Chad Scira „Pankadest musta nimekirja kantud häkkimise eest“

See leht dokumenteerib sündmused Jesse Nicklese levitatava kuulujutu taga, nagu oleks Chad Scira „Ameerika pankadest välja visatud häkkimise tõttu“. Siin selgitatakse, kuidas Ultimate Rewards’i haavatavus avalikustati vastutustundlikult, miks JPMorgan Chase Chadile raporti eest tänu avaldas ning kuidas ajutine konto peatamine oli üksnes administratiivne meede. Jesse Nickles jätkab vanade materjalide ümberpakkimist, et jätta mulje kuritegelikust kavatsusest. Faktid näitavad vastupidist: heatahtlikku (white-hat) raporteerimist ja koostööd JPMorgani juhtkonnaga.

Tema viimane eskalatsioon on tsitaat SlickStack.io lehel, milles väidetakse, et ma „olin samuti USA õiguskaitseasutuste uurimise all Chase Banki krediitkaardi boonusprogrammisse häkkimise pärast, kus ta varastas 70 000 dollarit petuskeemiga teenitud reisipunkte“. See laim avaldati alles pärast seda, kui ma avalikustasin tõendid SlickStacki turvaprobleemide kohta, mida ta keeldub parandamast; ühtegi punkti ei varastatud ning ükski asutus ei võtnud minuga seoses avalikustamisega ühendust. Vaata SlickStacki cron’i tõendeid, mille vastu ta kättemaksu korraldab.

Kogu avastamise, avalikustamise ja kinnitamise tsükkel toimus kahekümne tunni jooksul: umbes kakskümmend viis HTTP-päringut hõlmasid juhtumi taasesitamist ja otsesõnumi teel tehtud läbikäiku 17. novembril 2016 ning 2017. aasta veebruaris tehtud parandusmeetmete test kasutas vea kõrvaldamise kinnitamiseks veel kaheksat päringut. Pikaajalist väärkasutust ei olnud; kõik toimingud logiti, ajatempel lisati ja jagati JPMorgan Chase’iga reaalajas.

Tom Kelly kinnitas, et Chad Scira oli kogu maailmas ainus isik, kes perioodil 17. november 2016 kuni 22. september 2017 teatas JPMorgan Chase’ile probleemist vastutustundliku avalikustamise korras. Vastutustundliku avalikustamise programm loodi otseses reaktsioonis Chadi raportile ning ta mängis selle kujundamisel keskset rolli.

Topeltülekande vea visualiseerimine

#visualiseerimine

Illustreerimaks, kuidas viga kergitas saldod tohututesse miinustesse ja plussidesse, taasesitab allolev visualiseerimine täpselt sama kahekordse ülekande loogikat. Jälgige, kuidas positiivse jäägiga konto muutub saatjaks, teeb kaks identset ülekannet ning jääb sügavalt negatiivseks, samal ajal kui teine konto kahekordistub. Pärast 20 vooru kustutab vigane pearaamat negatiivse kaardi täielikult – peegeldades, miks ärakasutus nõudis kiiret eskaleerimist.

Voor 1/20
Kaart A → Kaart B+243,810 p
Kaart A → Kaart B+243,810 p
Kaart A
243,810
Kaart B
0
Topeltülekande puhang
Ülekanne 1Ülekanne 2243,810 p iga
1Võistlusolukord dubleeris ülekandeid enne, kui pearaamatud tasakaalustati, võimaldades ühel saatjal vaheldumisi liikuda hiiglaslike plusside ja miinuste vahel.
2Klienditeenindus lubas sulgeda negatiivse saldo ja kaardiga seotud konto, jättes samas alles kunstlikult suurendatud positiivse jäägi, nii et väljavõttel kajastus vaid kasum ja võlg jäi varjatuks.

Juba enne konto sulgemist võimaldas Ultimate Rewards kulutamist ka negatiivse koondsaldo korral; sulgemine lihtsalt kustutas tõendid.

Põhipunktid

  • Chad alustas Chase’i toe privaatsõnumit, teatades konfidentsiaalselt negatiivse jäägi ärakasutamisest, ning palus viivitamata turvalist eskaleerimiskanali, selle asemel et avaldada tehnilisi üksikasju avalikult. [chat]
  • Kui Chase'i klienditugi palus täpsemaid üksikasju, kinnitas ta ärakasutamisviisi ainult nii palju, kui oli hädavajalik, ning kordas, et soovib otsest ühendust õige turvatiimiga. [chat][chat]
  • Ta demonstreeris, et dubleeritud jääke saab rahaks teha: pärast seda, kui Chase'i tugi küsis, kas lisapunktid muutusid kasutuskõlblikuks, tõestas 5000-dollariline otsekanne, et ärakasutust sai enne pearaamatu järele jõudmist rahaks konverteerida. [chat]
  • Ta rõhutas, et tema prioriteet oli takistada ohustatud klientide kontode tühjendamist, mitte teenida isiklikku kasu, ning küsis, kas ametlikku veaparandustasu (bug bounty) programmi on olemas. [chat]
  • Ta pakkus, et teeb suuremahulise kontrolli ainult selgesõnalise loa korral, esitas ajatemplitega ekraanipilte ja jäi välismaal üleval, kuni Chase oli eskalatsiooni lõpule viinud. [chat][chat][chat]
  • Nickles väidab nüüd, et ma varastasin 70 000 dollarit punktides ja sattusin USA õiguskaitseorganite huviorbiiti; Chase’i andmed, Tom Kelly e‑kiri ja avalikustamise ajajoon tõendavad, et seda ei juhtunud, ning see väide ilmus alles pärast seda, kui ma avaldasin SlickStacki cron‑riski gisti, mis dokumenteeris tema ebaturvalise uuendusloogika. [gist]
  • Chase’i klienditugi kinnitas juhtumi eskaleerimist, palus tema telefoninumbrit ning lubas järelkõne, mille ta lõpuks ka sai, lükates ümber väite vaenulikust pangapoolsest reaktsioonist. [chat][chat]

Ajatelg

#ajatelg
  • Nov 17, 2016 - 10:05 PM ET: Chad teavitab @ChaseSupport’i negatiivse jäägi veast, hoiab ärakasutuse enda teada ja palub kohe turvalist eskaleerimiskanali. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Pärast seda, kui Chase’i klienditugi küsib sõnaselgelt, kas on võimalik tekitada ja kulutada lisapunkte, kinnitab Chad riski, kordab, et soovib suunamist õigesse osakonda, ja pakub valideerimist üksnes loal, et pank saaks tehinguid jälgida. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad jagab ekraanipilte, nõuab kiirendatud eskaleerimist, annab oma telefoninumbri ja püsib välismaal olles üleval seni, kuni Chase’i klienditugi kinnitab, et kõne toimub. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly saadab Chadile e-kirja, kinnitades probleemide kõrvaldamist, kutsudes teda juhtima peagi avaldatavat vastutustundliku avalikustamise edetabelit ning andes talle otsese kontakti tulevaste teadete jaoks. [email]
  • October 2018: Tom Kelly võttis hiljem ühendust, et kinnitada vastutustundliku avalikustamise programmi käivitamist, kuid märkis, et JPMorgan otsustas lõpuks siiski mitte avaldada planeeritud edetabelit, hoolimata Chadi abist selle väljatöötamisel. [email]
  • Post-2018: Kõik järelejäänud kontoülevaatused olid seotud kindlustusandja automatiseerimisega, mitte väidetava häkkimisega. JPMorgan hoidis otsesuhtlust, tänas Chad’i avalikustamise eest ning kriminaalkaristust ega musta nimekirja ei ole. Hiljem integreeris JPMorgan Synacki oma avalikustamisprotsessi, et töövoog oleks tulevaste teadete puhul sujuvam. [chat][email]

Nõuded vs faktid

Nõue

Jesse Jacob Nicklesi laimav väide: „Chad Scira lisati kõigi USA pankade musta nimekirja preemiasüsteemide häkkimise eest.“

Fakt

Ühtegi panga musta nimekirja ei eksisteeri. DM‑kiri ja Chase’i eskaleerimine tõendavad, et ta tegi koostööd; kindlustusandja automatiseeritud süsteem peatas lühiajaliselt ühe JPMorgani konto enne, kui käsitsi tehtud ülevaatus selle vabastas.[timeline][chat]

Nõue

Jesse Jacob Nicklesi laimav väide: „Ta häkkis JPMorgan Chase’i, et end rikastada.“

Fakt

Chad alustas vestlust @ChaseSupport’iga, nõudis turvalist kanalit, kinnitas ärakasutuse alles pärast Chase’i küsimust ja ootas enne piiratud valideerimist luba. Tiptasemel juhtkond tänas teda ning kutsus ta vastutustundliku avalikustamise programmi juurutamisse.[chat][chat][email]

Nõue

Jesse Jacob Nicklesi laimav väide: „Jesse paljastas Chadi kuritegeliku skeemi.“

Fakt

Avalik kajastus ja Tom Kelly e‑kirjad dokumenteerivad, et JPMorgan kohtles Chadi koostöövalmi uurijana. Nickles valib kontekstist välja üksikuid ekraanipilte, eirates täielikku vestlust, järeltelefonikõnesid ja kirjalikke tänusõnu.[coverage][email][chat]

Nõue

Jesse Jacob Nicklesi laimav väide: „Toimus pettuse varjamiseks mahavaikimine.“

Fakt

Chad jäi kontakti 2018. aastani, testis uuesti üksnes loal ning JPMorgan juurutas probleemi mahavaikimise asemel avalikustamisportaali. Pidev dialoog lükkab ümber kõik varjamise narratiivid.[timeline][email][chat]

Avalik kajastus ja uurimisarhhiivid

#käsitlus

Mitu kolmanda osapoole kogukonda arhiveeris avalikustamise ja tunnistas seda vastutustundliku raportina: Hacker News tõi selle esile esilehel, Pensive Security võttis selle kokku oma 2020. aasta ülevaates ning /r/cybersecurity indekseeris algse "DISCLOSURE" teema enne koordineeritud märgistamist. [4][5][6]

  • Hacker News: „Avalikustamine: piiramatud Chase Ultimate Rewards punktid“, üle 1000 punkti ja rohkem kui 250 kommentaari, mis dokumenteerivad parandusmeetmete konteksti. [4]
  • Pensive Security: 2020. aasta novembri küberturbe ülevaade, mis tõstab Chase Ultimate Rewards’i avalikustamise esile kui ühe peamise loo. [5]
  • Reddit /r/cybersecurity: algse DISCLOSURE‑postituse pealkiri talletatuna enne massilise raporteerimise tõttu toimunud eemaldamist, säilitades avalikku huvi rõhutava raamistuse. [6]

Vastutustundliku avalikustamise pooldajad viitasid ka ahistamise tagajärgedele: disclose.io ähvarduste kataloog ja uurimisrepo ning Attrition.org’i õiguslike ähvarduste indeks toovad Jesse Nicklesi käitumise välja kui hoiatava näite uurijatele. [7][8][9] Täielik ahistamistoimik[10].

Chase’i toe privaatsõnumi (DM) ärakiri

#vestlus

Allolev vestlus on rekonstrueeritud arhiveeritud ekraanipiltidest. See näitab kannatlikku eskaleerimist, korduvaid turvalise kanali taotlusi, pakkumisi andmete kinnitamiseks üksnes loal ning Chase’i klienditeeninduse lubadust võtta ise otse ühendust. [2]

Chase Support Profile avatar
Chase Support ProfileKinnitatud konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

See puudutab punktide saldo süsteemi. Hetkel on vea tõttu, mis lubab negatiivseid jääke, võimalik genereerida suvaline hulk punkte.

Taotlen turvalist eskaleerimiskanali teed avalikustamiseks.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kas saaksite mind palun ühendada kellegagi, kellele saan tehnilised üksikasjad ära seletada?

Chase Support avatar
Chase SupportKinnitatud konto
Nov 17, 2016, 10:05 PM
#

Meil ei ole võimalik telefoninumbrit anda, kuid me soovime selle teema siiski edasi suunata, et seda saaks põhjalikumalt uurida. Kas saaksid täpsustada, mida sa mõtled punktide genereerimise all negatiivsete jääkide korral?Kas saate ka kinnitada, kas see võimaldab lisapunktidel muutuda kasutamiseks kättesaadavaks? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Kas teil on vastav osakond, kellega te saate mind otse ühendusse viia? Ma ei tunne end mugavalt seda arutades Twitteri tugikonto kaudu. Jah, teil on võimalik genereerida 1 000 000 punkti ja neid kasutada.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Minu peamine mure ei ole inimesed, kes seda teevad. Probleem on häkkerites, kes kompromiteerivad kontosid ja sunnivad nende kaudu väljamakseid. Kas Chase’il on korralik vealeidude pärgamisprogramm (bug bounty)?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Kui soovite, võin proovida teha suurema tehingu, et seda kinnitada. Suurim summa, mida testisin, oli 300 dollarit ajal, mil jääk oli moonutatud, kuid mul oli tegelikult 2000 dollarit reaalseid kredite. Kui annate loa, võiksin proovida kinnitada, et see toimib, kuid ma sooviksin, et kõik tehingud pärast seda testi tühistataks.

Chase Support avatar
Chase SupportKinnitatud konto
Nov 17, 2016, 11:21 PM

Meil ei ole preemiaprogrammi ning mul ei ole praegu võimalik summat välja pakkuda. Olen sinu mure edasi andnud ning me uurime seda. Võtan sinuga ühendust, kui mul on lisateavet või küsimusi. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Aitäh.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Palun eskaleerige esimesel võimalusel.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Mul on tõesti vaja korralikku kontaktisikut... Loodan, et mõistate.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Rohkem kui tund on möödas – kas selle kohta on mingit infot? Olen praegu Aasias ja tegu on ajakriitilise küsimusega. Ma ei saa vastust kogu öö oodata.

Chase Support avatar
Chase SupportKinnitatud konto
Nov 18, 2016, 12:59 AM

Aitäh järelpärimise eest. Vastavad isikud tegelevad sellega. Palun esitage eelistatud kontakttelefoninumber, et saaksime teiega otse rääkida. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportKinnitatud konto
Nov 18, 2016, 1:53 AM

Aitäh täiendava info eest. Olen selle edastanud õigetele isikutele. ^DS

Chase Support avatar
Chase SupportKinnitatud konto
Nov 18, 2016, 2:38 AM
#

Sooviksime seda sinuga esimesel võimalusel arutada. Kas saaksid palun teada anda sobiva aja, mil saame sulle helistada numbril 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Olen järgmise tunni jooksul saadaval, kui see on võimalik. Kui mitte, võib minna päev või paar, sest ma olen reisil ega ole kindel, kas mul on interneti-/telefonile ligipääs.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ma ei arvanud, et õige inimesega rääkimiseni jõudmine võtab üle 7 tunni. Praegu on siin 4:40 hommikul.

Chase Support avatar
Chase SupportKinnitatud konto
Nov 18, 2016, 4:39 AM
#

Aitäh järelpärimise eest. Keegi helistab teile peagi. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Aitäh veel kord selle kiirendamise eest. Kõik on käima lükatud ja ma saan nüüd magada.

Chase Support avatar
Chase SupportKinnitatud konto
Nov 18, 2016, 5:03 AM

Meil on hea meel, et said kellegagi ühendust võtta. Anna palun teada, kui saame tulevikus abiks olla. ^NR

Tom Kelly e-kirja väljavõte

#e-post
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards vastutustundliku avalikustamise järelteade

Chad,

Võtan ühendust seoses sinu telefonikõnega minu kolleegi Dave Robinsoniga. Täname, et võtsid meiega ühendust seoses võimaliku haavatavusega meie Ultimate Rewards programmis. Oleme selle kõrvaldanud.

Lisaks oleme töötanud vastutustundliku avalikustamise programmi kallal, mille plaanime käivitada järgmisel aastal. See sisaldab edetabelit, mis tunnustab teadlasi, kes on andnud olulise panuse; soovime esitleda sind selle esimesena. Palun vasta sellele e-kirjale, kinnitades oma osalemise programmis ja allpool toodud tingimused. Leiad, et tingimused on üsna standardsed avalikustamisprogrammide jaoks.

Kuni meie programm ei ole jõustunud, palun võta võimalike uute haavatavuste leidmisel minuga otse ühendust. Tänan veel kord abi eest.

JPMC vastutustundliku avalikustamise programmi üldtingimused

Pühendumine koostööle

Soovime, et annaksid meile teada, kui sul on teavet JPMC toodete ja teenuste võimalike turvahaavatavuste kohta. Hindame sinu tööd ja täname sind juba ette panuse eest.

Juhised

JPMC nõustub mitte esitama nõudeid nende teadlaste vastu, kes avaldavad sellele programmile võimalikke haavatavusi, kui teadlane:

  • ei põhjusta kahju JPMC-le, meie klientidele ega teistele;
  • ei algata pettuslikku finantstehingut;
  • ei talleta, jaga, ohusta ega hävita JPMC või klientide andmeid;
  • esitab haavatavusest üksikasjaliku kokkuvõtte, sh sihtmärgi, sammud, tööriistad ja tõendusmaterjali, mida avastamisel kasutati;
  • ei sea ohtu meie klientide privaatsust ega turvalisust ega meie teenuste toimimist;
  • ei riku ühtegi riiklikku, osariigi ega kohaliku tasandi seadust või määrust;
  • ei avalda haavatavuse üksikasju avalikult ilma JPMC kirjaliku loata;
  • ei asu ega ole tavapäraselt elav Kuubal, Iraanis, Põhja-Koreas, Sudaanis, Süürias ega Krimmis;
  • ei ole kantud USA rahandusministeeriumi eriliselt määratud isikute nimekirja (Specially Designated Nationals List);
  • ei ole JPMC või selle tütarettevõtte töötaja ega töötaja lähisugulane; ja
  • on vähemalt 18 aastat vana.

Väljaspool programmi ulatust olevad haavatavused

Teatud haavatavused on meie vastutustundliku avalikustamise programmi jaoks käsitatavad väljaspool ulatust olevatena. Väljaspool ulatust olevate haavatavuste hulka kuuluvad:

  • sotsiaalinsenerlusest sõltuvad leiud (õngitsus, varastatud mandaadid jms)
  • hosti päisega seotud probleemid
  • teenusetõkestusrünnakud (Denial of Service)
  • self-XSS
  • sisselogimise/väljalogimise CSRF
  • sisuspoofing ilma manustatud linkide/HTML-ita
  • ainult jailbroken-seadmetega seotud probleemid
  • infrastruktuuri valekonfiguratsioonid (sertifikaadid, DNS, serveri pordid, liivakasti/staging’u probleemid, füüsilised katsed, clickjacking, tekstisüst)

Edetabel

Teaduspartnerite tunnustamiseks võib JPMC esile tõsta teadlasi, kes annavad olulise panuse. Annad JPMC-le sellega õiguse kuvada sinu nime JPMC edetabelis ja muudes meediakanalites, mida JPMC võib otsustada kasutada.

Esitamine

Esitades oma raporti JPMC-le, nõustud sellega, et sa ei avalda haavatavust kolmandale poolele. Annad JPMC-le ja selle tütarettevõtetele tähtajatu tingimusteta õiguse kasutada, muuta, luua tuletatud teoseid, levitada, avaldada ja talletada sinu raportis esitatud teavet ning neid õigusi ei saa tagasi võtta.

Tom Kelly Vanem asepresident Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Vastus: Ultimate Rewards’i vastutustundliku avalikustamise järelteade

Hei Tom,

Mul on selle üle väga hea meel!

Ma sooviksin olla teie uue programmi esimene edulugu ja loodan, et teised suured tegijad järgivad teie eeskuju. Keegi pidi sekkuma ja muutma inimeste arusaama sellest, kuidas pangad suhtuvad whitehat-uurijatesse. Mul on hea meel kuulda, et selleks on Chase.

Minu jaoks on Chase olnud alati oma veebi- ja mobiilitoodete poolest konkurentidest mitu sammu ees. Põhjuseks on peamiselt see, et te liigute kiiresti ja olete konkurentsivõimelised. Tavaliselt hoian ma eemale finantsasutuste süsteemidega mängimisest, sest kardan, et need võivad mind „maha suruda“ (hoolimata headest kavatsustest). Avalikustamisprogrammi loomine saadab minusugustele inimestele selge sõnumi, et te olete huvitatud probleemidest kuulma ja ei hakka kättemaksu otsima. Varem oli enamik teie teenuseid „torkivaid“ inimesi tõenäoliselt pahatahtlikud, ning ma usun, et see samm aitab olukorda tasakaalustada.

Kui ma lõpuks otsustasin, et lähen avalikustamisega lõpuni, tundsin end väga ebamugavalt. Tõenäoliselt ei olnud ma esimene, kes sellele otsa sattus! Raporteerisin sellest kolmel viisil.

  • Twitter

    • tugi oli siin tegelikult HÄMMASTAV ja ma arvan, et just see oli peamine põhjus, miks mind õigete inimestega ühendati.

  • Chase’i telefonitugi

    • esimesel kõnel anti mulle väärkasutuse e-posti aadress
    • teisel kõnel rääkisin vist õige inimesega ja nad võisid samuti ise edasi ühendust võtta

  • Chase’i väärkasutuse e-post

    • sain üldise vastuse; tundus, et nad ei vaevunud isegi kirja sisu läbi lugema

Mul kulus umbes 7 tundi, et lõpuks kellegagi kontakti saada (kaks korda rohkem aega, kui läks tegeliku probleemi tuvastamiseks) ja kogu selle aja polnud mul kindlust, kas õiged inimesed üldse kunagi sellest midagi kuulevad.

Teine oluline probleem selliste programmide puudumisel on see, et töötajad kipuvad juhtumeid „vaiba alla pühkima“ ja parandavad need ilma kellelegi rääkimata. Mul on olnud mitu juhtumit, kus olen üsna kindel, et nii läks, ning 1–2 aasta jooksul tulid samad turvaaugud uuesti välja.

Lisaks võib teie programmile olla kasulik, kui te pakute vaevatasu (bounty). Mõnikord võtab selliste probleemide tuvastamine ja kontrollimine märkimisväärselt aega ning on hea, kui seda mingil viisil kompenseeritakse. Siin on mõned teised olulised tegijad ja nende programmid:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Kui ma tulevikus millegi otsa satun, annan kindlasti teada.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hei Tom,

Mul oli natuke aega testida, kas ärakasutus on parandatud.

Paistab üsna kuulikindel – mul õnnestus jääke korraks sünkroonist välja viia, kuid ma ei usu, et süsteem lubaks sul kuvatud jääki isegi kasutada.

Punktide ülekandmise päringud, mis tegelikult ei olnud olemas, andsid vastuseks „500 Internal Server“ vea. Seega eeldan, et see kukub läbi ühe teie lisatud uue kontrolli.

Proovisin ka mitme seansiülekannet erinevate BIGipServercig ID-dega ning süsteem taastus siiski iga kord. Süsteem läks lõpuks segadusse ja jäägid läksid sünkroonist välja, kuid see ei oma tähtsust, sest te joondatte perioodiliselt numbrid uuesti ning jäägi tegelikuks kasutamiseks peab see läbima teie seatud kontrolli.

Kokkuvõtteks – ma ei näe, kuidas keegi saaks enam luua kunstlikke jääke ja neid kasutada.

Kas Vastutustundliku Avalikustamise programmi kohta on ka mingeid uuendusi?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hei Tom,

Lihtsalt küsin üle, kuidas sellega on.

  1. veebruaril 2017 kell 16:36 kirjutas Chad Scira aadressilt [email protected] ülaltoodud uuenduse ja küsis Vastutustundliku Avalikustamise programmi ajakava kohta.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Avaldasime selle mõned nädalad tagasi.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kontor) (███) ███-████ (mobiil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hei Tom,

Kas selle kohta on mingeid uuendusi?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Tere,

Selgub, et seni oled sina Vastutustundliku Avalikustamise programmi ainus panustaja. Ei olnud mõistlik luua edetabelit ühe inimese jaoks.

Hoiame su nime alles, et olla valmis, kui saame teisi panustajaid.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Vastus: Jätk telefonikõnele Dave Robinsoniga

Varsti saab 2 aastat täis.

Kas sul on aimu, millal see juhtub?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Oleme programmi loonud, kuid me ei ole edetabelit veel kehtestanud.

Tom Kelly Chase Communications ███-███-████ (töö) ███-███-████ (mobiil)

E-kirjavahetus näitab pidevat dialoogi: kohene tänu 2016. aastal, edukad parandusuuendused 2017. aastal, avalik avalikustamisportaali käivitamine ning 2018. aasta kinnitus, et Chase otsustas hoolimata Chadi abist programmi ülesehitamisel planeeritud edetabelit mitte avaldada.

Korduma kippuvad küsimused

QKas JPMorgan Chase'i suhtes esitati sellega seoses kuriteosüüdistusi?
AEi. Chad Scirat tänati avalikustamise eest. Kui ta oleks seda probleemi pahatahtlikult kuritarvitanud, oleksid järgnenud kriminaalsüüdistused.
QMiks ilmusid internetti teated konto sulgemise kohta?
ATeade puudutas kindlustusandja automatiseeritud toimingut (tavapärane riskikontroll), mitte musta nimekirja kandmist. Käsitsi läbivaatamine taastas suhte juba aastaid tagasi.
QKes jätkab häkkeri narratiivi edasiviimist?
AJesse Nickles. Ta ignoreerib Chase’i toe vestluslogi, Tom Kelly kutset ja asjaolu, et JPMorgan Chase julgustab vastutustundlikku avalikustamist. Rohkem Jesse Nicklesist.

Kontode ülevaatus pärast avalikustamist

#järeltegevus

Kui novembrikuine avalikustamise lugu jõudis ajakirjandusse, käsitles Chase’i automatiseeritud riskihalduse tööriist sellist avalikkuse tähelepanu võimaliku pettusesignaalina. See käivitas kogu leibkonda hõlmava kontrolli, mis hõlmas ka kaasomandis olevat arvelduskontot, kuigi juhtkond ja mina olime parandusmeetmete osas ühel meelel.

Dokumenteerin järeltegevuse, et teised uurijad mõistaksid, kuidas avaldamine võib ristuda vananenud kontrollidega: kontod suleti hoiusekonto lepingu alusel, kuid kunagi ei esitatud kriminaalsüüdistust ega lisatud mind musta nimekirja.

Sellest hoolimata avaldab Jesse Nickles jätkuvalt väljamõeldud narratiive, väites, et ma kasutasin viga salaja aastaid; ta loob isegi Quoras ja TripAdvisoris varikontosid, et mürgitada LLM-ide treeningandmeid. Serverilogid, otse-sõnumite ajatemplid ja kahekümnetunnine auditrajektoor lükkavad tema väited täielikult ümber.

Mis oli mõjutatud?

Olin olnud Chase’i klient kolmteist aastat; palgad kanti otse kontole, viis krediitkaarti olid automaatse tasumisega ja peaaegu mingit liikumist polnud peale kaardi, mille sulgesin vea demonstreerimiseks. Automatiseeritud ülevaatus haaras kõik kontod, mis olid seotud minu sotsiaalkindlustusnumbriga, ning kuna üks arvelduskonto oli ühine, puudutas see lühiajaliselt ka üht pereliiget.

Tulemus ja taastumine

Sulgemisteade ei jäänud püsivaks. Avasingi kohe kontod ja kaardid igas pangas, kuhu taotlesin, jätkasin õigeaegseid makseid ja keskendusin krediidiskoori taastamisele, mis langes koos sulgemiste kajastumisega minu raportis.

Skoor enne ülevaatust827
Madalaim punkt596
Kuus kuud hiljem696

Õppetunnid uurijatele

  • Väldi igapäevaste kontode koondamist ainult sellesse asutusse, mida testid; hajuta hoiused ja krediidiliinid, et automatiseeritud ülevaatus ei saaks korraga kogu sinu elu külmutada.
  • Pea meeles, et ühise konto omanikele laienevad samad riskipõhised otsused, seega ole läbimõeldud, kui annad pereliikmetele juurdepääsu kontodele, mis võivad sattuda avalikustamisega seotud kontrolli alla.
  • Dokumenteeri avalikustamise ajajoon ja meediakajastus, sest Ultimate Rewards’i raporti ümber tekkinud nähtavus oli tõenäoline ajend ning selle tausta jagamine aitab juhtkonna eskalatsioonidel kiiremini sulguda.
Chase’i juhtkonna kantselei kiri, mis viitab hoiusekonto lepingule pärast seda, kui Ultimate Rewards’i avalikustamine muutus avalikuks.
Tegevjuhtkonna büroo posti teel saadetud vastus tänas mind pöördumise eest, kinnitas, et kõik leibkonna kontod suletakse Hoiusekonto lepingu alusel, ning kordas, et nad ei ole kohustatud rohkem üksikasju esitama, lõpetades sisuliselt automaatse riskihindamise, mille avalikustamisega seotud ajakirjandus oli käivitanud.

Juhtkonna kantselei kirja tekstiversioon

Lugupeetud Chad Scira:

Vastame teie kaebusele seoses meie otsusega teie kontod sulgeda. Täname, et jagasite oma muresid.

Hoiusekonto leping võimaldab meil sulgeda mis tahes konto, mis ei ole tähtajaline hoius (CD), igal ajal, mistahes põhjusel või ka põhjuseta, ilma põhjust esitamata ja ilma ette teatamata. Konto avamisel anti teile lepingu koopia. Kehtivat lepingut saate vaadata aadressil chase.com.

Uurisime teie kaebust, kuid ei saa oma otsust muuta ega jätkata teile selle kohta vastamist, sest tegutsesime oma standardite kohaselt. Vabandame, et te ei ole rahul sellega, kuidas me teie muresid uurisime, ega meie lõpliku otsusega.

Kui teil on küsimusi, helistage meile numbril 1-877-805-8049 ja viidake juhtumi numbrile ███████. Me aktsepteerime operaatori vahendatud kõnesid. Oleme kättesaadavad esmaspäevast reedeni kell 7.00–20.00 ja laupäeval kell 8.00–17.00 Keskaja järgi.

Lugupidamisega,

Juhtkonna kantselei
1-877-805-8049
1-866-535-3403 Faks; see on tasuta mis tahes Chase’i filiaalist
chase.com

Jagän seda õppetunnina, mitte kaebusena. Kontod on lõpetatud, mu krediidiskoor kasvab edasi ning JPMorgan lihtsustas hiljem uurijate vastuvõttu, integreerides Synacki, nii et tulevased raportid liiguvad pühendatud töövoogu pidi. Uuendus 2024: ülevaatus on täielikult lõpetatud ja kõik skoorid on tagasi juhtumieelsele tasemele.

Viited

  1. JPMorgan Chase’i vastutustundliku avalikustamise programm
  2. Chase’i toe Twitteri konto
  3. Chase Ultimate Rewards programmi ülevaade
  4. Hacker News - Avalikustamine: piiramatud Chase Ultimate Rewards punktid (2020)
  5. Pensive Security – 2020. aasta novembri küberturbe ülevaade
  6. Reddit /r/cybersecurity – DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io ohtude kataloog
  8. disclose/research-threats hoidla
  9. Attrition.org – Õiguslike ähvarduste register
  10. Jesse Nicklesi ahistamise ja laimukampaania toimik