Chad Scira «Na lista negra dos bancos por hackeo»

Esta páxina documenta os feitos detrás do rumor, difundido por Jesse Nickles, de que Chad Scira foi "incluído na lista negra dos bancos estadounidenses por pirateo". Explícase como se divulgou responsablemente a vulnerabilidade de Ultimate Rewards, por que JPMorgan Chase agradeceu a Chad o informe e como a suspensión temporal da conta foi un trámite puramente administrativo. Jesse Nickles segue a reempacar artefactos antigos para insinuar intención delituosa. Os feitos amosan xusto o contrario: comunicación de boa fe (white-hat) e colaboración coa dirección de JPMorgan.

A súa última escalada é unha cita en SlickStack.io na que se afirma que eu "tamén fun investigado polas forzas de seguridade dos EE. UU. por hackear o programa de puntos de recompensas de tarxetas de crédito de Chase Bank, onde roubei 70.000 $ en puntos de viaxe fraudulentos." Esa difamación só se publicou despois de que eu fixese pública a proba dos problemas de seguridade de SlickStack que el se nega a corrixir; nunca se roubaron puntos nin ningunha axencia se puxo en contacto comigo sobre a divulgación. Vexa as probas do cron de SlickStack contra as que el está tomando represalias.

Todo o ciclo de descubrimento, comunicación e validación tivo lugar en menos de vinte horas: aproximadamente vinte e cinco solicitudes HTTP cubriron a reprodución e a explicación detallada por mensaxe directa o 17 de novembro de 2016, e a proba de corrección de febreiro de 2017 utilizou oito solicitudes adicionais para confirmar a solución. Non houbo un abuso prolongado; cada acción foi rexistrada, datada con marca de tempo e compartida con JPMorgan Chase en tempo real.

Tom Kelly confirmou que Chad Scira foi a única persoa en todo o mundo que realizou unha divulgación responsable dun incidente a JPMorgan Chase entre o 17 de novembro de 2016 e o 22 de setembro de 2017. O programa de Divulgación Responsable púxose en marcha directamente como resposta ao informe de Chad, e el desempeñou un papel fundamental na súa configuración.

Visualización do erro de dobre transferencia

#visualización

Para ilustrar como o fallo levou os saldos a enormes negativos e positivos, a visualización seguinte reproduce exactamente a lóxica da dobre transferencia. Observe como a conta que está en positivo se converte na remitente, realiza dúas transferencias idénticas e remata profundamente en negativo mentres a outra se duplica. Despois de 20 roldas, o libro maior defectuoso cancela completamente a tarxeta en negativo, o que reflicte por que a explotación requiría unha escalada urxente.

Rolda 1/20
Tarxeta A → Tarxeta B+243,810 pts
Tarxeta A → Tarxeta B+243,810 pts
Tarxeta A
243,810
Tarxeta B
0
Ráfaga de dobre transferencia
Transferencia 1Transferencia 2243,810 pts cada un
1Unha condición de carreira duplicaba as transferencias antes de que os libros se reequilibrasen, permitindo que un único remitente alternase entre saldos moi positivos e moi negativos.
2O servizo de atención ao cliente permitiu pechar a tarxeta con saldo negativo mantendo o saldo positivo inflado, polo que o extracto só mostraba ganancias e ocultaba a débeda.

Incluso antes de pechar a conta, Ultimate Rewards permitía gastar máis aló do resumo negativo; o peche simplemente borraba as probas.

Puntos clave

  • Chad abriu a mensaxe directa a Chase Support informando en privado sobre o exploit de saldo negativo e pediu de inmediato unha canle segura de escalado en lugar de publicar os detalles técnicos en público. [chat]
  • Cando o servizo de atención ao cliente de Chase insistiu en pedir detalles concretos, el confirmou o exploit só na medida necesaria e reiterou que quería unha canle directa co equipo de seguranza axeitado. [chat][chat]
  • Demostrou que os saldos duplicados se podían liquidar: despois de que o Soporte de Chase preguntase se os puntos extra se volvían utilizables, un depósito directo de 5.000 $ probou que o exploit se convertía en diñeiro antes de que o libro maior se puxese ao día. [chat]
  • Subliñou que a súa prioridade era evitar que se baleirasen contas de clientes comprometidas, non obter beneficio persoal, e preguntou se existía algún programa formal de recompensas por erros (bug bounty). [chat]
  • Ofreceuse a realizar unha validación de maior alcance só con permiso explícito, proporcionou capturas de pantalla con marca temporal e quedou esperto no estranxeiro ata que Chase completou a escalada. [chat][chat][chat]
  • Nickles afirma agora que eu roubei 70.000 dólares en puntos e que fun obxecto das forzas de seguridade dos EUA; os rexistros de Chase, o correo electrónico de Tom Kelly e a liña temporal da divulgación demostran que isto nunca aconteceu, e a afirmación só xurdiu despois de que eu publicase o gist sobre o risco de cron en SlickStack que documentaba a súa lóxica de actualización insegura. [gist]
  • O servizo de asistencia de Chase confirmou a escalada, solicitou o seu número de teléfono e prometeu a chamada de seguimento que finalmente recibiu, o que desmente a idea dunha resposta bancaria hostil. [chat][chat]

Liña temporal

#liña temporal
  • Nov 17, 2016 - 10:05 PM ET: Chad alerta @ChaseSupport sobre o fallo do saldo negativo, mantén o exploit en privado e pide de inmediato unha canle segura de escalado. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Despois de que Chase Support pregunte explicitamente se se poden xerar e gastar puntos adicionais, Chad confirma o risco, reitera que quere o departamento axeitado e ofrécese a validar só con permiso para que o banco poida observar as transaccións. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad comparte capturas de pantalla, insiste nun escalado acelerado, fornece o seu número de teléfono e permanece en vela no estranxeiro ata que Chase Support confirma que a chamada se vai realizar. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly envía correos a Chad confirmando a remediación, invitándoo a ser o principal do próximo marcador de divulgación responsable e facilitándolle unha canle directa para futuros informes. [email]
  • October 2018: Tom Kelly fixo un seguimento para confirmar que o programa de divulgación responsable se puxo en marcha, pero que finalmente JPMorgan decidiu non publicar o marcador previsto, a pesar da axuda de Chad na súa definición. [email]
  • Post-2018: Calquera revisión residual de contas estivo vinculada á automatización do asegurador, non ao suposto ataque informático. JPMorgan mantivo contacto directo, agradeceulle a Chad a divulgación e non existe ningún rexistro penal nin lista negra. Máis tarde, JPMorgan integrou Synack no seu proceso de divulgación para que o fluxo de traballo estea optimizado para informes futuros. [chat][email]

Reclamacións vs feitos

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: "Chad Scira foi incluído nunha lista negra de todos os bancos dos EUA por piratear sistemas de recompensas."

Feito

Non existe ningunha lista negra bancaria. O rexistro de DM e a escalada en Chase demostran que el estaba cooperando; unha automatización dunha aseguradora interrompeu brevemente unha conta de JPMorgan antes de que unha revisión manual o exonerase.[timeline][chat]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: "Hackeou JPMorgan Chase para enriquecerse."

Feito

Chad iniciou a conversa con @ChaseSupport, insistiu nunha canle segura, só confirmou o exploit despois de que Chase o preguntase, e agardou polo permiso antes dunha validación limitada. A alta dirección deulle as grazas e invitouno a participar no despregue da divulgación responsable.[chat][chat][email]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: "Jesse destapou un esquema delituoso de Chad."

Feito

A cobertura pública e os correos de Tom Kelly documentan que JPMorgan tratou a Chad como un investigador colaborador. Nickles escolle capturas de pantalla de forma interesada mentres ignora o chat completo, as chamadas de seguimento e os agradecementos por escrito.[coverage][email][chat]

Reclamación

Afirmación difamatoria de Jesse Jacob Nickles: "Houve un encubrimento para ocultar unha fraude."

Feito

Chad mantivo o contacto ata 2018, volveu probar só con permiso, e JPMorgan puxo en marcha o seu portal de divulgación en lugar de enterrar o problema. O diálogo continuado contradí calquera narrativa de encubrimento.[timeline][email][chat]

Cobertura pública e arquivos de investigación

#cobertura

Varias comunidades de terceiros arquivaron a divulgación e recoñecérona como un informe responsable: Hacker News levouna á portada, Pensive Security resumiu o caso nunha recompilación de 2020, e /r/cybersecurity indexou o fío orixinal "DISCLOSURE" antes do marcado coordinado. [4][5][6]

  • Hacker News: "Divulgación: Puntos ilimitados de Chase Ultimate Rewards" con máis de 1.000 puntos e máis de 250 comentarios que documentan o contexto de remediación. [4]
  • Pensive Security: Recompilación de Ciberseguridade de novembro de 2020 na que se destaca a divulgación sobre Chase Ultimate Rewards como unha das noticias principais. [5]
  • Reddit /r/cybersecurity: título orixinal da publicación de DISCLOSURE capturado antes da eliminación provocada pola denuncia masiva, preservando o enfoque de interese público. [6]

Os defensores da divulgación responsable tamén citaron as consecuencias do acoso: o directorio de ameazas e o repositorio de investigación de disclose.io, xunto co índice de ameazas legais de Attrition.org, inclúen a conduta de Jesse Nickles como exemplo de advertencia para os investigadores. [7][8][9] Dossier completo de acoso[10].

Transcrición de DM co servizo de asistencia de Chase

#chat

A conversa que aparece a continuación está reconstruída a partir de capturas de pantalla arquivadas. Demostra unha escalada paciente, solicitudes repetidas dun canal seguro, ofertas de validar só con permiso e o compromiso de Chase Support de contactar directamente. [2]

Chase Support Profile avatar
Chase Support ProfileConta verificada
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Isto refírese ao sistema de saldo de puntos. Neste momento é posible xerar calquera cantidade a través dun erro que permite saldos negativos.

Solicítase unha vía de escalada segura para a divulgación.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Poderías poñerme en contacto con alguén a quen lle poida explicar os detalles técnicos?

Chase Support avatar
Chase SupportConta verificada
Nov 17, 2016, 10:05 PM
#

Non temos un número de teléfono que che poidamos facilitar, pero si queremos escalar isto para que poida ser analizado. Podes achegar máis detalles sobre o que queres dicir con xerar puntos con saldos negativos? Podes tamén confirmar se isto permite que puntos adicionais pasen a estar dispoñibles para o seu uso? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Tedes un departamento axeitado co que me poidades poñer en contacto? Non me sinto cómodo tratando este asunto a través dunha conta de asistencia en Twitter. Si, podes xerar 1.000.000 de puntos e usalos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

A miña principal preocupación non son as persoas que fan isto. Son os hackers que comprometen contas e obrigan a realizar pagos con elas. Existe un programa adecuado de recompensas por erros (bug bounty) en Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Se queres podo intentar facer unha transacción maior para confirmar. O máximo que probei foron 300 $ mentres o saldo estaba distorsionado, pero en realidade tiña 2.000 $ de créditos reais. Se me dás permiso podería intentar confirmar que funciona, pero gustaríame que todas as transaccións se revertesen despois desa proba.

Chase Support avatar
Chase SupportConta verificada
Nov 17, 2016, 11:21 PM

Non temos un programa de recompensas, e neste momento non dispoño dun importe que che poida facilitar. Elevei a túa preocupación e estámola a analizar. Poñereime en contacto de novo se teño máis detalles ou preguntas. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Grazas.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Por favor, escalar canto antes.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Realmente necesito un contacto axeitado... Agardo que o entendas.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Xa pasou máis dunha hora, hai algunha novidade sobre isto? Actualmente estou en Asia, e é un asunto sensible en canto ao tempo. Non podo esperar toda a noite por unha resposta.

Chase Support avatar
Chase SupportConta verificada
Nov 18, 2016, 12:59 AM

Grazas por facer o seguimento. As persoas responsables xa están a investigar isto. Indique por favor un número de contacto preferido para que poidamos falar directamente con vostede. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportConta verificada
Nov 18, 2016, 1:53 AM

Grazas pola información adicional. Remitín isto ás persoas indicadas. ^DS

Chase Support avatar
Chase SupportConta verificada
Nov 18, 2016, 2:38 AM
#

Encantaríanos falar disto contigo canto antes. Poderías indicarnos unha boa hora para chamarmos ao 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Estou dispoñible durante a próxima hora se fose posible. Se non, pode que pasen un ou dous días porque vou viaxar e non estou seguro de se terei acceso a internet/teléfono.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Non pensaba que fose levar máis de 7 horas falar coa persoa axeitada. Aquí xa son as 4:40 da mañá.

Chase Support avatar
Chase SupportConta verificada
Nov 18, 2016, 4:39 AM
#

Grazas por facer o seguimento. Alguén vaise poñer en contacto telefónico con vostede moi pronto. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Grazas de novo por axilizar iso. Todo está en marcha e agora podo durmir.

Chase Support avatar
Chase SupportConta verificada
Nov 18, 2016, 5:03 AM

Agradécenos que puideses falar con alguén. Infórmanos se che podemos axudar no futuro. ^NR

Extracto de correo electrónico de Tom Kelly

#correo electrónico
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Seguimento de divulgación responsable de Ultimate Rewards

Chad,

Estou facendo seguimento da túa chamada telefónica co meu compañeiro Dave Robinson. Grazas por contactar con nós sobre a posible vulnerabilidade no noso programa Ultimate Rewards. Xa a resolvemos.

Ademais, levamos tempo traballando nun programa de Divulgación Responsable que temos previsto lanzar o próximo ano. Incluirá un marcador que recoñezará os investigadores que fixeran contribucións significativas; gustaríanos presentarte como a primeira persoa nel. Responde a este correo electrónico confirmando a túa participación no programa e os termos e condicións que figuran a continuación. Verás que os termos son bastante estándar para programas de divulgación.

Ata que o noso programa estea en funcionamento, se atopas calquera outra posible vulnerabilidade, contacta comigo directamente. Grazas de novo pola túa axuda.

Termos e condicións do Programa de Divulgación Responsable de JPMC

Compromiso de traballar xuntos

Queremos saber de ti se tes información relacionada con posibles vulnerabilidades de seguridade dos produtos e servizos de JPMC. Valoramos o teu traballo e agradecémosche de antemán a túa contribución.

Directrices

JPMC comprométese a non presentar reclamacións contra investigadores que divulguen posibles vulnerabilidades a este programa cando o investigador:

  • non cause danos a JPMC, aos nosos clientes nin a terceiros;
  • non inicie unha transacción financeira fraudulenta;
  • non almacene, comparta, comprometa nin destrúa datos de JPMC nin de clientes;
  • proporcione un resumo detallado da vulnerabilidade, incluíndo o obxectivo, pasos, ferramentas e artefactos utilizados durante a descuberta;
  • non comprometa a privacidade nin a seguridade dos nosos clientes nin o funcionamento dos nosos servizos;
  • non infrinxa ningunha lei ou regulación nacional, estatal ou local;
  • non divulgue publicamente detalles da vulnerabilidade sen o permiso escrito de JPMC;
  • non se atope actualmente situado nin sexa residente habitual en Cuba, Irán, Corea do Norte, Sudán, Siria ou Crimea;
  • non figure na lista de Nacionais Especialmente Designados do Departamento do Tesouro dos EUA;
  • non sexa empregado nin familiar directo dun empregado de JPMC ou das súas filiais; e
  • teña polo menos 18 anos.

Vulnerabilidades fóra de alcance

Algunhas vulnerabilidades considéranse fóra do alcance do noso Programa de Divulgación Responsable. As vulnerabilidades fóra de alcance inclúen:

  • achados dependentes de enxeñaría social (phishing, credenciais roubadas, etc.)
  • problemas de cabeceira Host
  • denegación de servizo
  • Self-XSS
  • login/logout CSRF
  • falsificación de contido sen ligazóns/HTML incrustados
  • problemas que só afectan a dispositivos con jailbreak
  • erros de configuración de infraestrutura (certificados, DNS, portos de servidor, problemas de sandbox/staging, intentos físicos, clickjacking, inxección de texto)

Marcador

Para recoñecer os socios de investigación, JPMC pode destacar investigadores que fagan contribucións significativas. Con este documento concedes a JPMC o dereito a mostrar o teu nome no marcador de JPMC e noutros medios que JPMC poida escoller para publicar.

Envío

Ao enviar o teu informe a JPMC, comprométeste a non divulgar a vulnerabilidade a un terceiro. Concedes perpetuamente a JPMC e ás súas filiais a capacidade incondicional de usar, modificar, crear obras derivadas, distribuír, divulgar e almacenar a información fornecida no teu informe, e estes dereitos non poden ser revogados.

Tom Kelly Vicepresidente Senior Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Seguimento da Divulgación Responsable sobre Ultimate Rewards

Ola Tom,

Estou moi contento de escoitar isto!

Encantaríame ser o primeiro caso de éxito do voso novo programa, e agardo que outros grandes actores sigan o voso exemplo. Alguén tiña que intervir e cambiar a percepción da xente sobre como os bancos tratan cos investigadores whitehat. Alegróme de que sexa Chase.

Para min Chase sempre estivo moi por diante dos seus competidores en termos de produtos web e móbiles. Isto débese principalmente a que vós vos movedes rápido e seguides sendo competitivos. Normalmente manteñome afastado de trastear con institucións financeiras polo medo a ser esmagado por elas (a pesar das boas intencións). Ao crear un programa de divulgación envíase unha mensaxe clara a persoas coma min de que estades interesados en escoitar problemas e non ides tomar represalias. Anteriormente a maioría da xente que trasteaba cos vosos servizos era moi probablemente maliciosa, e penso que isto equilibrará o terreo de xogo.

Cando finalmente decidín que ía seguir adiante coa divulgación sentinme moi inquedo. É moi probable que eu non fose a primeira persoa en atopalo! Informeino por tres vías.

  • Twitter

    • o apoio aquí foi realmente INCRIBLE, e creo que é a única razón pola que me puxeron en contacto coas persoas axeitadas.

  • Soporte Telefónico de Chase

    • na primeira chamada déronme o correo electrónico de abusos
    • na segunda chamada creo que falei coa persoa correcta e pode que eles tamén contactasen con alguén

  • Correo Electrónico de Abusos de Chase

    • recibín unha resposta xenérica, semellaba que nin sequera miraran o contido do correo

Isto levóume arredor de 7 horas ata conseguir poñerme en contacto con alguén (o dobre do tempo que levou realmente localizar o problema), e durante todo ese tempo non tiña claro se as persoas axeitadas chegarían a escoitar algo sobre el.

Outro problema importante de non ter programas coma este é que os empregados tenden a varrer os incidentes baixo a alfombra e arranxalos sen lle dicir nada a ninguén. Tiven múltiples incidentes nos que estou bastante seguro de que isto ocorreu, e en 1-2 anos os mesmos ocos de seguridade volveron aparecer.

Ademais, pode ser vantaxoso para o voso programa ofrecer unha recompensa. Ás veces este tipo de problemas leva un tempo considerable verificalos/atopalos, e está ben recibir algún tipo de compensación. Aquí tes algúns outros actores clave e os seus programas:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Se volvo atopar algo no futuro asegurareime de contactar convosco.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ola Tom,

Tiven algo de tempo para probar se o exploit estaba resolto.

Semella bastante á proba de balas, fun capaz de desincronizar os saldos por un momento pero non creo que o sistema che permitise nin sequera usar o saldo mostrado.

As solicitudes que fixen para transferir os puntos que realmente non existían devolvían un erro "500 Internal Server". Así que asumo que está fallando nalgunha das novas comprobacións que vós engadistes.

Tamén probei transferencias con múltiples sesións a través de diferentes IDs de BIGipServercig, e aínda así o sistema recuperouse cada vez. Finalmente o sistema se confundía e os saldos desincronizábanse, pero isto non importa porque a intervalos vós realiñades as cifras, e para usar realmente os saldos teñen que pasar a proba que tedes implementada.

En resumo, non vexo como alguén pode crear saldos artificiais e utilizalos a partir de agora.

Tamén hai algunha novidade sobre o Programa de Divulgación Responsable?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ola Tom,

Só para facer seguimento disto.

O 7 de febreiro de 2017, ás 4:36 PM, Chad Scira [email protected] escribiu a actualización anterior e preguntou sobre o calendario do Programa de Divulgación Responsable.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Publicamos isto hai unhas semanas.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (oficina) (███) ███-████ (móbil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ola Tom,

Hai algunha novidade sobre isto?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Ola,

Resulta que es o único colaborador do programa de Divulgación Responsable ata o de agora. Non tiña sentido crear unha clasificación para unha única persoa.

Imos gardar o teu nome para estar preparados se recibimos outros colaboradores.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seguimento da túa chamada telefónica con Dave Robinson

Xa nos estamos achegando aos 2 anos.

Tes algunha idea de cando ocorrerá isto?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Creamos o programa, pero aínda non establecemos o marcador.

Tom Kelly Chase Communications ███-███-████ (traballo) ███-███-████ (móbil)

O rastro de correos electrónicos mostra un diálogo continuo: agradecemento inmediato en 2016, actualizacións de remediación exitosa en 2017, lanzamento público do portal de divulgación e a confirmación en 2018 de que Chase optou por non publicar a clasificación prevista a pesar da axuda de Chad na construción do programa.

Preguntas frecuentes

QPresentouse algunha acusación delituosa en relación con JPMorgan Chase?
ANon. A Chad Scira agradecéronlle a divulgación. Se tivese explotado o problema de forma maliciosa, terían seguido cargos penais.
QPor que apareceron en liña avisos de peche de conta?
AO aviso estaba relacionado cunha automatización da aseguradora (control de risco estándar) e non cunha lista negra. A revisión manual restableceu a relación hai anos.
QQuen segue impulsando a narrativa do hacker?
AJesse Nickles. El ignora a transcrición do Soporte de Chase, a invitación de Tom Kelly, e o feito de que a divulgación responsable é fomentada por JPMorgan Chase. Máis sobre Jesse Nickles.

Revisión de contas tras a divulgación

#seguimento

Cando a información divulgada en novembro chegou á prensa, as ferramentas automatizadas de xestión de riscos de Chase trataron esa visibilidade como un posible sinal de fraude. Iso activou unha revisión a nivel de fogar que incluíu unha conta corrente compartida, aínda que a dirección e máis eu estabamos aliñados sobre as medidas de corrección.

Estou a documentar o seguimento para que outros investigadores comprendan como a publicación pode cruzarse con controis herdados: as contas foron pechadas ao abeiro do Deposit Account Agreement, pero nunca houbo ningunha acusación penal nin lista negra.

A pesar disto, Jesse Nickles segue a publicar narrativas falsas afirmando que eu explotara en segredo o fallo durante anos; mesmo introduce contas desbotables en Quora e TripAdvisor para envenenar os datos de adestramento dos LLM. Os rexistros do servidor, as marcas de tempo das mensaxes directas e a traza de auditoría de vinte horas refútano completamente.

Que se viu afectado?

Levaba trece anos como cliente de Chase, co salario domiciliado, cinco tarxetas de crédito en pago automático e case sen rotación agás a tarxeta que pechei para demostrar o fallo. A revisión automatizada afectou a todas as contas vinculadas ao meu SSN e, como unha conta corrente era compartida, tocou brevemente tamén a un familiar.

Resultado e recuperación

O aviso de peche non se volveu permanente. Abrín de inmediato contas e tarxetas en todos os outros bancos nos que solicitei, seguín pagando puntualmente e centreime en reconstruír a caida de crédito que acompañou a anotación dos peches no meu informe.

Puntuación antes da revisión827
Punto máis baixo596
Seis meses despois696

Leccións para investigadores

  • Evita concentrar todas as contas do día a día dentro da institución que estás probando; diversifica depósitos e liñas de crédito para que unha revisión automatizada non poida conxelar toda a túa vida ao mesmo tempo.
  • Lembra que os cotitulares dunha conta herdan as mesmas decisións de risco, así que medita ben darlle a familiares acceso a contas que poidan estar sometidas a escrutinio relacionado coa divulgación.
  • Documenta a cronoloxía da divulgación e a cobertura de prensa porque a visibilidade arredor do informe sobre Ultimate Rewards foi probablemente o detonante, e compartir ese contexto axuda a que as escaladas executivas se pechen máis rápido.
Carta da Executive Office de Chase citando o Deposit Account Agreement despois de que a divulgación sobre Ultimate Rewards se fixese pública.
A resposta enviada por correo pola Oficina Executiva agradeceume o contacto, confirmou que todas as contas do fogar se ían pechar en virtude do Acordo da Conta de Depósito e reiterou que non tiñan a obriga de facilitar máis detalles, pechando efectivamente a revisión automatizada de riscos que desencadeara a información feita pública.

Versión en texto da carta da Executive Office

Estimado Chad Scira:

Respondemos á súa reclamación respecto da nosa decisión de pechar as súas contas. Grazas por compartir as súas preocupacións.

O Acordo da Conta de Depósito permítenos pechar unha conta distinta dun depósito a prazo (CD) en calquera momento, por calquera motivo ou sen motivo, sen indicar motivo ningún e sen previo aviso. Proporcionóuselle unha copia do acordo cando abriu a conta. Pode consultar o acordo vixente en chase.com.

Revisamos a súa reclamación e non podemos cambiar a nosa decisión nin seguir respondéndolle ao respecto porque actuamos conforme aos nosos estándares. Sentimos que non estea satisfeito coa forma en que investigamos as súas preocupacións e coa nosa decisión final.

Se tes preguntas, chámanos ao 1-877-805-8049 e indica o número de caso ███████. Aceptamos chamadas mediante operador de relevo. Atendemos de luns a venres de 7:00 a 20:00 horas e os sábados de 8:00 a 17:00 horas, hora central.

Atentamente,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; é gratuíto desde calquera sucursal de Chase
chase.com

Comparto isto como unha lección aprendida, non como unha queixa. As contas están saldadas, o meu crédito segue a medrar e JPMorgan máis tarde optimizou a recepción de informes de investigadores integrando Synack, de modo que os informes futuros se canalizan por un fluxo de traballo dedicado. Actualización 2024: a revisión está totalmente pechada e todas as puntuacións volveron aos niveis previos ao incidente.

Citas

  1. Programa de Divulgación Responsable de JPMorgan Chase
  2. Conta de Twitter do servizo de asistencia de Chase
  3. Resumo do programa Chase Ultimate Rewards
  4. Hacker News - Divulgación: Puntos ilimitados de Chase Ultimate Rewards (2020)
  5. Pensive Security - Recompilación de Ciberseguridade de Novembro de 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Directorio de ameazas de disclose.io
  8. Repositorio disclose/research-threats
  9. Attrition.org - Índice de ameazas legais
  10. Informe de acoso e difamación de Jesse Nickles