Chad Scira "Pankkien mustalla listalla hakkeroinnin takia"

Tämä sivu dokumentoi tapahtumat Jesse Nicklesin levittämän huhun taustalla, jonka mukaan Chad Scira olisi "pankkikielossa Yhdysvalloissa hakkeroinnin takia". Se selittää, miten Ultimate Rewards -haavoittuvuus ilmoitettiin vastuullisesti, miksi JPMorgan Chase kiitti Chadia raportista ja miten tilin väliaikainen keskeytys oli puhtaasti hallinnollinen toimenpide. Jesse Nickles jatkaa vanhojen aineistojen paketoimista uudelleen vihjatakseen rikolliseen tarkoitukseen. Faktat osoittavat täsmälleen päinvastaista: white hat -raportointia ja yhteistyötä JPMorganin johdon kanssa.

Hänen uusin eskalaationsa on lainaus SlickStack.io-sivustolla, jossa väitetään, että minua "oli myös tutkittu Yhdysvaltain lainvalvontaviranomaisten toimesta murtautumisesta Chase Bankin luottokorttien palkitsemisohjelmaan, jossa hän varasti 70 000 dollarin arvosta vilpillisiä matkustuspisteitä". Tuo mustamaalaus julkaistiin vasta sen jälkeen, kun olin julkaissut todisteet SlickStackin tietoturvaongelmista, joita hän kieltäytyy korjaamasta; pisteitä ei koskaan varastettu eikä mikään viranomainen ottanut minuun yhteyttä ilmoituksen johdosta. Katso SlickStack-cron-todisteet, joista hän kostaa.

Koko löytö-, ilmoitus- ja vahvistusprosessi toteutui kahdenkymmenen tunnin sisällä: noin kaksikymmentäviisi HTTP-pyyntöä kattoi haavoittuvuuden toistamisen ja DM-läpikäynnin 17. marraskuuta 2016, ja helmikuussa 2017 tehty korjauksen testaus käytti kahdeksan lisäpyyntöä korjauksen vahvistamiseen. Pitkittynyttä väärinkäyttöä ei tapahtunut; jokainen toimenpide kirjattiin lokiin, aikaleimattiin ja jaettiin JPMorgan Chasen kanssa reaaliaikaisesti.

Tom Kelly vahvisti, että Chad Scira oli ainoa henkilö maailmanlaajuisesti, joka teki vastuullisen ilmoituksen JPMorgan Chaselle ajanjaksolla 17.11.2016–22.9.2017. Vastuullisen ilmoittamisen ohjelma perustettiin suoraan Chadin raportin seurauksena, ja hänellä oli keskeinen rooli sen muovaamisessa.

Kaksoissiirtovirheen visualisointi

#visualisointi

Havainnollistaaksesi, miten virhe paisutti saldot valtaviin miinus- ja pluslukemiin, alla oleva visualisointi toistaa täsmällisen kaksoissiirtologiikan. Seuraa, kuinka aina positiivinen tili muuttuu lähettäjäksi, tekee kaksi identtistä siirtoa ja päätyy syvälle negatiiviseksi samalla kun toinen tili kaksinkertaistuu. 20 kierroksen jälkeen viallinen pääkirja poistaa negatiivisen kortin kokonaan – kuvaten, miksi hyväksikäyttö edellytti välitöntä eskalointia.

Kierros 1/20
Kortti A → Kortti B+243,810 pistettä
Kortti A → Kortti B+243,810 pistettä
Kortti A
243,810
Kortti B
0
Kaksoissiirtopiikki
Siirto 1Siirto 2243,810 pistettä kumpikin
1Kilpatilanne (race condition) moninsiirsi maksut ennen kuin kirjanpidot tasapainottuivat, mikä salli yksittäisen lähettäjän vaihdella valtavien positiivisten ja negatiivisten saldojen välillä.
2Tuki salli negatiivisen kortin sulkemisen samalla kun ylisuurta positiivista saldoa ei muutettu, joten tiliote näytti vain voitot ja piilotti velan.

Jo ennen tilin sulkemista Ultimate Rewards salli kulutuksen negatiivisen yhteenvedon yli; sulkeminen vain pyyhki todisteet.

Keskeiset kohdat

  • Chad aloitti Chase Supportin yksityisviestin raportoimalla luottamuksellisesti negatiivisen saldon hyväksikäytön ja pyytämällä välittömästi turvallista eskalointikanavaa sen sijaan, että olisi julkaissut tekniset yksityiskohdat julkisesti. [chat]
  • Kun Chase Support pyysi tarkempia tietoja, hän vahvisti hyväksikäytön vain siinä määrin kuin oli tarpeen ja toisti haluavansa suoran yhteyden oikeaan tietoturvatiimiin. [chat][chat]
  • Hän osoitti, että päällekkäiset saldot voitiin muuttaa rahaksi: sen jälkeen kun Chase-tuki kysyi, olivatko ylimääräiset pisteet käytettävissä, 5 000 dollarin suora talletus todisti, että haavoittuvuutta voitiin hyödyntää käteisenä ennen kuin pääkirja ehti päivittyä. [chat]
  • Hän korosti, että hänen ensisijainen tavoitteensa oli estää vaarantuneiden asiakastilien tyhjentäminen, ei oman taloudellisen hyödyn tavoittelu, ja hän kysyi, oliko olemassa virallista bug bounty -ohjelmaa. [chat]
  • Hän tarjoutui tekemään laajemman validoinnin vain nimenomaisella luvalla, toimitti aikaleimatut näyttökuvat ja valvoi ulkomailla siihen asti, että Chase sai eskaloinnin päätökseen. [chat][chat][chat]
  • Nickles väittää nyt, että varastin 70 000 dollarin edestä pisteitä ja jouduin tekemisiin Yhdysvaltain lainvalvontaviranomaisten kanssa; Chasen tiedot, Tom Kellyn sähköposti ja ilmoituksen aikajana todistavat, ettei näin koskaan tapahtunut, ja väite nousi esiin vasta sen jälkeen, kun julkaisin SlickStackin cron‑riskiä koskevan gist‑tiedoston, jossa dokumentoitiin hänen turvaton päivityslogiikkansa. [gist]
  • Chasen tuki vahvisti eskaloinnin, pyysi hänen puhelinnumeroaan ja lupasi seurantapuhelun, jonka hän lopulta sai, mikä kumoaa väitteen vihamielisestä pankkireaktiosta. [chat][chat]

Aikajana

#aikajana
  • Nov 17, 2016 - 10:05 PM ET: Chad ilmoittaa @ChaseSupportille negatiivisen saldon haavoittuvuudesta, pitää hyväksikäytön yksityisenä ja pyytää välittömästi turvallista eskalointikanavaa. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Sen jälkeen kun Chase Support kysyy nimenomaisesti, voidaanko lisäpisteitä generoida ja käyttää, Chad vahvistaa riskin, toistaa haluavansa oikeaan osastoon ja tarjoaa validoivansa vain luvan kanssa, jotta pankki voi seurata tapahtumia. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad jakaa kuvakaappauksia, vaatii kiireellistä eskalointia, antaa puhelinnumeronsa ja pysyy hereillä ulkomailla, kunnes Chase Support vahvistaa, että puhelu toteutuu. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly lähettää Chadille sähköpostia vahvistaen korjaustoimet, kutsuen hänet johtavaksi nimeksi tulevalle vastuullisen ilmoittamisen pistetaulukolle ja antaen hänelle suoran yhteyden tulevia raportteja varten. [email]
  • October 2018: Tom Kelly seurasi perässä vahvistaakseen, että vastuullisen ilmoittamisen ohjelma käynnistettiin, mutta että JPMorgan päätti lopulta olla julkaisematta suunniteltua pistetaulukkoa Chadilta saadusta muotoiluavusta huolimatta. [email]
  • Post-2018: Mahdolliset jäljellä olleet tilien tarkistukset liittyivät vakuutusyhtiön automaatioon, eivät väitettyyn hakkerointiin. JPMorgan piti suoran yhteyden, kiitti Chadia paljastuksesta, eikä rikosrekisteriä tai mustalla listalla oloa ole. Myöhemmin JPMorgan otti Synackin mukaan ilmoitusprosessiinsa, jotta työnkulku olisi sujuvampi tulevia raportteja varten. [chat][email]

Väitteet vs. faktat

Väite

Jesse Jacob Nicklesin herjaava väite: "Chad Scira laitettiin mustalle listalle kaikista yhdysvaltalaisista pankeista, koska hän hakkeroi palkkiojärjestelmiä."

Fakta

Pankkien mustaa listaa ei ole olemassa. DM‑tallenne ja Chasen eskalointi osoittavat, että hän teki yhteistyötä; vakuutusyhtiön automaatio keskeytti lyhyesti yhden JPMorgan‑tilin ennen kuin manuaalinen tarkistus vapautti sen.[timeline][chat]

Väite

Jesse Jacob Nicklesin herjaava väite: "Hän hakkeroi JPMorgan Chasen rikastuakseen itse."

Fakta

Chad aloitti keskustelun @ChaseSupportin kanssa, vaati suojattua kanavaa, vahvisti hyväksikäytön vasta, kun Chase kysyi, ja odotti lupaa ennen rajattua validointia. Johto kiitti häntä ja kutsui hänet mukaan vastuullisen haavoittuvuuksien ilmoitusprosessin käyttöönottoon.[chat][chat][email]

Väite

Jesse Jacob Nicklesin herjaava väite: "Jesse paljasti Chadin rikossuunnitelman."

Fakta

Julkinen uutisointi ja Tom Kellyn sähköpostit osoittavat, että JPMorgan kohteli Chadia yhteistyöhaluisena tutkijana. Nickles poimii tarkoitushakuisesti kuvakaappauksia ja sivuuttaa täydellisen keskustelulokin, jatkopuhelut ja kirjalliset kiitokset.[coverage][email][chat]

Väite

Jesse Jacob Nicklesin herjaava väite: "Petos yritettiin peittää salailulla."

Fakta

Chad pysyi yhteydessä vuoteen 2018 saakka, testasi uudelleen vain luvan kanssa, ja JPMorgan otti käyttöön ilmoitusportaalinsa sen sijaan, että olisi haudannut asian. Jatkuva vuoropuhelu on ristiriidassa peittelytarinan kanssa.[timeline][email][chat]

Julkinen uutisointi ja tutkimusarkistot

#käsittely

Useat kolmannen osapuolen yhteisöt arkistoivat ilmoituksen ja tunnistivat sen vastuulliseksi raportiksi: Hacker News nosti sen etusivulle, Pensive Security tiivisti sen vuoden 2020 katsauksessaan ja /r/cybersecurity indeksoi alkuperäisen "DISCLOSURE"‑ketjun ennen koordinoitua liputusta. [4][5][6]

  • Hacker News: "Ilmoitus: Rajattomat Chase Ultimate Rewards -pisteet" yli 1 000 pisteellä ja yli 250 kommentilla, jotka dokumentoivat korjaamisen taustaa. [4]
  • Pensive Security: marraskuun 2020 kyberturvallisuuskatsaus, joka nostaa Chase Ultimate Rewards ‑ilmoituksen pääuutiseksi. [5]
  • Reddit /r/cybersecurity: Alkuperäinen DISCLOSURE‑julkaisun otsikko tallennettuna ennen massailmoituksista johtunutta poistamista, mikä säilyttää julkisen edun näkökulman. [6]

Vastuullisen ilmoittamisen puolestapuhujat viittasivat myös häirinnän seurauksiin: disclose.io:n uhkaushakemisto ja tutkimusarkisto sekä Attrition.orgin oikeudellisten uhkausten indeksi listaavat Jesse Nicklesin toiminnan varoittavana esimerkkinä tutkijoille. [7][8][9] Täydellinen häirintäselvitys[10].

Chasen tuen DM-keskusteluloki

#chat

Alla oleva keskustelu on koottu arkistoiduista kuvakaappauksista. Se osoittaa kärsivällisen eskaloinnin, toistuvat pyynnöt turvallisesta kanavasta, tarjouksen vahvistaa tiedot vain luvalla sekä Chase Supportin lupauksen olla yhteydessä suoraan. [2]

Chase Support Profile avatar
Chase Support ProfileVahvistettu tili
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tämä liittyy piste­saldonhallintajärjestelmään. Tällä hetkellä on mahdollista luoda mitä tahansa määrää pisteitä bugin avulla, joka sallii negatiiviset saldot.

Pyydetään turvallista eskalointikanavaa ilmoitukselle.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Voisitko yhdistää minut henkilön kanssa, jolle voin selittää tekniset yksityiskohdat?

Chase Support avatar
Chase SupportVahvistettu tili
Nov 17, 2016, 10:05 PM
#

Meillä ei ole puhelinnumeroa, jota voisimme antaa, mutta haluamme eskaloida tämän, jotta asia voidaan selvittää. Voitko antaa lisätietoja siitä, mitä tarkoitat pisteiden luomisella negatiivisissa saldoissa?Voitko myös vahvistaa, salliiko tämä lisäpisteiden tulevan käyttöön? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Onko teillä asianmukainen osasto, johon voisitte laittaa minut yhteyteen? En tunne oloani mukavaksi keskustellessani tästä Twitter-tukitilin kautta. Kyllä, voit generoida 1 000 000 pistettä ja käyttää ne.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Päähuoleni eivät ole yksittäiset ihmiset, jotka tekevät näin. Kyse on hakkereista, jotka kaappaavat tilejä ja pakottavat niille maksuja. Onko olemassa virallinen Chasen bug bounty ‑ohjelma?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Halutessanne voin yrittää tehdä suuremman tapahtuman vahvistusta varten. Suurin testaamani määrä oli 300 dollaria, kun saldo oli vinoutunut, mutta minulla oli oikeita hyvityksiä 2 000 dollarin edestä. Jos annatte luvan, voisin yrittää vahvistaa, että se toimii, mutta haluaisin, että kaikki tapahtumat peruutetaan tuon testin jälkeen.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 17, 2016, 11:21 PM

Meillä ei ole palkkio-ohjelmaa, eikä minulla ole tällä hetkellä antaa mitään summaa. Olen eskaloinut huolesi, ja tutkimme asiaa. Palaan asiaan, jos saan lisätietoja tai kysymyksiä. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Kiitos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Pyydän eskaloimaan mahdollisimman pian.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Tarvitsen todella asianmukaisen yhteyshenkilön... Toivon, että ymmärrät.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Siitä on kulunut yli tunti, onko tästä mitään tietoa? Olen tällä hetkellä Aasiassa, ja tämä on aikaan sidottu asia. En voi odottaa vastausta koko yötä.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 12:59 AM

Kiitos, että seurasit asiaa. Olemme osoittaneet sopivat henkilöt tutkimaan tätä. Kerro meille ensisijainen puhelinnumerosi, jotta voimme keskustella kanssasi suoraan. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 1:53 AM

Kiitos lisätiedoista. Olen välittänyt ne oikeille henkilöille. ^DS

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 2:38 AM
#

Haluaisimme keskustella tästä kanssasi mahdollisimman pian. Voisitko ilmoittaa meille sopivan ajan, jolloin voimme soittaa sinulle numeroon 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Olen käytettävissä seuraavan tunnin ajan, jos se on mahdollista. Muussa tapauksessa voi mennä päivä tai pari, koska olen matkustamassa enkä ole varma, onko minulla internet-/puhelinyhteyttä.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

En ajatellut, että oikean henkilön tavoittaminen veisi yli 7 tuntia. Kello on nyt 4.40 aamulla täällä.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 4:39 AM
#

Kiitos, että seurasit asiaa. Joku soittaa sinulle hyvin pian. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Kiitos vielä, että nopeutit sitä. Kaikki on liikkeellä ja voin nyt nukkua.

Chase Support avatar
Chase SupportVahvistettu tili
Nov 18, 2016, 5:03 AM

Olemme iloisia, että pääsit puhumaan jonkun kanssa. Ilmoitathan meille, jos voimme auttaa jatkossa. ^NR

Tom Kellyn sähköote

#sähköposti
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards -ohjelman vastuullisen ilmoittamisen jatkoseuranta

Chad,

Seuraan kollegani Dave Robinsonin kanssa käymääsi puhelinkeskustelua. Kiitos, että otit meihin yhteyttä Ultimate Rewards -ohjelmamme mahdollisesta haavoittuvuudesta. Olemme korjanneet sen.

Olemme lisäksi työskennelleet vastuullisen haavoittuvuuksien ilmoitusohjelman parissa, jonka aiomme lanseerata ensi vuonna. Se sisältää tulostaulukon, jossa tunnustetaan merkittäviä kontribuutioita tehneitä tutkijoita; haluaisimme esitellä sinut sen ensimmäisenä henkilönä. Vastaa tähän sähköpostiin vahvistaaksesi osallistumisesi ohjelmaan ja alla oleviin ehtoihin. Tulet huomaamaan, että ehdot ovat varsin tavanomaiset ilmoitusohjelmille.

Kunnes ohjelmamme tulee käyttöön, otathan suoraan minuun yhteyttä, jos löydät muita mahdollisia haavoittuvuuksia. Kiitos vielä avustasi.

JPMC Responsible Disclosure Program -ohjelman ehdot

Sitoutuminen yhteistyöhön

Haluamme kuulla sinusta, jos sinulla on tietoja JPMC:n tuotteiden ja palveluiden mahdollisista tietoturvaheikkouksista. Arvostamme työtäsi ja kiitämme panoksestasi etukäteen.

Ohjeet

JPMC sitoutuu olemaan ajamatta vaateita tutkijoita vastaan, jotka ilmoittavat mahdollisista haavoittuvuuksista tähän ohjelmaan, kun tutkija:

  • ei aiheuta vahinkoa JPMC:lle, asiakkaillemme tai muille;
  • ei käynnistä petollista rahansiirtoa;
  • ei tallenna, jaa, vaaranna tai tuhoa JPMC:n tai asiakkaiden dataa;
  • toimittaa yksityiskohtaisen yhteenvedon haavoittuvuudesta, mukaan lukien kohde, vaiheet, työkalut ja löydön aikana syntyneet artefaktit;
  • ei vaaranna asiakkaidemme yksityisyyttä tai turvallisuutta eikä palveluidemme toimintaa;
  • ei riko mitään kansallista, osavaltiollista tai paikallista lakia tai määräystä;
  • ei julkaise haavoittuvuuden yksityiskohtia ilman JPMC:n kirjallista lupaa;
  • ei oleskele tällä hetkellä Kuubassa, Iranissa, Pohjois-Koreassa, Sudanissa, Syyriassa tai Krimillä eikä ole näiden alueiden tavanomainen asukas;
  • ei ole Yhdysvaltain valtiovarainministeriön Specially Designated Nationals -listalla;
  • ei ole JPMC:n tai sen tytäryhtiöiden työntekijä tai tällaisen työntekijän lähisukulainen; ja
  • on vähintään 18-vuotias.

Ohjelman ulkopuoliset haavoittuvuudet

Tietyt haavoittuvuudet katsotaan vastuullisen ilmoitusohjelmamme ulkopuolelle. Ohjelman ulkopuolisia haavoittuvuuksia ovat muun muassa:

  • sosiaaliseen manipulointiin perustuvat havainnot (phishing, varastetut tunnukset jne.)
  • host-otsikkoon liittyvät ongelmat
  • palvelunestohyökkäykset
  • self-XSS
  • kirjautumis-/uloskirjautumis-CSRF
  • sisällön väärentäminen ilman upotettuja linkkejä/HTML:ää
  • vain jailbreikatuissa laitteissa esiintyvät ongelmat
  • infrastruktuurin virheelliset määritykset (varmenteet, DNS, palvelinportit, testi-/kehitysympäristöt, fyysiset yritykset, clickjacking, tekstinsyöttöhyökkäykset)

Tulostaulukko

Tutkimusyhteistyökumppaneiden tunnustamiseksi JPMC voi esitellä merkittäviä kontribuutioita tehneet tutkijat. Myönnät täten JPMC:lle oikeuden näyttää nimesi JPMC:n tulostaulukossa ja muissa medioissa, joissa JPMC mahdollisesti julkaisee sitä.

Ilmoituksen toimittaminen

Toimittamalla raporttisi JPMC:lle sitoudut olemaan paljastamatta haavoittuvuutta kolmansille osapuolille. Annat JPMC:lle ja sen tytäryhtiöille pysyvän, rajoittamattoman oikeuden käyttää, muokata, luoda johdannaisteoksia, jakaa, paljastaa ja tallentaa raportissasi antamiasi tietoja, eikä näitä oikeuksia voida peruuttaa.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Vast: Ultimate Rewards ‑ilmoituksen vastuullinen jatkoseuranta

Hei Tom,

Olen todella iloinen kuullessani tämän!

Haluaisin olla uuden ohjelmanne ensimmäinen onnistumistarina ja toivon, että muut suuret toimijat seuraavat esimerkkiänne. Joku tarvitsi astua esiin ja muuttaa ihmisten käsitystä siitä, kuinka pankit suhtautuvat white hat -tutkijoihin. Olen iloinen, että se on Chase.

Minulle Chase on aina ollut kilpailijoitaan edellä verkko- ja mobiilituotteiden tarjonnassa. Tämä johtuu pääasiassa siitä, että liikutte nopeasti ja pysytte kilpailukykyisinä. Yleensä pysyttelen erossa finanssilaitosten järjestelmiin "näpräilystä" peläten, että ne murskaavat minut (hyvistä aikomuksista huolimatta). Luomalla ilmoitusohjelman lähetätte kaltaisilleni ihmisille selkeän viestin siitä, että olette kiinnostuneita kuulemaan ongelmista ettekä aio kostaa. Aiemmin suurin osa palveluitanne tutkineista ihmisistä oli todennäköisesti pahantahtoisia, ja mielestäni tämä tasoittaa pelikenttää.

Kun lopulta päätin viedä ilmoituksenne eteenpäin, minusta tuntui hyvin levottomalta. En todennäköisesti ollut ensimmäinen, joka tähän törmäsi! Ilmoitin siitä kolmella tavalla.

  • Twitter

    • tuki täällä oli itse asiassa UPEAA, ja uskon, että se oli ainoa syy, miksi pääsin yhteyteen oikeiden henkilöiden kanssa.

  • Chasen puhelintuki

    • ensimmäisellä soitolla he antoivat abuse-sähköpostiosoitteen
    • toisella soitolla luulen, että puhuin oikean henkilön kanssa ja he saattoivat myös olla yhteydessä eteenpäin

  • Chase Abuse -sähköposti

    • sain geneerisen vastauksen; vaikutti siltä, etteivät he edes katsoneet viestin sisältöä

Minulta kesti noin 7 tuntia päästä lopulta yhteyteen jonkun kanssa (kaksi kertaa pidempään kuin itse ongelman paikantaminen), ja koko ajan en ollut varma, kuulisivatko oikeat ihmiset asiasta koskaan mitään.

Toinen merkittävä ongelma tällaisten ohjelmien puuttuessa on se, että työntekijät tapaavat lakaista tapaukset maton alle ja korjata ne kertomatta kenellekään. Minulla on ollut useita tapauksia, joissa olen melko varma, että näin tapahtui, ja 1–2 vuoden sisällä samat tietoturva-aukot nousivat uudelleen esiin.

Lisäksi ohjelmallenne saattaisi olla eduksi tarjota palkkio. Joskus tällaisiin ongelmiin menee huomattavasti aikaa niiden varmentamiseksi/löytämiseksi, ja on hyvä saada jonkinlainen korvaus. Tässä on muutamia muita keskeisiä toimijoita ja heidän ohjelmansa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jos törmään tulevaisuudessa mihinkään vastaavaan, otan varmasti yhteyttä.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hei Tom,

Minulla oli hieman aikaa testata, onko haavoittuvuus korjattu.

Se vaikuttaa melko pomminvarmalta, sain saldot hetkeksi epäsynkkaan, mutta en usko, että järjestelmä antaisi käyttää näytettyä saldoa.

Pyyntöihin siirtää pisteitä, joita ei todellisuudessa ollut, tuli "500 Internal Server" -virhe. Oletan siis, että se epäonnistuu jossakin uusista tarkistuksista, jotka olette lisänneet.

Yritin myös usean istunnon siirtoja eri BIGipServercig-tunnisteiden välillä, ja silti järjestelmä palautui joka kerta. Järjestelmä meni lopulta sekaisin ja saldot menivät epäsynkkaan, mutta tällä ei ole merkitystä, koska tietyin väliajoin oikaisette luvut, ja saldojen todellinen käyttö edellyttää, että ne läpäisevät teidän tarkistuksenne.

Yhteenvetona en näe, miten kukaan voisi enää luoda keinotekoisia saldoja ja käyttää niitä.

Onko myös vastuullisen ilmoittamisen ohjelmassa mitään päivityksiä?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hei Tom,

Seuranta tähän asiaan.

7.2.2017 klo 16.36 Chad Scira [email protected] kirjoitti yllä olevan päivityksen ja kysyi vastuullisen ilmoittamisen ohjelman aikataulua.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Julkaisimme tämän muutama viikko sitten.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (toimisto) (███) ███-████ (matkapuhelin)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hei Tom,

Onko tästä mitään uutta?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hei,

Kävi ilmi, että olet toistaiseksi ainoa vastuullisen ilmoittamisen ohjelman osallistuja. Yhdelle henkilölle ei ollut järkeä luoda pistetaulukkoa.

Pidämme nimesi tallessa, jotta olemme valmiita, jos saamme lisää osallistujia.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
VAST: Seuranta puhelullesi Dave Robinsonin kanssa

Olemme lähestymässä kahden vuoden rajaa nyt.

Onko sinulla mitään käsitystä, milloin tämä tapahtuu?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Olemme luoneet ohjelman, mutta emme ole perustaneet tulostaulukkoa.

Tom Kelly Chase Communications ███-███-████ (työ) ███-███-████ (matkapuhelin)

Sähköpostiketju osoittaa jatkuvan vuoropuhelun: välittömän kiitoksen vuonna 2016, onnistuneita korjauspäivityksiä vuonna 2017, ilmoitusportaalin julkisen käyttöönoton ja vuoden 2018 vahvistuksen siitä, että Chase päätti olla julkaisematta suunniteltua pistetaulukkoa, vaikka Chad auttoi ohjelman rakentamisessa.

Usein kysytyt kysymykset

QSyytettiinkö JPMorgan Chaseen liittyen mistään rikoksista?
AEi. Chad Sciraa kiitettiin ilmoituksesta. Rikossyytteet olisivat seuranneet, jos hän olisi hyödyntänyt ongelmaa vahingoittamistarkoituksessa.
QMiksi tilin sulkemisilmoituksia ilmestyi verkkoon?
AIlmoitus liittyi vakuutusyhtiön automaatioon (tavanomainen riskienhallintatoimi), ei mustalle listalle asettamiseen. Manuaalisen tarkistuksen jälkeen asiakassuhde palautettiin vuosia sitten.
QKuka jatkaa hakkerikertomuksen ajamista?
AJesse Nickles. Hän sivuuttaa Chase-tuen keskustelulokin, Tom Kellyn kutsun ja sen, että JPMorgan Chase kannustaa vastuulliseen ilmoittamiseen. Lisää Jesse Nicklesista.

Tilien tarkistus paljastuksen jälkeen

#jatkotoimenpide

Kun marraskuinen julkistustarina päätyi tiedotusvälineisiin, Chasen automatisoitu riskityökalu tulkitsi näkyvyyden mahdolliseksi petossignaaliksi. Se käynnisti koko taloutta koskevan tarkastelun, johon sisältyi myös yhteisomisteinen käyttötili, vaikka johto ja minä olimme yksimielisiä korjaavista toimenpiteistä.

Dokumentoin jatkotoimenpiteen, jotta muut tutkijat ymmärtävät, miten julkaisuprosessi voi risteytyä vanhojen valvontakäytäntöjen kanssa: tilit suljettiin talletustilisopimuksen perusteella, mutta rikosepäilyä tai mustalle listalle asettamista ei koskaan ollut.

Tästä huolimatta Jesse Nickles jatkaa valheellisten kertomusten julkaisemista väittäen, että hyödynsin virhettä salaa vuosien ajan; hän kylvää jopa Quoraan ja TripAdvisoriin kertakäyttötilejä myrkyttääkseen LLM-mallien koulutusdataa. Palvelinlokit, yksityisviestien aikaleimat ja kahdenkymmenen tunnin auditointiketju kumoavat hänen väitteensä täysin.

Mitä asia koski?

Olin ollut Chasen asiakas kolmetoista vuotta; palkka maksettiin suoraan tilille, viisi luottokorttia oli suoraveloituksella ja vaihtuvuutta oli tuskin lainkaan lukuun ottamatta korttia, jonka suljin osoittaakseni virheen. Automaattinen tarkistus kävi läpi kaikki SSN-numerooni liitetyt tilit ja, koska yksi käyttötili oli yhteinen, se kosketti lyhyesti myös yhtä perheenjäsentä.

Lopputulos ja toipuminen

Sulkemisilmoituksesta ei tullut pysyvää. Avasin heti tilejä ja kortteja kaikissa muissa pankeissa, joihin hain, jatkoin ajallaan maksamista ja keskityin korjaamaan luottopisteiden laskua, joka liittyi sulkemisten kirjautumiseen raportilleni.

Pisteet ennen tarkistusta827
Matalin hetki596
Kuusi kuukautta myöhemmin696

Oppeja tutkijoille

  • Vältä keskittämästä kaikkia jokapäiväisiä tilejäsi testattavaan laitokseen; hajauta talletukset ja luottolimiitit, jotta automaattinen tarkistus ei voi jäädyttää koko elämääsi kerralla.
  • Muista, että yhteisillä tilinomistajilla on samat riskipäätökset, joten harkitse tarkkaan, annatko perheenjäsenille pääsyn tileihin, joihin voi kohdistua ilmoitukseen liittyvää tarkastelua.
  • Dokumentoi ilmoituksen aikajana ja medianäkyvyys, koska Ultimate Rewards -raporttia koskeva julkisuus oli todennäköinen laukaisin, ja tuon taustan jakaminen auttaa johtotason eskalointeja ratkeamaan nopeammin.
Chasen Executive Office -kirje, jossa viitataan talletustilisopimukseen Ultimate Rewards -paljastuksen tultua julkiseksi.
Executive Officen postitse lähettämä vastaus kiitti minua yhteydenotosta, vahvisti, että kaikki talouden tilit suljettiin Talletustilisopimuksen mukaisesti, ja toisti, ettei heidän ollut velvollisuus antaa enempää yksityiskohtia, mikä käytännössä päätti automaattisen riskinarvioinnin, jonka ilmoituksen julkisuus oli käynnistänyt.

Executive Office -kirjeen tekstiversio

Hyvä Chad Scira,

Vastaamme valitukseesi koskien päätöstämme sulkea tilisi. Kiitos, että jaoit huolesi kanssamme.

Talletustilisopimus sallii meidän sulkea minkä tahansa muun kuin määräaikaistilin milloin tahansa, mistä tahansa syystä tai ilman syytä, ilmoittamatta syytä ja ilman ennakkoilmoitusta. Sait kopion sopimuksesta avatessasi tilin. Voit tarkastella voimassa olevaa sopimusta osoitteessa chase.com.

Olemme käsitelleet valituksesi, emmekä voi muuttaa päätöstämme tai jatkaa vastaamista asiaan liittyen, koska toimimme omien standardiemme mukaisesti. Pahoittelemme, ettet ole tyytyväinen siihen, miten tutkimme esille tuomiasi huolia ja lopulliseen päätökseemme.

Jos sinulla on kysyttävää, soita meille numeroon 1-877-805-8049 ja mainitse tapausnumero ███████. Hyväksymme operaattorivälitteiset puhelut. Olemme tavoitettavissa maanantaista perjantaihin klo 7.00–20.00 ja lauantaisin klo 8.00–17.00 Keskisen ajan mukaan.

Ystävällisin terveisin,

Executive Office
1-877-805-8049
1-866-535-3403 Faksi; se on maksuton mistä tahansa Chase-konttorista
chase.com

Jaan tämän opiksi, en valitukseksi. Tilit on sovittu, luottotietoni paranevat edelleen, ja JPMorgan myöhemmin virtaviivaisti tutkijoiden vastaanoton ottamalla Synackin mukaan, jotta tulevat raportit ohjautuvat erillisen työnkulun kautta. Päivitys 2024: tarkastus on täysin päättynyt ja kaikki pisteet ovat palautuneet ennen tapahtumaa vallinneelle tasolle.

Viitteet

  1. JPMorgan Chase - vastuullisen ilmoittamisen ohjelma
  2. Chasen tuen Twitter-tili
  3. Chase Ultimate Rewards -ohjelman yleiskuvaus
  4. Hacker News - Ilmoitus: Rajattomat Chase Ultimate Rewards -pisteet (2020)
  5. Pensive Security - marraskuun 2020 kyberturvallisuuskatsaus
  6. Reddit /r/cybersecurity - DISCLOSURE: Rajattomat Chase Ultimate Rewards ‑pisteet
  7. disclose.io-uha‑hakemisto
  8. disclose/research-threats-repositorio
  9. Attrition.org - Legal Threats -indeksi
  10. Jesse Nicklesin häirintää ja kunnianloukkauksia koskeva aineisto