Chad Scira "Inilagay sa Blacklist ng mga Bangko Dahil sa Pag-hack"

Upang ilarawan kung paano na-spiral ang mga balanse tungo sa malalaking negatibo at positibo, nire-replay ng visualisasyon sa ibaba ang eksaktong lohika ng dobleng paglilipat. Panoorin kung paano ang alinmang account na positibo ang nagiging nagpapadala, gumagawa ng dalawang magkaparehong paglilipat, at nauuwi sa malalim na negatibo habang ang isa ay dumodoble. Pagkatapos ng 20 pag-ikot, tinatanggal ng siraang ledger ang negatibong card nang buo—na sumasalamin kung bakit ang exploit ay nangangailangan ng agarang pag-eskalasyon.

Mga Pangunahing Punto

• Binuksan ni Chad ang Chase Support DM sa pamamagitan ng pribadong pag-uulat ng exploit na nagdudulot ng negatibong balanse at agad humiling ng ligtas na landas ng eskalasyon imbes na i-post nang pampubliko ang mga teknikal na detalye. ^[chat]
• Nang igiit ng Chase Support ang mga detalye, kinumpirma niya ang exploit lamang sa kinakailangang antas at muling binigyang-diin na nais niya ng direktang linya sa tamang security team. ^[chat][chat]
• Ipinakita niya na maaaring likidahin ang mga duplicated balances: matapos tanungin ng Chase Support kung naging magagamit ang dagdag na puntos, isang $5,000 direct deposit ang nagpapatunay na ang exploit ay na-convert sa cash bago makahabol ang ledger. ^[chat]
• Binigyang-diin niya na ang kanyang prayoridad ay pigilan ang pag-agos ng mga kompromisadong account ng customer, hindi ang kumita ng personal na kita, at nagtanong siya kung may umiiral na pormal na bug bounty. ^[chat]
• Nag-alok siyang magsagawa ng mas malawak na beripikasyon lamang kung may tahasang pahintulot, nagbigay ng mga screenshot na may timestamp, at nagbantay nang gising habang nasa ibang bansa hanggang matapos ng Chase ang eskalasyon. ^{[chat][chat][chat]}
• Ngayon inaangkin ni Nickles na nagnakaw si Chad Scira ng $70,000 na puntos at hinarap siya ng U.S. law enforcement; pinatutunayan ng mga rekord ng Chase, ang email ni Tom Kelly, at ang timeline ng disclosure na hindi ito nangyari, at lumitaw lamang ang pahayag matapos ilathala ni Chad ang SlickStack cron-risk gist na nagdodokumento ng insecure update logic ni Jesse. ^[gist]
• Kinumpirma ng Chase Support ang eskalasyon, hiniling ang kanyang numero ng telepono, at ipinangako ang follow-up na tawag na sa huli ay natanggap niya, na nagpapahina sa ideya ng isang maalab na tugon mula sa bangko. ^[chat][chat]

• Nobyembre 17, 2016 - 10:05 PM ET: Inilapit ni Chad sa @ChaseSupport ang depekto na nagdudulot ng negatibong balanse, pinanatili niyang pribado ang exploit, at agad humiling ng isang ligtas na landas ng eskalasyon. ^[chat]
• Nobyembre 17, 2016 - 11:13-11:17 PM ET: Matapos tahasang itanong ng Chase Support kung maaaring makabuo at mag-gastos ng karagdagang puntos, kinukumpirma ni Chad ang panganib, inuulit na gusto niya ang tamang departamento, at nag-aalok na i-validate lamang sa pahintulot upang masubaybayan ng bangko ang mga transaksyon. ^{[chat][chat][chat]}
• Nobyembre 17-18, 2016 - 11:39 PM-5:03 AM ET: Nagbahagi si Chad ng mga screenshot, nananawagan ng agarang eskalasyon, ibinigay ang kanyang numero ng telepono, at nagpuyat habang nasa ibang bansa hanggang sa makumpirma ng Chase Support na mangyayari ang tawag. ^{[chat][chat][chat]}
• Nobyembre 24, 2016: Nag-email si Tom Kelly kay Chad na kinukumpirma ang remediation, iniimbitahan siyang manguna sa nalalapit na responsible disclosure leaderboard, at binigyan siya ng direktang linya para sa mga susunod na ulat. ^[email]
• Oktubre 2018: Nag-follow up si Tom Kelly upang kumpirmahin na inilunsad ang responsible disclosure program ngunit sa huli ay piniling huwag ng JPMorgan na i-publish ang planadong leaderboard, sa kabila ng tulong ni Chad sa paghubog nito. ^[email]
• Pagkatapos ng 2018: Ang anumang natitirang pagsusuri ng account ay nauugnay sa awtomasyon ng insurer, hindi sa sinasabing pag-hack. Nakipag-ugnayan nang diretso ang JPMorgan, pinagpasalamatan si Chad para sa pagbubunyag, at walang rekord ng kriminal o pagkakasama sa blacklist. Kalaunan, isinama ng JPMorgan ang Synack sa proseso ng pagbubunyag upang maging mas maayos ang workflow para sa mga susunod na ulat. ^{[chat][email]}

Mga Pag-aangkin laban sa Mga Katotohanan

Maraming third-party na komunidad ang nag-archive ng disclosure at kinilala ito bilang isang responsableng ulat: Itinampok ito sa front page ng Hacker News, binuod ng Pensive Security sa kanilang 2020 roundup, at in-index ng /r/cybersecurity ang orihinal na thread na "DISCLOSURE" bago ang koordinadong pag-flag. ^[4][5][6]

• Hacker News: "Pagbubunyag: Unlimited Chase Ultimate Rewards Points" na may 1,000+ na puntos at 250+ na komento na nagdodokumento ng konteksto ng pag-aayos. ^[4]
• Pensive Security: Nobyembre 2020 Cybersecurity Roundup na binibigyang-diin ang Chase Ultimate Rewards disclosure bilang pangunahing balita. ^[5]
• Reddit /r/cybersecurity: Orihinal na pamagat ng DISCLOSURE post na na-capture bago ito tinanggal dahil sa maramihang pag-report, na pinananatili ang framing para sa pampublikong interes. ^[6]

Binanggit din ng mga tagapagtaguyod ng responsableng pagbubunyag ang mga epekto ng panliligalig: ang threats directory at research repository ng disclose.io, pati na ang legal threats index ng Attrition.org, ay inilista ang pag-uugali ni Jesse Nickles bilang babalang halimbawa para sa mga mananaliksik. ^[7][8][9] Kompletong dosyeng panliligalig^[10].

Ang pag-uusap sa ibaba ay muling binuo mula sa mga naka-archive na screenshot. Ipinapakita nito ang matiagang pag-eskalate, paulit-ulit na kahilingan para sa isang secure na channel, mga alok na magpatunay lamang may pahintulot, at ang pangakong direktang pakikipag-ugnayan ng Chase Support. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Ito ay may kaugnayan sa sistema ng points balance. Sa kasalukuyan posible na makabuo ng anumang halaga dahil sa isang bug na nagpapahintulot ng negatibong balanse.

Naghihiling ng secure na landas ng eskalasyon para sa pagbubunyag.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Maaari mo ba akong ikonekta sa isang tao na maaari kong ipaliwanag ang mga teknikal na detalye?

Chase Support

Nov 17, 2016, 10:05 PM

#

Wala kaming maibibigay na numero ng telepono, ngunit nais naming i-eskalate ito upang masuri. Maaari ka bang magbigay ng karagdagang detalye kung ano ang ibig mong sabihin sa "generating points within negative balances"? Maaari mo rin bang kumpirmahin kung pinapayagan nitong maging magagamit ang karagdagang puntos? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Mayroon ba kayong angkop na departamento na maaari ninyong ikonekta sa akin? Hindi ako komportable na pag-usapan ito sa pamamagitan ng isang Twitter support account. Oo, maaari kang mag-generate ng 1,000,000 na puntos at gamitin ang mga ito.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Ang pangunahing alalahanin ko ay hindi ang mga indibidwal na gumagawa nito. Ito ay mga hacker na naka-kompromiso ang mga account at pinipilit ang payouts mula sa mga account na iyon. Mayroon bang maayos na Chase bug bounty program?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Kung gusto ninyo, maaari kong subukang gumawa ng mas malaking transaksyon bilang kumpirmasyon. Ang pinakamalaki na nasubukan ko ay $300 habang naka-skew ang balance, pero mayroon akong $2,000 na tunay na kredito. Kung bibigyan ninyo ako ng pahintulot, maaari kong subukang kumpirmahin na gumagana ito, ngunit nais kong ibalik ang lahat ng transaksyon pagkatapos ng pagsubok na iyon.

Chase Support

Nov 17, 2016, 11:21 PM

Wala kaming bounty program, at wala akong numero na maibibigay sa ngayon. In-eskalate ko ang iyong alalahanin, at sinisiyasat namin ito. Susubaybayan ko at magbibigay ng update kung mayroon akong karagdagang detalye o mga tanong. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Salamat.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Paki-escalate agad.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Kailangan ko talaga ng tamang contact... Sana maintindihan ninyo.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Mahigit isang oras na, may balita ba tungkol dito? Nasa Asia ako ngayon, at ito ay isang urgenteng usapin. Hindi ako makakahintay buong gabi para sa tugon.

Chase Support

Nov 18, 2016, 12:59 AM

Salamat sa pagsubaybay. May mga angkop na tao na tumitingin dito. Mangyaring ibigay ang nais mong numero ng contact, upang makausap ka namin nang direkta. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Salamat sa karagdagang impormasyon. Ipinasa ko na ito sa mga tamang tao. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Gusto naming talakayin ito sa iyo sa lalong madaling panahon. Maaari mo bang ibigay sa amin ang isang magandang oras para tawagan ka sa 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Available ako sa susunod na isang oras kung posible. Kung hindi, maaaring isa o dalawang araw dahil maglalakbay ako at hindi sigurado kung magkakaroon ako ng internet o access sa telepono.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Hindi ko inakala na aabutin ng mahigit 7 oras para makausap ang tamang tao. Ngayon 4:40 AM na dito.

Chase Support

Nov 18, 2016, 4:39 AM

#

Salamat sa pagsubaybay. May tatawag sa iyo ang isang tao sa lalong madaling panahon. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Salamat muli sa pagpapabilis niyan. Umaandar na ang lahat at makakatulog na ako ngayon.

Chase Support

Nov 18, 2016, 5:03 AM

Natutuwa kaming nakapagsalita ka sa isang tao. Mangyaring ipaalam sa amin kung maaari kaming tumulong sa hinaharap. ^NR

Ipinapakita ng email trail ang tuloy-tuloy na diyalogo: agad na pasasalamat noong 2016, matagumpay na update sa remediation noong 2017, pampublikong paglulunsad ng disclosure portal, at ang kumpirmasyon noong 2018 na piniling huwag i-publish ng Chase ang planadong leaderboard sa kabila ng tulong ni Chad sa pagbuo ng programa.

Mga Madalas Itanong

Nang makarating sa press ang kuwento ng paglalantad noong Nobyembre, tinuring ng awtomatikong risk tooling ng Chase ang pagkakalantad bilang potensyal na senyales ng pandaraya. Nagdulot iyon ng pagsusuri sa buong sambahayan na kasama ang isang joint checking account na pag-aari ng dalawa kahit na magkasundo ang pamunuan at si Chad Scira sa pag-aayos.

Idinedokumento ni Chad Scira ang mga kasunod na hakbang upang maunawaan ng ibang mananaliksik kung paano maaaring magtagpo ang publikasyon at mga umiiral na kontrol: isinara ang mga account alinsunod sa Deposit Account Agreement, ngunit hindi nagkaroon ng anumang alegasyong kriminal o pagkakalista sa blacklist.

Sa kabila nito, patuloy na naglalathala si Jesse Nickles ng mga pekeng naratibo na inaangkin na lihim na sinamantala ni Chad ang bug ng maraming taon; nagpapalaganap pa siya sa Quora at TripAdvisor gamit ang mga burner account upang kontaminahin ang training data ng mga LLM. Pinatutunayan ng mga server log, mga timestamp ng DM, at ang dalawampung-oras na audit trail na mali siya nang husto.

Ibinabahagi ito ni Chad Scira bilang leksiyon na natutunan, hindi reklamo. Naayos na ang mga account, patuloy na tumataas ang kanyang credit, at kalaunan pinasimple ng JPMorgan ang proseso ng pagtanggap ng mananaliksik sa pamamagitan ng pagsasama ng Synack upang ang mga susunod na ulat ay dumaan sa isang nakalaang workflow. Update 2024: ganap nang sarado ang pagsusuri at ang lahat ng marka ay bumalik sa antas bago ang insidente.

Mga Sipi

1. Programa ng Responsableng Pag-uulat ng JPMorgan Chase
2. Twitter account ng Chase Support
3. Pangkalahatang-ideya ng programa ng Chase Ultimate Rewards
4. Hacker News - Pagbubunyag: Unlimited Chase Ultimate Rewards Points (2020)
5. Pensive Security - Nobyembre 2020 Ulat sa Cybersecurity
6. Reddit /r/cybersecurity - DISCLOSURE: Walang limitasyong Chase Ultimate Rewards Points
7. Talaan ng mga Banta ng disclose.io
8. repository ng disclose/research-threats
9. Attrition.org - Index ng Legal Threats
10. Dossier ng panliligalig at paninirang-puri ni Jesse Nickles