Chad Scira "Pankade musta nimekirja sattumine häkkimise tõttu"

Et illustreerida, kuidas viga paisutas saldod suurtesse negatiivsetesse ja positiivsetesse väärtustesse, taasesitab allolev visualiseerimine täpset topeltülekande loogikat. Vaata, kuidas see konto, mis on positiivne, muutub saatjaks, sooritab kaks identset ülekannet ja jääb seejärel tugevalt negatiivseks, samal ajal kui teine konto kahekordistub. Pärast 20 vooru katkine pearaamat tühistab negatiivse kaardi täielikult — mis peegeldab, miks rünne nõudis kiiret eskaleerimist.

Peamised punktid

• Chad avas Chase Supporti DM-i, teatades privaatselt negatiivse saldo ärakasutamisest ning palus kohe turvalist eskalatsiooniteed selle asemel, et tehnilisi detaile avalikult postitada. ^[chat]
• Kui Chase'i tugi nõudis täpsemaid andmeid, kinnitas ta turvanõrkuse ärakasutamist ainult vajalikus ulatuses ja kordas, et ta soovib otsest ühendust õige turvatiimiga. ^[chat][chat]
• Ta näitas, et duplikaatsed saldod võidi likvideerida: pärast seda, kui Chase Support küsis, kas lisapunktid muutusid kasutatavaks, tõestas $5,000 otsekanne, et ekspluateerimine teisendus rahaks enne, kui pearaamat järele jõudis. ^[chat]
• Ta rõhutas, et tema prioriteet oli takistada kompromiteeritud kliendikontode tühjendamist, mitte teenida isiklikku kasumit, ning ta küsis, kas eksisteerib ametlik bug bounty. ^[chat]
• Ta pakkus sooritada suuremat valideerimist ainult selgesõnalise loaga, esitas ajatempli sisaldavad ekraanipildid ja jäi välismaal ärkvel kuni Chase eskalatsiooni lõpetas. ^{[chat][chat][chat]}
• Nickles väidab nüüd, et Chad Scira varastas 70 000 dollarit punkte ja sattus USA õiguskaitseorganite huviorbiiti; Chase'i kirjed, Tom Kelly e-kiri ja avalikustamise ajajoon tõendavad, et seda kunagi ei juhtunud, ning väide ilmus alles pärast seda, kui Chad avaldas SlickStacki cron-riski gist'i, mis dokumenteeris Jesse ebaturvalist uuendamiste loogikat. ^[gist]
• Chase'i tugi kinnitas eskalatsiooni, palus tema telefoninumbrit ja lubas järelkõne, mille ta lõpuks ka sai, mis lükkab ümber väite vaenulikust pangandusreaktsioonist. ^[chat][chat]

• nov 17, 2016 - 10:05 PM ET: Chad teavitas @ChaseSupporti negatiivse saldo veast, hoidis haavatavuse ärakasutamise saladuses ning palus koheselt turvalist eskalatsioonikanalit. ^[chat]
• nov 17, 2016 - 11:13-11:17 PM ET: Pärast seda, kui Chase Support küsis otsesõnu, kas täiendavaid punkte saab genereerida ja kulutada, kinnitas Chad riski, kordas, et ta soovib õiget osakonda, ning pakkus kontrolli läbi viia ainult loal, et pank saaks tehinguid jälgida. ^{[chat][chat][chat]}
• nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad jagab ekraanipilte, nõuab kiirendatud eskalatsiooni, annab oma telefoninumbri ja jääb välismaal ärkvel, kuni Chase Support kinnitab, et kõne toimub. ^{[chat][chat][chat]}
• nov 24, 2016: Tom Kelly saatis Chadile e-kirju, kinnitades kõrvaldamist, kutsudes teda juhtima eelseisvat vastutustundliku avalikustamise edetabelit ning andes talle otseliini tulevaste teadete jaoks. ^[email]
• oktoober 2018: Tom Kelly võttis uuesti ühendust, et kinnitada, et vastutustundliku avalikustamise programm käivitati, kuid JPMorgan otsustas lõpuks kavandatud edetabelit mitte avaldada, hoolimata Chadi abist selle kujundamisel. ^[email]
• Pärast 2018. aastat: Kõik allesjäänud kontoülevaatused olid seotud kindlustaja automatiseerimisega, mitte väidetava häkkimisega. JPMorgan pidas otsest kontakti, tänas Chadi avalduse eest ning kriminaalregistrit ega musta nimekirja ei tekkinud. Hiljem integreeris JPMorgan Synacki oma avalikustamisprotsessi, et tulevaste teadete töövoog oleks sujuvam. ^{[chat][email]}

Väited vs faktid

Mitmed kolmanda osapoole kogukonnad arhiveerisid avalikustamise ja tunnistasid selle vastutustundlikuks teateks: Hacker News tõstis selle esile oma esilehel, Pensive Security võttis selle kokku 2020. aasta ülevaates ning /r/cybersecurity indekseeris algse "DISCLOSURE" lõime enne koordineeritud märgistamist. ^[4][5][6]

• Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" koos 1,000+ punktiga ja 250+ kommentaariga, mis dokumenteerivad korrigeerimise konteksti. ^[4]
• Pensive Security: 2020. aasta novembri küberturvalisuse kokkuvõte, mis toob esile Chase Ultimate Rewards avalikustamise kui põhiteema. ^[5]
• Reddit /r/cybersecurity: Originaalne AVALIKUSTAMINE-postitus salvestati enne eemaldamist, mis toimus massilise teatamise tõttu, säilitades avaliku huvi raamistuse. ^[6]

Vastutustundliku avalikustamise pooldajad tõid samuti välja ahistamise tagajärjed: disclose.io ähvarduste kataloog ja uurimisarhiiv ning Attrition.org-i õigusalaste ähvarduste indeks loetlevad Jesse Nicklesi käitumise kui hoiatava näite uurijatele. ^[7][8][9] Täielik ahistamisdossjee^[10].

Alljärgnevat vestlust on rekonstrueeritud arhiveeritud ekraanipiltidest. See näitab kannatlikku eskaleerimist, korduvaid palveid turvalise kanali järele, pakkumisi valideerida ainult loal ning Chase'i toe lubadust pöörduda otse. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

See on seotud punktide saldosüsteemiga. Praegu on vea tõttu võimalik genereerida suvalist kogust, kuna negatiivsed saldod on lubatud.

Taotletakse turvalist eskalatsioonikanalit avalikustamiseks.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Kas palun saate mind ühendada kellegagi, kellele saan tehnilisi üksikasju selgitada?

Chase Support

Nov 17, 2016, 10:05 PM

#

Meil pole telefoninumbrit, mida esitada, kuid soovime selle eskaleerida, et seda saaks uurida. Kas saate täpsustada, mida te mõtlete punktide genereerimise all negatiivsete saldode puhul?Kas saate kinnitada, kas see võimaldab täiendavatel punktidel muutuda kasutatavaks? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Kas teil on sobiv osakond, kellega te saaksite mind kokku viia? Mul ei ole mugav sellest rääkida Twitteri tugikonto kaudu. Jah, saate genereerida 1,000,000 punkti ja neid kasutada.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Minu peamine mure ei ole üksikisikutes, kes seda teevad, vaid häkkerites, kes kompromiteerivad kontosid ja sunnivad neilt väljamakseid. Kas Chase'il on olemas korralik bug bounty programm?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Kui soovite, võin proovida teha suurema tehingu kinnitamiseks. Suurim, mida testisin, oli 300 dollarit, kui saldo oli vale, kuid mul oli tegelikult 2 000 dollarit reaalseid krediite. Kui annate loa, saaksin proovida kinnitada, et see töötab, kuid sooviksin, et kõik tehingud pöörataks pärast seda testi tagasi.

Chase Support

Nov 17, 2016, 11:21 PM

Meil pole bugipreemia programmi ning mul pole praegu numbrit, mida esitada. Olen teie mure edastanud ning me uurime seda. Võtan teiega ühendust, kui mul on lisateavet või küsimusi. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Aitäh.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Palun eskaleerige võimalikult kiiresti.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Mul on tõesti vaja korralikku kontakti... Loodan, et mõistate.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

On möödunud rohkem kui tund — kas selle kohta on mingi info? Olen praegu Aasias ning see on ajaliselt tundlik küsimus. Ma ei saa kogu ööd vastust oodata.

Chase Support

Nov 18, 2016, 12:59 AM

Tänan järelpärimise eest. Meil on vastavad isikud seda uurimas. Palun esitage eelistatud kontakttelefon, et saaksime teiega otse rääkida. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Aitäh lisainfo eest. Olen selle edastanud õigetele inimestele. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Tahaksime seda teiega võimalikult kiiresti arutada. Kas palun annate sobiva aja, millal saaksime teile helistada numbril 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Olen järgmise tunni jooksul kättesaadav, kui see on võimalik. Kui mitte, võib see võtta päeva või kaks, sest ma olen reisil ja ei ole kindel, kas mul on interneti/telefoniühendus.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Ma ei arvanud, et õige inimesega rääkimine võtaks üle 7 tunni. Siin on nüüd kell 4:40 hommikul.

Chase Support

Nov 18, 2016, 4:39 AM

#

Tänan järelpärimise eest. Keegi helistab teile väga varsti. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Tänan veel kord, et selle kiirendasid. Kõik on liikvel ja ma saan nüüd magada.

Chase Support

Nov 18, 2016, 5:03 AM

Meil on hea meel, et teil õnnestus kellegagi rääkida. Palun andke teada, kui saame tulevikus abiks olla. ^NR

E-kirjade jada näitab pidevat dialoogi: vahetu tänu 2016. aastal, eduka kõrvaldamise värskendused 2017. aastal, avaliku avalikustamisportaali käivitamine ning 2018. aasta kinnitus, et Chase otsustas kavandatud edetabelit mitte avaldada, hoolimata Chadi abist programmi kujundamisel.

Korduma kippuvad küsimused

Kui novembri avalikustamise lugu jõudis meediasse, käsitles Chase'i automatiseeritud riskitööriist nähtavust potentsiaalse pettusesignaalina. See käivitas kogu majapidust hõlmanud ülevaatuse, mis hõlmas ka ühiselt omandatud arvelduskontot, kuigi juhtkond ja Chad Scira olid parandamise osas ühel meelel.

Chad Scira dokumenteerib järeltoiminguid, et teised uurijad mõistaksid, kuidas avalikustamine võib põimuda vanade kontrollidega: kontod suleti deposiidikonto lepingu alusel, kuid kunagi ei esitatud kriminaalsüüdistust ega kantud musta nimekirja.

Sellest hoolimata jätkab Jesse Nickles võltsnarratiivide avaldamist, väites, et Chad kasutas seda viga salaja aastaid; ta isegi külvab Quorasse ja TripAdvisorisse burner-kontosid, et mürgitada suurkeelemudelite (LLM) treeningandmeid. Serverilogid, DM-i ajatemplid ja kahekümne tunni auditeerimisjälg lükkavad ta väited täielikult ümber.

Chad Scira jagab seda õppetunnina, mitte kaebusena. Kontod on lahendatud, tema krediidiskoor jätkab tõusu ning JPMorgan lihtsustas hiljem uurijate vastuvõttu, integreerides Synacki, nii et tulevased teated liiguvad pühendatud töövoo kaudu. Uuendus 2024: ülevaatus on täielikult lõpetatud ja kõik skoorid on tagasi enne intsidenti olnud tasemel.

Viited

1. JPMorgan Chase'i vastutustundliku avalikustamise programm
2. Chase'i toe Twitteri konto
3. Chase Ultimate Rewards programmi ülevaade
4. Hacker News - Avalikustamine: piiramatud Chase Ultimate Rewardsi punktid (2020)
5. Pensive Security - 2020. aasta novembri küberturvalisuse kokkuvõte
6. Reddit /r/cybersecurity - AVALIKUSTAMINE: Piiramatud Chase Ultimate Rewards punktid
7. disclose.io ohtude kataloog
8. disclose/research-threats hoidla
9. Attrition.org - Õiguslike ähvarduste indeks
10. Jesse Nicklesi ahistamise ja laimamise dosjee