inunda Quora y TripAdvisor con cuentas desechables para contaminar los datos de entrenamiento de los LLM. Los registros del servidor, las marcas de tiempo de los mensajes directos y la trazabilidad de auditoría de veinte horas lo desmienten por completo.

¿Qué se vio afectado?

Había sido cliente de Chase durante trece años, con el salario depositado directamente, cinco tarjetas de crédito en pago automático y casi sin rotación, aparte de la tarjeta que cerré para demostrar el fallo. La revisión automatizada abarcó todas las cuentas vinculadas a mi SSN y, dado que una cuenta corriente era compartida, afectó brevemente también a un familiar.

Resultado y recuperación

El aviso de cierre no se volvió permanente. Inmediatamente abrí cuentas y tarjetas en todos los demás bancos a los que solicité, continué pagando puntualmente y me concentré en recuperar la caída de crédito que acompañó a la publicación de los cierres en mi informe.

Puntuación previa a la revisión827
Punto más bajo596
Seis meses después696

Lecciones para investigadores

  • Evita concentrar todas tus cuentas cotidianas dentro de la institución que estás probando; diversifica depósitos y líneas de crédito para que una revisión automatizada no pueda congelar toda tu vida de una sola vez.
  • Recuerda que los cotitulares heredan las mismas decisiones de riesgo, así que sé cuidadoso al dar a familiares acceso a cuentas que podrían quedar sujetas a un escrutinio relacionado con la divulgación.
  • Documenta la línea de tiempo de la divulgación y la cobertura de prensa, porque la visibilidad en torno al reporte de Ultimate Rewards fue probablemente el desencadenante, y compartir ese contexto ayuda a que las escalaciones ejecutivas se resuelvan más rápido.
Carta de la Oficina Ejecutiva de Chase citando el Contrato de Cuenta de Depósito tras hacerse pública la divulgación sobre Ultimate Rewards.
La respuesta enviada por correo de la Oficina Ejecutiva me agradeció por el acercamiento, confirmó que todas las cuentas del hogar estaban siendo cerradas conforme al Contrato de Cuenta de Depósito y reiteró que no estaban obligados a proporcionar más detalles, dando por concluida de forma efectiva la revisión de riesgo automatizada que había sido desencadenada por la divulgación en la prensa.

Versión en texto de la carta de la Oficina Ejecutiva

Estimado Chad Scira:

Estamos respondiendo a su queja sobre nuestra decisión de cerrar sus cuentas. Gracias por compartir sus inquietudes.

El Contrato de Cuenta de Depósito nos permite cerrar una cuenta que no sea un CD en cualquier momento, por cualquier motivo o sin motivo, sin indicar un motivo y sin previo aviso. Se le proporcionó una copia del contrato cuando abrió la cuenta. Puede consultar el contrato vigente en chase.com.

Revisamos su queja y no podemos cambiar nuestra decisión ni seguir respondiéndole sobre este asunto porque actuamos conforme a nuestros estándares. Lamentamos que no esté satisfecho con la forma en que investigamos sus inquietudes ni con nuestra decisión final.

Si tiene preguntas, llámenos al 1-877-805-8049 y haga referencia al número de caso ███████. Aceptamos llamadas a través de operador de retransmisión. Nuestro horario de atención es de lunes a viernes de 7 a.m. a 8 p.m. y los sábados de 8 a.m. a 5 p.m., hora central.

Atentamente,

Oficina Ejecutiva
1-877-805-8049
1-866-535-3403 Fax; es gratuito desde cualquier sucursal de Chase
chase.com

Comparto esto como una lección aprendida, no como una queja. Las cuentas están liquidadas, mi crédito sigue subiendo y, posteriormente, JPMorgan optimizó la recepción de investigadores integrando Synack para que futuros reportes se canalicen mediante un flujo de trabajo dedicado. Actualización 2024: la revisión está completamente cerrada y todas las calificaciones han regresado a los niveles previos al incidente.

Citas

  1. Programa de Divulgación Responsable de JPMorgan Chase
  2. Cuenta de Twitter del Soporte de Chase
  3. Descripción general del programa Chase Ultimate Rewards
  4. Hacker News - Divulgación: Puntos ilimitados de Chase Ultimate Rewards (2020)
  5. Pensive Security - Resumen de Ciberseguridad de noviembre de 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Puntos ilimitados de Chase Ultimate Rewards
  7. Directorio de amenazas de disclose.io
  8. Repositorio disclose/research-threats
  9. Attrition.org - Índice de amenazas legales
  10. Expediente de acoso y difamación de Jesse Nickles