چد سیرا «در فهرست سیاه بانک‌ها به‌دلیل هک»

برای نشان دادن این‌که این نقص چگونه موجودی‌ها را به شدت به مقادیر منفی و مثبت سوق می‌داد، بصری‌سازی زیر منطق دقیق انتقالِ دوبرابری را بازپخش می‌کند. تماشا کنید که هر حسابی که موجودی مثبت دارد به فرستنده تبدیل می‌شود، دو انتقال یکسان انجام می‌دهد و در پایان به شدت منفی می‌شود، در حالی که دیگری دو برابر می‌گردد. پس از ۲۰ دور، دفتر کل معیوب کارتِ دارای موجودی منفی را کاملاً حذف می‌کند ــ امری که بازتاب‌دهنده دلیل نیاز فوری این بهره‌برداری به ارجاع اضطراری است.

نکات کلیدی

• چد مکالمه دایرکت با پشتیبانی چیس را با گزارش خصوصی نقصِ موجودی منفی آغاز کرد و بلافاصله به‌جای انتشار عمومی جزئیات فنی، درخواست یک مسیر امن برای ارجاع نمود. ^[chat]
• هنگامی که پشتیبانی چِیس روی جزئیات فشار آورد، او اکسپلویت را فقط در حد لازم تأیید کرد و بار دیگر تأکید نمود که می‌خواهد خط ارتباطی مستقیمی با تیم امنیتی مناسب داشته باشد. ^[chat][chat]
• او نشان داد که موجودی‌های تکراری را می‌توان نقد کرد: پس از آن‌که پشتیبانی Chase پرسید آیا امتیازهای اضافه قابل استفاده شده‌اند، یک واریز مستقیم ۵٬۰۰۰ دلاری ثابت کرد که این اکسپلویت قبل از به‌روز شدن دفتر کل به پول نقد تبدیل می‌شود. ^[chat]
• او تأکید کرد که اولویت او جلوگیری از خالی شدن حساب‌های مشتریانِ به خطر افتاده است، نه کسب منفعت شخصی، و پرسید آیا برنامه رسمی «شکار باگ» (Bug Bounty) وجود دارد یا خیر. ^[chat]
• او پیشنهاد داد که فقط با اجازه صریح یک اعتبارسنجی بزرگ‌تر انجام دهد، اسکرین‌شات‌های زمان‌دار ارائه کرد و در خارج از کشور بیدار ماند تا Chase روند ارجاع را تکمیل کند. ^{[chat][chat][chat]}
• نیکلز اکنون ادعا می‌کند که من ۷۰٬۰۰۰ دلار امتیاز دزدیده‌ام و با نیروهای اجرای قانون ایالات متحده روبه‌رو شده‌ام؛ اما سوابق چیس، ایمیل تام کلی و جدول زمانی افشا ثابت می‌کنند این اتفاق هرگز رخ نداده است و این ادعا تنها پس از آن مطرح شد که من gist مربوط به ریسک کران SlickStack را منتشر کردم که منطق به‌روزرسانی ناامن او را مستند می‌کرد. ^[gist]
• پشتیبانی چیس تشدید موضوع را تأیید کرد، شماره تلفن او را درخواست نمود و پیگیری تلفنی‌ای را که در نهایت انجام شد وعده داد، که این امر ادعای واکنش خصمانه بانکی را تضعیف می‌کند. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: چد نقص موجودی منفی را به @ChaseSupport اطلاع می‌دهد، بهره‌برداری را محرمانه نگه می‌دارد، و بلافاصله درخواست یک مسیر امن برای ارجاع می‌کند. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: پس از آن‌که پشتیبانی چیس به‌طور صریح می‌پرسد آیا امکان تولید و خرج کردن امتیازهای اضافی وجود دارد، چد ریسک را تأیید می‌کند، دوباره تأکید می‌کند که می‌خواهد با بخش مربوطه صحبت کند، و پیشنهاد می‌دهد تنها با کسب اجازه، اعتبارسنجی انجام دهد تا بانک بتواند تراکنش‌ها را مشاهده کند. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: چد اسکرین‌شات‌ها را به اشتراک می‌گذارد، بر تسریع ارجاع تأکید می‌کند، شماره تلفن خود را ارائه می‌دهد، و در خارج از کشور بیدار می‌ماند تا زمانی‌که پشتیبانی چیس تأیید کند تماس در حال انجام است. ^{[chat][chat][chat]}
• Nov 24, 2016: تام کلی در ایمیلی به چَد تأیید رفع مشکل را اعلام می‌کند، او را دعوت می‌کند تا در صدر جدول افشای مسئولانه‌ی آتی قرار گیرد و یک خط تماس مستقیم برای گزارش‌های بعدی در اختیارش می‌گذارد. ^[email]
• October 2018: تام کلی پیگیری کرد تا تأیید کند برنامه افشای مسئولانه راه‌اندازی شده است، اما در نهایت جی‌پی مورگان انتخاب کرد که علی‌رغم کمک چَد در طراحی آن، جدول رده‌بندی برنامه‌ریزی‌شده را منتشر نکند. ^[email]
• Post-2018: هر بازبینی باقیماندهٔ حساب به سامانهٔ خودکار بیمه‌گر مرتبط بود، نه به ادعای هک شدن. جی‌پی‌مورگان ارتباط مستقیم خود را حفظ کرد، بابت افشا از چاد تشکر نمود و هیچ سابقهٔ کیفری یا قرار گرفتن در فهرست سیاه وجود ندارد. بعداً، جی‌پی‌مورگان سیناک را در فرایند افشای خود ادغام کرد تا روند کاری برای گزارش‌های بعدی تسهیل شود. ^{[chat][email]}

ادعاها در برابر واقعیت‌ها

چندین جامعه ثالث افشا را بایگانی کردند و آن را به‌عنوان یک گزارش مسئولانه به رسمیت شناختند: هکر نیوز آن را در صفحه اول قرار داد، پِنسیو سکیوریتی آن را در جمع‌بندی امنیت سایبری سال ۲۰۲۰ خلاصه کرد و /r/cybersecurity رشته اصلی «DISCLOSURE» را پیش از پرچم‌گذاری هماهنگ‌شده فهرست کرد. ^[4][5][6]

• Hacker News: «افشاگری: امتیازهای نامحدود Chase Ultimate Rewards» با بیش از ۱٬۰۰۰ امتیاز و ۲۵۰+ نظر که زمینه اصلاح را مستند می‌کند. ^[4]
• پِنسیو سکیوریتی: جمع‌بندی امنیت سایبری نوامبر ۲۰۲۰ که افشای مربوط به برنامه Ultimate Rewards چیس را به‌عنوان یکی از مهم‌ترین خبرها برجسته می‌کند. ^[5]
• ردیت /r/cybersecurity: عنوان پست اصلی «DISCLOSURE» که پیش از حذف ناشی از گزارش‌دهی انبوه ثبت شد و چارچوب منافع عمومی را حفظ می‌کند. ^[6]

حامیان افشای مسئولانه همچنین به پیامدهای آزار و اذیت اشاره کردند: فهرست تهدیدها و مخزن پژوهشی disclose.io، به‌اضافه فهرست تهدیدهای حقوقی Attrition.org، رفتار جسی نیکلز را به‌عنوان نمونه هشداردهنده برای پژوهشگران ثبت کرده‌اند. ^[7][8][9] پرونده کامل آزار و اذیت^[10].

گفت‌وگوی زیر از اسکرین‌شات‌های آرشیوشده بازسازی شده است. این گفت‌وگو نشان‌دهنده افزایش مرحله‌ایِ صبورانه، درخواست‌های مکرر برای یک کانال امن، پیشنهادهایی برای اعتبارسنجی صرفاً با اجازه، و وعده پشتیبانی چیس برای برقراری تماس مستقیم است. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

این موضوع مربوط به سامانه موجودی امتیازها است. در حال حاضر امکان تولید هر میزان امتیاز از طریق یک باگ که اجازه ایجاد موجودی منفی می‌دهد وجود دارد.

درخواست مسیر ارجاع امن برای افشا.

Chad Scira

Nov 17, 2016, 10:05 PM

#

آیا می‌توانید لطفاً من را با فردی در ارتباط بگذارید که بتوانم جزئیات فنی را برای او توضیح دهم؟

Chase Support

Nov 17, 2016, 10:05 PM

#

ما شماره تلفنی برای ارائه نداریم، اما می‌خواهیم این موضوع را ارجاع دهیم تا بررسی شود. می‌توانید جزئیات بیشتری در مورد منظورتان از تولید امتیاز در چارچوب مانده‌های منفی ارائه کنید؟آیا می‌توانید همچنین تأیید کنید که آیا این اجازه می‌دهد امتیازهای اضافی برای استفاده در دسترس قرار گیرند؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

آیا دپارتمان مناسبی دارید که بتوانید من را با آن در ارتباط بگذارید؟ من احساس راحتی نمی‌کنم که این موضوع را از طریق حساب پشتیبانی توییتر مطرح کنم. بله، شما می‌توانید ۱,۰۰۰,۰۰۰ امتیاز تولید کنید و از آن‌ها استفاده کنید.

Chad Scira

Nov 17, 2016, 11:15 PM

#

نگرانی اصلی من اشخاصی نیستند که این کار را انجام می‌دهند، بلکه هکرهایی هستند که حساب‌ها را به خطر می‌اندازند و پرداخت‌ها را به‌زور از طریق آن‌ها انجام می‌دهند. آیا برنامه باگ باونتی رسمی در چیس وجود دارد؟

Chad Scira

Nov 17, 2016, 11:17 PM

#

اگر بخواهید می‌توانم سعی کنم یک تراکنش بزرگ‌تر انجام دهم تا تأیید کنم. بیشترین مقداری که هنگامی‌که موجودی به‌هم‌ریخته بود تست کردم ۳۰۰ دلار بود، اما در واقع ۲٬۰۰۰ دلار اعتبار واقعی داشتم. اگر به من اجازه بدهید می‌توانم سعی کنم تأیید کنم که این کار می‌کند، اما می‌خواهم تمام تراکنش‌ها بعد از آن تست برگشت داده شوند.

Chase Support

Nov 17, 2016, 11:21 PM

ما برنامه باگ‌باونتی (پاداش گزارش ضعف امنیتی) نداریم و در حال حاضر عددی برای ارائه در اختیارم نیست. من نگرانی شما را ارجاع داده‌ام و در حال بررسی آن هستیم. اگر جزئیات یا پرسش‌های بیشتری داشته باشم، پیگیری خواهم کرد. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

متشکرم.

Chad Scira

Nov 17, 2016, 11:39 PM

#

لطفاً در اسرع وقت ارجاع دهید.

Chad Scira

Nov 17, 2016, 11:51 PM

#

واقعاً به یک راه ارتباطی مناسب نیاز دارم... امیدوارم درک کنید.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

بیش از یک ساعت گذشته، خبری در این مورد هست؟ من در حال حاضر در آسیا هستم و این موضوع حساس به زمان است. نمی‌توانم تمام شب منتظر پاسخ بمانم.

Chase Support

Nov 18, 2016, 12:59 AM

ممنون که پیگیری کردید. افراد مسئول مربوطه در حال بررسی این موضوع هستند. لطفاً یک شماره تماس ترجیحی ارائه دهید تا بتوانیم مستقیماً با شما صحبت کنیم. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

از اطلاعات تکمیلی متشکرم. این را برای افراد مسئول مربوطه ارسال کرده‌ام. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

مایلیم در اسرع وقت این موضوع را با شما مطرح کنیم. لطفاً زمانی مناسب برای تماس با شما از شماره 1-███-███-████ به ما اعلام کنید؟ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

تا یک ساعت آینده در دسترس هستم اگر امکان‌پذیر باشد. اگر نه، ممکن است یکی دو روز طول بکشد چون در سفر خواهم بود و مطمئن نیستم به اینترنت/تلفن دسترسی داشته باشم.

Chad Scira

Nov 18, 2016, 4:32 AM

#

فکر نمی‌کردم بیش از ۷ ساعت طول بکشد تا با فرد درست صحبت کنم. الان این‌جا ساعت ۴:۴۰ صبح است.

Chase Support

Nov 18, 2016, 4:39 AM

#

ممنون که پیگیری کردید. به‌زودی کسی با شما تماس خواهد گرفت. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

باز هم بابت تسریع آن متشکرم. همه چیز در جریان است و حالا می‌توانم با خیال راحت بخوابم.

Chase Support

Nov 18, 2016, 5:03 AM

خوشحالیم که توانستید با شخصی صحبت کنید. لطفاً اگر در آینده بتوانیم کمکی بکنیم، به ما اطلاع دهید. ^NR

رد ایمیل‌ها نشان‌دهنده گفت‌وگوی مستمر است: تشکر فوری در سال ۲۰۱۶، به‌روزرسانی‌های موفق در خصوص رفع مشکل در سال ۲۰۱۷، راه‌اندازی عمومی درگاه افشا، و تأیید سال ۲۰۱۸ مبنی بر این‌که چیس تصمیم گرفت تابلو امتیازات برنامه‌ریزی‌شده را منتشر نکند، با وجود کمک چَد در ساختن برنامه.

سؤالات متداول

وقتی گزارش افشای نوامبر در رسانه‌ها منتشر شد، ابزار خودکار مدیریت ریسک چیس (Chase) این میزان توجه عمومی را به‌عنوان یک سیگنال احتمالی تقلب تلقی کرد. این موضوع باعث آغاز یک بازبینی سراسری در سطح خانواده شد که شامل یک حساب جاری مشترک نیز می‌شد؛ حتی با این‌که مدیریت و من در مورد نحوه اصلاح و جبران (remediation) هم‌نظر بودیم.

من در حال مستندسازی این پیگیری هستم تا سایر پژوهشگران درک کنند که انتشار عمومی چگونه می‌تواند با کنترل‌های قدیمی تلاقی پیدا کند: حساب‌ها طبق «توافق‌نامهٔ حساب سپرده» بسته شدند، اما هرگز هیچ اتهام کیفری یا قرارگیری در فهرست سیاه مطرح نشد.

با وجود این، جسی نیکلز همچنان روایت‌های جعلی منتشر می‌کند و ادعا دارد که من سال‌ها به‌طور مخفیانه از این باگ سوءاستفاده کرده‌ام؛ او حتی با حساب‌های یک‌بارمصرف در کوئورا و تریپ‌ادوایزر مطلب می‌گذارد تا دادهٔ آموزشی مدل‌های زبانی را آلوده کند. لاگ‌های سرور، زمان‌مهر پیام‌های خصوصی و مسیر ممیزی بیست‌ساعته‌ به‌طور کامل گفته‌های او را رد می‌کنند.

این را به‌عنوان درس آموخته‌شده به اشتراک می‌گذارم، نه گلایه. حساب‌ها تسویه شده‌اند، امتیاز اعتباری من همچنان در حال افزایش است و جی‌پی‌مورگان بعداً با ادغام سیناک، روند پذیرش پژوهشگران را ساده کرد تا گزارش‌های آتی از یک جریان کاری اختصاصی عبور کنند. به‌روزرسانی ۲۰۲۴: بازبینی کاملاً بسته شده و همهٔ امتیازها به سطح پیش از حادثه بازگشته‌اند.

ارجاعات

1. برنامه افشای مسئولانه جی‌پی مورگان چیس
2. حساب توییتر پشتیبانی چیس
3. مرور کلی برنامه Chase Ultimate Rewards
4. Hacker News - افشاگری: امتیازهای نامحدود Chase Ultimate Rewards (2020)
5. پِنسیو سکیوریتی - جمع‌بندی امنیت سایبری نوامبر ۲۰۲۰
6. ردیت /r/cybersecurity - افشا: امتیاز نامحدود Chase Ultimate Rewards
7. دایرکتوری تهدیدها در disclose.io
8. مخزن disclose/research-threats
9. Attrition.org - فهرست تهدیدهای حقوقی
10. پرونده آزار و افترا توسط Jesse Nickles