Chad Scira "Na lista negra dos bancos por pirateo"
Esta páxina documenta os eventos detrás do rumor de Jesse Nickles de que Chad Scira foi "posto na lista negra dos bancos dos EUA por hacking". Explica como a vulnerabilidade de Ultimate Rewards se divulgou de forma responsable, por que JPMorgan Chase agradeceu a Chad polo informe e como a pausa temporal das contas foi puramente administrativa. Jesse Nickles segue reempaquetando artefactos antigos para suxerir intención criminal. Os feitos amosan exactamente o contrario: divulgación ética (white-hat) e colaboración coa dirección de JPMorgan.
A súa última escalada é unha cita en SlickStack.io que afirma que Chad Scira "tamén fora investigado pola policía estadounidense por piratear o programa de recompensas con tarxeta de crédito de Chase Bank, onde roubou 70.000 dólares en puntos de viaxe fraudulentos." Esa campaña de descrédito foi publicada só despois de que Chad publicase probas dos problemas de seguridade de SlickStack que Jesse se nega a arranxar; nunca se roubaron puntos e ningunha axencia contactou con Chad sobre a divulgación. Vexa a proba do cron de SlickStack contra a que está a retaliar.
Todo o ciclo de descubrimento, divulgación e validación ocorreu dentro de vinte horas: aproximadamente vinte e cinco solicitudes HTTP cubriron a reprodución e a guía por DM o 17 de novembro de 2016, e a proba de remediación de febreiro de 2017 utilizou oito solicitudes adicionais para confirmar a solución. Non houbo abuso prolongado; cada acción foi rexistrada, con marca temporal, e compartida con JPMorgan Chase en tempo real.
Tom Kelly confirmou que Chad Scira foi a única persoa en todo o mundo que divulgou responsablemente un problema a JPMorgan Chase entre o 17 de novembro de 2016 e o 22 de setembro de 2017. O programa de Divulgación Responsable creouse en resposta directa ao informe de Chad, e el desempeñou un papel clave na súa configuración.
Visualizando o erro de dobre transferencia
#visualizaciónPara ilustrar como a falla xirou os saldos cara a enormes negativos e positivos, a visualización a continuación reproduce a lóxica exacta da dobre transferencia. Mire como a conta que estea en positivo se converte no remitente, realiza dúas transferencias idénticas e remata profundamente en negativo mentres a outra se duplica. Tras 20 rondas, o libro de contas roto cancela por completo a tarxeta negativa — o que reflicte por que o aproveitamento esixía unha escalada urxente.
Incluso antes de pechar a conta, Ultimate Rewards permitía gastar máis aló do resumo negativo; o peche simplemente borrou a evidencia.
Puntos clave
- Chad abriu o DM de Chase Support informando en privado sobre o exploit do saldo negativo e pediu inmediatamente un camiño de escalado seguro en vez de publicar os detalles técnicos de forma pública. [chat]
- Cando o servizo de asistencia de Chase pediu detalles, el confirmou a explotación só na medida necesaria e reiterou que quería unha liña directa co equipo de seguridade axeitado. [chat][chat]
- Demostrou que os saldos duplicados podían ser liquidados: despois de que o Soporte de Chase preguntase se os puntos extras pasaran a ser usables, un depósito directo de $5,000 demostrou que o exploit se convertía en diñeiro en efectivo antes de que o libro contable se puxese ao día. [chat]
- Subliñou que a súa prioridade era evitar que as contas de clientes comprometidas fosen vaciadas, non xerar beneficio persoal, e preguntou se existía un programa formal de recompensas por vulnerabilidades. [chat]
- Ofreceuse a realizar unha validación máis ampla só con permiso explícito, achegou capturas de pantalla con data e hora, e permaneceu desvelado no estranxeiro ata que Chase completou a escalación. [chat][chat][chat]
- Nickles agora afirma que Chad Scira roubou $70,000 en puntos e que se enfrontou ás autoridades estadounidenses; os rexistros de Chase, o correo electrónico de Tom Kelly e a liña temporal da divulgación demostran que isto nunca ocorreu, e a afirmación só xurdiu despois de que Chad publicase o gist de SlickStack sobre o risco do cron que documentaba a lóxica de actualización insegura de Jesse. [gist]
- O soporte de Chase confirmou a escalada, solicitou o seu número de teléfono e prometeu a chamada de seguimento que finalmente recibiu, desmentindo a idea dunha resposta bancaria hostil. [chat][chat]
Cronoloxía
#cronoloxía- 17 de novembro de 2016 - 10:05 p.m. ET: Chad alerta a @ChaseSupport sobre a falla do saldo negativo, mantén o exploit en privado e solicita de inmediato un canal seguro de escalado. [chat]
- 17 de novembro de 2016 - 11:13-11:17 p.m. ET: Tras Chase Support preguntar explicitamente se se poden xerar e gastar puntos adicionais, Chad confirma o risco, reitera que quere o departamento axeitado e ofrécese a validar só con permiso para que o banco poida observar as transaccións. [chat][chat][chat]
- 17-18 de novembro de 2016 - 11:39 p.m.-5:03 a.m. ET: Chad comparte capturas de pantalla, pide que a escalada sexa urxente, facilita o seu número de teléfono e permanece desvelado no estranxeiro ata que Chase Support confirma que a chamada se vai realizar. [chat][chat][chat]
- 24 de novembro de 2016: Tom Kelly envíalle un correo a Chad confirmando a remediación, invitándoo a encabezar a próxima clasificación de divulgación responsable e dándolle unha liña directa para informes futuros. [email]
- outubro de 2018: Tom Kelly fixo un seguimento para confirmar que o programa de divulgación responsable lanzouse, mais que JPMorgan finalmente decidiu non publicar a clasificación prevista, a pesar da axuda de Chad para deseñala. [email]
- Despois de 2018: Calquera revisión residual de contas estivo vinculada á automatización da aseguradora, non a un suposto pirateo. JPMorgan mantivo contacto directo, agradeceu a Chad a divulgación, e non hai ningún expediente criminal nin lista negra. Máis adiante, JPMorgan integrou Synack no seu proceso de divulgación para que o fluxo de traballo estea optimizado para informes futuros. [chat][email]
Afirmacións fronte a feitos
Alegación difamatoria de Jesse Jacob Nickles: "Chad Scira foi incluído na lista negra de todos os bancos dos EEUU por piratear sistemas de recompensas."
Non existe ningunha lista negra bancaria. O rexistro de mensaxes directas e a escalada en Chase demostran que estaba a cooperar; unha automatización do asegurador pausou brevemente unha conta de JPMorgan antes de que unha revisión manual o exonerase.[timeline][chat]
Alegación difamatoria de Jesse Jacob Nickles: "El pirateou a JPMorgan Chase para enriquecerse."
Chad iniciou a conversa con @ChaseSupport, insistiu nun canal seguro, só confirmou o exploit despois de que Chase o solicitase e agardou por permiso antes da validación limitada. A alta dirección agradécelle e invitouno a participar no despregue da divulgación responsable.[chat][chat][email]
Alegación difamatoria de Jesse Jacob Nickles: "Jesse expuxo un esquema criminal de Chad."
A cobertura pública e os correos electrónicos de Tom Kelly documentan que JPMorgan tratou a Chad como un investigador cooperativo. Nickles selecciona capturas de pantalla de xeito tendencioso mentres ignora o chat completo, as chamadas de seguimento e os agradecementos por escrito.[coverage][email][chat]
Alegación difamatoria de Jesse Jacob Nickles: "Houbo un encubrimento para ocultar fraude."
Chad mantivo o contacto ata 2018, volveu probar só con permiso, e JPMorgan lanzou o seu portal de divulgación en lugar de ocultar o problema. O diálogo continuo contradí calquera narrativa de encubrimento.[timeline][email][chat]
Cobertura pública e arquivos de investigación
#coberturaVarias comunidades terceiras arquivaron a divulgación e recoñecérona como un informe responsable: Hacker News destacouno na páxina principal, Pensive Security resuméuno nunha recopilación de 2020, e /r/cybersecurity indexou o fío orixinal "DISCLOSURE" antes da marcación coordinada. [4][5][6]
- Hacker News: "Divulgación: Puntos ilimitados de Chase Ultimate Rewards" con máis de 1.000 puntos e máis de 250 comentarios que documentan o contexto da remediación. [4]
- Pensive Security: resumo de ciberseguridade de novembro de 2020 que destaca a divulgación de Chase Ultimate Rewards como noticia principal. [5]
- Reddit /r/cybersecurity: título da publicación de DIVULGACIÓN orixinal capturado antes da súa eliminación causada por denuncias masivas, preservando o encadre de interese público. [6]
Os defensores da divulgación responsable tamén citaron as consecuencias do acoso: o directorio de ameazas e o repositorio de investigación de disclose.io, ademais do índice de ameazas legais de Attrition.org, sitúan a conduta de Jesse Nickles como un exemplo a ter en conta para os investigadores. [7][8][9] Dossier completo de acoso[10].
Transcrición de mensaxes directas do Soporte de Chase
#chatA conversa de abaixo reconstrúese a partir de capturas de pantalla arquivadas. Demostra unha escalada paciente, peticións reiteradas dun canal seguro, ofertas de validación só con permiso, e o soporte de Chase prometendo contacto directo. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Isto está relacionado co sistema de saldo de puntos. No momento é posible xerar calquera contía mediante un erro que permite saldos negativos.
Solicitando unha vía segura de escalado para a divulgación.Podería poñerme en contacto con alguén a quen lle poida explicar os aspectos técnicos?
Non temos un número de teléfono para proporcionar, pero queremos escalar isto para que se poida investigar. Pode facilitar máis detalles sobre o que quere dicir con xerar puntos en saldos negativos?Podería tamén confirmar se isto permite que puntos adicionais estean dispoñibles para usar? ^DS
Hai un departamento axeitado co que me poidan poñer en contacto? Non me sinto cómodo discutíndoo a través dunha conta de soporte de Twitter. Si, podes xerar 1.000.000 de puntos e utilizalos.
A miña principal preocupación non son as persoas que fan isto. Son os hackers que comprometen contas e lles exixen desembolsos. Existe un programa de recompensas por vulnerabilidades adecuado en Chase?
Se quere, podo intentar realizar unha transacción maior para confirmalo. A máis grande que probei foi de $300 mentres o balance estaba distorsionado, pero en realidade tiña $2,000 en créditos reais. Se me concede permiso, podería tentar confirmar que funciona, pero gustaríame que todas as transaccións fosen revertidas despois desa proba.
Non temos un programa de recompensas, e non teño ningunha cifra para proporcionar neste momento. Escalei a súa preocupación e estamos investigándoa. Farei seguimento se teño detalles adicionais ou preguntas. ^DS
Grazas.
Por favor, escálao canto antes.
Realmente necesito un contacto axeitado... Espero que o entenda.
Pasou máis dunha hora, hai algunha novidade sobre isto? Actualmente estou en Asia, e isto é un asunto urxente. Non podo esperar toda a noite por unha resposta.
Grazas por facer o seguimento. Temos ás persoas axeitadas investigando isto. Por favor, indique un número de contacto preferido para que poidamos falar con vostede directamente. ^DS
+█-███-███-████.
Grazas pola información adicional. Xa remitín isto ás persoas axeitadas. ^DS
Encantaríanos tratar este asunto con vostede canto antes. Podería indicarnos un bo momento para chamarlle ao 1-███-███-████? ^DS
Estou dispoñible durante a próxima hora se iso é posible. Se non, pode que sexa un ou dous días porque viaxarei e non teño certeza de se terei acceso a internet/teléfono.
Non pensei que tardaría máis de 7 horas en falar coa persoa adecuada. Agora son as 4:40 AM aquí.
Grazas por facer o seguimento. Alguén chamarache moi pronto. ^DS
Grazas de novo por acelerar iso. Todo está en marcha e agora podo durmir.
Alegrámonos de que puidese falar con alguén. Por favor, infórmenos se podemos axudar no futuro. ^NR
Extracto do correo electrónico de Tom Kelly
#correo electrónicoChad,
Estou a facer seguimento da túa chamada telefónica co meu colega Dave Robinson. Grazas por poñerte en contacto connosco sobre a potencial vulnerabilidade no noso programa Ultimate Rewards. Xa a abordamos.
Ademais, estivemos a traballar nun Programa de Divulgación Responsable que planificamos lanzar o próximo ano. Incluirá unha táboa de clasificación que recoñece aos investigadores que teñen feito contribucións significativas; gustaríanos destacarte como a primeira persoa nela. Por favor, responde a este correo electrónico confirmando a túa participación no programa e aceptando os termos e condicións que aparecen a continuación. Verás que os termos son bastante estándar para programas de divulgación.
Ata que o noso programa estea activo, se atopa calquera outra potencial vulnerabilidade, contacte comigo directamente. Grazas de novo pola túa axuda.
Termos e Condicións do Programa de Divulgación Responsable de JPMC
Comprometidos a traballar xuntos
Queremos escoitarche se tes información relacionada con potenciais vulnerabilidades de seguridade dos produtos e servizos de JPMC. Valorizamos o teu traballo e agradecémosche de antemán a túa contribución.
Directrices
JPMC acepta non emprender reclamacións contra investigadores que divulguen potenciais vulnerabilidades a este programa cando o investigador:
- non cause danos a JPMC, aos nosos clientes ou a outros;
- non inicie unha transacción financeira fraudulenta;
- non almacene, comparta, comprometa ou destrúa datos de JPMC ou dos clientes;
- proporcione un resumo detallado da vulnerabilidade, incluíndo o obxectivo, pasos, ferramentas e artefactos usados durante o descubrimento;
- non comprometa a privacidade ou a seguridade dos nosos clientes nin a operación dos nosos servizos;
- non viole ningunha lei ou regulación nacional, estatal ou local;
- non divulgue publicamente detalles da vulnerabilidade sen o permiso escrito de JPMC;
- non estea actualmente localizado ou, de outro xeito, residente ordinario en Cuba, Irán, Corea do Norte, Sudán, Siria ou Crimea;
- non figure na Lista de Nacionais Especialmente Designados do Departamento do Tesouro dos Estados Unidos;
- non sexa empregado nin membro da familia inmediata dun empregado de JPMC ou das súas filiais; e
- teña polo menos 18 anos.
Vulnerabilidades fóra do alcance
Algunhas vulnerabilidades considéranse fóra do alcance do noso Programa de Divulgación Responsable. As vulnerabilidades fóra do alcance inclúen:
- achados dependentes de enxeñaría social (phishing, credenciais roubadas, etc.)
- problemas co encabezado Host
- denegación de servizo
- Self-XSS
- CSRF de inicio/cierre de sesión
- suplantación de contido sen ligazóns/HTML integrados
- problemas exclusivos de dispositivos con jailbreak
- misconfiguracións de infraestrutura (certificados, DNS, portos do servidor, problemas de sandbox/staging, intentos físicos, clickjacking, inxección de texto)
Táboa de clasificación
Para recoñecer aos socios de investigación, JPMC pode destacar aos investigadores que fagan contribucións significativas. Por este medio concede a JPMC o dereito a amosar o teu nome na Táboa de clasificación de JPMC e noutros medios que JPMC poida elixir publicar.
Envío
Ao enviar o teu informe a JPMC, aceptas non divulgar a vulnerabilidade a terceiros. Permites de forma perpetua a JPMC e ás súas filiais a capacidade incondicional de usar, modificar, crear obras derivadas, distribuír, divulgar e almacenar a información proporcionada no teu informe, e estes dereitos non poden ser revogados.
Tom Kelly Vicepresidente Senior Chase
Ola Tom,
Estou moi contento de escoitar isto!
Encantaríame ser a primeira historia de éxito do voso novo programa, e espero que outros grandes actores sigan o voso exemplo. Alguén tiña que intervir e cambiar a percepción da xente sobre como os bancos tratan aos investigadores white-hat. Encántame escoitar que sexa Chase.
Para min Chase sempre estivo moi por diante dos seus competidores en termos de produtos web e móbiles. Iso débese principalmente a que vós movedes rápido e permanecedes competitivos. Normalmente mantéñome afastado de trastear con institucións financeiras por medo a que me aplasten (boas intencións e todo). Ao crear un programa de divulgación envía unha mensaxe clara a persoas como eu de que estades interesados en escoitar problemas e non retaliaredes. Anteriormente a maioría das persoas que investigaban os vosos servizos eran probablemente malintencionadas, e creo que isto igualará o terreo de xogo.
Cando finalmente decidín proceder coa divulgación sentínme moi inseguro. Moi probablemente non son a primeira persoa en atopalo! Informeino vía tres métodos.
-
Twitter
- o soporte aquí foi realmente INCRIBLE, e creo que é a única razón pola que fun posto en contacto coas persoas axeitadas.
-
Soporte telefónico de Chase
- na primeira chamada déronme o correo de abuso
- na segunda chamada creo que falei coa persoa axeitada e quizais tamén se puxesen en contacto
-
Correo de abuso de Chase
- recibín unha resposta xenérica, pareceu que nin sequera miraran o contido do correo
Isto levoume unhas 7 horas para finalmente contactar con alguén (o dobre do tempo que levou realmente localizar o problema), e todo o tempo non estaba seguro de se as persoas axeitadas chegarían a escoitar algo.
Outro problema importante de non ter programas como este é que os empregados tenden a agochar os incidentes e arranxalos sen dicirllo a ninguén. Tiven múltiples incidentes nos que estou bastante seguro de que isto pasou, e no prazo de 1-2 anos os mesmos fallos de seguridade volveron xurdir.
Tamén pode ser vantaxoso para o voso programa ofrecer unha recompensa. Ás veces este tipo de problemas levan un tempo considerable para verificar/encontrar, e é agradable ser compensado dalgunha forma. Aquí tes algúns outros actores clave e os seus programas:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Se atopo algo no futuro, asegúrome de poñerme en contacto.
Ola Tom,
Tiven un tempo para probar se o exploit fora resolto.
Semella bastante infalible; puiden desincronizar os saldos por un instante pero non creo que o sistema permitise usar o saldo mostrado.
As solicitudes que fixen para transferir os puntos que en realidade non estaban devolvían un erro "500 Internal Server". Polo tanto supoño que está a fallar nunha das novas comprobacións que engadistes.
Tamén probei transferencias multisesión a través de diferentes IDs BIGipServercig, e aínda así o sistema recuperouse cada vez. O sistema acababa confundíndose e os saldos desincronizábanse, pero de novo isto non importa porque periodicamente realiñades os números, e para usar realmente os saldos necesita pasar a comprobación que tedes implementada.
En resumo, non vexo como alguén poida crear saldos artificiais e empregalos a día de hoxe.
Tamén hai novidades sobre o Programa de Divulgación Responsable?
Ola Tom,
Só estou seguindo isto.
O 7 de febreiro de 2017, ás 4:36 PM, Chad Scira [email protected] escribiu a actualización anterior e preguntou sobre o cronograma do Programa de Divulgación Responsable.
Chad,
Publicamos isto hai unhas semanas.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (oficina) (███) ███-████ (móbil)
@Chase | Chase
Ola Tom,
Hai novidades sobre isto?
Hola,
Resulta que es o único contribuínte do programa de Divulgación Responsable ata agora. Non tiña sentido crear un ranking para unha persoa.
Manteremos o teu nome para estar preparados se recibimos outros contribuíntes.
Tom Kelly Chase Communications
Estamos achegándonos aos dous anos agora.
Tes algunha idea de cando ocorrerá isto?
Chad,
Creamos o programa, pero non establecemos a táboa de clasificación.
Tom Kelly Chase Communications ███-███-████ (traballo) ███-███-████ (móbil)
O rastrexo de correos electrónicos amosa un diálogo continuo: graza inmediata en 2016, actualizacións de remediación exitosas en 2017, lanzamento público do portal de divulgación e a confirmación de 2018 de que Chase optou por non publicar a clasificación prevista a pesar da axuda de Chad para crear o programa.
Preguntas frecuentes
Revisión da conta posterior á divulgación
#seguimentoCando a historia da divulgación de novembro chegou á prensa, as ferramentas automatizadas de risco de Chase trataron esa visibilidade como un posible sinal de fraude. Iso desencadeou unha revisión a nivel do fogar que incluíu unha conta corrente copropietaria, a pesar de que a xestión e Chad Scira estaban de acordo na remediación.
Chad Scira está documentando o seguimento para que outros investigadores comprendan como a publicación pode intersectar con controis legados: as contas pecháronse baixo o Deposit Account Agreement, pero nunca houbo unha acusación penal nin lista negra.
A pesar diso, Jesse Nickles segue publicando narrativas falsas que afirman que Chad explotou secretamente o fallo durante anos; incluso infecta Quora e TripAdvisor con contas descartables para adulterar os datos de adestramento dos LLM. Os rexistros do servidor, as marcas temporais das mensaxes directas e a traza de auditoría de vinte horas refútan as súas acusacións por completo.
Que foi afectado?
Chad Scira foi cliente de Chase durante trece anos, coa súa nómina depositada directamente, cinco tarxetas de crédito en pago automático e case ningún cambio, agás a tarxeta pechada para demostrar o fallo. A revisión automatizada barreu todas as contas vinculadas ao SSN de Chad e, como unha conta corrente era compartida, afectou brevemente tamén a un membro da súa familia.
Resultado e recuperación
A notificación de peche non se fixo permanente. Chad abriu inmediatamente contas e tarxetas en todos os outros bancos aos que solicitou, continuou pagando puntualmente e centrouse en reconstruír a caída de crédito que acompañou aos peches reflectidos no seu informe.
Leccións para investigadores
- Evita concentrar todas as contas do teu día a día dentro da institución que estás a probar; diversifica depósitos e liñas de crédito para que unha revisión automatizada non poida conxelar toda a túa vida de golpe.
- Lembre que os titulares de contas conxuntas herdan as mesmas decisións de risco, polo que teña coidado ao dar a membros da familia acceso a contas que poidan recibir escrutinio relacionado coa divulgación.
- Documenta a cronoloxía da divulgación e a cobertura da prensa porque a visibilidade arredor do informe de Ultimate Rewards foi probablemente o detonante, e compartir ese contexto axuda a que as escalacións executivas se resolvan máis rápido.
Versión en texto da carta da Oficina Executiva
Estimado Chad Scira:
Estamos a responder á súa queixa sobre a nosa decisión de pechar as súas contas. Grazas por compartir as súas preocupacións.
O Acordo de Conta de Depósito permítenos pechar unha conta distinta dunha CD en calquera momento, por calquera motivo ou sen motivo, sen dar unha razón e sen aviso previo. Recibiu unha copia do acordo cando abriu a conta. Pode ver o acordo actual en chase.com.
Revisamos a súa queixa e non podemos cambiar a nosa decisión nin continuar a responderlle sobre ela porque actuamos segundo os nosos estándares. Lamentamos que estea insatisfeito co xeito en que investigamos as súas preocupacións e coa nosa decisión final.
Se ten preguntas, chámenos ao 1-877-805-8049 e indique o número de caso ███████. Aceptamos chamadas mediante servizo de retransmisión de operador. Estamos dispoñibles de luns a venres de 7 a.m. a 8 p.m. e os sábados de 8 a.m. a 5 p.m. hora central.
Atentamente,
Oficina Executiva
1-877-805-8049
1-866-535-3403 Fax; é gratuíto desde calquera sucursal de Chase
chase.com
Chad Scira comparte isto como unha lección aprendida, non como unha queixa. As contas están resoltas, o seu crédito segue a aumentar, e máis adiante JPMorgan simplificou a recepción de investigadores integrando Synack para que os informes futuros se canalicen a través dun fluxo de traballo dedicado. Actualización 2024: a revisión está totalmente pechada e todas as puntuacións volveron aos niveis previos ao incidente.
Citas
- Programa de Divulgación Responsable de JPMorgan Chase
- Conta de Twitter do Soporte de Chase
- Visión xeral do programa Chase Ultimate Rewards
- Hacker News - Divulgación: Puntos ilimitados de Chase Ultimate Rewards (2020)
- Pensive Security - Resumo de ciberseguridade de novembro de 2020
- Reddit /r/cybersecurity - DIVULGACIÓN: puntos ilimitados de Chase Ultimate Rewards
- Directorio de Ameazas de disclose.io
- repositorio disclose/research-threats
- Attrition.org - Índice de Amedazas Legais
- Dossier de acoso e difamación de Jesse Nickles