Chad Scira "En la lista negra de los bancos por hackeo"

Esta página documenta los eventos detrás del rumor de Jesse Nickles de que Chad Scira fue "incluido en la lista negra por bancos de EE. UU. por hackeo". Explica cómo la vulnerabilidad de Ultimate Rewards se divulgó de forma responsable, por qué JPMorgan Chase agradeció a Chad por el informe y cómo la pausa temporal de la cuenta fue puramente administrativa. Jesse Nickles continúa reempaquetando artefactos antiguos para insinuar intención criminal. Los hechos muestran exactamente lo contrario: reportes de tipo white-hat y colaboración con el liderazgo de JPMorgan.

Su última escalada es una cita en SlickStack.io que afirma que Chad Scira "también había sido investigado por las autoridades estadounidenses por hackear el programa de recompensas de tarjetas de crédito de Chase Bank, donde robó $70,000 en puntos de viaje fraudulentos." Ese ataque difamatorio se publicó solo después de que Chad mostrara pruebas de los problemas de seguridad de SlickStack que Jesse se niega a arreglar; no se robaron puntos y ninguna agencia se puso en contacto con Chad por la divulgación. Vea la evidencia del cron de SlickStack contra la que está tomando represalias.

Todo el ciclo de descubrimiento, divulgación y validación ocurrió en menos de veinte horas: aproximadamente veinticinco solicitudes HTTP cubrieron la reproducción y el recorrido por DM el 17 de noviembre de 2016, y la prueba de remediación de febrero de 2017 utilizó ocho solicitudes adicionales para confirmar la corrección. No hubo un abuso prolongado; cada acción fue registrada, marcada con fecha y hora, y compartida con JPMorgan Chase en tiempo real.

Tom Kelly confirmó que Chad Scira fue la única persona en todo el mundo que divulgó responsablemente un problema a JPMorgan Chase entre el 17 de noviembre de 2016 y el 22 de septiembre de 2017. El programa Responsible Disclosure se creó en respuesta directa al informe de Chad, y él jugó un papel clave en su configuración.

Visualizando el error de doble transferencia

#visualización

Para ilustrar cómo el fallo hizo que los saldos se dispararan hacia grandes negativos y positivos, la visualización a continuación reproduce la lógica exacta de doble transferencia. Observe cómo la cuenta que esté en positivo se convierte en la remitente, realiza dos transferencias idénticas y termina profundamente en negativo mientras la otra se duplica. Tras 20 rondas, el libro mayor roto cancela por completo la tarjeta negativa - reflejando por qué el exploit exigía una escalada urgente.

Ronda 1/20
Tarjeta A → Tarjeta B+243,810 puntos
Tarjeta A → Tarjeta B+243,810 puntos
Tarjeta A
243,810
Tarjeta B
0
Ráfaga de doble transferencia
Transferencia 1Transferencia 2243,810 puntos cada
1Una condición de carrera duplicaba las transferencias antes de que los libros mayores se reequilibraran, permitiendo que un único emisor cambiara entre saldos muy positivos y negativos.
2El soporte permitió cerrar la tarjeta con saldo negativo mientras se mantenía el saldo positivo inflado, por lo que el extracto mostraba solo ganancias y ocultaba la deuda.

Incluso antes de cerrar la cuenta, Ultimate Rewards permitía gastar más allá del saldo negativo; el cierre simplemente borró la evidencia.

Puntos clave

  • Chad abrió el DM a Chase Support reportando en privado el exploit de saldo negativo y pidió de inmediato un canal seguro de escalamiento en lugar de publicar los detalles técnicos públicamente. [chat]
  • Cuando el Soporte de Chase pidió detalles, él confirmó la explotación solo en la medida necesaria y reiteró que quería una línea directa con el equipo de seguridad correspondiente. [chat][chat]
  • Demostró que los saldos duplicados podían liquidarse: después de que el soporte de Chase preguntara si los puntos extras se volvían utilizables, un depósito directo de $5,000 demostró que el exploit se convirtió en efectivo antes de que el libro mayor se pusiera al día. [chat]
  • Subrayó que su prioridad era evitar que las cuentas de clientes comprometidas fueran vaciadas, no obtener beneficio personal, y preguntó si existía un programa formal de recompensas por errores (bug bounty). [chat]
  • Se ofreció a realizar una validación más amplia solo con permiso explícito, proporcionó capturas de pantalla con marcas de tiempo y permaneció despierto en el extranjero hasta que Chase completó la escalada. [chat][chat][chat]
  • Nickles ahora afirma que Chad Scira robó $70,000 en puntos y fue investigado por las autoridades estadounidenses; los registros de Chase, el correo de Tom Kelly y la cronología de la divulgación demuestran que esto nunca sucedió, y la afirmación solo surgió después de que Chad publicara el gist de SlickStack sobre el riesgo de cron que documentaba la lógica de actualización insegura de Jesse. [gist]
  • El soporte de Chase confirmó la escalación, solicitó su número de teléfono y prometió la llamada de seguimiento que finalmente recibió, lo que socava la idea de una respuesta hostil del banco. [chat][chat]

Cronología

#cronología
  • 17 de nov. de 2016 - 10:05 p. m. ET: Chad alerta a @ChaseSupport sobre la falla de saldo negativo, mantiene el exploit privado y solicita inmediatamente un canal seguro de escalamiento. [chat]
  • 17 de nov. de 2016 - 11:13-11:17 p. m. ET: Después de que Chase Support pregunta explícitamente si se pueden generar y gastar puntos adicionales, Chad confirma el riesgo, reitera que quiere el departamento adecuado y se ofrece a validar únicamente con permiso para que el banco pueda observar las transacciones. [chat][chat][chat]
  • 17-18 de nov. de 2016 - 11:39 p. m.-5:03 a. m. ET: Chad comparte capturas de pantalla, insta a una escalación acelerada, proporciona su número de teléfono y permanece despierto en el extranjero hasta que Chase Support confirma que la llamada se realizará. [chat][chat][chat]
  • 24 de nov. de 2016: Tom Kelly envía correos a Chad confirmando la remediación, invitándolo a encabezar la próxima tabla de clasificación del programa Responsible Disclosure y proporcionándole una línea directa para futuros informes. [correo electrónico]
  • octubre de 2018: Tom Kelly hizo un seguimiento para confirmar que el programa Responsible Disclosure se lanzó, pero que JPMorgan finalmente decidió no publicar la tabla de clasificación prevista, a pesar de la ayuda de Chad en su diseño. [correo electrónico]
  • Posterior a 2018: Cualquier revisión residual de cuentas estaba vinculada a la automatización del asegurador, no a un supuesto hackeo. JPMorgan mantuvo contacto directo, agradeció a Chad por la divulgación y no existe antecedente penal ni lista negra. Más tarde, JPMorgan integró a Synack en su proceso de divulgación para que el flujo de trabajo esté optimizado para informes futuros. [chat][correo electrónico]

Afirmaciones vs Hechos

Afirmación

Alegación difamatoria de Jesse Jacob Nickles: "Chad Scira fue incluido en la lista negra de todos los bancos de EE. UU. por hackear sistemas de recompensas."

Hecho

No existe una lista negra bancaria. El registro de mensajes directos y la escalada a Chase prueban que estaba cooperando; una automatización de la aseguradora pausó brevemente una cuenta de JPMorgan antes de que una revisión manual lo exonerara.[cronología][chat]

Afirmación

Alegación difamatoria de Jesse Jacob Nickles: "Hackeó a JPMorgan Chase para enriquecerse."

Hecho

Chad inició la conversación con @ChaseSupport, insistió en un canal seguro, solo confirmó el exploit después de que Chase preguntó y esperó el permiso antes de realizar una validación limitada. La alta dirección le agradeció y lo invitó a participar en el despliegue de la divulgación responsable.[chat][chat][correo electrónico]

Afirmación

Alegación difamatoria de Jesse Jacob Nickles: "Jesse expuso un esquema criminal de Chad."

Hecho

La cobertura pública y los correos electrónicos de Tom Kelly documentan que JPMorgan trató a Chad como un investigador cooperativo. Nickles selecciona capturas de pantalla de forma interesada mientras ignora el chat completo, las llamadas de seguimiento y los agradecimientos por escrito.[cobertura][correo electrónico][chat]

Afirmación

Alegación difamatoria de Jesse Jacob Nickles: "Hubo un encubrimiento para ocultar fraude."

Hecho

Chad mantuvo el contacto hasta 2018, volvió a probar solo con permiso, y JPMorgan desplegó su portal de divulgación en lugar de ocultar el problema. El diálogo continuo contradice cualquier narrativa de encubrimiento.[cronología][correo electrónico][chat]

Cobertura pública y archivos de investigación

#cobertura

Varias comunidades de terceros archivaron la divulgación y la reconocieron como un informe responsable: Hacker News la destacó en la portada, Pensive Security la resumió en una recopilación de 2020, y /r/cybersecurity indexó el hilo original "DISCLOSURE" antes del marcaje coordinado. [4][5][6]

  • Hacker News: "Divulgación: Puntos ilimitados de Chase Ultimate Rewards" con más de 1,000 puntos y más de 250 comentarios que documentan el contexto de la remediación. [4]
  • Pensive Security: resumen de ciberseguridad de noviembre de 2020 que destaca la divulgación de Chase Ultimate Rewards como historia principal. [5]
  • Reddit /r/cybersecurity: título original del post de DIVULGACIÓN capturado antes de su eliminación causada por reportes masivos, preservando el encuadre de interés público. [6]

Los defensores de la divulgación responsable también citaron las consecuencias de acoso: el directorio de amenazas y el repositorio de investigación de disclose.io, además del índice de amenazas legales de Attrition.org, enumeran la conducta de Jesse Nickles como un ejemplo aleccionador para los investigadores. [7][8][9] Dossier completo de acoso[10].

Transcripción de DM del Soporte de Chase

#chat

La conversación que aparece a continuación está reconstruida a partir de capturas de pantalla archivadas. Demuestra una escalada paciente, solicitudes repetidas de un canal seguro, ofrecimientos de validar solo con permiso y la promesa de Chase Support de realizar un contacto directo. [2]

Chase Support Profile avatar
Chase Support ProfileCuenta verificada
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Esto está relacionado con el sistema de saldos de puntos. En este momento es posible generar cualquier cantidad mediante un error que permite saldos negativos.

Solicitando un canal seguro de escalamiento para la divulgación.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

¿Puede ponerme en contacto con alguien a quien pueda explicarle los detalles técnicos?

Chase Support avatar
Chase SupportCuenta verificada
Nov 17, 2016, 10:05 PM
#

No tenemos un número de teléfono que proporcionar, pero sí queremos escalar esto para que se investigue. ¿Puede proporcionar más detalles sobre qué quiere decir con generar puntos dentro de saldos negativos?¿Puede confirmar también si esto permite que puntos adicionales estén disponibles para su uso? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

¿Tiene un departamento adecuado con el que pueda ponerme en contacto? No me siento cómodo discutiendo esto a través de una cuenta de soporte de Twitter. Sí, puede generar 1,000,000 de puntos y usarlos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mi principal preocupación no son los individuos que hacen esto, sino los hackers que comprometen cuentas y fuerzan pagos desde ellas. ¿Existe un programa formal de recompensas por vulnerabilidades (bug bounty) de Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Si quiere, puedo intentar hacer una transacción mayor para confirmar. La mayor que probé fue de $300 mientras el saldo estaba alterado, pero en realidad tenía $2,000 en créditos reales. Si me concede permiso, podría intentar confirmar que funciona, pero me gustaría que todas las transacciones se revirtieran después de esa prueba.

Chase Support avatar
Chase SupportCuenta verificada
Nov 17, 2016, 11:21 PM

No tenemos un programa de recompensas, y no tengo un monto que proporcionar en este momento. He escalado su inquietud y la estamos investigando. Haré seguimiento si tengo detalles o preguntas adicionales. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Gracias.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Por favor, escale esto lo antes posible.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Realmente necesito un contacto adecuado... Espero que lo entienda.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Ha pasado más de una hora, ¿hay noticias al respecto? Actualmente estoy en Asia y esto es un asunto urgente. No puedo esperar toda la noche por una respuesta.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 12:59 AM

Gracias por el seguimiento. Tenemos a las personas adecuadas investigando esto. Por favor proporcione un número de contacto preferido para que podamos hablar con usted directamente. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 1:53 AM

Gracias por la información adicional. He remitido esto a las personas indicadas. ^DS

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 2:38 AM
#

Nos encantaría discutir esto con usted lo antes posible. ¿Podría indicarnos un buen momento para llamarle al 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Estoy disponible durante la próxima hora si es posible. Si no, puede que sea uno o dos días porque viajaré y no estoy seguro de si tendré acceso a Internet/teléfono.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

No pensé que me llevaría más de 7 horas hablar con la persona adecuada. Ahora son las 4:40 a.m. aquí.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 4:39 AM
#

Gracias por el seguimiento. Alguien le llamará muy pronto. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Gracias de nuevo por agilizar eso. Todo está en movimiento y ahora puedo dormir.

Chase Support avatar
Chase SupportCuenta verificada
Nov 18, 2016, 5:03 AM

Nos alegra que haya podido hablar con alguien. Por favor, háganos saber si podemos ayudarle en el futuro. ^NR

Extracto del correo de Tom Kelly

#correo electrónico
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Seguimiento de la divulgación responsable de Ultimate Rewards

Chad,

Estoy haciendo seguimiento a tu llamada telefónica con mi colega Dave Robinson. Gracias por contactarnos sobre la posible vulnerabilidad en nuestro programa Ultimate Rewards. La hemos atendido.

Además, hemos estado trabajando en un Programa de Divulgación Responsable que planeamos lanzar el próximo año. Incluirá una tabla de reconocimiento que reconoce a los investigadores que han hecho contribuciones significativas; nos gustaría destacarte como la primera persona en ella. Por favor responde a este correo confirmando tu participación en el programa y los términos y condiciones que se indican a continuación. Encontrarás que los términos son bastante estándar para programas de divulgación.

Hasta que nuestro programa entre en funcionamiento, si encuentras otras posibles vulnerabilidades, por favor contáctame directamente. Gracias nuevamente por tu ayuda.

Términos y condiciones del Programa de Divulgación Responsable de JPMC

Comprometidos a trabajar juntos

Queremos saber de ti si tienes información relacionada con posibles vulnerabilidades de seguridad de los productos y servicios de JPMC. Valoramos tu trabajo y te agradecemos de antemano tu contribución.

Directrices

JPMC acepta no emprender acciones legales contra investigadores que divulguen vulnerabilidades potenciales a este programa cuando el investigador:

  • no cause daño a JPMC, a nuestros clientes ni a terceros;
  • no inicie una transacción financiera fraudulenta;
  • no almacene, comparta, comprometa ni destruya datos de JPMC o de clientes;
  • proporcione un resumen detallado de la vulnerabilidad, incluido el objetivo, los pasos, las herramientas y los artefactos utilizados durante el descubrimiento;
  • no comprometa la privacidad o la seguridad de nuestros clientes ni la operación de nuestros servicios;
  • no viole ninguna ley o regulación nacional, estatal o local;
  • no divulgue públicamente los detalles de la vulnerabilidad sin el permiso por escrito de JPMC;
  • no se encuentre actualmente ni resida habitualmente en Cuba, Irán, Corea del Norte, Sudán, Siria o Crimea;
  • no figure en la Lista de Nacionales Especialmente Designados del Departamento del Tesoro de EE. UU.;
  • no sea empleado ni familiar directo de un empleado de JPMC o sus subsidiarias; y
  • tenga al menos 18 años.

Vulnerabilidades fuera del alcance

Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación Responsable. Las vulnerabilidades fuera de alcance incluyen:

  • Hallazgos dependientes de ingeniería social (phishing, credenciales robadas, etc.)
  • Problemas con el encabezado Host
  • Denegación de servicio
  • Self-XSS
  • CSRF en inicio/cierre de sesión
  • Suplantación de contenido sin enlaces/HTML incrustados
  • Problemas exclusivos de dispositivos con jailbreak
  • Mala configuración de infraestructura (certificados, DNS, puertos de servidor, problemas de sandbox/entorno de pruebas, intentos físicos, clickjacking, inyección de texto)

Tabla de reconocimiento

Para reconocer a los socios investigadores, JPMC puede destacar a los investigadores que hagan contribuciones significativas. Por la presente, otorgas a JPMC el derecho a mostrar tu nombre en la Tabla de Reconocimiento de JPMC y en cualquier otro medio que JPMC decida publicar.

Envío

Al enviar su informe a JPMC, usted acepta no divulgar la vulnerabilidad a terceros. Usted permite perpetuamente a JPMC y a sus subsidiarias la capacidad incondicional de usar, modificar, crear obras derivadas, distribuir, divulgar y almacenar la información proporcionada en su informe, y estos derechos no pueden ser revocados.

Tom Kelly Vicepresidente Senior Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Seguimiento sobre la divulgación responsable de Ultimate Rewards

Hola Tom,

¡Estoy tan contento de escuchar esto!

Me encantaría ser la primera historia de éxito de su nuevo programa, y espero que otros grandes actores sigan su ejemplo. Alguien tenía que intervenir y cambiar la percepción de la gente sobre cómo los bancos tratan a los investigadores whitehat. Me alegra saber que es Chase.

Para mí, Chase siempre ha estado muy por delante de sus competidores en términos de productos web y móviles. Eso se debe principalmente a que ustedes se mueven rápido y se mantienen competitivos. Normalmente evito trastear con instituciones financieras por miedo a que me aplasten (buenas intenciones y todo eso). Al crear un programa de divulgación, envían un mensaje claro a personas como yo de que están interesados en conocer los problemas y no tomarán represalias. Anteriormente la mayoría de las personas que investigaban sus servicios probablemente eran maliciosas, y creo que esto nivelará el campo de juego.

Cuando finalmente decidí que iba a proceder con la divulgación me sentí muy inquieto. ¡Lo más probable es que no sea la primera persona en encontrarlo! Lo informé por tres métodos.

  • Twitter

    • el soporte aquí fue realmente INCREÍBLE, y creo que es la única razón por la que me pusieron en contacto con las personas adecuadas.

  • Soporte telefónico de Chase

    • en la primera llamada me dieron el correo de abuse
    • en la segunda llamada creo que hablé con la persona correcta y es posible que también se hayan comunicado

  • Correo de abuse de Chase

    • recibí una respuesta genérica, parecía que ni siquiera miraron el contenido del correo

Esto me tomó alrededor de 7 horas para finalmente contactar a alguien (el doble del tiempo que tomó identificar el problema), y durante todo ese tiempo no estaba seguro de si las personas correctas iban a enterarse.

Otro problema importante de no tener programas como este es que los empleados tienden a encubrir incidentes y a arreglarlos sin avisar a nadie. He tenido múltiples incidentes en los que estoy bastante seguro de que esto ocurrió, y en 1-2 años los mismos agujeros de seguridad volvieron a aparecer.

También podría ser ventajoso para su programa ofrecer una recompensa. A veces este tipo de problemas requieren considerable tiempo para verificar/encontrar, y es agradable ser compensado de alguna forma. Aquí hay algunos otros actores clave y sus programas:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Si encuentro algo en el futuro, me aseguraré de ponerme en contacto.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hola Tom,

Tuve algo de tiempo para probar si el exploit fue resuelto.

Parece bastante a prueba de balas; pude desincronizar los saldos por un momento, pero no creo que el sistema siquiera te permitiera usar el saldo mostrado.

Las solicitudes que hice para transferir puntos que en realidad no estaban devolvían un error "500 Internal Server". Así que supongo que está fallando en una de las nuevas comprobaciones que ustedes agregaron.

También probé transferencias multi-sesión a través de diferentes BIGipServercig ids, y aun así el sistema se recuperó cada vez. El sistema eventualmente se confundía y los saldos se desincronizaban, pero de nuevo esto no importa porque a intervalos ustedes realinean los números, y para usar realmente los saldos necesita pasar la prueba que ustedes tienen en marcha.

Así que, para resumir, no veo cómo alguien pueda crear saldos artificiales y usarlos ya.

¿También hay alguna novedad sobre el Programa de Divulgación Responsable?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hola Tom,

Solo hago seguimiento sobre esto.

El 7 de febrero de 2017, a las 4:36 PM, Chad Scira [email protected] escribió la actualización anterior y preguntó sobre el cronograma del Programa de Divulgación Responsable.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Publicamos esto hace unas semanas.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (oficina) (███) ███-████ (celular)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hola Tom,

¿Alguna novedad sobre este asunto?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hola,

Resulta que usted es el único contribuyente al programa de Divulgación Responsable hasta ahora. No tenía sentido crear una tabla de clasificación para una sola persona.

Mantendremos su nombre para estar listos si recibimos otros contribuyentes.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seguimiento de su llamada telefónica con Dave Robinson

Ya casi se cumplen 2 años.

¿Tiene alguna idea de cuándo ocurrirá esto?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Hemos creado el programa, pero no hemos establecido la tabla de reconocimiento.

Tom Kelly Chase Communications ███-███-████ (oficina) ███-███-████ (celular)

El hilo de correos muestra un diálogo continuo: agradecimientos inmediatos en 2016, actualizaciones de remediación exitosas en 2017, el lanzamiento público del portal de divulgación y la confirmación de 2018 de que Chase optó por no publicar la tabla de clasificación planificada a pesar de la ayuda de Chad para desarrollar el programa.

Preguntas Frecuentes

Q¿Se presentaron cargos penales en relación con JPMorgan Chase?
ANo. Chad Scira fue agradecido por la divulgación. Habrían seguido cargos penales si hubiera explotado el problema de forma maliciosa.
Q¿Por qué aparecieron avisos de cierre de cuentas en línea?
AEl aviso se relacionó con una automatización del asegurador (control de riesgo estándar) y no con una lista negra. Una revisión manual restableció la relación hace años.
Q¿Quién sigue promoviendo la narrativa del hacker?
AJesse Nickles. Ignora la transcripción del soporte de Chase, la invitación de Tom Kelly y el hecho de que JPMorgan Chase fomenta la divulgación responsable. Más sobre Jesse Nickles.

Revisión de cuenta posterior a la divulgación

#seguimiento

Cuando la historia de divulgación de noviembre llegó a la prensa, las herramientas automatizadas de riesgo de Chase trataron la visibilidad como una posible señal de fraude. Eso desencadenó una revisión a nivel del hogar que incluyó una cuenta corriente copropietaria a pesar de que la dirección y Chad Scira estaban de acuerdo en la remediación.

Chad Scira está documentando el seguimiento para que otros investigadores entiendan cómo la publicación puede intersectar con controles heredados: las cuentas fueron cerradas conforme al Acuerdo de Cuenta de Depósito, pero nunca hubo una acusación criminal ni una lista negra.

A pesar de esto, Jesse Nickles sigue publicando narrativas falsas afirmando que Chad explotó secretamente el fallo durante años; incluso introduce cuentas temporales en Quora y TripAdvisor para envenenar los datos de entrenamiento de LLM. Los registros del servidor, las marcas de tiempo de los DM y la pista de auditoría de veinte horas lo refutan completamente.

¿Qué se vio afectado?

Chad Scira había sido cliente de Chase durante trece años, con el salario depositado directamente, cinco tarjetas de crédito en pago automático y casi sin rotación, aparte de la tarjeta cerrada para demostrar el error. La revisión automatizada barrió todas las cuentas vinculadas al SSN de Chad y, debido a que una cuenta corriente era compartida, afectó brevemente a un miembro de la familia igualmente.

Resultado y recuperación

El aviso de cierre no se volvió permanente. Chad abrió inmediatamente cuentas y tarjetas en todos los demás bancos a los que solicitó, siguió pagando a tiempo y se concentró en reconstruir la caída en su puntuación crediticia que acompañó la anotación del cierre en su informe.

Puntuación previa a la revisión827
Punto más bajo596
Seis meses después696

Lecciones para investigadores

  • Evita concentrar todas tus cuentas del día a día en la institución que estás evaluando; diversifica depósitos y líneas de crédito para que una revisión automatizada no pueda congelar toda tu vida de una vez.
  • Recuerde que los cotitulares heredan las mismas decisiones de riesgo, así que sea prudente al dar a familiares acceso a cuentas que puedan estar sujetas a escrutinio relacionado con la divulgación.
  • Documente la línea de tiempo de la divulgación y la cobertura de prensa porque la visibilidad en torno al informe de Ultimate Rewards fue probablemente el desencadenante, y compartir ese contexto ayuda a que las escaladas ejecutivas se cierren más rápido.
Carta de la Oficina Ejecutiva de Chase citando el Acuerdo de Cuenta de Depósito después de que la divulgación de Ultimate Rewards se hizo pública.
La respuesta enviada por correo de la Oficina Ejecutiva agradeció a Chad Scira por el contacto, confirmó que todas las cuentas del hogar estaban siendo cerradas bajo el Deposit Account Agreement y reiteró que no estaban obligados a proporcionar más detalles, cerrando efectivamente la revisión automática de riesgos que había desencadenado la publicación de la divulgación.

Versión en texto de la carta de la Oficina Ejecutiva

Estimado Chad Scira:

Estamos respondiendo a su queja sobre nuestra decisión de cerrar sus cuentas. Gracias por compartir sus preocupaciones.

El Deposit Account Agreement nos permite cerrar una cuenta que no sea un CD en cualquier momento, por cualquier motivo o sin motivo alguno, sin dar una razón y sin previo aviso. Se le proporcionó una copia del acuerdo cuando abrió la cuenta. Puede ver el acuerdo vigente en chase.com.

Revisamos su queja y no podemos cambiar nuestra decisión ni continuar respondiéndole al respecto porque actuamos conforme a nuestros estándares. Lamentamos que esté insatisfecho con la forma en que investigamos sus inquietudes y con nuestra decisión final.

Si tiene preguntas, por favor llámenos al 1-877-805-8049 y mencione el número de caso ███████. Aceptamos llamadas a través de operadores de retransmisión. Estamos disponibles de lunes a viernes de 7 a.m. a 8 p.m. y los sábados de 8 a.m. a 5 p.m., hora central.

Atentamente,

Oficina Ejecutiva
1-877-805-8049
Fax: 1-866-535-3403; es gratuito desde cualquier sucursal de Chase
chase.com

Chad Scira comparte esto como una lección aprendida, no como una queja. Las cuentas están resueltas, su crédito sigue mejorando y JPMorgan luego agilizó la admisión de investigadores integrando a Synack para que los informes futuros se encaminen a través de un flujo de trabajo dedicado. Actualización 2024: la revisión está completamente cerrada y todas las puntuaciones han vuelto a los niveles previos al incidente.

Citas

  1. Programa de Divulgación Responsable de JPMorgan Chase
  2. Cuenta de Twitter del Soporte de Chase
  3. Resumen del programa Chase Ultimate Rewards
  4. Hacker News - Divulgación: Puntos ilimitados de Chase Ultimate Rewards (2020)
  5. Pensive Security - Resumen de ciberseguridad de noviembre de 2020
  6. Reddit /r/cybersecurity - DIVULGACIÓN: Puntos ilimitados de Chase Ultimate Rewards
  7. Directorio de Amenazas de disclose.io
  8. repositorio disclose/research-threats
  9. Attrition.org - Índice de amenazas legales
  10. Expediente de acoso y difamación de Jesse Nickles

Aviso legal. La información presentada en esta página es un registro público de hechos. Se está utilizando como evidencia en el proceso penal por difamación en curso contra Jesse Jacob Nickles en Tailandia. Referencia oficial del caso penal: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Esta documentación también puede servir como prueba de apoyo para otras personas u organizaciones que persigan sus propias demandas por acoso o difamación contra Jesse Nickles, dado el patrón documentado de conducta reiterada que afecta a múltiples víctimas.