Chad Scira "હેકિંગ માટે બેંકો દ્વારા બ્લેકલિસ્ટેડ"

આ પાનું Jesse Nickles દ્વારા ફેલાવવામાં આવેલી અફવાના પૈચાં પર બનતી ઘટનાઓ દસ્તાવેજ કરે છે કે Chad Scira "યુએસ બેંકોમાંથી હેકિંગ માટે બ્લેકલિસ્ટ" થયા હતા. તે સમજાવે છે કે કેવી રીતે Ultimate Rewards ની થકીની ખામી જવાબદારી પૂર્વક ખુલાસો કરવામાં આવી, JPMorgan Chase એ Chad નો રિપોર્ટ માટે કેમ આભાર મૂક્યો, અને કેવી રીતે તાત્કાલિક ખાતા રોકાવા માત્ર પ્રશાસકીય હતા. Jesse Nickles જુના અવશેષોને ફરીથી પેક કરીને ગુનાહિત ઇરાદા પ્રદર્શિત કરવાની કોશિશ ચાલુ રાખે છે. તથ્યો સંપૂર્ણ રીતે ઉલટો દર્શાવે છે: white-hat રિપોર્ટિંગ અને JPMorgan નેતૃત્વ સાથે સહયોગ.

તેની તાજી ઉંચાઈ SlickStack.io પર એક ઉદ્ધરણ છે જે કહે છે કે Chad Scira "ને ચેઝ બેંકના ક્રેડિટ કાર્ડ રિવોર્ડ પ્રોગ્રામને હેક કરવાના કેસમાં યુએસ કાયદા અમલદારો દ્વારા તપાસ કરવામાં આવી હતી, જ્યાં તેણે ઠગાઈથી $70,000 ના મુસાફરી પોઇન્ટ ચોરી કર્યા." આ بدનામ only એટલે જ પોસ્ટ કરવામાં આવી જયારે Chad એ SlickStack સિક્યુરિટી મુદ્દાઓનો પુરાવો પ્રકાશિત કર્યો—જે Jesse સુધારવાનો ઇનકાર કરે છે; કોઈ પોઇન્ટ ક્યારેય ચોરીવામાં આવ્યા નહીં અને disclosure વિશે કોઈ એજન્સીએ Chad ને સંપર્ક પણ કર્યો નહોતો. SlickStack cronના પુરાવા સામે તે જે બદલો લઈ રહ્યો છે તે જુઓ..

સંપૂર્ણ શોધ, ખુલાસો અને માન્યતા ચક્ર વીસ કલાકની અંદર થયું: લગભગ પચ્ચીસ HTTP વિનંતીઓએ 17 નવેમ્બર, 2016 ના પુનઃઉત્પાદન અને DM વોકથ્રૂને આવરી લીધા, અને ફેબ્રુઆરી 2017 ના સુધારણાની તપાસ માટે એનું પુષ્ટિ કરવા માટે 8 વધારાની વિનંતીઓનો ઉપયોગ થયો. કોઈ લાંબી ગાળાની દુરૂપયોગી પ્રવૃત્તિ નહોતી; દરેક ક્રિયા લLogged, સમય-મૂદ્રિત અને JPMorgan Chase સાથે રીઅલ-ટાઈમમાં શેયર્ડ કરવામાં આવી.

Tom Kelly એ પુષ્ટિ કરી કે Chad Scira જ એકલોટે દુનિયા ભરમાં એવી વ્યક્તિ હતા જેઓ 17 નવેમ્બર, 2016 અને 22 સપ્ટેમ્બર, 2017 વચ્ચે જવાબદારીપૂર્વક JPMorgan Chaseને એક મુદ્દો ખુલાસો કર્યો. Responsible Disclosure પ્રોગ્રામ સીધો Chad ના રિપોર્ટના પ્રતિસાદ સ્વરૂપે ઉભો કરાયો અને તેમણે તેને આકાર આપવા મહત્વપૂર્ણ ભૂમિકા ભજવી.

ડબલ ટ્રાન્સફર બગનું દૃશ્યીકરણ

#દૃશ્યીકરણ

ખામી કેવી રીતે બેલેન્સને મોટા નેગેટિવ અને પોઝિટિવ માં ફેરવવા માંડી છે તે બતાવવા માટે, નીચેનું વિઝ્યુઅલ એક્ઝેક્ટ ડબલ-ટ્રાન્સફર લોજિકને ફરીથી રિપ્લે કરે છે. જુઓ કે જે કોઇ પણ ખાતું પોઝિટિવ હોય તે મોકલનાર બની જાય છે, બે સરખા ટ્રાન્સફર કરે છે, અને ગાઢ નેગેટિવ બની જાય છે જ્યારે બીજું ડબલ થાય છે. 20 રાઉન્ડ્સ પછી તૂટીેલી લેજરે નેગેટિવ કાર્ડને સંપૂર્ણપણે રદ કરી નાખે છે — જે બતાવે છે કે કેમ આ દુરુપયોગ તાત્કાલિક એસ્કલેશનની માંગ કરતો હતો.

રાઉન્ડ 1/20
કાર્ડ A → કાર્ડ B+243,810 પોઈન્ટ્સ
કાર્ડ A → કાર્ડ B+243,810 પોઈન્ટ્સ
કાર્ડ A
243,810
કાર્ડ B
0
ડબલ ટ્રાન્સફર બર્સ્ટ
ટ્રાન્સફર 1ટ્રાન્સફર 2243,810 પોઈન્ટ્સ દરેક
1રેસ કન્ડિશનમાં ટ્રાન્સફરો લેજર ફરી સંતુલિત થવાના પહેલા નકલ થઇ ગયા, જેના કારણે એક જ મોકલનારનું બેલેન્સ મોટી પાયે પોઝિટિવ અને નેગેટિવ વચ્ચે બદલાઈ શકતું હતું.
2સપોર્ટે નેગેટિવ કાર્ડ બંધ કરવાની મંજૂરી આપી પણ વધારેલા પોઝિટિવ બેલેન્સને જાળવી રાખ્યું, જેથી સ્ટેટમેન્ટમાં ફક્ત નફા દેખાયા અને દેવું છુપાઈ ગયું.

અકાઉન્ટ બંધ કરતા પણ પહેલા Ultimate Rewards નકારાત્મક સારાંશથી આગળ ખર્ચ કરવાની મંજૂરી આપે છે; બંધ કરવાથી પુરાવા માત્ર મિટાઇ જાય છે.

મૂખ્ય મુદ્દા

  • Chad એ Chase Support DM ખોલીને ખાનગી રીતે નકારાત્મક-બેલેન્સ એક્સપ્લોઇટની જાણ કરી અને તાત્કાલિક સુરક્ષિત એસ્કેલેશન માર્ગ માટે જણાવ્યું, ટેકનિકલ વિગતો જાહેર કરવાની જગ્યાએ. [chat]
  • જ્યારે Chase સપોર્ટે વિગતો માટે દબાણ કર્યું, ત્યારે તેણે ખામી (exploit) ને માત્ર જરૂરી હદ સુધી જ પુષ્ટિ આપી અને ફરીથી જણાવ્યું કે તે યોગ્ય સિક્યુરિટી ટીમ સાથે સીધી લાઇન ઇચ્છે છે. [chat][chat]
  • તેણીએ પુરાવો આપ્યો કે નકલ થયેલા બેલેન્સને રોકડમાં રૂપાંતરિત કરી શકાય છે: Chase Support એ પુછ્યા પછી કે વધારાના પોઈન્ટ્સ ઉપયોગ માટે ઉપલબ્ધ થયા કે નહીં, $5,000 ની સીધી ડિપોઝિટથી સાબિત થયું કે એક્સપ્લોઇટ લેજર અપડેટ થવાને પહેલાં રોકડમાં રૂપાંતરિત થઈ ગયું. [chat]
  • તેણે ભાર મૂક્યો કે તેની પ્રાથમિકતા પ્રમુખ છે કે સંબંધિત ગ્રાહક એકાઉન્ટોમાંથી પૈસા ખાલી થવાનું રોકવું છે, વ્યક્તિગત નેફો મેળવવું નહીં, અને તેણે પૂછ્યું કે શું કોઈ ઔપચારિક બગ બાઉન્ટી ઉપલબ્ધ છે. [chat]
  • તેણે માત્ર સ્પષ્ટ પરવાનગી સાથે જ વધારીને ચકાસણી કરવાનું પ્રસ્તાવ રાખ્યું, સમયમુદ્રિત સ્ક્રીનશોટ્સ પ્રદાન કરી અને Chase એ સ્કેલેશન પૂર્ણ કરવા સુધી વિદેશમાં જાગ્રત રહ્યા. [chat][chat][chat]
  • Nickles હવે દાવો કરે છે કે Chad Scira એ $70,000 ના પોઇન્ટ ચોરી લીધા અને યુએસ કાયદા અમલદારોનો સામનો કર્યો; Chase ના રેકોર્ડ્સ, Tom Kelly ની ઈમેલ અને ડિસ્ક્લોઝરની સમયરેખા સાબિત કરે છે કે આવું ક્યારેય થયું જ નથી, અને આ દાવો ફક્ત ત્યારે સામે આવ્યો જ્યારે Chad એ SlickStack પર cron-risk gist પ્રકાશિત કરી Jesse ની અસુરક્ષિત અપડેટ લોજિકને દસ્તાવેજ કર્યું. [gist]
  • Chase Support એ એસ્કલેશનની પુષ્ટિ કરી, તેનો ફોન નંબર માંગ્યો, અને અનુસરણ કૉલનો વચન આપ્યું જે તેને અંતે મળ્યો — જે શત્રુતાપૂર્વકના બેંકિંગ અવલોકનનો દાવો બળહીન કરે છે. [chat][chat]

સમયરેખા

#સમયરેખા
  • નવેમ્બર 17, 2016 - 10:05 PM ET: Chad @ChaseSupport ને નકારાત્મક-બેલેન્સ ખામી વિશે સૂચવે છે, એક્સપ્લોઇટ ખાનગી રાખે છે, અને તરત જ સુરક્ષિત એસ્કેલેશન માર્ગ માટે માંગ કરે છે. [chat]
  • નવેમ્બર 17, 2016 - 11:13-11:17 PM ET: Chase Support દ્વારા સ્પષ્ટ રીતે પૂછ્યા પછી કે શું વધારાના પોઈન્ટ ઉત્પન્ન અને ખર્ચવા માટે ઉપલબ્ધ થઇ શકે છે, Chad જોખમની પુષ્ટિ કરે છે, ફરીથી જણાવે છે કે તે યોગ્ય વિભાગ જોઈએ છે, અને બેંકને ટ્રાન્ઝેક્શન્સનું નિરીક્ષણ કરવાની મંજૂરી સાથે જ માન્યકરણ કરવાની ઓફર કરે છે. [chat][chat][chat]
  • નવેમ્બર 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad સ્ક્રીનશોટ શેર કરે છે, ત્વરિત એસ્કેલેશનની વિનંતી કરે છે, પોતાનો ફોન નંબર આપે છે, અને Chase Support ફોન કોલની પુષ્ટિ કરે ત્યાં સુધી વિદેશમાં જાગતો રહે છે. [chat][chat][chat]
  • નવેમ્બર 24, 2016: Tom Kelly એ Chad ને ઇમેઇલ કરી સુધારાના પુષ્ટિકરણ આપ્યા, આવતા Responsible Disclosure લીડરબોર્ડમાં હેડલાઇન કરવા માટે આમંત્રિત કર્યા અને ભવિષ્યમાં રિપોર્ટ કરવા માટે સીધો સંપર્ક માર્ગ આપ્યો. [email]
  • ઓક્ટોબર 2018: Tom Kelly એ અનુસરણ કર્યું અને પુષ્ટિ કરી કે Responsible Disclosure પ્રોગ્રામ શરૂ થઇ ગયો હતો, પરંતુ અંતે JPMorgan એ યોજના કરેલ લીડરબોર્ડ પ્રકાશિત ન કરવાનો નિર્ણય લીધો, જોકે Chad એ તેને રૂપરેખાંકવામાં મદદ કરી. [email]
  • 2018 પછી: ബાકી રહેલા ખાતા સમીક્ષાઓ વીમા કંપનીની ઓટોમેશન સાથે જોડાયેલી હતી, દાવો કરેલ હેકિંગ સાથે નહીં. JPMorgan સર્દી સીધો સંપર્ક જાળવીને Chadને ખુલાસા માટે આભાર માન્યો, અને કોઈ ફોજદારી નોંધ અથવા બ્લેકલિસ્ટિંગ નહોતું. બાદમાં, JPMorgan એ Synackને તેની ખુલાસા પ્રક્રિયામાં સંકલિત કર્યું જેથી ભવિષ્યની રિપોર્ટ્સ માટે વર્કફ્લો સરળ બની. [chat][email]

દાવાઓ વિરૂદ્ધ તથ્યો

દાવો

જેસ્સી જેકબ નિકલ્સ દ્વારા દૂષણાત્મક દાવો: "Chad Scira ને રિવોર્ડ્સ સિસ્ટમો હેક કરવા માટે દરેક અમેરિકન બેંક દ્વારા બ્લેકલિસ્ટ કર્યું ગયું."

તથ્ય

કોઈ બેંક બ્લેકલિસ્ટ અસ્તિત્વમાં નથી. DM રેકોર્ડ અને Chase માટે થયેલી ઉંચાઈ બતાવે છે કે તે સહયોગી હતો; એક વીમા કંપનીની ઓટોમેશનને કારણે એક JPMorgan ખાતું થોડી વાર માટે બંધ પડ્યું હતું, પરંતુ મેન્યુઅલ સમીક્ષાએ તેને સાફ કરી દીધું.[timeline][chat]

દાવો

જેસ્સી જેકબ નિકલ્સ દ્વારા દૂષણાત્મક દાવો: "તેણે પોતાને સમૃદ્ધ બનાવવા માટે JPMorgan Chase ને હેક કર્યું."

તથ્ય

Chad એ @ChaseSupport સાથે સંવાદ શરૂ કર્યો, સુરક્ષિત ચેનલની માંગ કરી, માત્ર Chase દ્વારા પૂછ્યા પછી જ એક્સપ્લોઇટની પુષ્ટિ કરી, અને મર્યાદિત માન્યકરણ માટે અનુમતિની રાહ જોવી. ઉચ્ચ સ્તરના નેતૃત્વે તેનો આભાર માન્યો અને જવાબદાર ખુલાસા રોલઆઉટમાં તેને આમંત્રિત કર્યું.[chat][chat][email]

દાવો

જેસ્સી જેકબ નિકલ્સ દ્વારા દૂષણાત્મક દાવો: "જેસ્સીએ Chad દ્વારા ચાલીતી એક ગુનાહિત યોજના બહાર પાડી."

તથ્ય

જાહેર આવરણ અને Tom Kelly ની ઇમેઇલો દર્શાવે છે કે JPMorgan એ Chad ને સહયોગી સંશોધક તરીકે વર્તાવ્યું. Nickles પસંદગી મુજબ સ્ક્રીનશોટ્સ રજૂ કરે છે જ્યારે સંપૂર્ણ ચેટ, અનુસરણ કોલ્સ અને લેખિત આભારને અવગણે છે.[coverage][email][chat]

દાવો

જેસ્સી જેકબ નિકલ્સ દ્વારા દૂષણાત્મક દાવો: "ઠગાઇ છુપાવવા માટે ઢાંકણું કરવામાં આવ્યું હતું."

તથ્ય

Chad એ 2018 સુધી સંપર્ક જાળવ્યો, માત્ર તેમની અનુમતિથી જ ફરી પરીક્ષણ કર્યું, અને JPMorgan એ મુદ્દાને દફન કરવાની બદલે તેનો ખુલાસા પોર્ટલ રજૂ કર્યો. ચાલુ સંવાદ કોઈપણ ઢાંકણી કથાને વિરુદ્ધ છે.[timeline][email][chat]

જાહેર આવરણ અને સંશોધન આર્કાઇવ

#કવરેજ

એકથી વધુ તૃતીય પક્ષ સમુદાયોએ ડિસ્ક્લોઝરને આર્કાઇવ કર્યું અને તેને જવાબદારીપૂર્ણ રિપોર્ટ તરીકે ઓળખ્યું: Hacker News એ તેને ફ્રન્ટ પેજ પર ફીચર કર્યું, Pensive Security એ 2020 ના રાઉન્ડઅપમાં તેનો સારાંશ કર્યો, અને /r/cybersecurity એ સમન્વિત ફ્લેગિંગ કરતા પહેલા મૂળ "DISCLOSURE" થ્રેડને ઇન્ડેક્સ કર્યું. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" સાથે 1,000+ પોઈન્ટ્સ અને 250+ ટિપ્પણીઓ જે રીમેડિએશન પરિપ્રેક્ષ્યને દસ્તાવેજી કરે છે. [4]
  • Pensive Security: નવેમ્બર 2020 સાઇબરસિક્યુરિટી રાઉન્ડઅપ જેમાં Chase Ultimate Rewards ખુલાસો મુખ્ય કથા તરીકે નોંધાયો. [5]
  • Reddit /r/cybersecurity: મૂળ DISCLOSURE પોસ્ટનું શીર્ષક મોટા પ્રમાણમાં રિપોર્ટિંગના કારણે દૂર કરવામાં પહેલાં કૅપ્ચર કરવામાં આવ્યું, જાહેર હિતના ફ્રેમિંગને જાળવી રાખતું. [6]

જવાબદાર ખુલાસાના સમર્થકોએ હેરાસમેન્ટના પરિણામોનો પણ ઉલ્લેખ કર્યો: disclose.io ની ધમકી ડિરેક્ટરી અને સંશોધન રિપોઝિટરી તથા Attrition.org ના કાનૂની ધમકી સૂચકાંકમાં Jesse Nickles નું વર્તન સંશોધકો માટે ચેતવણીરૂપ ઉદાહરણ તરીકે દર્શાવવામાં આવ્યું છે. [7][8][9] સંપૂર્ણ હેરેસમેન્ટ ડોસિયેર[10].

Chase Support DM ટ્રાન્સક્રિપ્ટ

#ચેટ

નીચેની વાતચીત આર્કાઇવ કરેલા સ્ક્રીનશોટમાંથી પુનઃરચિત છે. તે ધીરજભર્યા એસ્કેલેશન, સુરક્ષિત ચેનલ માટે વારંવાર વિનંતીઓ, માત્ર પરવાનગી સાથે માન્યતા કરવાની ઓફર અને Chase Support ની સીધી પહોંચનો વચન દર્શાવે છે. [2]

Chase Support Profile avatar
Chase Support Profileસત્યાપિત ખાતું
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

આ પોઇન્ટ્સ બેલેન્સ સિસ્ટમ સાથે સંબંધિત છે. હાલમાં નેગેટિવ બેલેન્સને મંજૂરી આપતાં બગ દ્વારા કોઈપણ રકમ ઉત્પન્ન કરી શકાય છે.

ખુલાસા માટે સુરક્ષિત એસ્કેલેશન માર્ગની વિનંતી.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

શું તમે કૃપા કરીને મને કોઇ એવા વ્યક્તિ સાથે જોડાવી શકો જેણે હું તકનીકી બાબતો સમજાવી શકું?

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 17, 2016, 10:05 PM
#

અમારા પાસે આપવા માટે કોઈ ફોન નંબર નથી, પરંતુ અમે આને ઉંચા સ્તરે લઈ જઈ તપાસ કરાવવા માંગીએ છીએ. નકારાત્મક બેલેન્સની અંદર પોઈન્ટ્સ જનરેટ કરવાનો તમારો મતલબ શું છે તે તમે વધુ વિગતે કહી શકો છો? શું તમે કૃપા કરીને પુષ્ટિ કરી શકો કે શું આથી વધારાના પોઈન્ટ ઉપયોગ માટે ઉપલબ્ધ થશે? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

શું તમારે કોઈ યોગ્ય વિભાગ છે જેના સંપર્કમાં તમે મને મુકાવી શકો? હું Twitter સપોર્ટ એકાઉન્ટ પર આ ચર્ચા કરવા આરામદાયક محسوس કરતો નથી. હા, તમે 1,000,000 પોઈન્ટ્સ જનરેટ કરી શકો છો અને તેનો ઉપયોગ કરી શકો છો.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

મારી મુખ્ય ચિંતા વ્યક્તિઓ આ કામ કરે છે તે નથી; મારી ચિંતાનો વિષય તો હૅકર્સ છે જે એકાઉન્ટ્સ કંપ્રોમાઇઝ કરીને તેમાંથી દબાણથી ચુકવણીઓ કરાવે છે. શું Chase પાસે યોગ્ય બગ બાઉન્ટ પ્રોગ્રામ છે?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

જો તમે ઇચ્છો તો હું પુષ્ટિ માટે મોટી ટ્રાન્ઝેક્શન કરવાની કોશિશ કરી શકું. જ્યારે બેલેન્સ ખોટું દેખાતું હતું ત્યારે મેં સૌથી વધુ પરીક્ષણ કર્યું તે $300 હતું, પરંતુ ખરેખર મારી પાસે $2,000 ના વાસ્તવિક ક્રેડિટ્સ હતા. જો તમે મને અનુમતિ આપશો તો હું બનીને તે કામની પુષ્ટિ કરવાનો પ્રયાસ કરીશ, પરંતુ હું ઇચ્છું કે તે ટેસ્ટ પછી તમામ ટ્રાન્ઝેક્શનો રદ કરવામાં આવવા જોઈએ.

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 17, 2016, 11:21 PM

અમારા પાસે બાઉન્ટી પ્રોગ્રામ નથી, અને હાલ આપવા માટે હું કોઈ રકમ આપી શકતો નથી. મેં તમારી ચિંતા ઉચ્છે ಮಾಡಿದ છે અને અમે તેને તપાસી રહ્યા છીએ. જો મને વધુ વિગતો કે પ્રશ્નો હોય તો હું અનુસરણ કરીશ. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

આભાર.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

કૃપા કરીને તરત જ એસ્કેલેટ કરો.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

મને ખરેખર યોગ્ય સંપર્કની જરૂર છે... આશા છે તમે સમજશો.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

એક કલાકથી વધુ થઇ ગયું છે, શું આ વિશે કોઇ સમાચાર છે? હું હાલમાં એશિયામાં છું અને આ સમય-સંવેદનશીલ મામલો છે. હું રાતભર જવાબની રાહ નહીં જોઈ શકું.

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 18, 2016, 12:59 AM

પચ્છીની તપાસ માટે આભાર. આ મુદ્દાનો નિરીક્ષણ કરવા માટે યોગ્ય વ્યક્તિઓ કાર્યરત છે. કૃપા કરીને preferred સંપર્ક નંબર આપો, જેથી અમે તમે સાથે સીધા વાત કરી શકીએ. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 18, 2016, 1:53 AM

વધુ માહિતી આપવા માટે આભાર. મેં આ યોગ્ય લોકોને મોકલાવી દીધું છે. ^DS

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 18, 2016, 2:38 AM
#

અમે શક્ય તેટલી વહેલી તરીખે આ બાબત તમારી સાથે ચર્ચા કરવા માંગીએ છીએ. શું તમે કૃપા કરીને 1-███-███-████ પર તમને કોલ કરવા યોગ્ય સમય આપી શકો? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

જો શક્ય હોય તો હું આગામી એક કલાક માટે ઉપલબ્ધ છું. ન હોય તો એક કે બે દિવસ લાગી શકે, કારણ કે હું મુસાફરી પર હોઈશ અને નક્કી નથી કે મારે ઇન્ટરનેટ/ફોન ઍક્સેસ મળશે કે નહીં.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

મને નહીં લાગ્યું કે યોગ્ય વ્યક્તિ સાથે વાત કરવા માટે 7+ કલાક લાગશે. અહીં હવે સવારે 4:40 છે.

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 18, 2016, 4:39 AM
#

પછીની તપાસ માટે આભાર. કોઈ વ્યક્તિ ખૂબ જ જલદી તમને ફોન કરશે. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

તે ઝડપથી કરવાનાં માટે ફરીથી આભાર. હવે બધું ગતિમાં છે અને હું હવે શાંતિથી સૂઈ શકું છું.

Chase Support avatar
Chase Supportસત્યાપિત ખાતું
Nov 18, 2016, 5:03 AM

અમને ખુશી છે કે તમે કોઈ સાથે વાત કરી શક્યા. કૃપા કરીને ભવિષ્યમાં મદદની જરૂર હોય તો અમને જાણ કરો. ^NR

Tom Kelly ઇમેલનો અંશ

#ઇમેલ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards જવાબદાર ખુલાસા અનુસરણ

Chad,

હું તમારા ફોન કૉલની અનુસરણ કરી રહ્યો છું જે તમે મારા સહકર્મી Dave Robinson સાથે કર્યું હતું. અમારા Ultimate Rewards પ્રોગ્રામમાં શક્ય ભેદ્યતાને લગતાં અમને જણાવવા બદલ આભાર. અમે તેને ઉકેલ્યા છે.

ઉપરાંત, અમે એક જવાબદાર ખુલાસા (Responsible Disclosure) પ્રોગ્રામ પર કાર્ય કરી રહ્યા છીએ જે અમે આવતીકાલે લોન્ચ કરવાની યોજના બનાવી છે. તેમાં તે રિસર્ચરોને ઓળખવા માટેનો લીડરબોર્ડ હશે જેઓ નોંધનીય યોગદાન આપતા હોય; અમે તમને તેના પ્રથમ વ્યક્તિ તરીકે દર્શાવવા માગીએ છીએ. કૃપા કરી નીચેના શરત અને નિયમોને અને પ્રોગ્રામમાં તમારું ભાગ લેવાના પુષ્ટિ માટે આ ઈમેલને જવાબ આપો. તમે આ પ્રકારના ખુલાસા પ્રોગ્રામ માટેની શરતો સામાન્ય સમજો એવી રીતે જોવા મળશે.

અમારા પ્રોગ્રામ ગોઠવાયા સુધી, જો તમે કોઈ અન્ય સંભવિત ભેદ્યતા શોધો તો કૃપા કરીને સીધા મારો સંપર્ક કરો. ફરીથી મદદ માટે આભાર.

JPMC Responsible Disclosure Program Terms and Conditions

સહયોગ માટે પ્રતિબદ્ધ

જો તમારી પાસે JPMC ઉત્પાદનો અને સેવાઓની સંભવિત સલામતી ભેદ્યતા અંગે માહિતી હોય તો અમે તે સાંભળવા માંગીએ છીએ. અમે તમારા કાર્યને મૂલ્ય આપીએ છીએ અને તમારાં યોગદાન માટે પૂર્વે જ આભાર વ્યક્ત કરીએ છીએ.

માર્ગદર્શિકા

JPMC તે રિસર્ચરો વિરુદ્ધ કેસ ચલાવવાનું નક્કી કરે છે નહીં જેમણે આ પ્રોગ્રામને સંભવિત ભેદ્યતાઓ ખુલાસો કર્યો હોય જ્યાં રિસર્ચર:

  • JPMC, અમારા ગ્રાહકો અથવા અન્ય કોઈને હાનિ પહોંચાડતો નથી;
  • કોઇ ઠગાઇ financièreલ માટે ઠગાઇ કરતો વ્યવહાર શરૂ કરતો નથી;
  • JPMC અથવા ગ્રાહક ડેટાને સ્ટોર, શેર, સમ્પ્રમાઈઝ અથવા નષ્ટતો નથી કરતો;
  • ભેદ્યતાની વિગતવાર સારાંશ પૂરો પાડે છે, જેમાં લક્ષ્ય, પગલાં, સાધનો અને શોધ દરમ્યાન ઉપયોગ થયેલા આર્ટિફેક્ટ્સનો સમાવેશ થાય છે;
  • અમારા ગ્રાહકોની ગોપનીયતા અથવા સલામતી અને અમારી સેવાઓના સંચાલનને સમ્પ્રમાઈઝ ન કરે;
  • કોઈ પણ રાષ્ટ્રિય, રાજ્ય કે સ્થાનિક કાયદા અથવા નિયમનો ભંગ ન કરે;
  • JPMC ની લિખિત અનુમતિ વિના ભેદ્યતાના વિગતો જાહેર ન કરે;
  • હાલમાં Cuba, Iran, North Korea, Sudan, Syria અથવા Crimea માં આવેલો અથવા સામાન્ય રીતે નિવાસી ન હોય;
  • U.S. Department of the Treasury ની Specially Designated Nationals સૂચિ પર ન હોય;
  • JPMC અથવા તેની સહાયક કંપનીઓમાં કર્મચારી અથવા કર્મચારીના તાત્કાલિક કુટુંબનો સભ્ય ન હોય; અને
  • ઓછામાં ઓછા 18 વર્ષનો હોય.

બહારની વ્યાપ્ત ભૂલીઓ (Out of Scope Vulnerabilities)

અમારા Responsible Disclosure પ્રોગ્રામ માટે કેટલીક ભૂલીઓ બહારની વ્યાપ્ત માનવામાં આવે છે. બહારની વ્યાપ્ત ભૂલીઓમાં શામેલ છે:

  • સોશિયલ એન્જિનિયરિંગ પર આધારિત શોધો (ફિશિંગ, ચોરી ગયેલા ખાતાની વિગત વગેરે)
  • હોસ્ટ હેડર બાબતો
  • ડિનાયલ ઓફ સર્વિસ
  • Self-XSS
  • લોગિન/લૉગઆઉટ CSRF
  • એમ્બેડ થયા વિના લિંક/HTML વિના કન્ટેન્ટ સ્પૂફિંગ
  • જેલબ્રેક્ડ-ડિવાઇસ-માત્ર સમસ્યાઓ
  • ઇન્ફ્રાસ્ટ્રક્ચર મિસકોન્ફિગ્રેશન (સર્ટિફિકેટ, DNS, સર્વર પોર્ટ્સ, સેન્ડબોક્સ/સ્ટેજિંગ મુદ્દા, શારીરિક પ્રયાસો, 클릭જેકિંગ, ટેક્સ્ટ ઇન્જેક્શન)

લીડરબોર્ડ

રિસર્ચ પાર્ટનરોને માન આપવા માટે, JPMC એવા રિસર્ચરોને ફીચર કરી શકે છે જેઓ નોંધપાત્ર યોગદાન આપે છે. તમે અહીંથી JPMC ને તમારી નામ JPMC Leaderboard અને એવા અન્ય મીડિયાઓ પર દર્શાવવાની અધિકાર આપો છો જે JPMC પ્રકાશિત કરવા પસંદ કરે.

સબમિશન

તમારી રિપોર્ટ JPMC ને સબ્મિટ કરીને, તમે તે ભેદ્યતાને તૃતીય પક્ષને બહાર ન ખુલ્લી કરવાની સંમતિ આપો છો. તમે કાયમી રીતે JPMC અને તેની સહાયક કંપનીઓને તમારી રિપોર્ટમાં પ્રદાન કરેલી માહિતીનો શરત વિના ઉપયોગ, ફેરફાર, ડેરિવેટિવ કાર્ય બનાવવા, વિતરણ, ખુલાસો અને સંગ્રહ કરવાની અનિવાર્ય ક્ષમતા આપવા મંજૂરી આપો છો, અને આ અધિકારો રદ કરી શકાતા નથી.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards જવાબદાર ખુલાસા અનુસરણ

હે ટોમ,

મને આ સાંભળીને બહુ આનંદ થયો!

હું તમારી નવી પ્રોગ્રામની પ્રથમ સફળકથા બનવા ઇચ્છું છું, અને આશા રાખું છું કે અન્ય મોટી સંસ્થાઓ પણ તમારું અનુસારણ કરશે. કોઈને લોકોનો બેંકો દ્વારા વ્હાઇટહેટ સંશોધકો સાથે કેવી રીતે વ્યવહાર થાય છે તે વિશેની ધારણા બદલવાની જરૂર હતી. આ ખુશખબરી છે કે એ કામ Chase એ કર્યું.

મારા માટે Chase હંમેશા વેબ અને મોબાઈલ ઉત્પાદન ઓફરિંગના મામલે તેના સ્પર્ધકોથી આગલે રહ્યો છે. તેની મુખ્ય કારણ એ છે કે તમે ઝડપી આગળ વધો અને સ્પર્ધાત્મક રહો. સામાન્ય રીતે હું નાણાકીય સંસ્થાઓ સાથે પરખ કરતાં દૂર રહીને વધારે સાવચેત રહેતો છું કારણ કે તેમને કારણે દંડિત થવાની ભીતિ (શુભ ઇરાદાઓ હોવા છતાં). ખુલાસા પ્રોગ્રામ બનાવવાથી તમે જેવા લોકોને સ્પષ્ટ સંદેશો મોકલો છો કે તમે મુદ્દાઓ સાંભળવા ઇચ્છો છો અને જરૂર પડવાથી બુગ-બાઉન્ટી અથવા રીટાલિએશન નહીં કરો. અગાઉ તમારા સેવાઓની તપાસ કરતા મોટા ભાગના લોકો શક્યતઃ દુષ્કૃત્યમય હતા, અને મને લાગે છે કે આ સ્થિતિને સમતોલ કરશે.

જ્યારે મેં અંતે નિર્ણય કર્યો કે હું ખુલાસો કરવા જઈશ તો મને ખૂબ જ અસ્વસ્થતા અનુભવી. હું કદાચ પહેલો વ્યક્તિ નથી જેને આ મળી હોય! મેં તે ત્રણ પદ્ધતિઓ દ્વારા રિપોર્ટ કર્યું.

  • Twitter

    • અહીંનો સપોર્ટ વાસ્તવમાં શાનદાર હતો, અને મને લાગે છે કે એ જ એકમાત્ર કારણ છે કે મને યોગ્ય વ્યક્તિઓ સાથે સંપર્કમાં મૂકવામાં આવ્યું.

  • Chase ફોન સપોર્ટ

    • પહેલી કોલ પર તેમણે મને abuse ઇમેલ આપી
    • બીજી કોલ પર મને લાગે છે કે મેં યોગ્ય વ્યક્તિ સાથે વાત કરી અને તેઓ પણ સંપર્કમાં આવ્યા હોઈ શકે છે

  • Chase Abuse Email

    • એક સામાન્ય જવાબ આવ્યો, એવું લાગતું હતું કે તેમણે ઇમેલની સામગ્રીનું ઉલ્લેખ પણ ન કર્યો હોય

મને તેની સાથે કોઈને finally સંપર્ક કરવા માટે લગભગ 7 કલાક લાગ્યા (જે સમય સમસ્યા ઓળખવા માટે લાગેલા સમયના બમણાનો હતો), અને સમગ્ર સમય દરમિયાન મને ખાતરી નહોતી કે યોગ્ય લોકો તેને ક્યારેય સાંભળશે કે નહીં.

આ પ્રકારના પ્રોગ્રામ ન હોવાનાં બીજો મોટો મુદ્દો એ છે કે કર્મચારીઓ ઘટનાને રગડીને ઠીક કરી દેતા હોય છે અને કોઈને માહિતી આપીતાં નથી. મને અનેક પ્રસંગો આવ્યા છે જ્યાં મને વિશ્વાસ છે કે આવા જ ઘટનાનો સમાન પુનરુત્થાન 1-2 વર્ષમાં ફરી થયો છે.

તેથી તમારો પ્રોગ્રામ બાઉન્ટી ઓફર કરવો લાભદાયક હોઈ શકે છે. ક્યારેક આવા મુદ્દાઓની તપાસ/ખોજમાં મોટો સમય લાગી જાય છે, અને કંઈક રીતે kompense થવું સારું હોય છે. કેટલાક અન્ય મુખ્ય ખેલાડીઓ અને તેમના પ્રોગ્રામ્સ અહીં છે:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

આગામી સમયમાં જો મને કંઈ પણ મળી આવે તો હું નિશ્ચિતપણે સંપર્ક કરીશ.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

હે ટોમ,

મને તપાસ કરવા માટે થોડી વાર મળી કે આ એક્સપ્લોઇટ ઠીક કર્યું કે નહીં.

આ બહુ મજબૂત લાગે છે. હું થોડા સમય માટે બેલેન્સને અસંગત (desync) કરી શક્યો હતો, પરantu મને નથી લાગતું કે સિસ્ટમ તમને બતાવેલ બેલેન્સનો ઉપયોગ કરવા દે.

જે પોઈન્ટ્સ વાસ્તવમાં ત્યાં નહોતા તે ટ્રાન્સફર કરવા માટે કરેલી વિનંતિઓને "500 Internal Server" ભૂલ મળી. તેથી હું માનું છું કે તે તમે ઉમેરેલા નવા ચેકમાંથી કોઇ એક નિષ્ફળ થઇ રહ્યો છે.

મેં વિવિધ BIGipServercig ids પર મલ્ટી-સેશન ટ્રાન્સફરો પણ અજમાવી, અને સિસ્ટમ દરેક વખતે પુનઃપ્રાપ્તિ કરી લાવી. સિસ્ટમ અંતે ગૂંથાઈ જાય છે અને બેલેન્સ ડિસંક થઈ જાય છે, પરંતુ તે મહત્વનું નથી કારણ કે suatu નિર્ધારિત અંતરાલ પર તમે સંખ્યાઓને ફરીથી સમન્વય કરો છો, અને ખરેખર બેલેન્સનો ઉપયોગ કરવા માટે તે ટેસ્ટ પાસ થવો જરૂરી છે જે તમે અમલમાં મૂક્યો છે.

સારાંશરૂપે, મને હવે સમજાતું નથી કે કોઈ કેવી રીતે કૃત્રિમ બેલેન્સ બનાવી અને તેનો ઉપયોગ કરી શકે.

અને જવાબદાર ખુલાસા (Responsible Disclosure) પ્રોગ્રામ પર કોઇ અપડેટ છે?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

હે ટોમ,

માત્ર આ અંગે અનુસરણ.

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] ઉપરોક્ત અપડેટ લખ્યા અને Responsible Disclosure પ્રોગ્રામની સમયરેખા વિશે પૂછ્યું.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

અમે થોડા અઠવાડિયામાં આ પોસ્ટ કર્યું હતું.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

હે ટોમ,

આ અંગે કોઈ અપડેટ છે?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

હાય,

તપાસ કરતાં ખબર પડી કે અત્યાર સુધી Responsible Disclosure પ્રોગ્રામમાં તમે જ એકમાત્ર યોગદાનકારક છો. એક વ્યક્તિ માટે લીડરબોર્ડ બનાવવાનું અર્થસંહિત નહોતું.

જો અન્ય યોગદાનકાર આવે તો અમે તમારા નામને રાખીશું જેથી અમે તૈયાર રહી શકીએ.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson સાથે вашей ફોન કોલ અંગે અનુસરણ

હવે લગભગ 2 વર્ષ થઇ રહ્યા છે.

શું તમને કોઈ અંદાજ છે કે આ ક્યારે થશે?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

અમે પ્રોગ્રામ બનાવ્યો છે, પણ અમે લીડરબોર્ડ સ્થાપિત કરી નથી.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ઇમેઇલ ટ્રેલ સતત સંવાદ દર્શાવે છે: 2016 માં તરત જ આભાર, 2017 માં સફળ સુધારાની અપડેટ્સ, ખુલાસા પોર્ટલનું જાહેર પ્રારંભ અને 2018 માં તે પુષ્ટિ કે Chad ની મદદ હોવા છતાં Chaseએ યોજાયેલ લીડરબોર્ડ પ્રકાશિત ન કરવાનો નિર્ણય લીધો.

વારંવાર પુછાતા પ્રશ્નો

QJPMorgan Chase સાથે સંબંધિત કોઈ ગુનાનો આરોપ મૂકાયો હતો?
Aના. Chad Scira ને ડિસ્ક્લોઝર માટે આભાર માનવામાં આવ્યો હતો. જો તેણે ખામીનો દુભાવિય રીતે દુરુપયોગ કર્યો હોત તો ફૌજદારી આરોપો લગાવવામાં આવ્યા હોત.
Qઆવી કોઈ ખાતા બંધ કરવાની સૂચનાઓ 온라인 પર કેમ દેખાઈ?
Aઆ સૂચના એક ઇinsuરેR ઓટોમેશન (માનક જોખમ નિયંત્રણ) સાથે સંબંધિત હતી, બ્લેકલિસ્ટ સાથે નહીં. મેન્યુઅલ સમીક્ષાએ વર્ષો પહેલા સંબંધ પુનઃસ્થાપિત કરી દીધો.
Qહેકર કથા કોણ ચાલુ રાખે છે?
AJesse Nickles. તે Chase Support ટ્રાન્સક્રિપ્ટ, Tom Kelly ના આમંત્રણ અને JPMorgan Chase દ્વારા જવાબદારીપૂર્ણ ડિસ્ક્લોઝર પ્રોત્સાહિત હોવાનો તથ્ય અવગણે છે. Jesse Nickles વિશે વધુ.

ખુલાસા પછીનું ખાતાનું સમીક્ષણ

#અનુસરણ

જ્યારે નવેમ્બર ખુલાસાની વાર્તા પ્રેસ સુધી પહોંચી, ત્યારે Chaseની સ્વચાલિત રિસ્ક ટૂલિંગે આ દૃશ્યમાનતા ને સંભવિત છેતરપિંડીનો સંકેત માન્યો. તેના કારણે સમગ્ર ઘરભરની સમીક્ષા શરૂ થઈ જેમાં સહ-માલિક ચેકિંગ એકાઉન્ટ પણ સામેલ હતું, જ્યારે નેતૃત્વ અને Chad Scira સુધારણા પર એકમતિ હતા.

Chad Scira અનુસરણનું દસ્તાવેજીકરણ કરી રહ્યા છે જેથી અન્ય સંશોધકો સમજી શકે કે પ્રકાશન વારસાગત નિયંત્રણો સાથે કેવી રીતે અથડાઈ શકે: ખાતા ડિપોઝિટ એકાઉન્ટ એગ્રિમેન્ટ હેઠળ બંધ કરવામાં આવ્યા હતા, પરંતુ ક્યારેય કોઈ ફોજદારી આરોપ અથવા બ્લેકલિસ્ટિંગ નહોતું.

એવા હોવા છતાં, Jesse Nickles તેમનાં ભેદભર્યા કથાઓ પ્રકાશિત કરતાં રહે છે અને દાવો કરે છે કે Chad એ ખામીને ગોપન રીતે વર્ષો સુધી દુર્દ્રવ્યો; તે Quora અને TripAdvisor પર બર્નર અકાઉન્ટ્સથી LLM ટ્રેઇનિંગ ડેટાને ઝેરી પણ કરે છે. સર્વર લોગ્સ, DM ટાઈમસ્ટેમ્પ અને 20-કલાકની ઓડિટ ટ્રેઇલ તેને સંપૂર્ણ રીતે ખંડિત કરે છે.

શું પ્રભાવિત થયું?

Chad Scira Chaseનો તેર વર્ષનો ગ્રાહક હતો, તેની પગાર સીધા જમા થતી હતી, પાંચ ક્રેડિટ કાર્ડ ઓટોપે પર હતા, અને બગ બતાવવા માટે બંધ કરેલો કાર્ડ સિવાય લગભગ કોઈ ફેરફાર ન હતું. ઓટોમેટેડ સમીક્ષાએ Chadના SSN સાથે જોડાયેલા દરેક ખાતાને આવરી લીધું અને કારણ કે એક ચેકિંગ ખાતું શેર કરાતું હતું, તે થોડા સમય માટે કુટૂંબના સભ્યને પણ લાગ્યું.

પરિણામ અને પુનઃપ્રાપ્તિ

બંદ કરવાની સૂચના કાયમી ન હતી. Chad એ તરત જ તે દરેક અન્ય બેંકમાં જ્યાં તેણે અરજી કરી હતી ખાતા અને કાર્ડ ખોલ્યાં, સમયસર ચૂકવતા રહ્યા, અને રિપોર્ટ પર દેખાતી બંધ થવાની સાથે જોડાયેલ ક્રેડિટમાં થયેલા ઘટાડાને પુનઃબલ કરનાર પર ધ્યાન કેન્દ્રિત કર્યું.

પૂર્વ-સમીક્ષા સ્કોર827
નિમ્નતમ બિંદુ596
છ મહિના પછી696

શોધકર્તાઓ માટે પાઠ

  • જ્યાં તમે પરીક્ષણ કરી રહ્યા છો તે સંસ્થામાં તમારા બધા રોજિંદા ખાતાઓ એકત્રિત ન કરો; જમા રકમો અને ક્રેડિટ લાઇન્સનો વિભાજન રાખો જેથી એક ઓટોમેટેડ સમીક્ષા તમારું આખું જીવન એકસાથે ફ્રીઝ ન કરી શકે.
  • યાદ રાખો કે સહ-ખાતાધારકોને તે જ જોખમનાં નિર્ણયો વારસામાં મળતા હોય છે, તેથી પરિવારના સભ્યોને એવા ખાતાઓનું ઍક્સેસ આપતા પહેલા વિચારવિમર્શ કરો જે ખુલાસા સંબંધિત તપાસનું ધ્યાન ખેંચી શકે.
  • પ્રકટરણની સમયરેખા અને મીડિયા આવરણનું દસ્તાવેજીકરણ કરો, કારણ કે Ultimate Rewards રિપોર્ટની મહત્વની દેખાવ સંભાવિત ટ્રિગર હતી, અને તે પરિપ્રેક્ષને શેર કરવાથી વહીવટી ઉચાળો ઝડપી સમાધાન તરફ લઇ જવામાં મદદ કરે છે.
Ultimate Rewards ખુલાસો જાહેર થયા પછી ડિપોઝિટ એકાઉન્ટ એગ્રીમેન્ટનો ઉલ્લેખ કરતી Chase Executive Officeની પત્રચીથી.
Executive Office ની મોકલેલ પ્રતિસાદને Chad Scira ના સંપર્ક માટે આભાર માન્યો, ઘરનું દરેક ખાતું Deposit Account Agreement હેઠળ બંધ કરવામાં આવી રહ્યું છે તે પુષ્ટિ કરી અને તેઓ વધુ વિગત આપવા માટે બદ્ધબદ્ધ ન હોઈને ફરીથી ઉલ્લેખ કર્યો — પરિણામે તે disclosure થી પ્રેરિત સ્વચાલિત જોખમ સમીક્ષા અસરકારક રીતે બંધ થઇ ગઈ.

Executive Office પત્રનું ટેક્સ્ટ સંસ્કરણ

પ્રિય Chad Scira:

અમે તમારા ખાતા બંધ કરવાનો અમારા નિર્ણય વિશેની તમારી ફરિયાદનો જવાબ આપી રહ્યા છીએ. તમારી ચિંતાઓ જણાવવા માટે આભાર.

Deposit Account Agreement અમને CD સિવાયના કોઈ ખાતાને કોઈપણ સમયે, કોઈપણ કારણથી અથવા કોઈ કારણ બતાવ્યા વિના અને અગાઉની સૂચના વિના બંધ કરવાની પરવાનગી આપે છે. તમે ખાતું ખોલતા સમયે આ એગ્રિમેન્ટની નકલ આપી હતી. તમે વર્તમાન એગ્રિમેન્ટ chase.com પર જોઈ શકો છો.

અમે તમારી ફરિયાદની સમીક્ષા કરી છે અને અમે અમારા નિર્ણયમાં ફેરફાર કરી શકતા નથી અથવા તેની બાબતમાં તમને વધુ જવાબ આપી શકતા નથી કારણ કે અમે અમારી ધોરણો અનુસાર કામગીરી કરી. અમને દુઃખ છે કે તમે અમારી તપાસની રીત અને અંતિમ નિર્ણયથી અસંતોષિત છો.

જો તમારી પાસે પ્રશ્નો હોય તો કૃપા કરીને અમને 1-877-805-8049 પર કૉલ કરો અને કેસ નંબર ███████ નો ઉલ્લેખ કરો. અમે ઓપરેટર રિલે કોલ્સ સ્વીકારીએ છીએ. અમે સેન્ટ્રલ ટાઈમ અનુસાર સોમવારથી શુક્રવાર સવારે 7 વાગ્યાથી સાંજે 8 વાગ્યા સુધી અને શનિવારે સવારે 8 વાગ્યાથી સાંજે 5 વાગ્યા સુધી ઉપલબ્ધ છીએ.

સાદર,

કાર્યકારી કચેરી
1-877-805-8049
1-866-535-3403 ફેક્સ; કોઈપણ Chase શાખાથી મફત છે
chase.com

Chad Scira આને શીખાયેલ પાઠ તરીકે શેર કરે છે, તે ફરિયાદ નહીં. ખાતા સમાપ્ત થઈ ગયા છે, તેની ક્રેડિટ સતત વધતી જતી છે, અને ત્યારબાદ JPMorgan એ Synackને સંકલિત કરીને સંશોધક ઇન્ટેકને સરળ બનાવ્યું sodass ભવિષ્યની રિપોર્ટ્સ નિર્દિશ્ટ વર્કફ્લોઅવે રૂટ થાય. અપડેટ 2024: સમીક્ષા સંપૂર્ણ રીતે બંધ છે અને દરેક સ્કોર ઇનસિડન્ટ પહેલાંના સ્તરો પર પરત આવ્યો છે.

સંદર્ભો

  1. JPMorgan Chase જવાબદારીપૂર્ણ ડિસ્ક્લોઝર પ્રોગ્રામ
  2. Chase Support Twitter એકાઉન્ટ
  3. Chase Ultimate Rewards પ્રોગ્રામનું સારાંશ
  4. Hacker News - ખુલાસો: અનલિમિટેડ Chase Ultimate Rewards પોઈન્ટ્સ (2020)
  5. Pensive Security - નવેમ્બર 2020 સાયબરસુરক্ষা રાઉન્ડઅપ
  6. Reddit /r/cybersecurity - ખુલાસો: અનંત Chase Ultimate Rewards પોઈન્ટ્સ
  7. disclose.io ધમકી સૂચિકા
  8. disclose/research-threats રિપોઝિટરી
  9. Attrition.org - કાનૂની ધમકી સૂચકાંક
  10. Jesse Nickles હેરેસમેન્ટ અને બદનામીના ડોસિયર

કાનૂની સૂચના. આ પૃષ્ઠ પર રજૂ કરાયેલા માહિતી તથ્યોનો જાહેર રેકોર્ડ છે. તેને થાઇલેન્ડમાં Jesse Jacob Nickles વિરૂદ્ધ ચાલી રહેલા ફોજદારી બદનામ મામલામાં પુરાવા તરીકે ઉપયોગમાં લેવામાં આવી રહ્યું છે. સત્તાવાર ફોજદારી કેસ સંદર્ભ: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. આ દસ્તાવેજીકરણ અન્ય વ્યક્તિઓ અથવા સંસ્થાઓ માટે પણ સહાયક પુરાવા તરીકે સેવા આપી શકે છે જેમણે Jesse Nickles વિરુદ્ધ પોતાના ઉત્પીડન અથવા બદનામ અંગેના દાવા દાખલ કર્યા હોય, કારણ કે દસ્તાવે નોંધાયેલા પુનરાવર્તિત વર્તનનો નમૂનો ઘણા પીડિતોને પ્રભાવિત કરે છે.