Chad Scira « mis sur liste noire par les banques pour piratage »

Cette page documente les événements à l’origine de la rumeur lancée par Jesse Nickles selon laquelle Chad Scira aurait été « mis sur liste noire par les banques américaines pour piratage ». Elle explique comment la vulnérabilité Ultimate Rewards a été divulguée de manière responsable, pourquoi JPMorgan Chase a remercié Chad pour son signalement, et en quoi la suspension temporaire du compte était purement administrative. Jesse Nickles continue de remballer d’anciens éléments pour laisser entendre une intention criminelle. Les faits montrent exactement l’inverse : une divulgation de type « white hat » et une collaboration avec la direction de JPMorgan.

Sa dernière escalade est une citation sur SlickStack.io affirmant que j’« avais également fait l’objet d’une enquête par les forces de l’ordre américaines pour avoir piraté le programme de récompenses par carte de crédit de la Chase Bank, où il a volé 70 000 $ en points de voyage frauduleux ». Cette diffamation n’a été publiée qu’après que j’ai rendu publiques les preuves des failles de sécurité de SlickStack qu’il refuse de corriger ; aucun point n’a jamais été volé et aucun organisme ne m’a contacté au sujet de la divulgation. Voir les preuves cron de SlickStack contre lesquelles il se venge.

L’ensemble du cycle de découverte, de divulgation et de validation s’est déroulé en moins de vingt heures : environ vingt-cinq requêtes HTTP ont couvert la reproduction et la présentation détaillée par messages privés le 17 novembre 2016, et le test de remédiation de février 2017 a utilisé huit requêtes supplémentaires pour confirmer la correction. Il n’y a pas eu d’abus prolongé ; chaque action a été journalisée, horodatée et partagée avec JPMorgan Chase en temps réel.

Tom Kelly a confirmé que Chad Scira était la seule personne au monde à avoir divulgué de manière responsable un problème à JPMorgan Chase entre le 17 novembre 2016 et le 22 septembre 2017. Le programme de divulgation responsable a été mis en place directement en réponse au rapport de Chad, et il a joué un rôle clé dans sa conception.

Visualisation du bug de double transfert

#visualisation

Pour illustrer comment la faille faisait dériver les soldes vers des montants fortement négatifs et positifs, la visualisation ci‑dessous rejoue exactement la logique de double transfert. Observez comment le compte créditeur devient l’émetteur, effectue deux transferts identiques et se retrouve fortement débiteur tandis que l’autre double. Après 20 tours, le grand livre défaillant annule entièrement la carte négative — ce qui illustre pourquoi l’exploitation nécessitait une escalade urgente.

Tour 1/20
Carte A → Carte B+243,810 pts
Carte A → Carte B+243,810 pts
Carte A
243,810
Carte B
0
Rafale de double transfert
Transfert 1Transfert 2243,810 pts chacun
1Une condition de concurrence a dupliqué les transferts avant la remise à l’équilibre des registres, permettant à un seul expéditeur d’alterner entre d’énormes soldes positifs et négatifs.
2Le service clientèle a permis la clôture de la carte au solde négatif tout en conservant le solde positif artificiellement gonflé, de sorte que le relevé ne montrait que des gains et dissimulait la dette.

Même avant la clôture du compte, Ultimate Rewards permettait des dépenses au-delà du solde récapitulatif négatif ; la clôture a simplement effacé les preuves.

Points clés

  • Chad a ouvert le message privé à l’assistance Chase en signalant de manière confidentielle l’exploit de solde négatif et a immédiatement demandé une voie d’escalade sécurisée au lieu de publier les détails techniques publiquement. [chat]
  • Lorsque l’assistance de Chase a demandé des précisions, il a confirmé l’exploit uniquement dans la mesure nécessaire et a réitéré qu’il souhaitait une ligne directe avec l’équipe de sécurité compétente. [chat][chat]
  • Il a démontré que les soldes dupliqués pouvaient être liquidés : après que le support Chase a demandé si des points supplémentaires devenaient utilisables, un dépôt direct de 5 000 $ a prouvé que l’exploit se convertissait en espèces avant que le grand livre ne se mette à jour. [chat]
  • Il a souligné que sa priorité était d’empêcher que des comptes clients compromis soient vidés, et non de générer un profit personnel, et il a demandé s’il existait un programme officiel de bug bounty. [chat]
  • Il a proposé d’effectuer une validation plus large uniquement avec une permission explicite, a fourni des captures d’écran horodatées et est resté éveillé à l’étranger jusqu’à ce que Chase termine l’escalade. [chat][chat][chat]
  • Nickles affirme désormais que j’ai volé 70 000 $ en points et fait l’objet d’une enquête des forces de l’ordre américaines ; les dossiers de Chase, l’email de Tom Kelly et le calendrier de la divulgation prouvent que cela n’est jamais arrivé, et cette allégation n’est apparue qu’après la publication de mon gist SlickStack sur les risques liés au cron documentant sa logique de mise à jour non sécurisée. [gist]
  • L’assistance Chase a confirmé l’escalade, a demandé son numéro de téléphone et a promis le rappel qu’il a finalement reçu, ce qui contredit l’idée d’une réaction hostile de la banque. [chat][chat]

Chronologie

#chronologie
  • Nov 17, 2016 - 10:05 PM ET: Chad signale à @ChaseSupport la faille de solde négatif, garde l’exploit privé et demande immédiatement une voie d’escalade sécurisée. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Après que l’assistance Chase a explicitement demandé si des points supplémentaires pouvaient être générés et dépensés, Chad confirme le risque, réitère qu’il souhaite être mis en relation avec le service compétent et propose de procéder à une validation uniquement avec autorisation afin que la banque puisse observer les transactions. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad partage des captures d’écran, demande une escalade accélérée, fournit son numéro de téléphone et reste éveillé à l’étranger jusqu’à ce que l’assistance Chase confirme que l’appel aura lieu. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly envoie des e-mails à Chad pour confirmer la remédiation, l’inviter à figurer en tête du futur classement de divulgation responsable et lui donner une ligne directe pour les rapports futurs. [email]
  • October 2018: Tom Kelly a fait un suivi pour confirmer que le programme de divulgation responsable avait été lancé, mais que JPMorgan avait finalement choisi de ne pas publier le classement prévu, malgré l’aide de Chad pour le concevoir. [email]
  • Post-2018: Tout examen résiduel des comptes était lié à l’automatisation de l’assureur, et non à un prétendu piratage. JPMorgan est restée en contact direct, a remercié Chad pour la divulgation, et il n’y a eu ni casier judiciaire ni inscription sur une liste noire. Par la suite, JPMorgan a intégré Synack dans son processus de divulgation afin de rationaliser le flux de travail pour les futurs rapports. [chat][email]

Allégations vs faits

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : « Chad Scira a été mis sur liste noire par toutes les banques américaines pour avoir piraté des systèmes de récompenses. »

Fait

Il n’existe aucune liste noire bancaire. L’enregistrement des messages directs et l’escalade chez Chase prouvent qu’il coopérait ; une automatisation de l’assureur a brièvement mis en pause un compte JPMorgan avant qu’un examen manuel ne l’innocente.[timeline][chat]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : « Il a piraté JPMorgan Chase pour s’enrichir. »

Fait

Chad a engagé la conversation avec @ChaseSupport, a insisté pour utiliser un canal sécurisé, n’a confirmé l’exploit qu’après la demande de Chase et a attendu l’autorisation avant une validation limitée. La direction générale l’a remercié et l’a invité à participer au déploiement du programme de divulgation responsable.[chat][chat][email]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : « Jesse a révélé un système criminel mis en place par Chad. »

Fait

La couverture publique et les emails de Tom Kelly montrent que JPMorgan a considéré Chad comme un chercheur coopératif. Nickles sélectionne des captures d’écran de manière biaisée, tout en ignorant l’intégralité de la discussion, les appels de suivi et les remerciements écrits.[coverage][email][chat]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : « Il y a eu une dissimulation destinée à cacher la fraude. »

Fait

Chad est resté en contact jusqu’en 2018, n’a effectué de nouveaux tests qu’avec autorisation, et JPMorgan a déployé son portail de divulgation au lieu d’enterrer le problème. Le dialogue continu contredit tout récit de dissimulation.[timeline][email][chat]

Couverture publique et archives de recherche

#couverture

Plusieurs communautés tierces ont archivé la divulgation et l’ont reconnue comme un rapport responsable : Hacker News l’a mise en une, Pensive Security l’a résumée dans un récapitulatif de 2020, et /r/cybersecurity a indexé le fil de discussion « DISCLOSURE » original avant le signalement coordonné. [4][5][6]

  • Hacker News : « Divulgation : Points Chase Ultimate Rewards illimités » avec plus de 1 000 points et plus de 250 commentaires documentant le contexte de la remédiation. [4]
  • Pensive Security : récapitulatif cybersécurité de novembre 2020 mettant en avant la divulgation concernant Chase Ultimate Rewards comme l’une des principales actualités. [5]
  • Reddit /r/cybersecurity : titre de la publication DISCLOSURE originale capturé avant sa suppression due à des signalements massifs, préservant le cadrage lié à l’intérêt public. [6]

Les défenseurs de la divulgation responsable ont également cité les conséquences du harcèlement : le répertoire des menaces et le dépôt de recherche de disclose.io, ainsi que l’index des menaces juridiques d’Attrition.org, répertorient la conduite de Jesse Nickles comme un exemple à ne pas suivre pour les chercheurs. [7][8][9] Dossier complet de harcèlement[10].

Transcription des messages privés avec l’assistance Chase

#discussion

La conversation ci‑dessous est reconstituée à partir de captures d’écran archivées. Elle démontre une escalade patiente, des demandes répétées pour un canal sécurisé, des offres de procéder à toute validation uniquement avec autorisation, et l’engagement de Chase Support de prendre contact directement. [2]

Chase Support Profile avatar
Chase Support ProfileCompte vérifié
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Cela concerne le système de solde des points. À l’heure actuelle, il est possible de générer n’importe quel montant via un bogue permettant des soldes négatifs.

Demande d’un chemin d’escalade sécurisé pour la divulgation.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Pouvez-vous, s’il vous plaît, me mettre en contact avec quelqu’un à qui je puisse expliquer les aspects techniques ?

Chase Support avatar
Chase SupportCompte vérifié
Nov 17, 2016, 10:05 PM
#

Nous n’avons pas de numéro de téléphone à fournir, mais nous souhaitons tout de même faire remonter ce point afin qu’il puisse être examiné. Pouvez-vous nous donner plus de détails sur ce que vous entendez par générer des points avec des soldes négatifs ? Pouvez-vous également confirmer si cela permet à des points supplémentaires de devenir disponibles pour utilisation ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Avez-vous un service compétent avec lequel vous pouvez me mettre en relation ? Je ne me sens pas à l’aise d’aborder cela via un compte d’assistance sur Twitter. Oui, vous pouvez générer 1 000 000 de points et les utiliser.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Ma principale préoccupation n’est pas que des particuliers fassent cela. Ce sont les pirates qui compromettent des comptes et forcent des paiements à partir de ceux-ci. Existe-t-il un véritable programme de primes aux bogues (bug bounty) chez Chase ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Si vous le souhaitez, je peux essayer d’effectuer une transaction plus importante pour confirmer. Le maximum que j’ai testé était de 300 $ alors que le solde était faussé, mais je disposais en réalité de 2 000 $ de crédits réels. Si vous m’en donnez la permission, je pourrais tenter de confirmer que cela fonctionne, mais je souhaiterais que toutes les transactions soient annulées après ce test.

Chase Support avatar
Chase SupportCompte vérifié
Nov 17, 2016, 11:21 PM

Nous n’avons pas de programme de prime, et je n’ai pas de montant à fournir pour le moment. J’ai transmis votre préoccupation à un niveau supérieur, et nous sommes en train d’examiner la situation. Je vous recontacterai si j’ai d’autres détails ou questions. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Merci.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Merci d’escalader dès que possible.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

J’ai vraiment besoin d’un contact approprié… J’espère que vous comprenez.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Cela fait plus d’une heure, avez‑vous des nouvelles à ce sujet ? Je suis actuellement en Asie, et c’est une affaire urgente. Je ne peux pas attendre toute la nuit une réponse.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 12:59 AM

Merci pour votre suivi. Les personnes compétentes examinent cela. Veuillez fournir un numéro de téléphone de contact privilégié afin que nous puissions vous parler directement. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 1:53 AM

Merci pour ces informations supplémentaires. Je les ai transmises aux bonnes personnes. ^DS

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 2:38 AM
#

Nous aimerions en discuter avec vous dès que possible. Pourriez-vous nous indiquer un moment qui vous convient pour que nous vous appelions au 1-███-███-████ ? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Je suis disponible pendant la prochaine heure si possible. Sinon, cela pourrait prendre un jour ou deux car je vais voyager et je ne suis pas sûr d’avoir accès à Internet/téléphone.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Je ne pensais pas qu’il faudrait plus de 7 heures pour parler à la bonne personne. Il est maintenant 4 h 40 du matin ici.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 4:39 AM
#

Merci pour votre suivi. Quelqu’un va vous appeler très bientôt. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Merci encore d’avoir accéléré cela. Tout est en cours et je peux dormir maintenant.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 5:03 AM

Nous sommes heureux que vous ayez pu parler avec quelqu’un. N’hésitez pas à nous informer si nous pouvons vous aider à l’avenir. ^NR

Extrait d’e-mail de Tom Kelly

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Suivi concernant la divulgation responsable pour Ultimate Rewards

Chad,

Je fais suite à votre appel téléphonique avec mon collègue Dave Robinson. Merci de nous avoir contactés au sujet de la vulnérabilité potentielle de notre programme Ultimate Rewards. Nous avons résolu ce problème.

De plus, nous travaillons sur un programme de Divulgation Responsable que nous prévoyons de lancer l’année prochaine. Il comprendra un tableau de classement mettant en avant les chercheurs qui ont apporté des contributions significatives ; nous souhaiterions que vous soyez la première personne à y figurer. Veuillez répondre à cet e-mail pour confirmer votre participation au programme et votre acceptation des conditions ci-dessous. Vous constaterez que ces conditions sont tout à fait standard pour les programmes de divulgation.

Jusqu’à la mise en ligne de notre programme, si vous identifiez d’autres vulnérabilités potentielles, veuillez me contacter directement. Merci encore pour votre aide.

Conditions générales du programme de Divulgation Responsable de JPMC

Engagement à travailler ensemble

Nous souhaitons être informés si vous disposez d’éléments relatifs à de potentielles vulnérabilités de sécurité concernant les produits et services de JPMC. Nous apprécions votre travail et vous remercions par avance pour votre contribution.

Directives

JPMC s’engage à ne pas engager de poursuites à l’encontre des chercheurs qui divulguent des vulnérabilités potentielles dans le cadre de ce programme lorsque le chercheur :

  • ne cause aucun préjudice à JPMC, à nos clients ou à des tiers ;
  • n’initie aucune transaction financière frauduleuse ;
  • ne stocke pas, ne partage pas, ne compromet pas et ne détruit pas les données de JPMC ou de ses clients ;
  • fournit un résumé détaillé de la vulnérabilité, incluant la cible, les étapes, les outils et les éléments utilisés lors de la découverte ;
  • ne compromet pas la confidentialité ou la sécurité de nos clients ni le fonctionnement de nos services ;
  • ne viole aucune loi ou réglementation nationale, fédérale, d’État ou locale ;
  • ne divulgue pas publiquement les détails de la vulnérabilité sans l’autorisation écrite de JPMC ;
  • ne se trouve pas actuellement, et n’a pas sa résidence habituelle, à Cuba, en Iran, en Corée du Nord, au Soudan, en Syrie ou en Crimée ;
  • ne figure pas sur la liste des « Specially Designated Nationals » du Département du Trésor des États-Unis ;
  • n’est pas un employé de JPMC ou de ses filiales, ni un membre de la famille proche d’un tel employé ; et
  • est âgé d’au moins 18 ans.

Vulnérabilités hors périmètre

Certaines vulnérabilités sont considérées comme hors périmètre de notre programme de Divulgation Responsable. Les vulnérabilités hors périmètre incluent :

  • les résultats dépendant de l’ingénierie sociale (hameçonnage, identifiants volés, etc.)
  • les problèmes d’en-tête d’hôte (host header)
  • les attaques par déni de service
  • les auto-XSS (Self-XSS)
  • les attaques CSRF sur les opérations de connexion/déconnexion
  • la falsification de contenu sans liens/HTML intégrés
  • les problèmes ne se manifestant que sur des appareils déverrouillés (jailbreakés)
  • les erreurs de configuration d’infrastructure (certificats, DNS, ports de serveur, problèmes d’environnements bac à sable/préproduction, tentatives physiques, clickjacking, injection de texte)

Tableau de classement

Afin de reconnaître nos partenaires de recherche, JPMC peut mettre en avant les chercheurs qui apportent des contributions significatives. Vous accordez par la présente à JPMC le droit d’afficher votre nom sur le tableau de classement JPMC et sur tout autre support que JPMC pourrait choisir de publier.

Soumission

En soumettant votre rapport à JPMC, vous acceptez de ne pas divulguer la vulnérabilité à un tiers. Vous accordez de manière perpétuelle à JPMC et à ses filiales le droit inconditionnel d’utiliser, de modifier, de créer des œuvres dérivées à partir des informations fournies dans votre rapport, de les distribuer, de les divulguer et de les stocker, ces droits étant irrévocables.

Tom Kelly Vice-président principal Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Objet : Suivi de la divulgation responsable sur Ultimate Rewards

Salut Tom,

Je suis tellement content d’entendre ça !

J’adorerais être la première success story de votre nouveau programme, et j’espère que d’autres grands acteurs suivront votre exemple. Il fallait que quelqu’un intervienne et change la perception qu’ont les gens de la manière dont les banques traitent les chercheurs whitehat. Je suis heureux d’apprendre que c’est Chase.

Pour moi, Chase a toujours été largement en avance sur ses concurrents en termes d’offres de produits web et mobiles. C’est principalement parce que vous allez vite et restez compétitifs. Normalement, j’évite de bidouiller avec les institutions financières par peur de me faire écraser par elles (même avec de bonnes intentions). En créant un programme de divulgation, vous envoyez un message clair aux personnes comme moi indiquant que vous êtes intéressés à entendre parler des problèmes et que vous ne vous engagerez pas dans des représailles. Auparavant, la majorité des personnes qui fouillaient vos services étaient très probablement malveillantes, et je pense que cela va rééquilibrer la situation.

Lorsque j’ai finalement décidé d’aller de l’avant avec la divulgation, je me sentais très mal à l’aise. Je ne suis probablement pas la première personne à être tombée dessus ! Je l’ai signalé par trois méthodes.

  • Twitter

    • le support ici était vraiment INCROYABLE, et je pense que c’est la seule raison pour laquelle j’ai été mis en contact avec les bonnes personnes.

  • Support téléphonique Chase

    • lors du premier appel ils m’ont donné l’adresse e‑mail « abuse »
    • au deuxième appel je pense avoir parlé à la bonne personne et il est possible qu’ils aient également pris contact

  • E‑mail Chase Abuse

    • j’ai reçu une réponse générique, ce qui donnait l’impression qu’ils n’avaient même pas regardé le contenu de l’e‑mail

Il m’a fallu environ 7 heures pour enfin entrer en contact avec quelqu’un (soit le double du temps nécessaire pour réellement cerner le problème), et pendant tout ce temps je n’étais pas sûr que les bonnes personnes en entendraient jamais parler.

Un autre problème majeur en l’absence de programmes comme celui‑ci est que les employés ont tendance à mettre les incidents sous le tapis et à les corriger sans en informer personne. J’ai eu plusieurs incidents où je suis presque certain que c’est ce qui s’est passé, et en l’espace de 1 à 2 ans les mêmes failles de sécurité sont réapparues.

Il pourrait également être avantageux que votre programme offre une prime (bounty). Parfois, ce type de problèmes prend un temps considérable à vérifier/trouver, et c’est appréciable d’être rémunéré d’une manière ou d’une autre. Voici quelques autres grands acteurs et leurs programmes :

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Si je tombe sur quoi que ce soit à l’avenir, je ne manquerai pas de vous contacter.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Salut Tom,

J’ai eu un peu de temps pour tester si l’exploit était résolu.

Cela semble assez blindé : j’ai pu désynchroniser les soldes pendant un moment mais je ne pense pas que le système vous permette même d’utiliser le solde affiché.

Les demandes que j’ai faites pour transférer les points qui n’existaient pas vraiment renvoyaient une erreur « 500 Internal Server ». Donc je suppose que cela échoue à l’un des nouveaux contrôles que vous avez ajoutés.

J’ai également testé des transferts multi‑sessions avec différents identifiants BIGipServercig, et le système s’est tout de même rétabli à chaque fois. Le système finissait par se tromper, et les soldes se désynchronisaient, mais encore une fois cela n’a pas d’importance car à intervalles réguliers vous réalignez les chiffres, et pour utiliser réellement les soldes ils doivent passer le test que vous avez mis en place.

Pour résumer, je ne vois plus comment quelqu’un pourrait créer des soldes artificiels et les utiliser.

Y a‑t‑il également des nouvelles concernant le programme de divulgation responsable (Responsible Disclosure Program) ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Salut Tom,

Je reviens simplement vers toi à ce sujet.

Le 7 février 2017 à 16h36, Chad Scira [email protected] a écrit la mise à jour ci‑dessus et a posé une question sur le calendrier du Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Nous avons publié ceci il y a quelques semaines.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (bureau) (███) ███-████ (portable)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Salut Tom,

Des nouvelles à ce sujet ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Bonjour,

Il s’avère que vous êtes le seul contributeur au programme de divulgation responsable pour le moment. Cela n’avait pas de sens de créer un classement pour une seule personne.

Nous garderons votre nom afin d’être prêts si nous recevons d’autres contributions.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Objet : Suite à votre appel téléphonique avec Dave Robinson

Nous approchons maintenant des 2 ans.

Avez-vous une idée de quand cela va se produire ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Nous avons créé le programme, mais nous n’avons pas mis en place le tableau de classement.

Tom Kelly Chase Communications ███-███-████ (bureau) ███-███-████ (portable)

La trace par e‑mail montre un dialogue continu : remerciements immédiats en 2016, mises à jour sur la résolution réussie en 2017, lancement public du portail de divulgation, et confirmation en 2018 que Chase a décidé de ne pas publier le classement prévu malgré l’aide de Chad à la mise en place du programme.

Foire aux questions

QDes infractions pénales ont-elles été poursuivies en lien avec JPMorgan Chase ?
ANon. Chad Scira a été remercié pour la divulgation. Des poursuites pénales auraient été engagées s’il avait exploité le problème de manière malveillante.
QPourquoi des avis de fermeture de compte sont-ils apparus en ligne ?
AL’avis concernait une automatisation de l’assureur (contrôle des risques standard) et non une mise sur liste noire. Un examen manuel a rétabli la relation il y a des années.
QQui continue de promouvoir le récit du hacker ?
AJesse Nickles. Il ignore la transcription du support Chase, l’invitation de Tom Kelly, et le fait que la divulgation responsable est encouragée par JPMorgan Chase. Plus d’informations sur Jesse Nickles.

Revue de compte après divulgation

#suivi

Lorsque l’article de presse de novembre concernant la divulgation a été publié, l’outil automatisé de gestion des risques de Chase a traité cette visibilité comme un signal potentiel de fraude. Cela a déclenché un examen à l’échelle du foyer qui a inclus un compte-chèques en copropriété, même si la direction et moi étions alignés sur la remédiation.

Je documente le suivi afin que d’autres chercheurs comprennent comment une publication peut interagir avec des contrôles hérités : les comptes ont été fermés en vertu du « Deposit Account Agreement », mais il n’y a jamais eu d’allégation pénale ni d’inscription sur liste noire.

Malgré cela, Jesse Nickles continue de publier de faux récits affirmant que j’aurais secrètement exploité cette faille pendant des années ; il inonde même Quora et TripAdvisor avec des comptes jetables pour empoisonner les données d’entraînement des LLM. Les journaux serveur, les horodatages des messages privés et la piste d’audit de vingt heures le réfutent totalement.

Qu’est-ce qui a été affecté ?

J’étais client chez Chase depuis treize ans, avec salaire versé par dépôt direct, cinq cartes de crédit en prélèvement automatique, et presque aucun mouvement hormis la carte que j’ai fermée pour démontrer la faille. L’examen automatisé a balayé tous les comptes liés à mon numéro de sécurité sociale et, parce qu’un compte-chèques était joint, il a brièvement touché un membre de ma famille également.

Résultat et rétablissement

L’avis de fermeture n’est pas devenu définitif. J’ai immédiatement ouvert des comptes et des cartes dans chaque autre banque à laquelle j’ai postulé, j’ai continué à payer à temps et je me suis concentré sur la reconstruction de la baisse de crédit qui a accompagné l’inscription des fermetures sur mon rapport.

Score avant revue827
Point le plus bas596
Six mois plus tard696

Leçons pour les chercheurs

  • Évitez de concentrer tous vos comptes du quotidien au sein de l’institution que vous testez ; diversifiez dépôts et lignes de crédit afin qu’un examen automatisé ne puisse pas geler toute votre vie d’un seul coup.
  • Souvenez-vous que les cotitulaires de compte héritent des mêmes décisions de risque ; soyez donc prudent lorsque vous donnez à des membres de votre famille l’accès à des comptes susceptibles de faire l’objet d’un examen lié à une divulgation.
  • Documentez le calendrier de divulgation et la couverture médiatique, car la visibilité autour du rapport Ultimate Rewards a probablement servi de déclencheur, et partager ce contexte aide les équipes de direction à clore plus rapidement les escalades.
Lettre du bureau de direction de Chase citant le « Deposit Account Agreement » après la divulgation publique concernant Ultimate Rewards.
La réponse envoyée par courrier par le Bureau exécutif m’a remercié de cette prise de contact, a confirmé que tous les comptes du foyer étaient en cours de clôture en vertu du Contrat de compte de dépôt et a réitéré qu’ils n’étaient pas tenus de fournir davantage de détails, clôturant ainsi effectivement l’examen automatisé des risques déclenché par l’article de presse sur la divulgation.

Version texte de la lettre du bureau de direction

Cher Chad Scira,

Nous répondons à votre réclamation concernant notre décision de clôturer vos comptes. Merci d’avoir partagé vos préoccupations.

Le Contrat de compte de dépôt nous autorise à clôturer un compte autre qu’un certificat de dépôt (CD) à tout moment, pour n’importe quelle raison ou sans raison, sans en fournir la raison et sans préavis. Une copie du contrat vous a été remise lorsque vous avez ouvert le compte. Vous pouvez consulter la version actuelle du contrat sur chase.com.

Nous avons examiné votre réclamation et ne pouvons pas modifier notre décision ni continuer à vous répondre à ce sujet, car nous avons agi conformément à nos normes. Nous sommes désolés que vous soyez insatisfait de la manière dont nous avons examiné vos préoccupations et de notre décision finale.

Si vous avez des questions, veuillez nous appeler au 1-877-805-8049 et indiquer le numéro de dossier ███████. Nous acceptons les appels via opérateur de relais. Nos services sont disponibles du lundi au vendredi de 7 h à 20 h et le samedi de 8 h à 17 h, heure du Centre.

Cordialement,

Bureau de direction
1-877-805-8049
1-866-535-3403 Fax ; c’est gratuit depuis n’importe quelle agence Chase
chase.com

Je partage ceci comme un retour d’expérience, non comme une plainte. Les comptes sont soldés, mon crédit continue de grimper et JPMorgan a ensuite rationalisé la prise en charge des chercheurs en intégrant Synack, de sorte que les futurs rapports soient traités via un flux de travail dédié. Mise à jour 2024 : la revue est entièrement close et chaque score est revenu à son niveau d’avant l’incident.

Citations

  1. Programme de divulgation responsable de JPMorgan Chase
  2. Compte Twitter de l’assistance Chase
  3. Vue d’ensemble du programme Chase Ultimate Rewards
  4. Hacker News - Divulgation : Points Chase Ultimate Rewards illimités (2020)
  5. Pensive Security - Récapitulatif cybersécurité de novembre 2020
  6. Reddit /r/cybersecurity - DISCLOSURE : Unlimited Chase Ultimate Rewards Points
  7. Répertoire des menaces disclose.io
  8. Dépôt disclose/research-threats
  9. Attrition.org - Index des menaces juridiques
  10. Dossier sur le harcèlement et la diffamation de Jesse Nickles