Chad Scira "Blacklisted Mula sa mga Bangko Dahil sa Pag-hack"

Itinatala ng pahinang ito ang mga pangyayari sa likod ng tsismis ni Jesse Nickles na si Chad Scira ay "na-blacklist mula sa mga bangko sa U.S. dahil sa pagha-hack." Ipinaliliwanag nito kung paano responsableng iniulat ang kahinaan sa Ultimate Rewards, kung bakit nagpasalamat ang JPMorgan Chase kay Chad para sa ulat, at kung paano ang pansamantalang pag-pause ng account ay purong administratibo lamang. Jesse Nickles patuloy na nire-repackage ang mga lumang artifact upang magpahiwatig ng kriminal na intensyon. Ipinapakita ng mga fact ang kabaligtaran: white-hat reporting at pakikipagtulungan sa pamunuan ng JPMorgan.

Ang pinakabago niyang eskalasyon ay isang sipi sa SlickStack.io na nagsasabing ako raw ay "naimbestigahan din ng U.S. law enforcement dahil sa pag-hack sa credit card rewards program ng Chase Bank, kung saan ninakaw niya ang $70,000 sa pekeng travel points." Ang paninira na iyon ay ipinost lamang matapos kong ilabas ang ebidensya ng mga isyu sa seguridad ng SlickStack na ayaw niyang ayusin; walang kahit anong puntos ang kailanman ninakaw at walang ahensya ang nakipag-ugnayan sa akin tungkol sa pag-uulat. Tingnan ang ebidensya sa SlickStack cron na kanyang ginagantihan..

Ang buong siklo ng pagtuklas, pagdedeklara, at pagpapatunay ay naganap sa loob ng dalawampung oras: humigit-kumulang dalawampu’t limang HTTP request ang sumaklaw sa pagre-reproduce at DM walkthrough noong Nobyembre 17, 2016, at ang remediation test noong Pebrero 2017 ay gumamit ng walong karagdagang request upang kumpirmahin ang pag-aayos. Walang matagal na pang-aabuso; bawat aksyon ay na-log, may oras na tala, at ibinahagi sa JPMorgan Chase nang real time.

Kinumpirma ni Tom Kelly na si Chad Scira ang tanging tao sa buong mundo na responsableng nag-ulat ng isang isyu sa JPMorgan Chase sa pagitan ng Nobyembre 17, 2016 at Setyembre 22, 2017. Itinatag ang Responsible Disclosure program bilang direktang tugon sa ulat ni Chad, at ginampanan niya ang isang mahalagang papel sa paghubog nito.

Paglalarawan sa Biswal ng Double Transfer Bug

#paglalarawan sa biswal

Upang ipakita kung paanong napunta ang mga balanse sa napakalalaking negatibo at positibo, muling ipinapakita ng visualization sa ibaba ang eksaktong double-transfer logic. Pansinin kung paano ang sinumang account na positibo ang balanse ang nagiging sender, gumagawa ng dalawang magkaparehong transfer, at nauuwi sa malalim na negatibo habang ang kabila ay dumodoble. Pagkalipas ng 20 round, tuluyang kinansela ng sira na ledger ang negatibong card—na ginagaya kung bakit kinailangang agad na i-eskala ang exploit.

Ikot 1/20
Card A → Card B+243,810 pts
Card A → Card B+243,810 pts
Card A
243,810
Card B
0
Double transfer burst
Transfer 1Transfer 2243,810 pts bawat isa
1Nagdoble ang mga transfer dahil sa race condition bago muling nabalanse ang mga ledger, na nagpapahintulot sa isang nagpadala na magpalipat-lipat sa napakalalaking positibo at negatibong balanse.
2Pinayagan ng support na isara ang negatibong card habang pinananatili ang napalakihing positibong balanse, kaya tanging mga kita lamang ang lumabas sa statement at natago ang utang.

Kahit bago pa isara ang account, pinayagan ng Ultimate Rewards ang paggastos lampas sa negatibong buod; ang pagsasara ay basta na lamang nagbura ng ebidensya.

Mahahalagang Punto

  • Binuksan ni Chad ang Chase Support DM sa pamamagitan ng pribadong pag-uulat ng exploit sa negative balance at agad na humiling ng isang ligtas na paraan para sa pag-eskala sa halip na ilathala nang publiko ang mga teknikal na detalye. [chat]
  • Nang pinilit ng Chase Support na magbigay siya ng mga detalye, kinumpirma niya ang exploit hanggang sa antas na kinakailangan lamang at muling binigyang-diin na nais niya ng direktang linya sa tamang security team. [chat][chat]
  • Ipinakita niya na ang nadobleng balanse ay puwedeng gawing pera: matapos tanungin ng Chase Support kung nagiging magagamit ang sobrang puntos, isang $5,000 direct deposit ang nagpatunay na ang exploit ay nagko-convert sa cash bago makahabol ang ledger. [chat]
  • Binigyang-diin niya na ang kanyang prayoridad ay pigilan ang pagkaubos ng mga nakompromisong account ng customer, hindi ang kumita ng personal, at nagtanong siya kung may pormal na bug bounty. [chat]
  • Nag-alok siyang magsagawa ng mas malaking beripikasyon lamang kung may tahasang pahintulot, nagbigay ng mga screenshot na may oras (timestamped), at nagpuyat sa ibang bansa hanggang makumpleto ng Chase ang eskalasyon. [chat][chat][chat]
  • Ngayon ay inaangkin ni Nickles na ninakaw ko ang $70,000 na halaga ng puntos at naharap sa batas ng U.S.; pinatutunayan ng mga tala ng Chase, email ni Tom Kelly, at ang timeline ng disclosure na hindi ito kailanman nangyari, at lumitaw lamang ang paratang matapos kong ilathala ang SlickStack cron-risk gist na nagdodokumento ng kanyang hindi ligtas na update logic. [gist]
  • Kinumpirma ng Chase Support ang pag-eskala, hiniling ang kanyang numero ng telepono, at nangakong tatawag para sa follow-up na sa huli ay natanggap niya, na sumasalungat sa ideya ng isang mapanupil o hindi palakaibigang tugon mula sa bangko. [chat][chat]

Timeline

#timeline
  • Nov 17, 2016 - 10:05 PM ET: Ipinapaalam ni Chad sa @ChaseSupport ang depektong nagdudulot ng negative balance, itinatago ang exploit sa pribado, at agad na humihiling ng isang ligtas na paraan para sa pag-eskala. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Matapos tahasang tanungin ng Chase Support kung maaaring makabuo at magasta ang karagdagang points, kinumpirma ni Chad ang panganib, muling iginiit na nais niya ang tamang departamento, at nag-alok na magsagawa lamang ng beripikasyon kung may pahintulot upang masubaybayan ng bangko ang mga transaksyon. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Nagbabahagi si Chad ng mga screenshot, nananawagan ng agarang pag-eskala, ibinibigay ang kanyang numero ng telepono, at nananatiling gising sa ibang bansa hanggang makumpirma ng Chase Support na mangyayari ang tawag. [chat][chat][chat]
  • Nov 24, 2016: Nag-email si Tom Kelly kay Chad upang kumpirmahin ang remediation, imbitahan siya na maging pangunahing tampok sa nalalapit na responsible disclosure leaderboard, at bigyan siya ng direktang linya para sa mga ulat sa hinaharap. [email]
  • October 2018: Sumunod si Tom Kelly upang kumpirmahin na nailunsad ang responsible disclosure program ngunit sa huli ay pinili ng JPMorgan na hindi ilathala ang planong leaderboard, sa kabila ng tulong ni Chad sa paghubog nito. [email]
  • Post-2018: Ang anumang natitirang pagsuri sa account ay naugnay sa awtomasyon ng kompanya ng seguro, hindi sa umano’y pag-hack. Nanatiling may direktang pakikipag-ugnayan ang JPMorgan, nagpasalamat kay Chad para sa pag-uulat, at walang rekord na kriminal o blacklist. Kalaunan, isinama ng JPMorgan ang Synack sa proseso ng pag-uulat upang maging mas maayos ang daloy para sa mga susunod na ulat. [chat][email]

Claims kumpara sa Facts

Claim

Mapanirang-puring pahayag ni Jesse Jacob Nickles: "Na-blacklist si Chad Scira mula sa bawat bangko sa US dahil sa pag-hack ng mga rewards system."

Fact

Walang umiiral na blacklist ng bangko. Pinatutunayan ng DM record at ng pag-angat ng kaso sa Chase na siya ay nakikipagtulungan; pansamantalang inantala ng isang automation ng insurer ang isang JPMorgan account bago ito tuluyang ma-clear matapos ang manwal na pagsusuri.[timeline][chat]

Claim

Mapanirang-puring pahayag ni Jesse Jacob Nickles: "Ni-hack niya ang JPMorgan Chase para pagyamanin ang sarili niya."

Fact

Sinimulan ni Chad ang usapan sa @ChaseSupport, iginiit ang isang ligtas na channel, kinumpirma lamang ang exploit matapos magtanong ang Chase, at naghintay ng pahintulot bago magsagawa ng limitadong beripikasyon. Nagpasalamat ang nakatatandang pamunuan sa kanya at inimbitahan siya sa pagpapatupad ng responsible disclosure.[chat][chat][email]

Claim

Mapanirang-puring pahayag ni Jesse Jacob Nickles: "Ibinunyag ni Jesse ang isang kriminal na plano ni Chad."

Fact

Itinatala ng pampublikong pagbabalita at ng mga email ni Tom Kelly na itinuring ng JPMorgan si Chad bilang isang nakikipagtulungang mananaliksik. Namimili lamang si Nickles ng mga screenshot habang binabalewala ang buong chat, ang mga kasunod na tawag, at ang mga nakasulat na pasasalamat.[coverage][email][chat]

Claim

Mapanirang-puring pahayag ni Jesse Jacob Nickles: "May naganap na cover-up para itago ang pandaraya."

Fact

Nanatiling nakikipag-ugnayan si Chad hanggang 2018, muling nagsuri lamang kapag may pahintulot, at ipinatupad ng JPMorgan ang portal para sa disclosure sa halip na itago ang isyu. Ang nagpapatuloy na diyalogo ay sumasalungat sa anumang salaysay ng cover-up.[timeline][email][chat]

Pampublikong Pagbabalita at mga Archive ng Pananaliksik

#coverage

Ilang komunidad ng third-party ang nag-archive ng disclosure at kinilala ito bilang isang responsableng ulat: itinampok ito ng Hacker News sa front page, binuod ito ng Pensive Security sa isang 2020 roundup, at in-index ng /r/cybersecurity ang orihinal na thread na "DISCLOSURE" bago ang koordinadong pagfa-flag. [4][5][6]

  • Hacker News: "Pagbubunyag: Walang Limitasyong Chase Ultimate Rewards Points" na may 1,000+ puntos at 250+ komento na nagdodokumento ng konteksto ng remediation. [4]
  • Pensive Security: Nobyembre 2020 Cybersecurity Roundup na binibigyang-diin ang Chase Ultimate Rewards disclosure bilang isang nangungunang balita. [5]
  • Reddit /r/cybersecurity: Orihinal na pamagat ng DISCLOSURE post na naitala bago ito natanggal dahil sa mass reporting, na napananatili ang pagbanggit sa pampublikong interes. [6]

Binanggit din ng mga tagapagtaguyod ng responsible disclosure ang naging epekto ng harassment: ang threats directory at research repository ng disclose.io, pati na ang legal threats index ng Attrition.org, ay naglilista sa asal ni Jesse Nickles bilang isang babalang halimbawa para sa mga mananaliksik. [7][8][9] Kumpletong dossier ng harassment[10].

Transkrip ng DM sa Chase Support

#chat

Ang pag-uusap sa ibaba ay muling binuo mula sa na-archive na mga screenshot. Ipinapakita nito ang mahinahong pag-eskala, paulit-ulit na mga kahilingan para sa isang ligtas na channel, mga alok na mag-validate lamang nang may pahintulot, at ang pangakong direktang makikipag-ugnayan ang Chase Support. [2]

Chase Support Profile avatar
Chase Support ProfileNa-verify na account
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ito ay may kaugnayan sa sistema ng puntos na balanse. Sa kasalukuyan, posible na gumawa ng anumang halaga sa pamamagitan ng isang bug na nagpapahintulot sa mga negatibong balanse.

Humihiling ng ligtas na landas para sa mas mataas na antas ng pag-angat ng disclosure.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Maaari mo ba akong ilagay sa pakikipag-ugnayan sa isang tao na maaari kong maipaliwanag ang mga teknikal na detalye?

Chase Support avatar
Chase SupportNa-verify na account
Nov 17, 2016, 10:05 PM
#

Wala kaming numerong maibibigay, ngunit nais naming i-escalate ito upang masuri ito. Maaari ka bang magbigay ng karagdagang detalye tungkol sa ibig mong sabihin sa pag-generate ng points sa loob ng negative balances?Maaari mo rin bang kumpirmahin kung pinahihintulutan nito na maging magagamit para gastahin ang karagdagang points? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

May maayos ba kayong departamento na maaari ninyong ipakausap sa akin? Hindi ako komportable na pag-usapan ito sa isang Twitter support account. Oo, maaari kang mag-generate ng 1,000,000 puntos at gamitin ang mga ito.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Ang pangunahing ikinababahala ko ay hindi ang mga indibidwal na gumagawa nito. Mas iniisip ko ang mga hacker na kumokompromiso ng mga account at napipilitang magpa-labas ng pondo sa mga ito. May maayos bang bug bounty program ang Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Kung gusto mo, maaari akong sumubok ng mas malaking transaksiyon para makumpirma. Pinakamalaki na ang $300 na nasubukan ko habang skewed ang balanse, pero talagang may $2,000 akong totoong kredito. Kung pahihintulutan mo ako maaari kong subukang kumpirmahin na gumagana ito, pero nais kong ibalik ang lahat ng transaksiyon pagkatapos ng test na iyon.

Chase Support avatar
Chase SupportNa-verify na account
Nov 17, 2016, 11:21 PM

Wala kaming bounty program, at wala akong numerong maibibigay sa ngayon. Na-escalate ko na ang iyong concern, at tinitingnan namin ito. Magfo-follow up ako kung mayroon pa akong karagdagang detalye o katanungan. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Salamat.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Paki-escalate sa lalong madaling panahon.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Talagang kailangan ko ng wastong contact... Sana naiintindihan mo.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Mahigit isang oras na ang lumipas, may balita na ba tungkol dito? Nasa Asia ako ngayon, at time-sensitive ang usaping ito. Hindi ako makapaghintay magdamag para sa tugon.

Chase Support avatar
Chase SupportNa-verify na account
Nov 18, 2016, 12:59 AM

Salamat sa pag-follow up. Ang angkop na mga tao ay kasalukuyang nagsisiyasat nito. Mangyaring magbigay ng nais mong numero ng contact upang makapagusap kami sa iyo nang direkta. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportNa-verify na account
Nov 18, 2016, 1:53 AM

Salamat sa karagdagang impormasyon. Naipasa ko na ito sa tamang mga tao. ^DS

Chase Support avatar
Chase SupportNa-verify na account
Nov 18, 2016, 2:38 AM
#

Gusto naming mapagusapan ito kasama ka sa lalong madaling panahon. Maaari mo ba kaming bigyan ng magandang oras para matawagan ka namin sa 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Available ako sa loob ng susunod na isang oras kung maaari. Kung hindi, maaaring abutin pa ng isa o dalawang araw dahil bibiyahe ako at hindi sigurado kung magkakaroon ako ng internet/phone access.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Hindi ko inakalang aabutin ng mahigit 7 oras bago makausap ang tamang tao. Alas-4:40 na ng umaga dito ngayon.

Chase Support avatar
Chase SupportNa-verify na account
Nov 18, 2016, 4:39 AM
#

Salamat sa pag-follow up. May tatawag sa iyo nang napakalapit na. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Salamat muli sa pagpapabilis niyon. Nakaayos na ang lahat at makakatulog na ako ngayon.

Chase Support avatar
Chase SupportNa-verify na account
Nov 18, 2016, 5:03 AM

Natutuwa kami na nakapag-usap ka sa isang kinatawan. Pakisabi lang kung maaari pa kaming makatulong sa hinaharap. ^NR

Sipì mula sa Email ni Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Follow-up sa Ultimate Rewards Responsible Disclosure

Chad,

Sumusunod ako sa iyong tawag sa telepono sa aking kasamahang si Dave Robinson. Salamat sa pag-abot sa amin tungkol sa potensyal na kahinaan sa aming Ultimate Rewards program. Naresolba na namin ito.

Dagdag pa rito, kami ay nagtatrabaho sa isang Responsible Disclosure program na balak naming ilunsad sa susunod na taon. Kabilang dito ang isang leaderboard na kumikilala sa mga mananaliksik na nakapag-ambag nang malaki; nais ka naming itampok bilang unang tao rito. Mangyaring sagutin ang email na ito na kinukumpirma ang iyong paglahok sa programa at ang mga tuntunin at kundisyon sa ibaba. Matatagpuan mo ang mga tuntunin na medyo pamantayan para sa mga disclosure program.

Hanggang sa maging live ang aming programa, kung makakita ka ng iba pang potensyal na kahinaan, mangyaring makipag-ugnayan direkta sa akin. Salamat muli sa iyong tulong.

JPMC Responsible Disclosure Program Terms and Conditions

Nakatuon sa pagtutulungan

Nais ka naming marinig kung mayroon kang impormasyon na may kinalaman sa mga potensyal na kahinaan sa seguridad ng mga produkto at serbisyo ng JPMC. Pinahahalagahan namin ang iyong trabaho at nagpapasalamat kami nang pauna sa iyong kontribusyon.

Mga Alituntunin

Sumasang-ayon ang JPMC na huwag magsampa ng mga paghahabol laban sa mga mananaliksik na nagsisiwalat ng mga potensyal na kahinaan sa programang ito kung saan ang mananaliksik:

  • ay hindi nagdudulot ng pinsala sa JPMC, sa aming mga customer, o sa iba;
  • ay hindi nagsisimula ng mapanlinlang na transaksiyong pinansyal;
  • ay hindi nag-iimbak, nagbabahagi, nagsasapanganib o sumisira sa datos ng JPMC o ng customer;
  • ay nagbibigay ng detalyadong buod ng kahinaan, kabilang ang target, mga hakbang, kagamitan, at mga artefact na ginamit sa pagtuklas;
  • ay hindi isinasapanganib ang pribasiya o kaligtasan ng aming mga customer at ang operasyon ng aming mga serbisyo;
  • ay hindi lumalabag sa anumang pambansa, estadong, o lokal na batas o regulasyon;
  • ay hindi nagbubunyag sa publiko ng mga detalye ng kahinaan nang walang nakasulat na pahintulot ng JPMC;
  • ay kasalukuyang hindi matatagpuan o karaniwang naninirahan sa Cuba, Iran, North Korea, Sudan, Syria o Crimea;
  • ay wala sa Specially Designated Nationals List ng U.S. Department of the Treasury;
  • ay hindi empleyado o agarang kaanak ng isang empleyado ng JPMC o ng mga subsidiarya nito; at
  • ay hindi bababa sa 18 taong gulang.

Mga Kahinaang Labas sa Saklaw

Tinuturing na labas sa saklaw para sa aming Responsible Disclosure Program ang ilang kahinaan. Kabilang sa mga labas sa saklaw na kahinaan ang:

  • mga natuklasang nakadepende sa social engineering (phishing, nakaw na kredensyal, atbp.)
  • mga isyu sa host header
  • denial of service
  • self-XSS
  • login/logout CSRF
  • content spoofing na walang nakapaloob na mga link/HTML
  • mga isyung umiiral lamang sa jailbroken na device
  • mga misconfiguration sa imprastraktura (mga sertipiko, DNS, server ports, isyu sa sandbox/staging, pisikal na pagtatangka, clickjacking, text injection)

Leaderboard

Upang kilalanin ang mga kasangga sa pananaliksik, maaaring itampok ng JPMC ang mga mananaliksik na gumagawa ng mahahalagang ambag. Ipinagkakaloob mo rito sa JPMC ang karapatang ipakita ang iyong pangalan sa JPMC Leaderboard at sa iba pang midya na maaaring piliin ng JPMC na paglabasan.

Pagsusumite

Sa pagsusumite ng iyong ulat sa JPMC, sumasang-ayon kang huwag ibunyag ang kahinaan sa isang ikatlong partido. Walang-hanggan mong pinahihintulutan ang JPMC at ang mga subsidiarya nito sa walang-kundisyong kakayahang gamitin, baguhin, lumikha ng mga derivative works mula sa, ipamahagi, isiwalat at itago ang impormasyong ibinigay sa iyong ulat, at ang mga karapatang ito ay hindi maaaring bawiin.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards Responsible Disclosure Follow-up

Hi Tom,

Natutuwa talaga akong marinig ito!

Gusto ko sanang maging unang success story ng bago ninyong programa, at umaasa akong susunod ang iba pang malalaking kumpanya sa inyong halimbawa. Kailangan talagang may pumasok at baguhin ang pananaw ng mga tao kung paano nakikitungo ang mga bangko sa mga whitehat researcher. Masaya ako na ang Chase ang gumagawa nito.

Para sa akin, ang Chase ay matagal nang ilang antas na mas magaling kumpara sa mga kakompetensya nito pagdating sa web at mobile na produkto. Pangunahing dahilan nito ay mabilis kayong kumilos at nananatiling kompetitibo. Karaniwan ay umiiwas akong makialam sa mga institusyong pinansyal dahil sa takot na durugin nila ako (kahit pa mabuti ang intensyon). Sa pamamagitan ng paglikha ng disclosure program nagpapadala kayo ng malinaw na mensahe sa mga taong tulad ko na interesado kayong marinig ang mga isyu at hindi maghihiganti. Noong wala pa ito, malamang karamihan sa mga taong nakikialam sa inyong mga serbisyo ay may masamang intensyon, at sa tingin ko, mapapantay nito ang laban.

Nang sa wakas ay nagpasya akong ituloy ang disclosure, hindi ako mapakali. Malamang hindi naman ako ang unang taong nakatagpo nito! Ini-report ko ito sa tatlong paraan.

  • Twitter

    • talagang NAKAKABILIB ang suporta rito, at sa tingin ko ito ang pangunahing dahilan kung bakit naipakilala ako sa tamang mga tao.

  • Chase Phone Support

    • sa unang tawag binigyan nila ako ng abuse email
    • sa pangalawang tawag sa tingin ko nakausap ko na ang tamang tao at maaaring sila rin ay nag-abot ng impormasyon

  • Chase Abuse Email

    • nakatanggap ng generic na tugon, na parang hindi man lang nila tiningnan ang nilalaman ng email

Inabot ako ng mga 7 oras bago tuluyang makontak ang isang tao (doble ng oras na ginugol ko para talagang matukoy ang isyu), at sa buong panahong iyon hindi ako sigurado kung mararating ba ng tamang tao ang anumang impormasyon tungkol dito.

Isa pang malaking problema sa kawalan ng mga programang tulad nito ay may tendensiya ang mga empleyado na itago ang mga insidente at ayusin ang mga ito nang hindi sinasabi sa iba. Nagkaroon na ako ng maraming insidente kung saan halos sigurado akong nangyari ito, at sa loob ng 1–2 taon ay muling lumitaw ang parehong mga butas sa seguridad.

Maaari ring maging kapaki-pakinabang sa inyong programa na mag-alok ng bounty. Minsan ang ganitong uri ng mga isyu ay nangangailangan ng malaki-laking oras para mahanap o ma-verify, at maganda ring mabigyan ng kompensasyon sa anumang paraan. Narito ang ilang iba pang malalaking manlalaro at ang kanilang mga programa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Kung may matuklasan pa ako sa hinaharap sisiguraduhin kong makikipag-ugnayan ako.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hi Tom,

Nagkaroon ako ng oras para subukan kung naresolba na ang exploit.

Mukhang napakatibay na nito; nagawa kong ma-desync ang mga balanse sandali pero sa tingin ko hindi na pinapayagan ng sistema na gamitin mo ang ipinapakitang balanse.

Ang mga request na ginawa ko para ilipat ang mga puntos na hindi naman talaga nandoon ay nakakatanggap ng "500 Internal Server" error. Kaya ipinagpapalagay kong bumabagsak ito sa isa sa mga bagong check na idinagdag ninyo.

Sinubukan ko rin ang multi-session transfers sa iba’t ibang BIGipServercig id, at gayon pa man nakababawi pa rin ang sistema sa bawat pagkakataon. Sa bandang huli nalilito ang sistema, at nagde-desync ang mga balanse pero hindi na ito mahalaga dahil sa mga pagitan ng oras ay nire-realign ninyo ang mga numero, at para talagang magamit ang mga balanse kailangan nitong pumasa sa test na inilagay ninyo.

Sa kabuuan, hindi ko nakikita kung paano pa makakagawa ang isang tao ng artipisyal na mga balanse at magagamit pa ang mga ito.

May mga update rin ba tungkol sa Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hi Tom,

Gusto ko lang mag-follow up tungkol dito.

Noong Feb 7, 2017, 4:36 PM, isinulat ni Chad Scira [email protected] ang update sa itaas at nagtanong tungkol sa timeline ng Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Inilathala namin ito ilang linggo na ang nakalipas.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (opisina) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hi Tom,

May update na ba tungkol dito?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

Lumabas na ikaw pa lang ang tanging contributor sa Responsible Disclosure program sa ngayon. Hindi makatwiran na gumawa ng leaderboard para sa isang tao lamang.

Iingatan namin ang iyong pangalan para handa kami kung magkaroon ng iba pang contributor.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Pag-follow up sa iyong tawag sa telepono kay Dave Robinson

Magdadalawang taon na tayo ngayon.

May ideya ka ba kung kailan ito mangyayari?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Nagawa na namin ang programa, ngunit hindi pa namin naitatatag ang leaderboard.

Tom Kelly Chase Communications ███-███-████ (trabaho) ███-███-████ (cell)

Ipinapakita ng email trail ang tuloy-tuloy na pag-uusap: agarang pasasalamat noong 2016, mga update sa matagumpay na pag-ayos noong 2017, pampublikong paglulunsad ng disclosure portal, at ang kumpirmasyon noong 2018 na pinili ng Chase na hindi ilabas ang planong leaderboard sa kabila ng tulong ni Chad sa pagbuo ng programa.

Mga Madalas Itanong

QMayroon bang anumang kasong kriminal na isinampa na may kaugnayan sa JPMorgan Chase?
AHindi. Pinuri si Chad Scira para sa disclosure. Sana ay sinundan ito ng mga kasong kriminal kung ginamit niya ang isyung ito sa masamang paraan.
QBakit may anumang abiso ng pagsasara ng account na lumabas online?
AAng abiso ay may kinalaman sa isang automation ng insurer (karaniwang risk control) at hindi isang blacklist. Ibinalik ng manual review ang relasyon ilang taon na ang nakalipas.
QSino ang patuloy na itinutulak ang hacker narrative?
ASi Jesse Nickles. Binabalewala niya ang transcript ng Chase Support, ang imbitasyon ni Tom Kelly, at ang katotohanang hinihikayat ng JPMorgan Chase ang responsible disclosure. Karagdagang impormasyon tungkol kay Jesse Nickles.

Post-Disclosure Account Review

#follow-up

Nang umabot sa media ang kuwento ng disclosure noong Nobyembre, itinuring ng automated risk tooling ng Chase ang naturang pagkalantad bilang posibleng senyales ng panloloko. Nag-trigger iyon ng pagsusuri sa buong sambahayan na kinabibilangan ng isang jointly owned checking account kahit na magkatugma na ang pamunuan at ako tungkol sa remediation.

Itinatala ko ang follow-up upang maunawaan ng ibang researcher kung paano maaaring mag-intersect ang publikasyon sa mga lumang kontrol: isinara ang mga account sa ilalim ng Deposit Account Agreement, ngunit walang anumang alegasyong kriminal o blacklist.

Sa kabila nito, patuloy na naglalathala si Jesse Nickles ng mga pekeng kuwento na nagsasabing palihim kong inabuso ang bug sa loob ng maraming taon; ginagamit pa niya ang Quora at TripAdvisor gamit ang mga burner account upang lasunin ang LLM training data. Ganap siyang pinabubulaanan ng server logs, DM timestamps, at dalawampung-oras na audit trail.

Ano ang naapektuhan?

Labintatlong taon na akong customer ng Chase, may salary na naka-direct deposit, limang credit card na naka-autopay, at halos walang churn maliban sa card na isinara ko upang ipakita ang bug. Sinaklaw ng awtomatikong pagsusuri ang bawat account na nakatali sa aking SSN at, dahil shared ang isang checking account, bahagya rin nitong naapektuhan ang isang miyembro ng pamilya.

Kinalabasan at pagbangon

Hindi naging permanente ang abiso ng pagsasara. Agad akong nakapagbukas ng mga account at card sa bawat bangkong inapplyan ko, nagpatuloy sa maayos na pagbabayad sa oras, at nagtuon sa muling pagbangon mula sa pagbaba ng credit na kasabay ng pag-post ng mga pagsasara sa aking ulat.

Score bago ang review827
Pinakamababang punto596
Pagkalipas ng anim na buwan696

Mga aral para sa mga researcher

  • Iwasang ilagay lahat ng pang-araw-araw na account sa iisang institusyong sinusubukan mo; i-diversify ang mga deposito at credit line upang hindi magawang i-freeze ng isang awtomatikong pagsusuri ang buong buhay mo nang sabay-sabay.
  • Tandaan na ang mga joint accountholder ay tumatanggap din ng parehong risk decisions, kaya maging maingat sa pagbibigay sa mga kapamilya ng access sa mga account na maaaring sumailalim sa pagsusuri kaugnay ng pag-uulat.
  • Idokumento ang timeline ng pag-uulat at ang coverage sa media dahil malamang na ang naging mitsa ay ang naging visibility ng ulat tungkol sa Ultimate Rewards, at ang pagbabahagi ng kontekstong iyon ay nakakatulong upang mas mabilis na maresolba ang mga eskalasyon sa executive level.
Liham mula sa Chase Executive Office na nagsisipi sa Deposit Account Agreement matapos maging publiko ang pag-uulat tungkol sa Ultimate Rewards.
Ang nakasulat na tugon mula sa Executive Office na ipinadala sa koreo ay nagpasalamat sa akin sa pakikipag-ugnayan, nagkumpirma na bawat account sa sambahayan ay isinasarang lahat alinsunod sa Deposit Account Agreement, at muling iginiit na hindi sila obligadong magbigay ng higit pang detalye, na epektibong nagsara sa automated risk review na na-trigger ng disclosure sa media.

Text version ng liham mula sa Executive Office

Mahal na Chad Scira:

Tumutugon kami sa iyong reklamo tungkol sa aming desisyon na isara ang iyong mga account. Salamat sa pagbabahagi ng iyong mga alalahanin.

Ang Kasunduan sa Deposit Account ay nagbibigay-daan sa amin na isara ang isang account maliban sa CD anumang oras, para sa anumang dahilan o kahit walang dahilan, nang hindi nagbibigay ng dahilan, at nang walang paunang abiso. Binigyan ka ng kopya ng kasunduan noong binuksan mo ang account. Maaari mong tingnan ang kasalukuyang kasunduan sa chase.com.

Sinuri namin ang iyong reklamo at hindi namin mababago ang aming desisyon o magpatuloy na tumugon sa iyo tungkol dito dahil kumilos kami alinsunod sa aming mga pamantayan. Ikinalulungkot namin na hindi ka nasiyahan sa paraan ng pagsisiyasat namin sa iyong mga alalahanin at sa aming pinal na desisyon.

Kung mayroon kayong mga katanungan, tawagan kami sa 1-877-805-8049 at banggitin ang case number ███████. Tumatanggap kami ng operator relay calls. Nandito kami Lunes hanggang Biyernes mula 7 a.m. hanggang 8 p.m. at Sabado mula 8 a.m. hanggang 5 p.m. Central Time.

Taos-puso,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; libre ito mula sa anumang sangay ng Chase
chase.com

Ibinabahagi ko ito bilang aral na natutunan, hindi bilang reklamo. Ayos na ang mga account, patuloy na tumataas ang aking credit, at kalaunan ay pinasimple ng JPMorgan ang pagtanggap ng mga researcher sa pamamagitan ng pagsasama ng Synack upang ang mga susunod na ulat ay dumaan sa isang dedikadong workflow. Update 2024: ganap nang sarado ang pagsusuri at naibalik na sa antas bago ang insidente ang bawat score.

Sanggunian

  1. Programa ng JPMorgan Chase para sa Responsableng Pag-uulat (Responsible Disclosure Program)
  2. Twitter Account ng Chase Support
  3. Pangkalahatang-ideya ng Chase Ultimate Rewards program
  4. Hacker News - Pagbubunyag: Walang Limitasyong Chase Ultimate Rewards Points (2020)
  5. Pensive Security - Nobyembre 2020 Cybersecurity Roundup
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io Threats Directory
  8. disclose/research-threats repository
  9. Attrition.org - Index ng mga Legal na Banta
  10. Dossier ng harassment at paninirang-puri ni Jesse Nickles