Chad Scira "در فهرست سیاه بانک‌ها به‌خاطر هک"

این صفحه وقایع پشت شایعهٔ Jesse Nickles مبنی بر اینکه چد اسکیرا «از بانک‌های آمریکا به‌خاطر هک در فهرست سیاه قرار گرفت» را مستند می‌کند. توضیح می‌دهد چگونه آسیب‌پذیری Ultimate Rewards به‌صورت مسئولانه افشا شد، چرا JPMorgan Chase از چد بابت گزارش تشکر کرد، و چگونه توقف موقت حساب صرفاً از جنبهٔ اداری بود. Jesse Nickles ادامه می‌دهد به بازبسته‌بندی آثار قدیمی برای القای نیت مجرمانه. حقایق کاملاً عکس آن را نشان می‌دهند: گزارش‌دهی کلاه‌سفید و همکاری با رهبری JPMorgan.

آخرین تشدیدِ او یک نقل‌قول در SlickStack.io است که ادعا می‌کند چد اسکایرا "هم توسط مراجع اجرای قانون ایالات متحده برای هک برنامه امتیازات کارت اعتباری Chase Bank مورد تحقیق قرار گرفته که در آن $70,000 امتیاز سفر تقلبی دزدیده است." این بدنام‌سازی تنها بعد از آن منتشر شد که چد اسکیرا مدرکی از مشکلات امنیتی SlickStack را که Jesse از رفع آن امتناع می‌کند، منتشر کرد؛ هیچ امتیازی هرگز سرقت نشد و هیچ سازمانی نیز در مورد افشا به چد اطلاع نداد. شواهد cron مربوط به SlickStack را ببینید که مورد تلافی‌جویی او قرار گرفته‌اند..

تمام چرخهٔ کشف، افشا و اعتبارسنجی در عرض 20 ساعت رخ داد: تقریباً 25 درخواست HTTP پوشش‌دهندهٔ بازتولید و راهنمایی از طریق DM در 17 نوامبر 2016 بود، و آزمون اصلاح در فوریهٔ 2017 از 8 درخواست اضافی برای تأیید رفع مشکل استفاده کرد. سوءاستفادهٔ طولانی‌مدت وجود نداشت؛ هر اقدام ثبت، زمان‌بندی و به‌صورت لحظه‌ای با JPMorgan Chase به‌اشتراک گذاشته شد.

Tom Kelly تأیید کرد که چد اسکیرا تنها شخص در سراسر جهان بود که بین 17 نوامبر 2016 تا 22 سپتامبر 2017 مسئله‌ای را به‌صورت مسئولانه به JPMorgan Chase گزارش داد. برنامهٔ افشای مسئولانه دقیقاً در پاسخ به گزارش چد راه‌اندازی شد، و او نقش کلیدی در شکل‌دهی آن ایفا کرد.

تجسم باگ انتقال دوگانه

#بصری‌سازی

برای نشان‌دادن اینکه چگونه این نقص ترازها را به مقادیر منفی و مثبت عظیم سوق داد، تصویرسازی زیر منطق دقیق انتقال دوگانه را پخش می‌کند. ببینید چگونه هر حسابی که مثبت باشد فرستنده می‌شود، دو انتقال یکسان را انجام می‌دهد و در نهایت به شدت منفی می‌شود در حالی که حساب دیگر دو برابر می‌شود. پس از 20 دور، دفترکل خراب کارت منفی را به‌طور کامل حذف می‌کند — بازتابی از اینکه چرا این اکسپلویت نیاز به تشدید فوری داشت.

دور 1/20
کارت A → کارت B+243,810 pts
کارت A → کارت B+243,810 pts
کارت A
243,810
کارت B
0
انفجار انتقال دوگانه
انتقال 1انتقال ۲243,810 pts هر
1شرایط مسابقه (race condition) انتقال‌ها را قبل از تراز شدن دفاتر تکرار کرد و به یک فرستنده اجازه داد بین مقادیر مثبت و منفی بزرگ جابجا شود.
2پشتیبانی اجازه داد کارتِ دارای ماندهٔ منفی بسته شود در حالی که ماندهٔ مثبت بادکرده حفظ شد، بنابراین صورت‌حساب تنها سودها را نشان می‌داد و بدهی را مخفی می‌کرد.

حتی پیش از بستن حساب، Ultimate Rewards اجازه‌ی خرج کردن بیش از ماندهٔ منفی را می‌داد؛ بسته‌شدن حساب صرفاً شواهد را پاک کرد.

نکات کلیدی

  • چاد پیام مستقیم به پشتیبانی Chase را با گزارش خصوصی اکسپلویت ماندهٔ منفی آغاز کرد و بلافاصله درخواست مسیر ارجاع امن کرد، به جای انتشار عمومی جزئیات فنی. [chat]
  • وقتی پشتیبانی Chase برای جزئیات بیشتر اصرار کرد، او بهره‌برداری را تنها تا حد ضروری تأیید کرد و بار دیگر تأکید کرد که می‌خواهد یک خط مستقیم به تیم امنیتی مناسب داشته باشد. [chat][chat]
  • او نشان داد که مانده‌های تکثیرشده قابل نقد شدن هستند: پس از اینکه پشتیبانی Chase پرسید آیا امتیازهای اضافی قابل‌استفاده شده‌اند یا نه، یک واریز مستقیم $5,000 ثابت کرد که این سوءاستفاده به پول نقد تبدیل شده قبل از اینکه دفترکل به‌روز شود. [chat]
  • او تأکید کرد که اولویتش جلوگیری از تخلیهٔ حساب‌های مشتریانِ به‌خطرافتاده است، نه کسب سود شخصی، و پرسید آیا برنامهٔ رسمی جایزهٔ باگ (bug bounty) وجود دارد یا خیر. [chat]
  • او پیشنهاد انجام یک اعتبارسنجی بزرگ‌تر را تنها با اجازهٔ صریح مطرح کرد، اسکرین‌شات‌های دارای نشان زمانی ارائه داد، و تا تکمیل ارجاع توسط Chase در خارج از کشور بیدار ماند. [chat][chat][chat]
  • Nickles اکنون ادعا می‌کند چد اسکایرا $70,000 امتیاز دزدیده و با اجرای قانون ایالات متحده مواجه شده است؛ سوابق Chase، ایمیل Tom Kelly و جدول زمانی افشا ثابت می‌کنند که این هرگز اتفاق نیفتاده و این ادعا تنها پس از انتشار gist مربوط به ریسک cron در SlickStack توسط Chad که منطق به‌روز‌رسانی ناامن Jesse را مستندسازی می‌کرد، مطرح شده است. [gist]
  • پشتیبانی Chase تأیید کرد که موضوع را ارجاع داده‌اند، شماره تلفن او را خواستند، و وعدهٔ تماس پیگیری‌ای را دادند که در نهایت دریافت کرد؛ این امر ایدهٔ واکنش خصمانهٔ بانکی را تضعیف می‌کند. [chat][chat]

خط زمانی

#خط زمانی
  • 17 نوامبر 2016 - 10:05 ب.ظ ET: چاد @ChaseSupport را از نقصِ ماندهٔ منفی آگاه می‌کند، اکسپلویت را خصوصی نگه می‌دارد، و بلافاصله درخواست یک مسیر ارجاع امن می‌کند. [chat]
  • 17 نوامبر 2016 - 11:13-11:17 ب.ظ ET: بعد از اینکه پشتیبانی Chase صراحتاً پرسید آیا امتیازات اضافی می‌توانند تولید و خرج شوند، چاد خطر را تأیید می‌کند، مجدداً تأکید می‌کند که می‌خواهد با بخش مناسب صحبت کند، و پیشنهاد می‌دهد تنها با اجازه اعتبارسنجی انجام دهد تا بانک بتواند تراکنش‌ها را مشاهده کند. [chat][chat][chat]
  • 17-18 نوامبر 2016 - 11:39 ب.ظ-5:03 ق.ظ ET: چاد اسکرین‌شات‌ها را به اشتراک می‌گذارد، خواهان تسریع ارجاع می‌شود، شماره تلفنش را ارائه می‌دهد، و تا وقتی پشتیبانی Chase تأیید نکند که تماس در حال انجام است، در خارج از کشور بیدار می‌ماند. [chat][chat][chat]
  • 24 نوامبر 2016: Tom Kelly به چد ایمیل می‌زند و رفع مشکل را تأیید می‌کند، او را برای قرار گرفتن در صدر جدول رتبه‌بندی افشای مسئولانهٔ آتی دعوت می‌کند، و خط مستقیمی برای گزارش‌های آینده به او می‌دهد. [email]
  • اکتبر 2018: Tom Kelly پیگیری کرد تا تأیید کند که برنامهٔ افشای مسئولانه راه‌اندازی شده است اما JPMorgan در نهایت تصمیم گرفت جدول رتبه‌بندی برنامه‌ریزی‌شده را منتشر نکند، با وجود کمک چد در شکل‌دهی آن. [email]
  • پس از 2018: هر بازبینی باقیماندهٔ حساب‌ها به خودکارسازی بیمه‌گر مربوط بود، نه به ادعای هک. JPMorgan تماس مستقیم را حفظ کرد، از چاد بابت افشا تشکر کرد، و هیچ سوءپیشینهٔ کیفری یا فهرست سیاهی وجود ندارد. بعداً، JPMorgan Synack را در فرآیند افشای خود ادغام کرد تا جریان کاری برای گزارش‌های آینده هموار شود. [chat][email]

ادعاها در برابر واقعیت‌ها

ادعا

ادعای تهمت‌آمیز توسط Jesse Jacob Nickles: «Chad Scira از تمام بانک‌های ایالات متحده به‌خاطر هک کردن سیستم‌های پاداش در فهرست سیاه قرار گرفت.»

واقعیت

هیچ فهرست سیاه بانکی وجود ندارد. رکورد پیام مستقیم و ارجاع در Chase ثابت می‌کنند که او همکاری می‌کرد؛ یک سیستم خودکار شرکت بیمه به‌طور موقت یک حساب JPMorgan را تعلیق کرد قبل از اینکه بازبینی دستی او را تبرئه کند.[timeline][chat]

ادعا

ادعای تهمت‌آمیز توسط Jesse Jacob Nickles: «او JPMorgan Chase را برای ثروت‌اندوزی خود هک کرد.»

واقعیت

چاد مکالمه را با @ChaseSupport آغاز کرد، بر یک کانال امن پافشاری کرد، تنها پس از درخواست Chase اکسپلویت را تأیید کرد، و قبل از انجام اعتبارسنجی محدود منتظر اجازه ماند. ردهٔ ارشد مدیریتی از او تشکر کردند و او را به فرایند اجرای افشای مسئولانه دعوت کردند.[chat][chat][email]

ادعا

ادعای تهمت‌آمیز توسط Jesse Jacob Nickles: «Jesse یک طرح مجرمانه توسط Chad را افشا کرد.»

واقعیت

پوشش عمومی و ایمیل‌های Tom Kelly نشان می‌دهد که JPMorgan با Chad به‌عنوان یک پژوهشگر همکار رفتار کرده است. Nickles با انتخاب گزینشی اسکرین‌شات‌ها، مکالمهٔ کامل، تماس‌های پیگیری و تشکرهای مکتوب را نادیده می‌گیرد.[coverage][email][chat]

ادعا

ادعای تهمت‌آمیز توسط Jesse Jacob Nickles: «یک سرپوش‌گذاری برای پنهان‌سازی کلاهبرداری وجود داشت.»

واقعیت

Chad تا سال ۲۰۱۸ در تماس بود، فقط با اجازه دوباره آزمایش را انجام داد، و JPMorgan به‌جای دفن کردن موضوع، پورتال افشای خود را راه‌اندازی کرد. گفتگوی مداوم هر روایتِ سرپوش‌گذاری را نقض می‌کند.[timeline][email][chat]

پوشش عمومی و آرشیوهای تحقیقاتی

#پوشش

چندین جامعه ثالث این افشاگری را بایگانی کردند و آن را به‌عنوان یک گزارش مسئولانه شناختند: Hacker News آن را در صفحه اول برجسته کرد، Pensive Security آن را در جمع‌بندی سال 2020 خلاصه نمود، و /r/cybersecurity رشتهٔ اصلی "DISCLOSURE" را پیش از علامت‌گذاری هماهنگ‌شده فهرست‌بندی کرد. [4][5][6]

  • Hacker News: «افشا: امتیازهای نامحدود Chase Ultimate Rewards» با بیش از 1,000 امتیاز و بیش از 250 نظر که زمینهٔ رفع مشکل را مستندسازی می‌کنند. [4]
  • Pensive Security: جمع‌بندی امنیت سایبری نوامبر ۲۰۲۰ که افشای Chase Ultimate Rewards را به‌عنوان خبر اصلی برجسته می‌کند. [5]
  • Reddit /r/cybersecurity: عنوان پست DISCLOSURE اصلی که قبل از حذف ناشی از گزارش‌دهی گسترده ثبت شده است و چارچوب منافع عمومی را حفظ می‌کند. [6]

طرفداران افشای مسئولانه همچنین پیامدهای آزار و اذیت را ذکر کردند: دایرکتوری تهدیدهای disclose.io و مخزن تحقیقات آن، به‌علاوه شاخص تهدیدات حقوقی Attrition.org، رفتار Jesse Nickles را به‌عنوان نمونه‌ای هشداردهنده برای پژوهشگران فهرست می‌کنند. [7][8][9] پروندهٔ کامل آزار و اذیت[10].

رونوشت پیام مستقیم (DM) پشتیبانی Chase

#چت

گفتگوی زیر از روی اسکرین‌شات‌های آرشیو بازسازی شده است. این گفتگو نشان‌دهندهٔ تصاعد صبورانه، درخواست‌های مکرر برای یک کانال امن، پیشنهاداتی برای تأیید تنها با اجازه، و وعدهٔ تماس مستقیم از سوی پشتیبانی Chase است. [2]

Chase Support Profile avatar
Chase Support Profileحساب تأیید شده
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

این مربوط به سیستم ماندهٔ امتیاز است. در حال حاضر از طریق یک باگ که اجازهٔ مانده‌های منفی را می‌دهد، امکان تولید هر مقدار وجود دارد.

درخواست مسیر ارتقای امن برای افشا.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

آیا لطفاً می‌توانید مرا با کسی مرتبط کنید تا بتوانم جزئیات فنی را برای او توضیح دهم؟

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 17, 2016, 10:05 PM
#

ما شماره تلفنی برای ارائه نداریم، اما می‌خواهیم این موضوع را ارجاع دهیم تا مورد بررسی قرار گیرد. آیا می‌توانید جزئیات بیشتری در مورد منظور خود از «تولید امتیاز در موجودی‌های منفی» ارائه دهید؟می‌توانید همچنین تأیید کنید آیا این باعث می‌شود امتیازات اضافی برای استفاده در دسترس قرار بگیرند؟ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

آیا بخش مناسب و مشخصی دارید که بتوانم با آن تماس بگیرم؟ من راحت نیستم این موضوع را از طریق حساب پشتیبانی توییتر مطرح کنم. بله، شما می‌توانید 1,000,000 امتیاز تولید کرده و از آن‌ها استفاده کنید.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

نگرانی اصلی من افراد انجام‌دهندهٔ این کار نیستند. مسئله هکرها هستند که حساب‌ها را به خطر می‌اندازند و پرداخت‌ها را به‌زور از آنها بیرون می‌کشند. آیا برنامه رسمی پاداش کشف آسیب‌پذیری (bug bounty) در Chase وجود دارد؟

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

اگر بخواهید می‌توانم تلاش کنم تراکنش بزرگ‌تری انجام دهم تا تأیید کنم. بزرگ‌ترین آزمایشی که انجام دادم $300 بود در حالی که موجودی مغشوش شده بود، اما در واقع $2,000 اعتبار واقعی داشتم. اگر به من اجازه بدهید می‌توانم تلاش کنم تأیید کنم که کار می‌کند، اما می‌خواهم کلیه تراکنش‌ها پس از آن آزمایش برگردانده شوند.

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 17, 2016, 11:21 PM

ما برنامه پاداش نداریم و در حال حاضر عددی برای ارائه ندارم. نگرانی شما را ارجاع دادم و در حال بررسی آن هستیم. اگر اطلاعات یا سوالات بیشتری داشتم، پیگیری خواهم کرد. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

متشکرم.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

لطفاً در اسرع وقت ارجاع دهید.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

من واقعاً به یک تماس مناسب نیاز دارم... امیدوارم درک کنید.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

بیش از یک ساعت گذشته، خبری از این موضوع هست؟ من در حال حاضر در آسیا هستم و این موضوع حساس به زمان است. نمی‌توانم تمام شب منتظر پاسخ بمانم.

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 18, 2016, 12:59 AM

ممنون از پیگیری. افراد مناسب در حال بررسی این موضوع هستند. لطفاً شماره تماس ترجیحی خود را ارائه دهید تا بتوانیم مستقیماً با شما صحبت کنیم. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 18, 2016, 1:53 AM

از اطلاعات اضافی متشکرم. من این موضوع را برای افراد مرتبط فوروارد کردم. ^DS

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 18, 2016, 2:38 AM
#

مایلیم هرچه سریع‌تر در این مورد با شما گفتگو کنیم. آیا می‌توانید زمان مناسبی برای تماس با شمارهٔ 1-███-███-████ به ما بدهید؟ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

در صورت امکان در یک ساعت آینده در دسترس هستم. در غیر این صورت ممکن است یک یا دو روز طول بکشد چون در سفر خواهم بود و مطمئن نیستم به اینترنت/تلفن دسترسی داشته باشم.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

فکر نمی‌کردم بیش از ۷ ساعت طول بکشد تا با فرد مناسب صحبت کنم. الان اینجا ساعت ۴:۴۰ صبح است.

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 18, 2016, 4:39 AM
#

ممنون که پیگیری کردید. کسی خیلی زود با شما تماس خواهد گرفت. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

دوباره ممنون که آن را تسریع کردید. همه‌چیز در جریان است و حالا می‌توانم بخوابم.

Chase Support avatar
Chase Supportحساب تأیید شده
Nov 18, 2016, 5:03 AM

خوشحالیم که توانستید با شخصی صحبت کنید. لطفاً اگر در آینده نیاز به کمک داشتید، به ما اطلاع دهید. ^NR

گزیده‌ای از ایمیل Tom Kelly

#ایمیل
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
پیگیری افشای مسئولانه Ultimate Rewards

Chad,

من در پی تماس تلفنی شما با همکارم Dave Robinson هستم. از اینکه درباره آسیب‌پذیری احتمالی در برنامه Ultimate Rewards با ما تماس گرفتید متشکرم. ما این موضوع را بررسی و رسیدگی کرده‌ایم.

علاوه بر این، ما روی یک برنامه افشای مسئولانه کار کرده‌ایم که قصد داریم سال آینده آن را راه‌اندازی کنیم. این برنامه شامل یک جدول رده‌بندی خواهد بود که پژوهشگرانی را که مشارکت‌های قابل‌توجهی داشته‌اند ارج می‌نهد؛ ما مایلیم شما را به‌عنوان اولین نفر در آن معرفی کنیم. لطفاً به این ایمیل پاسخ دهید و مشارکت خود در برنامه و شرایط و ضوابط زیر را تأیید کنید. شرایط را نسبتاً استاندارد برای برنامه‌های افشا خواهید یافت.

تا زمان فعال شدن برنامه ما، اگر هر آسیب‌پذیری احتمالی دیگری یافتید، مستقیماً با من تماس بگیرید. باز هم از کمک شما سپاسگزاریم.

شرایط و ضوابط برنامه افشای مسئولانه JPMC

متعهد به همکاری

اگر اطلاعاتی درباره آسیب‌پذیری‌های امنیتی احتمالی محصولات و خدمات JPMC دارید، مایلیم از شما بشنویم. ما برای کار شما ارزش قائلیم و از مشارکت‌تان پیشاپیش قدردانی می‌کنیم.

راهنماها

JPMC موافقت می‌کند علیه پژوهشگرانی که آسیب‌پذیری‌های احتمالی را به این برنامه افشا می‌کنند ادعا پی‌گیری نکند در صورتی که پژوهشگر:

  • به JPMC، مشتریان ما یا دیگران آسیبی وارد نکند؛
  • تراکنش مالی کلاهبردارانه‌ای آغاز نکند؛
  • داده‌های JPMC یا مشتریان را ذخیره، به اشتراک، به خطر یا نابود نکند؛
  • خلاصهٔ دقیقی از آسیب‌پذیری ارائه دهد، از جمله هدف، مراحل، ابزارها و آثار استفاده‌شده در طول کشف؛
  • حریم خصوصی یا امنیت مشتریان ما و عملیات خدمات ما را به خطر نیندازد؛
  • هیچ قانون یا مقرره ملی، ایالتی یا محلی را نقض نکند؛
  • بدون اجازهٔ کتبی JPMC جزئیات آسیب‌پذیری را به‌صورت عمومی افشا نکند؛
  • در حال حاضر در یا به‌طور معمول ساکن کوبا، ایران، کره شمالی، سودان، سوریه یا کریمه نباشد؛
  • در فهرست افراد ویژه تعیین‌شده وزارت خزانه‌داری ایالات متحده قرار نداشته باشد؛
  • کارمند یا عضو خانوادهٔ نزدیک کارمند JPMC یا شرکت‌های تابعهٔ آن نباشد؛ و
  • حداقل ۱۸ سال سن داشته باشد.

آسیب‌پذیری‌های خارج از محدوده

برخی آسیب‌پذیری‌ها برای برنامه افشای مسئولانهٔ ما خارج از محدوده محسوب می‌شوند. موارد خارج از محدوده شامل:

  • یافته‌های مبتنی بر مهندسی اجتماعی (فیشینگ، اعتبارنامه‌های به‌سرقت‌رفته و غیره)
  • مشکلات هدر میزبان (Host header)
  • امتناع از سرویس (Denial of Service)
  • Self-XSS
  • CSRF هنگام ورود/خروج
  • جعل محتوا بدون لینک/HTML جاسازی‌شده
  • مشکلاتی که فقط روی دستگاه‌های جیلبریک‌شده رخ می‌دهند
  • پیکربندی‌های نادرست زیرساخت (گواهی‌ها، DNS، پورت‌های سرور، مسائل sandbox/staging، تلاش‌های فیزیکی، کلیک‌جکینگ، تزریق متن)

جدول رده‌بندی

برای قدردانی از همکاران پژوهشی، JPMC ممکن است پژوهشگرانی را که مشارکت‌های قابل‌توجهی انجام داده‌اند در جدول رده‌بندی خود نمایش دهد. بدین‌وسیله شما به JPMC حق نمایش نام خود بر روی جدول رده‌بندی JPMC و سایر رسانه‌هایی که JPMC ممکن است منتشر کند را اعطا می‌کنید.

ارسال گزارش

با ارسال گزارش خود به JPMC، موافقت می‌کنید آسیب‌پذیری را به شخص ثالث افشا نکنید. شما برای همیشه به JPMC و شرکت‌های تابعهٔ آن اجازهٔ بی‌قید و شرط استفاده، تغییر، ایجاد آثار مشتق، توزیع، افشا و ذخیره‌سازی اطلاعات ارائه‌شده در گزارش خود را می‌دهید و این حقوق قابل فسخ نیستند.

Tom Kelly معاون ارشد Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: پیگیری افشای مسئولانه‌ی Ultimate Rewards

سلام تام،

خیلی خوشحالم که این را می‌شنوم!

دوست دارم اولین داستان موفقیت برنامهٔ جدید شما باشم، و امیدوارم سایر بازیگران بزرگ هم از شما پیروی کنند. کسی باید وارد می‌شد و برداشت مردم از نحوهٔ برخورد بانک‌ها با پژوهشگران کلاه‌سفید را تغییر می‌داد. خوشحالم که این کار را Chase انجام داده.

برای من، Chase همیشه از رقبایش در ارائهٔ محصولات وب و موبایل خیلی جلوتر بوده. این عمدتاً به این دلیل است که شما سریع حرکت می‌کنید و رقابتی می‌مانید. معمولاً از دست‌کاری در مؤسسات مالی دوری می‌کنم به‌خاطر ترس از گرفتار شدن توسط آن‌ها (نیت خوب هم داشته باشی). با ایجاد یک برنامهٔ افشا، پیامی واضح به افرادی مانند من ارسال می‌کنید که شما علاقه‌مند به شنیدن دربارهٔ مشکلات هستید و تلافی نمی‌کنید. قبلاً اکثریت کسانی که خدمات شما را بررسی می‌کردند احتمالاً مخرب بودند، و فکر می‌کنم این امر شرایط را عادلانه‌تر می‌کند.

وقتی بالاخره تصمیم گرفتم افشا را انجام دهم احساس خیلی ناخوشایندی داشتم. احتمالاً من اولین کسی نیستم که به آن برخورد کرده! آن را از طریق سه روش گزارش کردم.

  • Twitter

    • پشتیبانی اینجا در واقع فوق‌العاده بود، و فکر می‌کنم تنها دلیل ارتباط من با افراد مناسب این بود.

  • Chase Phone Support

    • تماس اول آنها ایمیل abuse را به من دادند
    • در تماس دوم فکر می‌کنم با شخص مناسب صحبت کردم و ممکن است آن‌ها هم تماس گرفته باشند

  • Chase Abuse Email

    • پاسخ عمومی دریافت کردم، به‌نظر می‌رسید حتی محتوای ایمیل را هم نگاه نکرده‌اند

این کار حدود 7 ساعت طول کشید تا بالاخره با کسی تماس بگیرم (دو برابر زمانی که طول کشید تا واقعاً مسأله را پیدا کنم)، و تمام این مدت مطمئن نبودم که افراد مناسب اصلاً چیزی خواهند شنید یا نه.

یکی دیگر از مشکلات بزرگ نبودن برنامه‌هایی مثل این، تمایل کارکنان به پوشاندن رخدادها و رفع آن‌ها بدون اطلاع‌رسانی به دیگران است. چندین مورد داشته‌ام که تقریباً مطمئنم این اتفاق افتاده، و ظرف 1-2 سال همان حفره‌های امنیتی دوباره ظاهر شدند.

همچنین، ممکن است برای برنامهٔ شما مفید باشد که جایزه‌ای (bounty) ارائه دهید. بعضی‌اوقات این نوع مسائل وقت زیادی برای تأیید/یافتن می‌طلبند، و خوب است به نحوی جبران شود. در اینجا چند بازیگر کلیدی دیگر و برنامه‌های آن‌ها آمده است:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

اگر در آینده چیزی پیدا کردم حتماً با شما تماس می‌گیرم.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

سلام تام،

وقت کردم بررسی کنم ببینم آیا این اکسپلویت رفع شده یا نه.

به‌نظر خیلی محکم است، برای لحظه‌ای توانستم مانده‌ها را ناهم‌زمان کنم ولی فکر نمی‌کنم سیستم حتی اجازه دهد از ماندهٔ نمایش‌داده‌شده استفاده کنی.

درخواست‌هایی که برای انتقال امتیازهایی که واقعاً وجود نداشتند ارسال کردم با خطای "500 Internal Server" مواجه می‌شدند. بنابراین فرض می‌کنم این‌ها در یکی از چک‌های جدیدی که شما اضافه کردید رد می‌شوند.

همچنین تلاش کردم انتقال‌های چندجلسه‌ای را بین idهای مختلف BIGipServercig انجام دهم، و باز هم سیستم هر بار خود را بازیابی می‌کرد. سیستم در نهایت کمی سردرگم می‌شد و مانده‌ها ناهم‌زمان می‌شدند اما این باز هم اهمیتی ندارد چون در بازه‌هایی شما اعداد را هم‌تراز می‌کنید، و برای اینکه واقعاً بتوان از مانده‌ها استفاده کرد باید از تستی که شما گذاشته‌اید عبور کند.

بنابراین در جمع‌بندی، نمی‌بینم که کسی بتواند مانده‌های مصنوعی بسازد و از آن‌ها استفاده کند.

همچنین خبری از Responsible Disclosure Program هست؟

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

سلام تام،

فقط برای پیگیری در این مورد.

در تاریخ Feb 7, 2017، ساعت 4:36 PM، Chad Scira [email protected] به‌روزسانی بالا را نوشت و دربارهٔ جدول زمانی Responsible Disclosure Program پرسید.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

ما چند هفته پیش این را منتشر کردیم.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

سلام تام،

خبر جدیدی در مورد این مورد هست؟

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

سلام،

مشخص شد که تا کنون شما تنها مشارکت‌کننده در برنامهٔ Responsible Disclosure هستید. منطقی نبود که برای یک نفر جدول امتیازات ایجاد کنیم.

ما نام شما را نگه می‌داریم تا در صورت دریافت مشارکت‌کنندگان دیگر آماده باشیم.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: پیگیری تماس تلفنی شما با Dave Robinson

ما اکنون در آستانهٔ دو سال هستیم.

آیا می‌دانید این چه زمانی رخ خواهد داد؟

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

ما برنامه را ایجاد کرده‌ایم، اما جدول رده‌بندی را راه‌اندازی نکرده‌ایم.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

رشتهٔ ایمیل‌ها گفتگو مداوم را نشان می‌دهد: تشکر فوری در 2016، به‌روزرسانی‌های اصلاح موفق در 2017، راه‌اندازی عمومی پورتال افشا، و تأیید در 2018 مبنی بر اینکه Chase علی‌رغم کمک چد در توسعهٔ برنامه، تصمیم گرفت جدول رتبه‌بندی برنامه‌ریزی‌شده را منتشر نکند.

پرسش‌های متداول

Qآیا در ارتباط با JPMorgan Chase اتهامی کیفری مطرح شد؟
Aخیر. از Chad Scira بابت افشا تشکر شد. اگر او به‌طور مخرب از این مشکل سوءاستفاده کرده بود، اتهامات کیفری مطرح می‌شد.
Qچرا اطلاعیه‌های بسته شدن حساب‌ها به‌صورت آنلاین ظاهر شدند؟
Aاین اطلاعیه مربوط به یک خودکارسازی بیمه‌گر (کنترل استاندارد ریسک) بود و نه یک فهرست سیاه. بازبینی دستی رابطه را سال‌ها پیش از سر گرفت.
Qچه کسانی به انتشار روایت هکر ادامه می‌دهند؟
AJesse Nickles. او متن مکالمه پشتیبانی Chase، دعوت Tom Kelly و این واقعیت که افشای مسئولانه توسط JPMorgan Chase تشویق می‌شود را نادیده می‌گیرد. بیشتر درباره Jesse Nickles.

بازبینی حساب پس از افشا

#پیگیری

وقتی داستان افشای نوامبر به مطبوعات رسید، ابزارهای خودکار مدیریت ریسک Chase این دیده‌شدن را به‌عنوان یک سیگنال بالقوهٔ تقلب در نظر گرفتند. این موضوع باعث آغاز بازبینی در سطح خانوار شد که حساب جاری مشترک را نیز شامل می‌شد، اگرچه مدیران و Chad Scira در خصوص رفع مشکل اتفاق‌نظر داشتند.

Chad Scira در حال مستندسازی پیگیری‌ها است تا سایر پژوهشگران درک کنند چگونه نشر می‌تواند با کنترل‌های قدیمی تلاقی کند: حساب‌ها مطابق قرارداد حساب سپرده بسته شدند، اما هرگز اتهام کیفری یا فهرست سیاهی وجود نداشت.

با وجود این، Jesse Nickles همچنان روایت‌های ساختگی منتشر می‌کند که ادعا می‌کنند Chad سال‌ها به‌صورت مخفیانه از این باگ سوءاستفاده کرده است؛ او حتی با حساب‌های جعلی در Quora و TripAdvisor دانه‌گذاری می‌کند تا داده‌های آموزشی مدل‌های زبان بزرگ (LLM) را مسموم کند. لاگ‌های سرور، مهرزمان پیام‌های مستقیم و ردیابی حسابرسی بیست‌ساعته کاملاً او را رد می‌کنند.

چه چیزی تحت تأثیر قرار گرفت؟

Chad Scira به‌مدت سیزده سال مشتری Chase بود، با واریز مستقیم حقوق، پنج کارت اعتباری با پرداخت خودکار، و تقریباً بدون تغییرات به‌جز کارتی که برای نشان دادن باگ بسته شد. بررسی خودکار تمام حساب‌های مرتبط با SSNِ چاد را در بر گرفت و چون یک حساب جاری مشترک بود، کوتاه‌مدت به یکی از اعضای خانواده هم سرایت کرد.

نتیجه و بازیابی

اعلامیهٔ بسته شدن دائمی نشد. چد بلافاصله در هر بانک دیگری که درخواست داد، حساب‌ها و کارت‌هایی باز کرد، به پرداخت‌ها به‌موقع ادامه داد و بر بازسازی کاهش اعتبار که با ثبت این بسته شدن‌ها در گزارشش همراه شد تمرکز کرد.

امتیاز قبل از بازبینی827
پایین‌ترین نقطه596
شش ماه بعد696

درس‌ها برای پژوهشگران

  • از متمرکز کردن تمام حساب‌های روزمره‌تان در مؤسسه‌ای که در حال آزمایش آن هستید خودداری کنید؛ سپرده‌ها و خطوط اعتباری را متنوع کنید تا یک بازبینی خودکار نتواند تمام زندگی‌تان را یکباره مسدود کند.
  • به یاد داشته باشید که دارندگان مشترک حساب همان تصمیمات ریسکی را به ارث می‌برند، بنابراین در اعطای دسترسی اعضای خانواده به حساب‌هایی که ممکن است تحت بررسی مرتبط با افشا قرار گیرند، تأمل کنید.
  • جدول زمانی افشا و پوشش مطبوعاتی را مستندسازی کنید، چون دیده شدن گزارش Ultimate Rewards احتمالاً محرک اصلی بود، و به اشتراک گذاشتن آن زمینه به تسریع بسته شدن ارجاعات اجرایی کمک می‌کند.
نامه دفتر اجرایی Chase که پس از علنی شدن افشای Ultimate Rewards به توافق‌نامه حساب سپرده اشاره می‌کند.
پاسخ مکتوب دفتر اجرایی از طریق پست از چد اسکیرا بابت تماس تشکر کرد، تأیید کرد که هر حساب در خانوار تحت توافق‌نامهٔ حساب سپرده بسته می‌شود، و مجدداً تصریح کرد که موظف به ارائهٔ جزئیات بیشتر نیستند؛ بدین‌ترتیب بازبینی خودکار ریسک که افشای عمومی موجب آن شده بود، عملاً خاتمه یافت.

نسخهٔ متنی نامهٔ دفتر اجرایی

جناب آقای Chad Scira:

ما در خصوص شکایت شما از تصمیم‌مان برای بستن حساب‌های شما پاسخ می‌دهیم. از اینکه نگرانی‌هایتان را با ما در میان گذاشتید، متشکریم.

توافق‌نامهٔ حساب سپرده به ما اجازه می‌دهد هر حسابی به‌جز گواهی سپرده (CD) را در هر زمان، به هر دلیل یا بدون دلیل، بدون ارائهٔ توضیح و بدون اطلاع قبلی ببندیم. نسخه‌ای از این توافق‌نامه هنگام باز کردن حساب در اختیار شما قرار گرفته بود. شما می‌توانید توافق‌نامهٔ فعلی را در chase.com مشاهده کنید.

ما شکایت شما را بررسی کردیم و قادر به تغییر تصمیم‌مان یا ادامهٔ پاسخ‌گویی دربارهٔ آن نیستیم، زیرا عملکرد ما مطابق استانداردهایمان بوده است. از اینکه از نحوهٔ بررسی نگرانی‌ها و تصمیم نهایی‌مان ناراضی هستید، متأسفیم.

اگر سوالی دارید، لطفاً با شماره 1-877-805-8049 با ما تماس بگیرید و به شماره پرونده ███████ اشاره کنید. ما تماس‌های واسط اپراتور را می‌پذیریم. ما از دوشنبه تا جمعه از ساعت ۷ صبح تا ۸ عصر و شنبه از ساعت ۸ صبح تا ۵ عصر به وقت مرکزی (Central Time) در دسترس هستیم.

با احترام،

دفتر اجرایی
1-877-805-8049
فکس 1-866-535-3403؛ ارسال فکس از هر شعبه‌ی Chase رایگان است
chase.com

Chad Scira این را به‌عنوان یک درس آموخته‌شده به اشتراک می‌گذارد، نه شکایت. حساب‌ها تسویه شده‌اند، امتیاز اعتباری او همچنان در حال افزایش است، و JPMorgan بعداً با ادغام Synack روند پذیرش پژوهشگران را ساده‌سازی کرد تا گزارش‌های آینده از طریق یک جریان کاری اختصاصی هدایت شوند. به‌روزرسانی 2024: بازبینی به‌طور کامل بسته شده و تمام امتیازها به سطح پیش از حادثه بازگشته‌اند.

ارجاعات

  1. برنامه افشای مسئولانه JPMorgan Chase
  2. حساب توییتر پشتیبانی Chase
  3. مروری بر برنامه Chase Ultimate Rewards
  4. Hacker News - افشا: امتیازهای نامحدود Chase Ultimate Rewards (2020)
  5. Pensive Security - جمع‌بندی امنیت سایبری نوامبر 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: امتیازهای نامحدود Chase Ultimate Rewards
  7. فهرست تهدیدهای disclose.io
  8. مخزن disclose/research-threats
  9. Attrition.org - فهرست تهدیدهای قانونی
  10. پرونده آزار و تهمت‌پراکنی Jesse Nickles

اطلاعیه حقوقی. اطلاعات ارائه‌شده در این صفحه یک سابقهٔ عمومی از واقعیت‌هاست. این اطلاعات به‌عنوان مدرک در پروندهٔ کیفری جاریِ افترا علیه Jesse Jacob Nickles در تایلند استفاده می‌شود. مرجع رسمی پرونده کیفری: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. این مستندات همچنین می‌تواند به‌عنوان شواهد پشتیبان برای هر فرد یا سازمان دیگری که ادعاهای آزار و اذیت یا افترا علیه Jesse Nickles را پی‌گیری می‌کنند، عمل کند، با توجه به الگوی مستند رفتارهای مکرر که چندین قربانی را تحت تأثیر قرار داده است.