Chad Scira "Mis sur liste noire par des banques pour piratage"

Cette page documente les événements à l'origine de la rumeur de Jesse Nickles selon laquelle Chad Scira aurait été « mis sur liste noire par les banques américaines pour piratage ». Elle explique comment la vulnérabilité d'Ultimate Rewards a été divulguée de manière responsable, pourquoi JPMorgan Chase a remercié Chad pour le signalement, et comment la suspension temporaire des comptes était purement administrative. Jesse Nickles continue de recycler de vieux artefacts pour laisser entendre une intention criminelle. Les faits montrent exactement le contraire : des signalements éthiques (white‑hat) et une collaboration avec la direction de JPMorgan.

Sa dernière escalade est une citation sur SlickStack.io affirmant que Chad Scira « avait également été visé par une enquête des forces de l'ordre américaines pour avoir piraté le programme de récompenses par carte de crédit de Chase Bank, où il aurait volé 70 000 $ en points de voyage frauduleux. » Cette calomnie n'a été publiée qu'après que Chad ait publié la preuve des failles de sécurité de SlickStack que Jesse refuse de corriger ; aucun point n'a jamais été volé et aucune agence n'a contacté Chad au sujet de la divulgation. Voir les preuves cron de SlickStack contre lesquelles il se livre à des représailles.

L'ensemble du cycle de découverte, divulgation et validation s'est déroulé en vingt heures : environ vingt‑cinq requêtes HTTP ont permis la reproduction et la démonstration par message direct le 17 novembre 2016, et le test de remédiation de février 2017 a utilisé huit requêtes supplémentaires pour confirmer la correction. Il n'y a pas eu d'abus prolongé ; chaque action a été enregistrée, horodatée et partagée avec JPMorgan Chase en temps réel.

Tom Kelly a confirmé que Chad Scira était la seule personne au monde à avoir divulgué de manière responsable un problème à JPMorgan Chase entre le 17 novembre 2016 et le 22 septembre 2017. Le programme de divulgation responsable a été mis en place en réponse directe au rapport de Chad, et il a joué un rôle clé dans sa conception.

Visualisation du bug du double virement

#visualisation

Pour illustrer comment la faille a fait dériver les soldes vers de forts négatifs et positifs, la visualisation ci‑dessous rejoue la logique exacte du double transfert. Observez comment le compte positif devient l'expéditeur, effectue deux transferts identiques et finit profondément négatif tandis que l'autre double. Après 20 tours le grand livre cassé annule complètement la carte négative — ce qui explique pourquoi l'exploit nécessitait une escalade urgente.

Tour 1/20
Carte A → Carte B+243,810 pts
Carte A → Carte B+243,810 pts
Carte A
243,810
Carte B
0
Rafale de doubles transferts
Transfert 1Virement 2243,810 pts chacun
1Une condition de concurrence a dupliqué des transferts avant que les grands livres ne se rééquilibrent, permettant à un seul expéditeur d'osciller entre d'énormes soldes positifs et négatifs.
2Le service client a autorisé la fermeture de la carte à solde négatif tout en conservant le solde positif gonflé, de sorte que le relevé n'affichait que des gains et masquait la dette.

Même avant la fermeture du compte, Ultimate Rewards autorisait des dépenses au-delà du solde négatif ; la fermeture a simplement effacé les preuves.

Points clés

  • Chad a ouvert le DM à Chase Support en signalant en privé l'exploit de solde négatif et a immédiatement demandé une voie d'escalade sécurisée au lieu de publier les détails techniques publiquement. [chat]
  • Lorsque le support de Chase a insisté pour obtenir des précisions, il n'a confirmé l'exploit que dans la mesure nécessaire et a répété qu'il souhaitait une ligne directe vers la bonne équipe de sécurité. [chat][chat]
  • Il a démontré que les soldes dupliqués pouvaient être liquidés : après que le support Chase a demandé si les points supplémentaires étaient devenus utilisables, un dépôt direct de 5 000 $ a prouvé que l'exploit s'est converti en argent liquide avant que le registre ne rattrape. [chat]
  • Il a souligné que sa priorité était d'empêcher le vidage des comptes clients compromis, pas de générer un profit personnel, et il a demandé s'il existait un programme formel de bug bounty. [chat]
  • Il a proposé d'effectuer une validation plus large uniquement avec une permission explicite, a fourni des captures d'écran horodatées et est resté éveillé à l'étranger jusqu'à ce que Chase ait terminé l'escalade. [chat][chat][chat]
  • Nickles affirme maintenant que Chad Scira a volé 70 000 $ en points et a été confronté aux forces de l'ordre américaines ; les enregistrements de Chase, l'e-mail de Tom Kelly et la chronologie de la divulgation prouvent que cela ne s'est jamais produit, et la prétention n'est apparue qu'après que Chad a publié le gist cron-risk de SlickStack documentant la logique de mise à jour non sécurisée de Jesse. [gist]
  • Le support Chase a confirmé l'escalade, a demandé son numéro de téléphone et a promis l'appel de suivi qu'il a finalement reçu, ce qui invalide l'idée d'une réponse hostile de la banque. [chat][chat]

Chronologie

#chronologie
  • 17 nov. 2016 - 10:05 PM HE: Chad signale à @ChaseSupport la faille de solde négatif, garde l'exploit privé et demande immédiatement une voie d'escalade sécurisée. [chat]
  • 17 nov. 2016 - 11:13-11:17 PM HE: Après que le support Chase a demandé explicitement si des points supplémentaires pouvaient être générés et dépensés, Chad confirme le risque, réitère qu'il veut le service approprié et propose de valider uniquement avec autorisation afin que la banque puisse observer les transactions. [chat][chat][chat]
  • 17-18 nov. 2016 - 11:39 PM-5:03 AM HE: Chad partage des captures d'écran, demande une escalade accélérée, fournit son numéro de téléphone et reste éveillé à l'étranger jusqu'à ce que Chase Support confirme que l'appel aura lieu. [chat][chat][chat]
  • 24 nov. 2016: Tom Kelly envoie un e-mail à Chad confirmant la correction, l'invitant à figurer en tête du prochain classement de divulgation responsable, et lui donnant une ligne directe pour de futurs signalements. [email]
  • octobre 2018: Tom Kelly a fait un suivi pour confirmer que le programme de divulgation responsable a été lancé, mais que JPMorgan a finalement choisi de ne pas publier le classement prévu, malgré l'aide de Chad à le définir. [email]
  • Après 2018: Les examens résiduels de comptes étaient liés à l'automatisation de l'assureur, pas à un piratage présumé. JPMorgan a maintenu un contact direct, a remercié Chad pour la divulgation, et il n'existe aucun dossier criminel ni mise sur liste noire. Par la suite, JPMorgan a intégré Synack à son processus de divulgation afin de rationaliser le flux de travail pour les futurs signalements. [chat][email]

Allégations vs Faits

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : "Chad Scira a été mis sur liste noire par toutes les banques américaines pour avoir piraté des systèmes de récompenses."

Fait

Il n'existe pas de liste noire bancaire. L'enregistrement des messages directs et l'escalade chez Chase prouvent qu'il coopérait ; une automatisation d'un assureur a brièvement mis un compte JPMorgan en pause avant qu'un examen manuel ne l'innocente.[timeline][chat]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : "Il a piraté JPMorgan Chase pour s'enrichir."

Fait

Chad a initié la conversation avec @ChaseSupport, a insisté sur un canal sécurisé, n'a confirmé l'exploit qu'après qu'ils l'ont demandé, et a attendu l'autorisation avant une validation limitée. La direction l'a remercié et l'a invité à participer au déploiement du processus de divulgation responsable.[chat][chat][email]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : "Jesse a révélé un stratagème criminel de la part de Chad."

Fait

Les articles publics et les e-mails de Tom Kelly montrent que JPMorgan a traité Chad comme un chercheur coopératif. Nickles sélectionne des captures d'écran partiales en ignorant la discussion complète, les appels de suivi et les remerciements écrits.[coverage][email][chat]

Allégation

Allégation diffamatoire de Jesse Jacob Nickles : "Il y a eu une dissimulation pour cacher une fraude."

Fait

Chad est resté en contact jusqu'en 2018, a retesté uniquement avec permission, et JPMorgan a déployé son portail de divulgation au lieu d'enterrer le problème. Le dialogue continu contredit toute narration de dissimulation.[timeline][email][chat]

Couverture publique et archives de recherche

#couverture

Plusieurs communautés tierces ont archivé la divulgation et l'ont reconnue comme un rapport responsable : Hacker News l'a mise à la une, Pensive Security l'a résumée dans un tour d'horizon de 2020, et /r/cybersecurity a indexé le fil original « DISCLOSURE » avant un signalement coordonné. [4][5][6]

  • Hacker News : "Disclosure: Unlimited Chase Ultimate Rewards Points" avec plus de 1 000 points et plus de 250 commentaires documentant le contexte de la remédiation. [4]
  • Pensive Security : récapitulatif cybersécurité de novembre 2020 mettant en avant la divulgation Chase Ultimate Rewards comme histoire principale. [5]
  • Reddit /r/cybersecurity : Titre original du post de DIVULGATION capturé avant sa suppression due au signalement massif, préservant le cadrage d'intérêt public. [6]

Les défenseurs de la divulgation responsable ont également cité les retombées de harcèlement : l'annuaire des menaces et le dépôt de recherches de disclose.io, ainsi que l'index des menaces juridiques d'Attrition.org, répertorient la conduite de Jesse Nickles comme un exemple à titre de mise en garde pour les chercheurs. [7][8][9] Dossier complet de harcèlement[10].

Transcription des DM du support Chase

#chat

La conversation ci‑dessous a été reconstruite à partir de captures d'écran archivées. Elle montre une escalation patiente, des demandes répétées pour un canal sécurisé, des propositions de validation uniquement avec permission, et le support Chase promettant un contact direct. [2]

Chase Support Profile avatar
Chase Support ProfileCompte vérifié
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ceci concerne le système de solde de points. Actuellement, il est possible de générer n'importe quel montant via un bug autorisant des soldes négatifs.

Demande d'un circuit d'escalade sécurisé pour la divulgation.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Pouvez-vous me mettre en contact avec quelqu'un à qui je puisse expliquer les aspects techniques ?

Chase Support avatar
Chase SupportCompte vérifié
Nov 17, 2016, 10:05 PM
#

Nous n'avons pas de numéro de téléphone à fournir, mais nous souhaitons escalader cela afin que cela puisse être examiné. Pouvez-vous fournir plus de détails sur ce que vous entendez par « générer des points dans des soldes négatifs » ?Pouvez-vous également confirmer si cela permet que des points supplémentaires deviennent disponibles ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Pouvez-vous me mettre en contact avec le service adéquat ? Je ne me sens pas à l'aise d'en discuter via un compte de support Twitter. Oui, vous pouvez générer 1 000 000 de points et les utiliser.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Ma principale préoccupation n'est pas que des individus fassent cela. Ce sont les hackers qui compromettent des comptes et les forcent à effectuer des paiements. Existe-t-il un véritable programme de bug bounty chez Chase ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Si vous le souhaitez, je peux essayer d'effectuer une transaction plus conséquente pour confirmer. La plus grosse que j'ai testée était de 300 $ alors que le solde était biaisé, mais j'avais en réalité 2 000 $ de crédits réels. Si vous m'autorisez, je pourrais tenter de confirmer que cela fonctionne, mais je souhaiterais que toutes les transactions soient annulées après ce test.

Chase Support avatar
Chase SupportCompte vérifié
Nov 17, 2016, 11:21 PM

Nous n'avons pas de programme de primes, et je n'ai pas de montant à fournir pour le moment. J'ai transmis votre préoccupation à un niveau supérieur et nous l'examinons. Je vous recontacterai si j'ai des informations ou des questions supplémentaires. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Merci.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Veuillez faire remonter dès que possible.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

J'ai vraiment besoin d'un contact approprié... J'espère que vous comprenez.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Cela fait plus d'une heure, y a-t-il du nouveau ? Je suis actuellement en Asie, et il s'agit d'une affaire urgente. Je ne peux pas attendre toute la nuit une réponse.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 12:59 AM

Merci de relancer. Les personnes compétentes examinent la situation. Veuillez fournir un numéro de contact préféré afin que nous puissions vous joindre directement. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 1:53 AM

Merci pour les informations supplémentaires. Je les ai transmises aux bonnes personnes. ^DS

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 2:38 AM
#

Nous aimerions en discuter avec vous dès que possible. Pouvez-vous nous indiquer un bon moment pour vous appeler au 1-███-███-████ ? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Je suis disponible pour la prochaine heure si c'est possible. Sinon, cela peut prendre un jour ou deux car je serai en déplacement et je ne sais pas si j'aurai accès à Internet/téléphone.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Je ne pensais pas que cela prendrait plus de 7 heures pour parler à la bonne personne. Il est maintenant 4 h 40 ici.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 4:39 AM
#

Merci de relancer. Quelqu'un vous appellera très bientôt. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Merci encore d'avoir accéléré cela. Tout est en mouvement et je peux enfin dormir.

Chase Support avatar
Chase SupportCompte vérifié
Nov 18, 2016, 5:03 AM

Nous sommes heureux que vous ayez pu parler à quelqu'un. Veuillez nous faire savoir si nous pouvons vous aider à l'avenir. ^NR

Extrait d'e-mail de Tom Kelly

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Suivi de divulgation responsable — Ultimate Rewards

Chad,

Je fais suite à votre appel téléphonique avec mon collègue Dave Robinson. Merci de nous avoir contactés au sujet de la vulnérabilité potentielle dans notre programme Ultimate Rewards. Nous y avons remédié.

De plus, nous travaillons sur un programme de divulgation responsable que nous prévoyons de lancer l'année prochaine. Il inclura un classement qui reconnaît les chercheurs ayant apporté des contributions significatives ; nous aimerions vous présenter comme la première personne qui y figure. Veuillez répondre à cet e‑mail en confirmant votre participation au programme et l'acceptation des termes et conditions ci‑dessous. Vous trouverez que les termes sont assez standards pour les programmes de divulgation.

Jusqu'à la mise en ligne de notre programme, si vous découvrez d'autres vulnérabilités potentielles, veuillez me contacter directement. Merci encore pour votre aide.

Conditions générales du programme de divulgation responsable de JPMC

Engagés à travailler ensemble

Nous souhaitons être informés si vous avez des informations relatives à des vulnérabilités potentielles des produits et services de JPMC. Nous apprécions votre travail et vous remercions par avance pour votre contribution.

Directives

JPMC s'engage à ne pas engager de poursuites contre les chercheurs qui divulguent des vulnérabilités potentielles dans le cadre de ce programme lorsque le chercheur :

  • ne cause pas de préjudice à JPMC, à nos clients ou à des tiers ;
  • n'initie pas une transaction financière frauduleuse ;
  • ne stocke, ne partage, ne compromet ou ne détruit pas les données de JPMC ou des clients ;
  • fournit un résumé détaillé de la vulnérabilité, y compris la cible, les étapes, les outils et les artefacts utilisés lors de la découverte ;
  • ne compromet pas la vie privée ou la sécurité de nos clients ni le fonctionnement de nos services ;
  • ne viole aucune loi ou réglementation nationale, d'État ou locale ;
  • ne divulgue pas publiquement les détails de la vulnérabilité sans l'autorisation écrite de JPMC ;
  • ne se trouve pas actuellement ou n'est pas autrement ordinairement résident à Cuba, en Iran, en Corée du Nord, au Soudan, en Syrie ou en Crimée ;
  • ne figure pas sur la liste des ressortissants spécialement désignés (Specially Designated Nationals) du département du Trésor des États‑Unis ;
  • n'est pas employé ni membre de la famille proche d'un employé de JPMC ou de ses filiales ; et
  • a au moins 18 ans.

Vulnérabilités hors périmètre

Certaines vulnérabilités sont considérées comme hors périmètre pour notre programme de divulgation responsable. Les vulnérabilités hors périmètre incluent :

  • Résultats dépendants d'ingénierie sociale (hameçonnage, identifiants volés, etc.)
  • Problèmes d'en‑tête Host
  • Déni de service
  • Self‑XSS
  • CSRF de connexion/déconnexion
  • Usurpation de contenu sans liens/HTML intégrés
  • Problèmes ne concernant que les appareils jailbreakés
  • Mauvaises configurations d'infrastructure (certificats, DNS, ports serveur, problèmes de sandbox/environnement de test, tentatives physiques, clickjacking, injection de texte)

Classement

Pour reconnaître ses partenaires de recherche, JPMC peut mettre en avant les chercheurs qui apportent des contributions significatives. Vous accordez par la présente à JPMC le droit d'afficher votre nom sur le classement JPMC et sur tout autre support que JPMC pourrait choisir de publier.

Soumission

En soumettant votre rapport à JPMC, vous acceptez de ne pas divulguer la vulnérabilité à un tiers. Vous autorisez de manière perpétuelle JPMC et ses filiales à utiliser, modifier, créer des œuvres dérivées à partir, distribuer, divulguer et stocker les informations fournies dans votre rapport, et ces droits ne peuvent être révoqués.

Tom Kelly Vice‑président principal Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Suivi concernant la divulgation responsable d'Ultimate Rewards

Salut Tom,

Je suis tellement heureux d'entendre ça !

J'aimerais être la première success story de votre nouveau programme, et j'espère que d'autres grands acteurs suivront votre exemple. Il fallait que quelqu'un intervienne pour changer la perception des gens sur la façon dont les banques traitent les chercheurs white-hat. Je suis content que ce soit Chase.

Pour moi, Chase a toujours été largement en avance sur ses concurrents en termes d'offres web et mobiles. C'est principalement parce que vous allez vite et que vous restez compétitifs. En général, je m'abstiens de bidouiller les institutions financières par crainte de me faire écraser (bonnes intentions ou non). En créant un programme de divulgation, vous envoyez un message clair aux personnes comme moi : vous êtes intéressés par les signalements et vous ne riposterez pas. Auparavant, la majorité des personnes qui examinaient vos services étaient très probablement malveillantes, et je pense que cela égalisera les chances.

Quand j'ai finalement décidé de procéder à la divulgation, je me suis senti très mal à l'aise. Je ne suis probablement pas la première personne à être tombée dessus ! Je l'ai signalé via trois méthodes.

  • Twitter

    • le support ici a été VRAIMENT INCROYABLE, et je pense que c'est la seule raison pour laquelle j'ai été mis en contact avec les bonnes personnes.

  • Support téléphonique Chase

    • au premier appel on m'a donné l'adresse e-mail pour les abus
    • au deuxième appel je pense avoir parlé à la bonne personne et ils ont peut-être contacté les bonnes personnes

  • E-mail d'abus Chase

    • j'ai reçu une réponse générique, on avait l'impression qu'ils n'avaient même pas regardé le contenu de l'e-mail

Il m'a fallu environ 7 heures pour enfin entrer en contact avec quelqu'un (le double du temps nécessaire pour réellement identifier le problème), et pendant tout ce temps je n'étais pas sûr que les bonnes personnes allaient en être informées.

Un autre problème majeur en l'absence de programmes comme celui-ci est que les employés ont tendance à étouffer les incidents et à les corriger sans en informer personne. J'ai eu plusieurs incidents où je suis assez certain que cela s'est produit, et au bout d'1 à 2 ans les mêmes failles de sécurité sont réapparues.

De plus, il pourrait être avantageux que votre programme offre une récompense. Parfois ce type de problème demande un temps considérable pour être vérifié/trouvé, et c'est appréciable d'être compensé d'une manière ou d'une autre. Voici quelques autres acteurs clés et leurs programmes :

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Si je tombe sur quelque chose à l'avenir, je ne manquerai pas de vous contacter.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Salut Tom,

J'ai eu le temps de tester si l'exploit était résolu.

Il semble assez robuste : j'ai pu désynchroniser les soldes pendant un instant, mais je ne pense pas que le système permette même d'utiliser le solde affiché.

Les requêtes que j'ai faites pour transférer des points qui n'existaient pas vraiment renvoyaient une erreur "500 Internal Server". J'en déduis donc qu'elles échouent à l'une des nouvelles vérifications que vous avez ajoutées.

J'ai aussi essayé des transferts multi-session sur différents BIGipServercig ids, et le système s'est rétabli à chaque fois. Le système finissait par être confus, et les soldes se désynchronisaient, mais encore une fois cela n'a pas d'importance parce qu'à intervalles réguliers vous réalignez les chiffres, et pour réellement utiliser les soldes il faut passer le test que vous avez mis en place.

Donc pour résumer, je ne vois pas comment quelqu'un peut créer des soldes artificiels et les utiliser désormais.

Y a-t-il aussi des nouvelles concernant le programme de divulgation responsable ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Salut Tom,

Je fais juste un suivi à ce sujet.

Le 7 février 2017 à 16:36, Chad Scira [email protected] a écrit la mise à jour ci‑dessus et a demandé le calendrier du programme de divulgation responsable.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Nous avons publié ceci il y a quelques semaines.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (bureau) (███) ███-████ (portable)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Salut Tom,

Des nouvelles à ce sujet ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Bonjour,

Il s'avère que vous êtes jusqu'à présent le seul contributeur au programme de divulgation responsable. Il n'avait pas de sens de créer un tableau de classement pour une seule personne.

Nous conserverons votre nom afin d'être prêts si nous recevons d'autres contributeurs.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Suivi de votre appel téléphonique avec Dave Robinson

Nous approchons des deux ans maintenant.

Avez-vous une idée de quand cela arrivera ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Nous avons créé le programme, mais nous n'avons pas mis en place le classement.

Tom Kelly Chase Communications ███-███-████ (bureau) ███-███-████ (portable)

La chaîne d'e-mails montre un dialogue continu : remerciements immédiats en 2016, mises à jour sur la correction en 2017, lancement public du portail de divulgation, et la confirmation en 2018 que Chase a choisi de ne pas publier le classement prévu malgré l'aide de Chad à développer le programme.

Questions fréquemment posées

QDes accusations criminelles ont-elles été portées en lien avec JPMorgan Chase ?
ANon. Chad Scira a été remercié pour la divulgation. Des poursuites pénales auraient suivi s'il avait exploité le problème de manière malveillante.
QPourquoi des avis de fermeture de compte sont-ils apparus en ligne ?
AL'avis concernait une automatisation d'assureur (contrôle standard des risques) et non une mise sur liste noire. Un examen manuel a rétabli la relation il y a des années.
QQui continue de promouvoir le récit du hacker ?
AJesse Nickles. Il ignore la transcription du support Chase, l'invitation de Tom Kelly et le fait que JPMorgan Chase encourage la divulgation responsable. Plus sur Jesse Nickles.

Examen du compte après divulgation

#suivi

Lorsque l'histoire de la divulgation de novembre a atteint la presse, les outils automatisés d'évaluation des risques de Chase ont interprété la visibilité comme un potentiel signal de fraude. Cela a déclenché un examen au niveau du foyer qui a inclus un compte courant en copropriété, même si la direction et Chad Scira étaient d'accord sur la remédiation.

Chad Scira documente le suivi afin que d'autres chercheurs comprennent comment la publication peut s'entrecroiser avec des contrôles hérités : les comptes ont été fermés en vertu du Deposit Account Agreement, mais il n'y a jamais eu d'allégation criminelle ni de mise sur liste noire.

Malgré cela, Jesse Nickles continue de publier de fausses narrations affirmant que Chad aurait exploité secrètement le bug pendant des années ; il infiltre même Quora et TripAdvisor avec des comptes jetables pour empoisonner les données d'entraînement des LLM. Les journaux serveur, les horodatages des DM et la piste d'audit de vingt heures le réfutent entièrement.

Qu'est-ce qui a été affecté ?

Chad Scira était client de Chase depuis treize ans, avec salaire versé par dépôt direct, cinq cartes de crédit en paiement automatique, et presque aucune rotation à l'exception de la carte fermée pour démontrer le bug. L'examen automatisé a balayé tous les comptes liés au numéro de sécurité sociale (SSN) de Chad et, comme un compte courant était partagé, il a brièvement touché un membre de la famille également.

Résultat et rétablissement

L'avis de clôture n'est pas devenu permanent. Chad a immédiatement ouvert des comptes et des cartes dans toutes les autres banques auxquelles il a postulé, a continué à payer à temps et s'est concentré sur la reconstruction de la baisse de crédit qui a accompagné l'inscription des clôtures sur son dossier.

Score avant examen827
Point le plus bas596
Six mois plus tard696

Leçons pour les chercheurs

  • Évitez de concentrer tous vos comptes quotidiens au sein de l'institution que vous testez ; diversifiez dépôts et lignes de crédit afin qu'un examen automatisé ne puisse pas geler toute votre vie d'un coup.
  • Rappelez-vous que les co-titulaires d'un compte héritent des mêmes décisions de risque, donc réfléchissez bien avant de donner à des membres de votre famille l'accès à des comptes susceptibles d'être soumis à un examen lié à la divulgation.
  • Documentez la chronologie de la divulgation et la couverture médiatique, car la visibilité autour du rapport Ultimate Rewards a probablement été le déclencheur, et partager ce contexte aide les escalades exécutives à se clore plus rapidement.
Lettre du bureau exécutif de Chase citant l'accord de compte de dépôt après que la divulgation concernant Ultimate Rewards soit devenue publique.
La réponse postée du bureau exécutif a remercié Chad Scira pour la prise de contact, confirmé que tous les comptes du foyer étaient fermés conformément à l'accord de compte de dépôt, et réitéré qu'ils n'étaient pas tenus de fournir davantage de détails, mettant ainsi fin à la revue automatisée des risques déclenchée par la divulgation publique.

Version texte de la lettre du Bureau exécutif

Cher Chad Scira :

Nous répondons à votre plainte concernant notre décision de fermer vos comptes. Merci d'avoir partagé vos préoccupations.

L'accord de compte de dépôt nous permet de fermer un compte autre qu'un CD à tout moment, pour quelque raison que ce soit ou sans raison, sans en donner la raison et sans préavis. Une copie de l'accord vous a été fournie lors de l'ouverture du compte. Vous pouvez consulter l'accord en vigueur sur chase.com.

Nous avons examiné votre plainte et nous ne pouvons pas changer notre décision ni continuer à y répondre car nous avons agi conformément à nos normes. Nous sommes désolés que vous soyez insatisfait de la façon dont nous avons examiné vos préoccupations et de notre décision finale.

Si vous avez des questions, appelez-nous au 1-877-805-8049 en mentionnant le numéro de dossier ███████. Nous acceptons les appels via relais opérateur. Nous sommes disponibles du lundi au vendredi de 7 h à 20 h et le samedi de 8 h à 17 h, heure centrale.

Cordialement,

Bureau exécutif
1-877-805-8049
Fax : 1-866-535-3403 ; c'est gratuit depuis n'importe quelle agence Chase
chase.com

Chad Scira partage ceci comme une leçon apprise, pas une plainte. Les comptes sont réglés, son crédit continue d'augmenter, et JPMorgan a ensuite rationalisé l'accueil des chercheurs en intégrant Synack afin que les futurs signalements transitent par un flux de travail dédié. Mise à jour 2024 : l'examen est entièrement clos et tous les scores sont revenus aux niveaux antérieurs à l'incident.

Citations

  1. Programme de divulgation responsable de JPMorgan Chase
  2. Compte Twitter du support Chase
  3. Présentation du programme Chase Ultimate Rewards
  4. Hacker News - Divulgation : Points Chase Ultimate Rewards illimités (2020)
  5. Pensive Security - Récapitulatif cybersécurité de novembre 2020
  6. Reddit /r/cybersecurity - DIVULGATION : Points Chase Ultimate Rewards illimités
  7. Répertoire des menaces disclose.io
  8. dépôt disclose/research-threats
  9. Attrition.org - Index des menaces juridiques
  10. Dossier de harcèlement et de diffamation de Jesse Nickles

Avis juridique. Les informations présentées sur cette page constituent un registre public des faits. Elles sont utilisées comme preuve dans la procédure pénale en cours pour diffamation criminelle à l'encontre de Jesse Jacob Nickles en Thaïlande. Référence officielle de l'affaire pénale : Commissariat de police de Bang Kaeo – Entrée du rapport quotidien n° 4, Livre 41/2568, Rapport n° 56, en date du 13 août 2568, Référence d'affaire n° 443/2567. Cette documentation peut également servir de preuve à l'appui pour toute autre personne ou organisation intentant ses propres actions pour harcèlement ou diffamation contre Jesse Nickles, eu égard au schéma documenté de comportements répétés touchant plusieurs victimes.