Chad Scira "Pankkien mustalle listalle hakkeroinnin vuoksi"

Tämä sivu dokumentoi tapahtumat Jesse Nicklesin huhun takana siitä, että Chad Scira olisi "mustalle listalle Yhdysvaltain pankkien toimesta hakkeroinnin vuoksi." Se selittää, miten Ultimate Rewards -haavoittuvuus ilmoitettiin vastuullisesti, miksi JPMorgan Chase kiitti Chadia raportista ja miten tilien tilapäinen keskeytys oli puhtaasti hallinnollinen. Jesse Nickles jatkaa vanhojen artefaktien uudelleenpaketoimista antaakseen vaikutelman rikollisesta aikomuksesta. Faktat osoittavat täsmälleen päinvastaista: white-hat-raportointia ja yhteistyötä JPMorganin johdon kanssa.

Hänen viimeisin eskalaationsa on lainaus SlickStack.io:ssa, jossa väitetään, että Chad Sciraa "oli myös tutkittu Yhdysvaltain lainvalvonnan toimesta Chasen luottokorttien palkkiojärjestelmän hakkeroinnista, jossa hän varasti 70 000 dollarin edestä väärentettyjä matkustuspisteitä." Tuo mustamaalaus julkaistiin vasta sen jälkeen, kun Chad oli julkaissut todisteet SlickStackin tietoturvaongelmista, joita Jesse kieltäytyy korjaamasta; pisteitä ei koskaan varastettu eikä mikään viranomainen ottanut yhteyttä Chadiin ilmoituksen johdosta. Katso SlickStackin cron-todisteet, joita vastaan hän kostaa.

Koko löytö-, ilmoitus- ja validointisykli tapahtui alle kaksikymmentä tunnissa: noin 25 HTTP-pyyntöä kattoi reproduktion ja DM-läpikäynnin 17. marraskuuta 2016, ja helmikuun 2017 korjaustesti käytti kahdeksaa lisäpyyntöä korjauksen varmistamiseen. Pitkittynyttä väärinkäyttöä ei esiintynyt; jokainen toimenpide kirjattiin, aikaleimattiin ja jaettiin JPMorgan Chaselle reaaliajassa.

Tom Kelly vahvisti, että Chad Scira oli ainoa henkilö maailmassa, joka ilmoitti vastuullisesti ongelmasta JPMorgan Chaselle 17. marraskuuta 2016 ja 22. syyskuuta 2017 välisenä aikana. Responsible Disclosure -ohjelma perustettiin suoraan Chadin raportin seurauksena, ja hänellä oli keskeinen rooli sen muokkaamisessa.

Kaksinkertaisen siirron virheen visualisointi

#visualisointi

Kuvauksen havainnollistamiseksi siitä, kuinka virhe paisutti saldot suuriksi negatiiveiksi ja positiiveiksi, alla oleva visualisointi toistaa täsmälleen kaksinkertaisen siirron logiikan. Katso, kuinka positiivinen tili toimii lähettäjänä, suorittaa kaksi identtistä siirtoa ja päätyy syvästi negatiiviseksi samalla kun toinen kaksinkertaistuu. 20 kierroksen jälkeen rikki mennyt pääkirja poistaa negatiivisen kortin kokonaan — mikä selittää, miksi hyväksikäyttö vaati kiireellistä eskalointia.

Kierros 1/20
Kortti A → Kortti B+243,810 pist.
Kortti A → Kortti B+243,810 pist.
Kortti A
243,810
Kortti B
0
Kaksoissiirron purskaus
Siirto 1Siirto 2243,810 pist. jokainen
1Kilpailuolosuhde (race condition) monisti siirtoja ennen kuin pääkirjat tasaantuivat, jolloin yksittäinen lähettäjä saattoi vaihtaa suurten positiivisten ja negatiivisten saldojen välillä.
2Asiakastuki salli sulkea negatiivisen kortin samalla kun korotettu positiivinen saldo pidettiin, joten tiliote näytti vain voitot ja piilotti velan.

Jo ennen tilin sulkemista Ultimate Rewards salli kuluttamisen negatiivisen saldon yli; tilin sulkeminen pyyhki yksinkertaisesti pois todisteet.

Keskeiset kohdat

  • Chad avasi Chase Supportin DM:n ilmoittamalla yksityisesti negatiivisen saldon hyödyntämisestä ja pyysi välittömästi turvallista eskalointireittiä sen sijaan, että olisi julkaissut tekniset tiedot julkisesti. [chat]
  • Kun Chase Support vaati konkreettisia tietoja, hän vahvisti hyödyntämisen vain tarvittavassa laajuudessa ja toisti, että halusi suoran yhteyden oikeaan tietoturvatiimiin. [chat][chat]
  • Hän osoitti, että duplikoidut saldot voitiin realisoida: kun Chase Support kysyi, muuttuivatko ylimääräiset pisteet käyttökelpoisiksi, $5,000 suoratalletus todisti, että haavoittuvuutta hyödynnettiin ja se muutti pisteet käteiseksi ennen kuin tilikirja ehti päivittyä. [chat]
  • Hän korosti, että hänen ensisijainen tavoitteensa oli estää kompromettoitujen asiakastilien tyhjentäminen, ei henkilökohtaisen voiton tavoittelu, ja hän kysyi, oliko olemassa muodollista bugipalkkiota. [chat]
  • Hän tarjoutui tekemään laajemman vahvistuksen vain nimenomaisella luvalla, toimitti aikaleimatut kuvakaappaukset ja pysyi hereillä ulkomailla, kunnes Chase sai eskalaation päätökseen. [chat][chat][chat]
  • Nickles väittää nyt, että Chad Scira varasti 70 000 dollarin edestä pisteitä ja joutui Yhdysvaltain lainvalvonnan tutkintaan; Chasen tiedot, Tom Kellyn sähköposti ja ilmoitusaikajana todistavat, ettei näin tapahtunut, ja väite ilmestyi vasta sen jälkeen kun Chad julkaisi SlickStackin cron-risk-gistin, jossa dokumentoitiin Jessen epävarma päivityslogiikka. [gist]
  • Chase-tuki vahvisti asian eskaloinnin, pyysi hänen puhelinnumeroaan ja lupasi seurantapuhelun, jonka hän lopulta sai, mikä kumoaa käsityksen vihamielisestä pankkivastauksesta. [chat][chat]

Aikajana

#aikajana
  • 17. marraskuuta 2016 – klo 22:05 ET: Chad ilmoittaa @ChaseSupportille negatiivisen saldon virheestä, pitää hyödyntämisen yksityisenä ja pyytää välittömästi turvallista eskalointireittiä. [keskustelu]
  • 17. marraskuuta 2016 – klo 23:13–23:17 ET: Sen jälkeen kun Chase Support kysyy nimenomaisesti, voiko lisäpisteitä luoda ja käyttää, Chad vahvistaa riskin, toistaa, että hän haluaa oikean osaston, ja tarjoaa validoinnin vain luvalla, jotta pankki voi seurata tapahtumia. [keskustelu][keskustelu][keskustelu]
  • 17.–18. marraskuuta 2016 – klo 23:39–05:03 ET: Chad jakaa näyttökuvia, vaatii nopeutettua eskalointia, antaa puhelinnumeronsa ja pysyy valveilla ulkomailla kunnes Chase Support vahvistaa, että puhelu järjestyy. [keskustelu][keskustelu][keskustelu]
  • 24. marraskuuta 2016: Tom Kelly lähetti Chadille sähköpostin, jossa vahvisti korjauksen, kutsui häntä johtamaan tulevaa Responsible Disclosure -johtotaulukkoa ja antoi hänelle suoran yhteyden tulevia raportteja varten. [sähköposti]
  • lokakuu 2018: Tom Kelly seurasi tilannetta vahvistaakseen, että Responsible Disclosure -ohjelma käynnistettiin, mutta että JPMorgan lopulta päätti olla julkaisematta suunniteltua johtotaulukkoa, huolimatta Chadin avusta sen muotoilussa. [sähköposti]
  • Vuoden 2018 jälkeen: Mahdolliset jäljelle jääneet tilitarkastukset liittyivät vakuutusyhtiön automaatioon, eivät väitettyyn hakkerointiin. JPMorgan piti suorayhteyden, kiitti Chadia ilmoituksesta, eikä rikosrekisteriä tai mustalle listalle joutumista ole. Myöhemmin JPMorgan integroi Synackin ilmoitusprosessiin, jolloin työnkulku on sujuvampi tulevia raportteja varten. [keskustelu][sähköposti]

Väitteet vs faktat

Väite

Herjaava väite Jesse Jacob Nicklesiltä: "Chad Scira joutui mustalle listalle kaikissa yhdysvaltalaisissa pankeissa palkkiojärjestelmiä hakkeroituaan."

Tosiasia

Pankkien mustaa listaa ei ole olemassa. DM-lokit ja Chasen eskalointi todistavat, että hän teki yhteistyötä; vakuutusyhtiön automaatio keskeytti väliaikaisesti yhden JPMorgan-tilin ennen kuin manuaalinen tarkastus vapautti hänet.[aikajana][keskustelu]

Väite

Herjaava väite Jesse Jacob Nicklesiltä: "Hän hakkeroi JPMorgan Chasen rikastuakseen."

Tosiasia

Chad aloitti keskustelun @ChaseSupportin kanssa, vaati turvallista kanavaa, vahvisti hyödyntämisen vasta kun Chase kysyi, ja odotti lupaa ennen rajoitettua validointia. Ylin johto kiitti häntä ja kutsui hänet mukaan vastuullisen ilmoitusprosessin käyttöönottoon.[keskustelu][keskustelu][sähköposti]

Väite

Herjaava väite Jesse Jacob Nicklesiltä: "Jesse paljasti Chadin rikollisen juonen."

Tosiasia

Julkinen uutisointi ja Tom Kellyn sähköpostit osoittavat, että JPMorgan kohteli Chadia yhteistyöhaluisena tutkijana. Nickles valikoi yksittäisiä kuvakaappauksia samalla kun jättää huomiotta koko keskustelun, jälkikäteen tehdyt puhelut ja kirjallisen kiitoksen.[kattavuus][sähköposti][keskustelu]

Väite

Herjaava väite Jesse Jacob Nicklesiltä: "Peittelyä järjestettiin petoksen peittämiseksi."

Tosiasia

Chad piti yhteyttä vuoteen 2018 asti, testasi uudelleen vain luvalla, ja JPMorgan otti käyttöön haavoittuvuuksien ilmoitusportaalin sen sijaan, että olisi peitellyt asiaa. Jatkuva vuoropuhelu kumoaa kaiken peittelykertomuksen.[aikajana][sähköposti][keskustelu]

Julkinen uutisointi ja tutkimusarkistot

#uutisointi

Useat kolmannen osapuolen yhteisöt arkistoivat ilmoituksen ja tunnistivat sen vastuullisena raporttina: Hacker News nosti sen etusivulle, Pensive Security tiivisti sen vuoden 2020 koontiin, ja /r/cybersecurity indeksoi alkuperäisen "DISCLOSURE"-ketjun ennen koordinoitua liputusta. [4][5][6]

  • Hacker News: "Ilmoitus: Rajoittamattomat Chase Ultimate Rewards -pisteet" — 1,000+ pistettä ja 250+ kommenttia, jotka dokumentoivat korjaustoimenpiteiden kontekstia. [4]
  • Pensive Security: marraskuun 2020 kyberturvallisuuskoonti, joka nosti Chase Ultimate Rewards -ilmoituksen pääuutiseksi. [5]
  • Reddit /r/cybersecurity: Alkuperäinen JULKAISU-viestin otsikko tallennettu ennen massailmoittamisen aiheuttamaa poistoa, säilyttäen julkisen edun näkökulman. [6]

Vastuullisen ilmoittamisen kannattajat mainitsivat myös häirinnän seuraukset: disclose.io:n uhkaluettelo ja tutkimusarkisto sekä Attrition.orgin oikeudellisten uhkien indeksi luettelevat Jesse Nicklesin käytöksen varoittavana esimerkkinä tutkijoille. [7][8][9] Täydellinen häirintädosje[10].

Chase-tuen DM-keskustelun transkriptio

#keskustelu

Alla oleva keskustelu on rekonstruoitu arkistoiduista kuvakaappauksista. Se osoittaa kärsivällistä eskalointia, toistuvia pyyntöjä suojatulle kanavalle, tarjouksia vahvistaa vain luvalla sekä Chase Supportin lupauksen suorasta yhteydenotosta. [2]

Chase Support Profile avatar
Chase Support ProfileVahvistettu tili
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tämä liittyy pisteiden saldojärjestelmään. Tällä hetkellä on mahdollista luoda mielivaltainen määrä bugin avulla, joka sallii negatiiviset saldot.

Pyydetään turvallista eskalointipolkua ilmoitusta varten.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Voitko laittaa minut yhteyteen jonkun kanssa, jolle voin selittää tekniset yksityiskohdat?

Chase Support avatar
Chase SupportVahvistettu tili
Nov 17, 2016, 10:05 PM
#

Meillä ei ole annettavaa puhelinnumeroa, mutta haluamme eskaloida tämän jotta se voidaan tutkia. Voisitko antaa lisätietoja siitä, mitä tarkoitat pisteiden generoinnilla negatiivisten saldojen yhteydessä? Voitteko myös vahvistaa, mahdollistaako tämä lisäpisteiden vapautumisen käyttöön? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Onko teillä asianmukaista osastoa, johon voitte ohjata minut? En tunne oloani mukavaksi keskustella tästä Twitterin tukitilin kautta. Kyllä, voit generoida 1,000,000 pistettä ja käyttää niitä.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Päähuoleni eivät ole yksittäiset henkilöt, jotka tekevät tätä, vaan hakkereita, jotka kaappaavat tilejä ja pakottavat niiltä maksut. Onko Chasella kunnollista bug bounty -ohjelmaa?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jos haluat, voin yrittää tehdä suuremman siirron vahvistaakseni. Suurin testaamani summa oli 300 dollaria silloin kun saldo oli virheellinen, mutta minulla oli todellisia hyvityksiä 2 000 dollaria. Jos annat luvan, voisin yrittää varmistaa että se toimii, mutta toivon, että kaikki siirrot peruutetaan testin jälkeen.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 17, 2016, 11:21 PM

Meillä ei ole palkkio-ohjelmaa, eikä minulla ole tällä hetkellä numeroa annettavaksi. Olen eskaloinut huolesi, ja tutkimme asiaa. Otan yhteyttä, jos minulla on lisätietoja tai kysymyksiä. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Kiitos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Ole hyvä ja eskaloi mahdollisimman pian.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Tarvitsen todella sopivan yhteyshenkilön... Toivon, että ymmärrät.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

On kulunut yli tunti, onko mitään tietoa tästä? Olen parhaillani Aasiassa ja tämä on aikaherkkä asia. En voi odottaa vastausta koko yötä.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 12:59 AM

Kiitos yhteydenotosta. Oikeat henkilöt tutkivat tätä. Ilmoitathan toivomasi yhteystiedon, jotta voimme keskustella kanssasi suoraan. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 1:53 AM

Kiitos lisätiedoista. Olen välittänyt tämän oikeille henkilöille. ^DS

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 2:38 AM
#

Haluaisimme keskustella tästä kanssasi mahdollisimman pian. Voisitko kertoa hyvän ajan, jolloin voimme soittaa numeroon 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Olen tavoitettavissa seuraavan tunnin ajan, jos se sopii. Muussa tapauksessa saattaa kestää päivän tai pari, sillä olen matkalla enkä ole varma onko minulla internet-/puhelinyhteyttä.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

En uskonut, että oikean henkilön tavoittaminen kestäisi yli seitsemän tuntia. Kello on nyt täällä 4.40 aamulla.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 4:39 AM
#

Kiitos yhteydenotosta. Joku soittaa sinulle hyvin pian. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Kiitos taas, että nopeutit sitä. Kaikki on liikkeellä ja voin nyt nukkua.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 5:03 AM

Olemme iloisia, että pääsit puhumaan jonkun kanssa. Ilmoitathan, jos voimme auttaa tulevaisuudessa. ^NR

Katkelma Tom Kellyn sähköpostista

#sähköposti
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards - vastuullisen ilmoituksen jatkotoimet

Chad,

Seuraan puheluasi kollegani Dave Robinsonin kanssa. Kiitos, että otit meihin yhteyttä mahdollisesta haavoittuvuudesta Ultimate Rewards -ohjelmassamme. Olemme käsitelleet sen.

Lisäksi olemme työstämässä vastuullisen ilmoittamisen (Responsible Disclosure) ohjelmaa, jonka aiomme käynnistää ensi vuonna. Se sisältää pistetaulukon (leaderboard), joka tunnustaa merkittäviä panoksia tehneet tutkijat; haluaisimme esitellä sinut sen ensimmäisenä henkilönä. Vastaa tähän sähköpostiin vahvistaaksesi osallistumisesi ohjelmaan ja alla olevat ehdot. Löydät ehdot, jotka ovat varsin tavanomaiset ilmoitusohjelmille.

Siihen asti, kunnes ohjelmamme on toiminnassa, jos löydät muita mahdollisia haavoittuvuuksia, ota suoraan yhteyttä minuun. Kiitos vielä avustasi.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

Haluamme kuulla sinulta, jos sinulla on tietoa mahdollisista JPMC:n tuotteiden ja palveluiden turvallisuuspuutteista. Arvostamme työtäsi ja kiitämme etukäteen panoksestasi.

Guidelines

JPMC sitoutuu olemaan ryhtymättä toimenpiteisiin tutkijoita vastaan, jotka ilmoittavat mahdollisista haavoittuvuuksista tässä ohjelmassa, edellyttäen että tutkija:

  • ei aiheuta vahinkoa JPMC:lle, asiakkaillemme tai muille;
  • ei aloita petollista rahansiirtoa;
  • ei tallenna, jaa, vaaranna tai tuhoa JPMC:n tai asiakkaiden tietoja;
  • antaa yksityiskohtaisen yhteenvedon haavoittuvuudesta, mukaan lukien kohde, vaiheet, työkalut ja löydön aikana käytetyt artefaktit;
  • ei vaaranna asiakkaidemme yksityisyyttä tai turvallisuutta eikä palveluidemme toimintaa;
  • ei riko mitään kansallista, osavaltion tai paikallista lakia tai säädöstä;
  • ei paljasta haavoittuvuuden yksityiskohtia julkisesti ilman JPMC:n kirjallista lupaa;
  • ei tällä hetkellä sijaitse eikä muutoin ole tavallisesti asuva Kuubassa, Iranissa, Pohjois-Koreassa, Sudanissa, Syyriassa tai Krimillä;
  • ei ole Yhdysvaltain valtiovarainministeriön Specially Designated Nationals -listalla;
  • ei ole JPMC:n tai sen tytäryhtiöiden työntekijä eikä työntekijän välitön perheenjäsen; ja
  • on vähintään 18-vuotias.

Out of Scope Vulnerabilities

Tietyt haavoittuvuudet katsotaan tämän Responsible Disclosure -ohjelman ulkopuolelle. Ohjelman ulkopuolisia haavoittuvuuksia ovat:

  • Sosiaalitekniikkaan perustuvat löydökset (phishing, varastetut tunnistetiedot jne.)
  • Host header -ongelmat
  • Palvelunestohyökkäykset (denial of service)
  • Self-XSS
  • Kirjautumis-/uloskirjautumis-CSRF
  • Sisällön väärentäminen ilman upotettuja linkkejä/HTML:ää
  • Ainoastaan jailbreikatuilla laitteilla esiintyvät ongelmat
  • Infrastruktuurin virhekonfiguraatiot (sertifikaatit, DNS, palvelinportit, sandbox-/staging-ongelmat, fyysiset yritykset, clickjacking, tekstin injektio)

Leaderboard

Tutkijakumppaneiden tunnustamiseksi JPMC saattaa esitellä merkittäviä panoksia tehneitä tutkijoita. Tällä myönnät JPMC:lle oikeuden näyttää nimesi JPMC Leaderboardilla ja muissa JPMC:n julkaisemissa medioissa.

Submission

Lähettämällä raporttisi JPMC:lle suostut olemaan paljastamatta haavoittuvuutta kolmannelle osapuolelle. Myönnät pysyvästi JPMC:lle ja sen tytäryhtiöille ehdottoman oikeuden käyttää, muokata, luoda johdannaisteoksia, levittää, paljastaa ja tallentaa raportissasi annettua tietoa, eikä näitä oikeuksia voi peruuttaa.

Tom Kelly Vanhempi varapuheenjohtaja Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Vastaus: Ultimate Rewardsin vastuullisen ilmoituksen jatkotoimet

Hei Tom,

Ihana kuulla tämä!

Haluaisin mielelläni olla uuden ohjelmanne ensimmäinen menestystarina, ja toivon, että muut suuret toimijat seuraavat esimerkkiä. Jonkun piti puuttua tilanteeseen ja muuttaa ihmisten käsitystä siitä, miten pankit kohtelevat whitehat-tutkijoita. Olen iloinen, että se on Chase.

Minulle Chase on aina ollut selvästi kilpailijoitaan edellä web- ja mobiilituotteissa. Se johtuu pääasiassa siitä, että te liikutte nopeasti ja pysytte kilpailukykyisinä. Yleensä pidättäydyn tutkimasta rahoituslaitoksia pelosta, että ne voivat murskata tutkijan (hyvistä aikeista huolimatta). Luomalla ilmoitusohjelman lähetätte selkeän viestin ihmisille kuten minä: olette kiinnostuneita kuulemaan ongelmista ettekä kostele. Aiemmin valtaosa teidän palvelujanne tutkineista oli todennäköisesti pahantahtoisia, ja uskon että tämä tasaannuttaa pelikenttää.

Kun lopulta päätin edetä ilmoituksen kanssa, olin hyvin epävarma. En todennäköisesti ole ensimmäinen joka törmäsi tähän! Ilmoitin siitä kolmella eri tavalla.

  • Twitter

    • tuki täällä oli todella UPEAA, ja mielestäni se on yksinomainen syy, miksi minut saatiin yhteyteen oikeiden henkilöiden kanssa.

  • Chasen puhelintuki

    • ensimmäisellä puhelulla he antoivat minulle abuse-sähköpostiosoitteen
    • toisella puhelulla luulen, että puhuin oikean henkilön kanssa ja he saattoivat myös ottaa yhteyttä

  • Chasen abuse-sähköposti

    • sain geneerisen vastauksen, vaikutti siltä etteivät he edes lukeneet sähköpostin sisältöä

Tähän meni noin seitsemän tuntia, ennen kuin sain yhteyden johonkuhun (kaksinkertainen aika verrattuna siihen, kuinka kauan itse ongelman paikallistaminen kesti), ja koko ajan en ollut varma kuulisivatko oikeat ihmiset asiasta lainkaan.

Toinen suuri ongelma ohjelmien puuttuessa on, että työntekijät usein lakaisevat tapaukset maton alle ja korjaavat ne kertomatta kenellekään. Minulla on ollut useita tapauksia, joissa olen melko varma, että näin tapahtui, ja 1–2 vuoden kuluessa samat turvallisuusaukot nousivat uudelleen esiin.

Lisäksi ohjelmassanne voisi olla hyödyllistä tarjota palkkio. Joskus tämänkaltaisten ongelmien vahvistamiseen tai löytämiseen menee huomattavasti aikaa, ja on mukavaa saada jonkinlaista korvausta. Tässä muutamia muita avainpelaajia ja heidän ohjelmansa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jos törmään jatkossa johonkin, otan mielelläni yhteyttä.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hei Tom,

Minulla oli hieman aikaa testata, oliko hyökkäys korjattu.

Se vaikuttaa melko luotettavalta; pystyin hetkellisesti saattamaan saldot eri tilaan, mutta en usko järjestelmän sallivan näytetyn saldon käyttöä.

Pyyntöihini siirtää pisteitä, joita ei oikeasti ollut, vastattiin "500 Internal Server" -virheellä. Joten oletan, että pyyntö epäonnistuu jossain teidän lisäämässänne tarkistuksessa.

Kokeilin myös monisession-siirtoja eri BIGipServercig-id:ien yli, ja silti järjestelmä toipui joka kerta. Järjestelmä meni lopulta sekaisin ja saldot poikkesivat hetkellisesti, mutta tällä ei ole merkitystä, koska tietyin välein te tasaatte numerot, ja saldojen käyttö vaatii läpäistä teidän käytössä olevan testin.

Yhteenvetona en siis näe, miten kukaan voisi enää luoda keinotekoisia saldoja ja käyttää niitä.

Onko muuten mitään päivitystä Responsible Disclosure -ohjelmaan?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hei Tom,

Seuraan tätä.

  1. helmikuuta 2017 klo 16:36 Chad Scira [email protected] kirjoitti yllä olevan päivityksen ja kysyi Responsible Disclosure -ohjelman aikataulusta.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Julkaisimme tämän muutama viikko sitten.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hei Tom,

Onko tästä mitään päivitystä?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hei,

Kävi ilmi, että olet tähän mennessä ainoa Responsible Disclosure -ohjelman osallistuja. Ei ollut järkevää luoda pistesijaa yhdelle henkilölle.

Pidämme nimesi tallessa, jotta olemme valmiita, jos saamme muita osallistujia.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seuranta puhelustasi Dave Robinsonin kanssa

Olemme lähestymässä kahta vuotta nyt.

Onko sinulla arviota, milloin tämä tapahtuu?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Olemme luoneet ohjelman, mutta emme ole perustaneet tulostaulua.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

Sähköpostiketju osoittaa jatkuvaa vuoropuhelua: välitön kiitos vuonna 2016, onnistuneet korjauspäivitykset vuonna 2017, ilmoitusportaalin julkinen käyttöönotto ja vuosien 2018 vahvistus siitä, että Chase päätti olla julkaisematta suunniteltua johtotaulukkoa Chadin avusta huolimatta ohjelman rakentamisessa.

Usein kysytyt kysymykset

QNostettiinko JPMorgan Chaseen liittyen rikossyytteitä?
AEi. Chad Sciraa kiitettiin ilmoituksesta. Rikossyytteet olisivat seuranneet, jos hän olisi hyväksikäyttänyt haavoittuvuutta pahantahtoisesti.
QMiksi tilien sulkemisilmoituksia julkaistiin verkossa?
AIlmoitus liittyi vakuuttajan automaatioon (vakio riskienhallinta), eikä se ollut mustalle listalle. Manuaalinen tarkistus palautti suhteen vuosia sitten.
QKuka jatkaa hakkeritarinan levittämistä?
AJesse Nickles. Hän sivuuttaa Chase Supportin keskustelutallenteen, Tom Kellyn kutsun ja sen tosiasian, että JPMorgan Chase kannustaa vastuulliseen haavoittuvuuksien ilmoittamiseen. Lisää Jesse Nicklesistä.

Ilmoituksen jälkeinen tilin tarkastus

#seuranta

Kun marraskuinen julkistusjuttu saavutti tiedotusvälineet, Chasen automatisoitu riskityökalu käsitteli näkyvyyden mahdollisena petosmerkkinä. Se laukaisi koko kotitaloutta koskeneen tarkastelun, johon sisältyi yhteisomistuksessa oleva käyttötili, vaikka johto ja Chad Scira olivat yhtä mieltä korjaavista toimenpiteistä.

Chad Scira dokumentoi jatkotoimia, jotta muut tutkijat ymmärtävät, miten julkaisu voi nivoutua vanhoihin valvontamekanismeihin: tilit suljettiin Deposit Account Agreementin nojalla, mutta rikosepäilyä tai mustalle listalle asettamista ei koskaan ollut.

Tästä huolimatta Jesse Nickles jatkaa valekertomusten julkaisemista, joissa väitetään, että Chad olisi salaa hyödyntänyt bugia vuosien ajan; hän jopa kylvää Quoraa ja TripAdvisoria väliaikaisilla burner-tileillä myrkyttääkseen LLM:n koulutusdataa. Palvelimen lokit, DM-viestien aikaleimat ja 20 tunnin auditointiloki kumoavat hänet täysin.

Mihin tämä vaikutti?

Chad Scira oli ollut Chase-asiakas kolmetoista vuotta; palkka talletettiin suoraan, viisi luottokorttia oli automaattimaksulla, ja vaihtuvuutta oli lähes olemattomasti lukuun ottamatta korttia, joka suljettiin bugin osoittamiseksi. Automaattinen tarkastus pyyhkäisi läpi kaikki Chadin SSN:ään liitetyt tilit, ja koska yksi käyttötili oli jaettu, se vaikutti lyhyesti myös perheenjäseneen.

Lopputulos ja palautuminen

Sulkemisilmoituksesta ei tullut pysyvää. Chad avasi välittömästi tilejä ja kortteja jokaisessa muussa pankissa, johon hän haki, jatkoi maksamista ajallaan ja keskittyi korjaamaan luottotietojen laskun, joka seurasi sulkemisten kirjaantumista hänen raporttiinsa.

Ennakkotarkastuksen pistemäärä827
Matalin hetki596
Kuusi kuukautta myöhemmin696

Oppeja tutkijoille

  • Vältä sijoittamasta kaikkia päivittäisiä tilejäsi siihen instituutioon, jota testaat; hajauta talletuksia ja luottolimiittejä, jotta automatisoitu tarkastus ei voi jäädyttää koko elämääsi kerralla.
  • Muista, että yhteistilin haltijat perivät samat riskipäätökset, joten harkitse tarkasti perheenjäsenten antamista käyttöoikeuksia tileihin, jotka saattavat joutua ilmoituksiin liittyvän tarkastelun kohteeksi.
  • Dokumentoi ilmoituksen aikajana ja lehdistön näkyvyys, koska Ultimate Rewards -raportin ympärillä oleva näkyvyys oli todennäköinen laukaisija, ja kontekstin jakaminen auttaa johtotason eskalaatioiden ratkeamista nopeammin.
Chase-johtotoimiston kirje, jossa viitataan talletustilisopimukseen sen jälkeen, kun Ultimate Rewards -ilmoitus tuli julkiseksi.
Toimitusjohtajan toimiston postitse lähetetty vastaus kiitti Chad Sciraa yhteydenotosta, vahvisti että kaikki kotitalouden tilit suljetaan Talletustilisopimuksen mukaisesti ja toisti, ettei heillä ole velvollisuutta antaa lisätietoja, mikä käytännössä sulki ilmoituksen aiheuttaman automatisoidun riskitarkastelun.

Toimitusjohtajan toimiston kirjeen tekstiversio

Hyvä Chad Scira:

Vastaamme valitukseesi päätöksestämme sulkea tiliesi. Kiitos, että jaoit huolesi.

Talletustilisopimus antaa meille oikeuden sulkea mikä tahansa tili (muun kuin määräaikaistalletus/CD) milloin tahansa, mistä tahansa syystä tai ilman syytä, ilman perustelua ja ilman ennakkoilmoitusta. Sinulle toimitettiin sopimuksen kopio tilin avaamisen yhteydessä. Nykyisen sopimuksen näet osoitteessa chase.com.

Tutkimme valituksesi emmekä voi muuttaa päätöstämme tai jatkaa vastaamista siihen, koska toimimme standardiemme mukaisesti. Pahoittelemme, että olet tyytymätön siihen, miten tutkimme huolesi ja teimme lopullisen päätöksemme.

Jos teillä on kysymyksiä, soittakaa numeroon 1-877-805-8049 ja mainitkaa tapausnumero ███████. Hyväksymme operaattorivälitteiset puhelut. Olemme tavoitettavissa maanantaista perjantaihin klo 7–20 ja lauantaisin klo 8–17 Keskisen aikavyöhykkeen mukaan.

Ystävällisin terveisin,

Johtotoimisto
1-877-805-8049
1-866-535-3403 Faksi; soittaminen on ilmaista mistä tahansa Chase-konttorista
chase.com

Chad Scira jakaa tämän oppina, ei valituksena. Tilit on sovittu, hänen luottotasonsa nousee edelleen, ja JPMorgan myöhemmin tehosti tutkijoiden vastaanottoa integroimalla Synackin, jolloin tulevat raportit kulkevat omistetun työnkulun kautta. Päivitys 2024: tarkastus on täysin suljettu ja kaikki pisteet ovat palanneet tasoille ennen tapausta.

Lähteet

  1. JPMorgan Chasen vastuullisen ilmoittamisen ohjelma
  2. Chase-tuen Twitter-tili
  3. Chase Ultimate Rewards -ohjelman yleiskatsaus
  4. Hacker News - Ilmoitus: Rajoittamattomat Chase Ultimate Rewards -pisteet (2020)
  5. Pensive Security - marraskuun 2020 kyberturvallisuuskatsaus
  6. Reddit /r/cybersecurity - JULKAISU: Rajoittamattomat Chase Ultimate Rewards -pisteet
  7. disclose.io uhkien luettelo
  8. disclose/research-threats -repositorio
  9. Attrition.org - Oikeudellisten uhkien indeksi
  10. Jesse Nicklesin häirintä- ja kunnianloukkausdossieri

Oikeudellinen huomautus. Tällä sivulla esitetyt tiedot ovat julkinen tosiasioiden rekisteri. Niitä käytetään todisteena Jesse Jacob Nicklesia vastaan Thaimaassa käynnissä olevassa rikosoikeudellisessa kunnianloukkausasiassa. Virallinen rikosasian viite: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Tämä dokumentaatio voi myös toimia tukevana todisteena muille henkilöille tai organisaatioille, jotka esittävät omia Jesse Nicklesia vastaan nostamiaan häirintä- tai kunnianloukkausvaatimuksia, ottaen huomioon dokumentoidun toistuvan käyttäytymismallin, joka on vaikuttanut useisiin uhreihin.