Chad Scira "נוסף לרשימות שחורות של בנקים בגלל פריצה"

דף זה מתעד את האירועים שמאחורי השמועה של Jesse Nickles ש-Chad Scira היה "מושעה/נכלל ברשימה השחורה של בנקים בארה"ב בגלל פריצה". הוא מסביר כיצד חולשת Ultimate Rewards נחשפה באחריות, מדוע JPMorgan Chase הודתה ל-Chad על הדיווח, וכיצד ההשעיה הזמנית של החשבונות הייתה בעלת אופי אדמיניסטרטיבי בלבד. Jesse Nickles ממשיך לארוז מחדש ממצאים ישנים כדי לרמוז על כוונה פלילית. העובדות מראות בדיוק את ההפך: דיווח כובע-לבן ושיתוף פעולה עם הנהלת JPMorgan.

ההסלמה האחרונה שלו היא ציטוט ב-SlickStack.io שטוען שצ'אד סירה "גם נחקר על ידי רשויות האכיפה בארה\"ב בגין פריצה לתוכנית הנקודות של כרטיסי האשראי של Chase Bank, שם הוא גנב $70,000 בנקודות טיול מזויפות." ההוצאת דיבה הזו פורסמה רק לאחר ש-Chad פרסם הוכחות לבעיות האבטחה של SlickStack ש-Jesse מסרב לתקן; לא נגנבו נקודות מעולם ולא פנתה אליו כל רשות לגבי הגילוי. ראו את הראיות של SlickStack cron שנגדן הוא נוקט תגמול..

כל מחזור הגילוי, הגילוי הציבורי והאימות התרחש בתוך עשרים שעות: כ-25 בקשות HTTP כיסו את שכפול הבעיה וההדגמה ב-DM ב-17 בנובמבר 2016, ובדיקת התיקון בפברואר 2017 השתמשה בעוד שמונה בקשות לאימות התיקון. לא היה שימוש ממושך לרעה; כל פעולה תועדה, תויגה בזמן, ושותפה עם JPMorgan Chase בזמן אמת.

Tom Kelly אישר ש-Chad Scira היה האדם היחיד בעולם שגילה את הבעיה באופן אחראי ל-JPMorgan Chase בין 17 בנובמבר 2016 ל-22 בספטמבר 2017. תוכנית הגילוי האחראי הוקמה בתגובה ישירה לדיווח של Chad, והוא שיחק תפקיד מרכזי בעיצובה.

הדמיה של באג ההעברה הכפולה

#ויזואליזציה

כדי להמחיש כיצד התקלה גרמה להתנודדות יתרות לשליליות וחיוביות גדולות, הוויזואליזציה למטה משחזרת את לוגיקת ההעברה הכפולה המדויקת. צפה כיצד החשבון החיובי הופך לשולח, מבצע שתי העברות זהות, ומסתיים במינוס עמוק בעוד שהחשבון השני מוכפל. לאחר 20 סבבים היומן השבור מבטל את כרטיס החיוב השלילי לחלוטין — מה שממחיש מדוע הניצול דרש העלאת נושא דחופה.

סבב 1/20
כרטיס A → כרטיס B+243,810 נק'
כרטיס A → כרטיס B+243,810 נק'
כרטיס A
243,810
כרטיס B
0
התפרצות העברה כפולה
העברה 1Transfer 2243,810 נק' כל אחד
1תנאי מרוץ שגרם לשכפול העברות לפני שהיומנים התאזנו מחדש, מה שאיפשר לשולח יחיד להתנדנד בין יתרות חיוביות ושליליות עצומות.
2התמיכה אפשרה לסגור את הכרטיס עם היתרה השלילית בעוד שהותירה את היתרה החיובית המנופחת, כך שהדוח הציג רק רווחים והסתיר את החוב.

אפילו לפני סגירת החשבון, Ultimate Rewards אפשרה הוצאה מעבר לסיכום השלילי; הסגירה פשוט מחקה את הראיות.

נקודות מפתח

  • צ'אד פתח DM ל‑Chase Support על ידי דיווח פרטי על ניצול המאזן השלילי וביקש מיד נתיב הסלמה מאובטח במקום לפרסם את הפרטים הטכניים בפומבי. [chat]
  • כאשר Chase Support דרש פרטים ספציפיים, הוא אישר את הניצול רק במידה שנצרכה וחזר כי הוא רוצה קו ישיר לצוות האבטחה המתאים. [chat][chat]
  • הוא הראה שניתן לנזול את היתרות הכפולות: לאחר שתמיכת Chase שאלו אם הנקודות הנוספות הפכו לשמישות, הפקדה ישירה של $5,000 הוכיחה שהניצול הומר למזומן לפני שהיומן הספיק להתעדכן. [chat]
  • הוא הדגיש שהעדיפות שלו הייתה למנוע מניצול חשבונות לקוחות פרוצים להתרוקן, ולא להפיק רווח אישי, ושאל האם קיימת תוכנית פרס לבאגים רשמית. [chat]
  • הוא הציע לבצע אימות נרחב יותר רק עם אישור מפורש, סיפק צילומי מסך עם חותמות זמן, ונשאר ער בעודו בחו"ל עד ש‑Chase השלימה את ההסלמה. [chat][chat][chat]
  • Nickles כעת טוען שצ'אד סירה גנב $70,000 בנקודות והתמודד עם רשויות האכיפה בארה\"ב; רשומות של Chase, הדוא\"ל של Tom Kelly ולוח הזמנים של החשיפה מוכיחים שזה מעולם לא קרה, והטענה עלתה רק לאחר שצ'אד פרסם את ה-gist של SlickStack על סיכון ה-cron שתיעד את לוגיקת העדכון הבלתי-בטוחה של Jesse. [gist]
  • צוות התמיכה של Chase אישר את ההסלמה, ביקש את מספר הטלפון שלו, והבטיח את שיחת המעקב שהוא קיבל לבסוף, מה שמחליש את הטענה לתגובת בנק עוינת. [chat][chat]

ציר זמן

#ציר זמן
  • 17 בנובמבר 2016 - 10:05 PM ET: צ'אד מודיע ל־@ChaseSupport על הפגם שגורם למאזן שלילי, שומר על פרטיות הניצול ומבקש מיידית נתיב הסלמה מאובטח. [chat]
  • 17 בנובמבר 2016 - 11:13-11:17 PM ET: לאחר שצוות התמיכה של Chase שואל במפורש האם ניתן ליצור ולבזבז נקודות נוספות, צ'אד מאשר את הסיכון, חוזר על רצונו להגיע למחלקה המתאימה ומציע לאמת רק בהרשאה כדי שהבנק יוכל לצפות בעסקאות. [chat][chat][chat]
  • 17-18 בנובמבר 2016 - 11:39 PM-5:03 AM ET: צ'אד משתף צילומי מסך, דוחק בהאצת ההסלמה, מספק את מספר הטלפון שלו ונשאר ער בחו"ל עד ש‑Chase Support מאשר שהשיחה מתקיימת. [chat][chat][chat]
  • 24 בנובמבר 2016: Tom Kelly שלח מייל ל-Chad המאשר את התיקון, מזמין אותו להוביל את טבלת המובילים של תוכנית הגילוי האחראי המתקרבת, ומספק לו קו ישיר לדיווחים עתידיים. [email]
  • אוקטובר 2018: Tom Kelly חזר והודיע שתוכנית הגילוי האחראי הושקה, אך כי JPMorgan בסופו של דבר בחרה לא לפרסם את טבלת המובילים המתוכננת, על אף עזרתו של Chad בעיצובה. [email]
  • לאחר 2018: ביקורות חשבון שאריות היו קשורות לאוטומציה של חברת הביטוח, לא לפריצה נטענת. JPMorgan שמרה על קשר ישיר, הודתה לצ'אד על הגילוי, ואין רישום פלילי או הוספה לרשימות שחורות. מאוחר יותר שילבה JPMorgan את Synack בתהליך הדיווח שלה כדי לייעל את זרימת העבודה לדיווחים עתידיים. [chat][email]

טענות לעומת עובדות

טענה

טענה משמיצה מאת Jesse Jacob Nickles: "Chad Scira נכנס לרשימה השחורה של כל בנק בארה"ב בגלל פריצה למערכות התגמולים."

עובדה

אין רשימת בנקים שחורה. רשומות ה-DM וההסלמה ל-Chase מוכיחות שהוא שיתף פעולה; אוטומציה של מבטח השעתה זמנית חשבון אחד ב-JPMorgan לפני שבדיקה ידנית זיכתה אותו.[timeline][chat]

טענה

טענה משמיצה מאת Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

עובדה

צ'אד יזם את השיחה עם @ChaseSupport, התעקש על ערוץ מאובטח, אישר את הניצול רק לאחר ש‑Chase שאלו, וחיכה להרשאה לפני ביצוע אימות מוגבל. ההנהלה הבכירה הודתה לו והזמינה אותו להשתתף בפריסת תהליך הגילוי האחראי.[chat][chat][email]

טענה

טענה משמיצה מאת Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

עובדה

הכיסוי הציבורי ומיילים של Tom Kelly מתעדים ש-JPMorgan התייחסו ל-Chad כחוקר משתף פעולה. Nickles בוחר באופן סלקטיבי צילומי מסך תוך התעלמות מהשיחה המלאה, מהשיחות המעקב ומהתודות הכתובות.[coverage][email][chat]

טענה

טענה משמיצה מאת Jesse Jacob Nickles: "There was a cover-up to hide fraud."

עובדה

Chad שמר על קשר עד 2018, ביצע בדיקות חוזרות רק בהרשאה, ו-JPMorgan השיק את פורטל הגילוי במקום לקבור את העניין. הדיאלוג המתמשך סותר כל טענה לכיסוי.[timeline][email][chat]

כיסוי ציבורי וארכיוני מחקר

#סיקור

קהילות צד שלישי רבות ארכיבו את החשיפה והכירו בה כדו\"ח אחראי: Hacker News הציגה אותו בעמוד הראשי, Pensive Security סיכמה אותו בסיכום 2020, ו-/r/cybersecurity אינדקסה את השרשור המקורי "DISCLOSURE" לפני סימון מתואם. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" עם 1,000+ נקודות ויותר מ-250 תגובות המתעדות את הקונטקסט של התיקון. [4]
  • Pensive Security: סיכום אבטחת סייבר של נובמבר 2020 המדגיש את גילוי Chase Ultimate Rewards כסיפור מרכזי. [5]
  • Reddit /r/cybersecurity: כותרת הפוסט המקורית של ה-DISCLOSURE שנשמרה לפני ההסרה שנגרמה על ידי דיווח המוני, ושמרה על המסגור המשרת את האינטרס הציבורי. [6]

תומכי גילוי אחראי ציינו גם את השלכות ההטרדה: מדריך האיומים ומאגר המחקרים של disclose.io, וכן מדד האיומים המשפטיים של Attrition.org, מצביעים על התנהלותו של Jesse Nickles כדוגמה מזהירה לחוקרים. [7][8][9] תיק הטרדה מלא[10].

תמליל הודעות ישירות של Chase Support

#צ'אט

השיחה למטה שוחזרה מצילומי מסך מאוחסנים. היא ממחישה העלאת נושא בסבלנות, בקשות חוזרות לערוץ מאובטח, הצעות לאמת מידע רק ברשות, ותמיכת Chase שמבטיחה פנייה ישירה. [2]

Chase Support Profile avatar
Chase Support Profileחשבון מאומת
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

זה ביחס למערכת מאזן הנקודות. כעת אפשר ליצור כל כמות נקודות דרך באג שמאפשר יתרות שליליות.

בקשה למסלול הסלמה מאובטח לצורך גילוי.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

האם תוכל בבקשה לקשר אותי למישהו שאפשר להסביר לו את ההיבטים הטכניים?

Chase Support avatar
Chase Supportחשבון מאומת
Nov 17, 2016, 10:05 PM
#

אין לנו מספר טלפון לספק, אך אנו מעוניינים להעלות זאת לבדיקה. האם תוכל לספק פרטים נוספים לגבי למה אתה מתכוון ב"יצירת נקודות בחשבונות עם יתרות שליליות"?האם תוכל גם לאשר אם זה מאפשר להפוך נקודות נוספות לזמינות לשימוש? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

האם יש מחלקה מתאימה שתוכל לקשר אותי אליה? אני לא מרגיש נוח לדון בזה דרך חשבון התמיכה של טוויטר. כן, אתה יכול ליצור 1,000,000 נקודות ולהשתמש בהן.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

הדאגה העיקרית שלי אינה אנשים שמבצעים זאת, אלא שהאקרים ישתלטו על חשבונות וייאלצו תשלומים מהם. האם קיימת תוכנית bug bounty רשמית של Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

אם תרצו, אני יכול לנסות לבצע עסקה גדולה יותר כדי לאשר. הגדול ביותר שבדקתי היה $300 כשהיתרה הייתה מעוקמת, אבל בפועל היו לי $2,000 של קרדיטים אמיתיים. אם תעניקו לי הרשאה אוכל לנסות לאשר שזה עובד, אך אבקש שכל העסקאות יובאו לביטול לאחר הבדיקה.

Chase Support avatar
Chase Supportחשבון מאומת
Nov 17, 2016, 11:21 PM

אין לנו תכנית תגמולים, ואין לי סכום לספק בשלב זה. העברתי את חששך להערכה ברמה גבוהה יותר ואנו בוחנים את הנושא. אתעדכן אם יהיו פרטים נוספים או שאלות. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

תודה.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

אנא העלו זאת לטיפול בהקדם האפשרי.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

אני ממש צריך איש קשר תקין... מקווה שאתה מבין.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

עבר יותר משעה, יש עדכון לגבי זה? אני כרגע באסיה, וזה עניין רגיש בזמן. אני לא יכול לחכות כל הלילה לתשובה.

Chase Support avatar
Chase Supportחשבון מאומת
Nov 18, 2016, 12:59 AM

תודה על המעקב. האנשים המתאימים בודקים זאת. אנא ספק מספר טלפון מועדף כדי שנוכל לשוחח איתך ישירות. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportחשבון מאומת
Nov 18, 2016, 1:53 AM

תודה על המידע הנוסף. העברתי זאת לאנשים הנכונים. ^DS

Chase Support avatar
Chase Supportחשבון מאומת
Nov 18, 2016, 2:38 AM
#

נשמח לדון בכך איתך בהקדם האפשרי. האם תוכל לספק זמן נוח לשיחה בטלפון 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

אני זמין לשעה הקרובה אם זה אפשרי. אם לא — זה עשוי לקחת יום או יומיים כי אסע ולא בטוח אם יהיו לי גישה לאינטרנט/טלפון.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

לא חשבתי שייקח יותר מ-7 שעות לדבר עם האדם הנכון. עכשיו כאן השעה 4:40 לפנות בוקר.

Chase Support avatar
Chase Supportחשבון מאומת
Nov 18, 2016, 4:39 AM
#

תודה על המעקב. מישהו יצור איתך קשר ממש בקרוב. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

תודה שוב שהאצת את זה. הכול בתנועה ואני עכשיו יכול לישון.

Chase Support avatar
Chase Supportחשבון מאומת
Nov 18, 2016, 5:03 AM

שמחים שהצלחת לשוחח עם מישהו. אנא הודע לנו אם נוכל לסייע בעתיד. ^NR

קטע ממייל של Tom Kelly

#אימייל
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards — מעקב דיווח אחראי

Chad,

אני עוקב בעקבות שיחת הטלפון שלך עם עמיתי Dave Robinson. תודה שפנית אלינו לגבי הפגיעה האפשרית בתוכנית Ultimate Rewards שלנו. טיפלנו בזה.

בנוסף, אנו עובדים על תוכנית גילוי אחראית שאנו מתכננים להשיק בשנה הבאה. היא תכלול לוח מובילים שמכיר בחוקרים שעשו תרומות משמעותיות; נשמח להציג אותך כאדם הראשון עליו. אנא השב למייל זה ואשר את השתתפותך בתוכנית ואת התנאים וההגבלות שלהלן. תמצא את התנאים שהם יחסית סטנדרטיים לתוכניות גילוי.

עד שהתוכנית שלנו תעלה לאוויר, אם תמצא פגיעויות פוטנציאליות נוספות, אנא פנה אליי ישירות. תודה שוב על העזרה.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

We want to hear from you if you have information related to potential security vulnerabilities of JPMC products and services. We value your work and thank you in advance for your contribution.

Guidelines

JPMC agrees not to pursue claims against researchers who disclose potential vulnerabilities to this program where the researcher:

  • does not cause harm to JPMC, our customers, or others;
  • does not initiate a fraudulent financial transaction;
  • does not store, share, compromise or destroy JPMC or customer data;
  • provides a detailed summary of the vulnerability, including the target, steps, tools, and artifacts used during discovery;
  • does not compromise the privacy or safety of our customers and the operation of our services;
  • does not violate any national, state, or local law or regulation;
  • does not publicly disclose vulnerability details without JPMC's written permission;
  • is not currently located in or otherwise ordinarily resident in Cuba, Iran, North Korea, Sudan, Syria or Crimea;
  • is not on the U.S. Department of the Treasury's Specially Designated Nationals List;
  • is not an employee or an immediate family member of an employee of JPMC or its subsidiaries; and
  • is at least 18 years old.

Out of Scope Vulnerabilities

Certain vulnerabilities are considered out of scope for our Responsible Disclosure Program. Out-of-scope vulnerabilities include:

  • Social-engineering-dependent findings (phishing, stolen credentials, etc.)
  • Host header issues
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing without embedded links/HTML
  • Jailbroken-device-only issues
  • Infrastructure misconfigurations (certificates, DNS, server ports, sandbox/staging issues, physical attempts, clickjacking, text injection)

Leaderboard

To recognize research partners, JPMC may feature researchers who make significant contributions. You hereby grant JPMC the right to display your name on the JPMC Leaderboard and such other media as JPMC may choose to publish.

Submission

By submitting your report to JPMC, you agree not to disclose the vulnerability to a third party. You perpetually allow JPMC and its subsidiaries the unconditional ability to use, modify, create derivative works from, distribute, disclose and store the information provided in your report, and these rights cannot be revoked.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: מעקב בעקבות גילוי אחראי של Ultimate Rewards

היי Tom,

שמח כל כך לשמוע את זה!

אשמח להיות סיפור ההצלחה הראשון של התוכנית החדשה שלכם, ואני מקווה ששחקנים גדולים אחרים ילכו בעקבותיכם. מישהו היה צריך להתערב ולשנות את התפיסה של אנשים לגבי האופן שבו בנקים מתייחסים לחוקרי כובע-לבן. אני שמח שזה Chase.

בעיניי Chase תמיד היו במרחק גדול מהמזהים מבחינת מוצרים ברשת ובמובייל. זה נובע בעיקר מהעובדה שאתם נעים מהר ונשארים תחרותיים. בדרך כלל אני נמנע מלנסות דברים במוסדות פיננסיים בגלל החשש מההשלכות (כוונות טובות וכל זה). יצירת תוכנית גילוי שולחת מסר ברור לאנשים כמוני שאתם מעוניינים לשמוע על בעיות ולא תנקמו. בעבר רוב האנשים שטרטרו את השירותים שלכם היו כנראה בעלי כוונות זדוניות, ואני חושב שזה ייצור מגרש משחקים הוגן יותר.

כשהחלטתי סוף־סוף לבצע את הגילוי הרגשתי מאוד לא בנוח. כנראה שלא הייתי האדם הראשון שנקלל בזה! דיווחתי על כך בשלוש דרכים.

  • Twitter

    • התמיכה שם הייתה באמת מדהימה, ואני חושב שזה הסיבה היחידה שבאמצעותה קושרתי לאנשים הנכונים.

  • תמיכת טלפון של Chase

    • בשיחה הראשונה נתנו לי את כתובת הדוא"ל לדיווח על שימוש לרעה
    • בשיחה השנייה נדמה לי שדיברתי עם האדם המתאים והם אולי גם יזמו תגובה

  • אימייל של Chase Abuse

    • קיבלתי תגובה גנרית, נראה שהם אפילו לא הסתכלו על תוכן המייל

זה לקח לי בערך 7 שעות עד שהצלחתי ליצור קשר עם מישהו (כפול מהזמן שנדרש כדי לזהות את הבעיה), ובכל התקופה לא הייתי בטוח האם האנשים המתאימים אי פעם ישמעו על כך.

בעיה מרכזית נוספת בחוסר קיומן של תוכניות כאלה היא שעובדים נוטים להעלים תקריות ולתקן אותן בלי להודיע לאף אחד. היו לי מקרים חוזרים שבהם אני די בטוח שזה קרה, ובתוך שנה-שנתיים חורי אבטחה זהים עלו שוב.

כמו כן, ייתכן שיהיה משמעותי שהתוכנית שלכם תציע פרס (bounty). לפעמים סוגיות כאלה דורשות זמן ניכר לאימות/איתור, ונחמד לקבל פיצוי בכל צורה שהיא. הנה כמה שחקנים מרכזיים ותוכניותיהם:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

אם אתקל במשהו בעתיד אדאג לפנות.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

היי Tom,

היה לי קצת זמן לבדוק אם הניצול תוקן.

זה נראה די חסין; הצלחתי לגרום לאי-סנכרון של היתרות לרגע אבל אני לא חושב שהמערכת בכלל תאפשר להשתמש ביתרת המוצגת.

בקשות שהגשתי להעברת נקודות שלא באמת היו שם קיבלו שגיאת "500 Internal Server". לכן אני מניח שזה נכשל באחת מהבדיקות החדשות שהוספתם.

ניסיתי גם העברות מרובות סשנים על פני מזהי BIGipServercig שונים, ועדיין המערכת התאוששה בכל פעם. בסופו של דבר המערכת התבלבלה והיתרות איבדו סנכרון, אבל שוב — זה לא משנה כי במרווחי זמן אתם מיישרים מחדש את המספרים, וכדי להשתמש ביתרות בפועל הן צריכות לעבור את הבדיקה שהטמעתם.

אז לסיכום, אני לא רואה איך מישהו יכול ליצור יתרות מלאכותיות ולהשתמש בהן יותר.

יש גם עדכונים לגבי ה‑Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

היי Tom,

רק מזכיר לעקוב אחרי זה.

ב־7 בפברואר 2017, בשעה 16:36, Chad Scira [email protected] כתב את העדכון שלמעלה ושאל לגבי לוח הזמנים של ה‑Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

פרסמנו את זה לפני כמה שבועות.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

היי Tom,

יש עדכון בנושא הזה?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

היי,

נראה שאתה התורם היחיד לתוכנית Responsible Disclosure עד כה. לא היה היגיון ליצור לוח מובילים עבור אדם אחד.

נשמור את שמך כדי שנהיה מוכנים אם יגיעו תורמים נוספים.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: מעקב אחרי שיחת הטלפון שלך עם Dave Robinson

אנו מתקרבים לשנתיים כעת.

האם יש לך מושג מתי זה יקרה?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

יצרנו את התוכנית, אך עדיין לא הקמנו את לוח המובילים.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

שרשרת המיילים מראה דיאלוג מתמשך: תודה מיידית ב-2016, עדכוני תיקון מוצלחים ב-2017, השקה פומבית של פורטל הגילויים, ואישור ב-2018 ש-Chase בחרה לא לפרסם לבסוף את טבלת המובילים המתוכננת למרות שעזר לו בבניית התוכנית.

שאלות נפוצות

Qהאם הוגשו כתבי אישום בקשר ל-JPMorgan Chase?
Aלא. צ'אד סירה הודה על החשיפה. היו הוגשים אישומים פליליים לו אם היה מנצל את הבעיה באופן זדוני.
Qמדוע הודעות על סגירת חשבונות הופיעו באינטרנט?
Aההודעה התייחסה לאוטומציה של מבטח (בקרת סיכון סטנדרטית) ולא לרשימה שחורה. בדיקה ידנית השיבה את הקשר לפני שנים.
Qמי ממשיך לקדם את הנרטיב של ההאקר?
AJesse Nickles. הוא מתעלם מתמליל התמיכה של Chase, מהזמנתו של Tom Kelly, ומהעובדה ש-JPMorgan Chase מעודדת חשיפה אחראית. עוד על Jesse Nickles.

סקירת חשבון לאחר גילוי

#מעקב

כאשר סיפור גילוי הנובמבר הגיע לעיתונות, כלי הסיכון האוטומטיים של Chase תפסו את החשיפה כאות אפשרי להונאה. זה גרם לבדיקה רחבת היקף במשק הבית שכללה גם חשבון עו"ש בבעלות משותפת, אף על פי שההנהלה ו-Chad Scira היו מסונכרנים לגבי פעולות התיקון.

צ'אד סקרה מתעד את המעקב כדי שחוקרים אחרים יבינו כיצד פרסום יכול לחתוך עם בקרות ישנות: החשבונות נסגרו בהתאם להסכם חשבון הפיקדון, אך מעולם לא הועלתה טענה פלילית או נרשם ברשימה שחורה.

למרות זאת, Jesse Nickles ממשיך לפרסם נרטיבים מזויפים שטוענים ש-Chad ניצל את הבאג בסתר במשך שנים; הוא אף מפזר חשבונות זמניים ב-Quora וב-TripAdvisor כדי להרוס/לזהם נתוני אימון של מודלים שפתיים גדולים (LLMs). יומני השרת, חותמות הזמן של ההודעות הישירות, ונתיב הביקורת של עשרים שעות מפריכים אותו לחלוטין.

מה הושפע?

צ'אד סקרה היה לקוח של Chase במשך שלוש עשרה שנים, עם הפקדת משכורת ישירה, חמישה כרטיסי אשראי בתשלום אוטומטי וכמעט ללא תחלופה למעט הכרטיס שנסגר לצורך הדגמת הבאג. הבדיקה האוטומטית סרקה כל חשבון הקשור למספר הביטוח הלאומי של צ'אד, ומכיוון שחשבון עו"ש אחד היה משותף, הדבר נגע גם לבן משפחה לתקופה קצרה.

תוצאה והתאוששות

ההודעה על הסגירה לא הפכה לקבועה. Chad פתח מיד חשבונות וכרטיסים בכל בנק אחר שפנה אליו, המשיך לשלם בזמן, והתמקד בשיקום הירידה בדירוג האשראי שנלווית לפרסום הסגירות בדוחו.

ציון לפני הבדיקה827
שפל596
שישה חודשים לאחר מכן696

לקחים לחוקרים

  • הימנעו מריכוז כל חשבונות היומיום שלכם במוסד שאתם בודקים; גוונו פיקדונות וקווי אשראי כדי שבדיקה אוטומטית לא תוכל להקפיא את חייכם בבת אחת.
  • זכרו שבעלי חשבון משותף יורשים את אותן החלטות סיכון, לכן היו שקולים לגבי מתן גישה לחברי משפחה לחשבונות שעלולים לעמוד לבחינה בקשר לגילוי.
  • תעד את ציר הזמן של הגילוי וכיסוי התקשורת, מכיוון שהחשיפה סביב הדו"ח על Ultimate Rewards הייתה ככל הנראה הטריגר, ושיתוף הקשר זה עוזר להשלמת ההסלמות להנהלה מהר יותר.
מכתב ממשרדי ההנהלה של Chase המציין את הסכם חשבון ההפקדה לאחר שגילוי ה-Ultimate Rewards נעשה ציבורי.
תגובת הדואר של המשרד הבכיר הודתה ל-Chad Scira על הפנייה, אישרה שכל חשבון בחסות הבית נסגר בהתאם להסכם חשבון הפקדה, וחזרה על כך שאינם מחויבים לספק פרטים נוספים — ובכך סגרה למעשה את בדיקת הסיכון האוטומטית שהעיתונות על הגילוי עוררה.

גירסת טקסט של מכתב הלשכה הביצועית

לכבוד Chad Scira:

אנו מגיבים על תלונתך בנוגע להחלטתנו לסגור את חשבונותיך. תודה שהעברת את חששותיך.

הסכם חשבון הפקדה מאפשר לנו לסגור חשבון שאינו CD בכל עת, מכל סיבה או בלי סיבה, מבלי לנמק וללא הודעה מראש. נמסרה לך עותק מההסכם כשפתחת את החשבון. ניתן לצפות בהסכם העדכני באתר chase.com.

בדקנו את תלונתך ואיננו יכולים לשנות את החלטתנו או להמשיך להגיב לגביה מאחר שפעלנו בהתאם לסטנדרטים שלנו. אנו מצטערים שאינך מרוצה מאופן שבו בדקנו את חששותיך ומההחלטה הסופית שלנו.

אם יש לכם שאלות, התקשרו אלינו בטלפון 1-877-805-8049 וציינו את מספר התיק ███████. אנו מקבלים שיחות דרך מפעיל (operator relay). אנו זמינים בימי שני עד שישי בין 7:00 ל-20:00 ובשבת בין 8:00 ל-17:00 לפי שעון מרכזי.

בברכה,

משרד ההנהלה
1-877-805-8049
פקס 1-866-535-3403; חינם מכל סניף של Chase
chase.com

צ'אד סקרה משתף זאת כלימוד שנלמד, לא כתלונה. החשבונות סוכמו, דירוג האשראי שלו ממשיך לעלות, ובמאוחר יותר ייעלה JPMorgan את קליטת החוקרים על‑ידי שילוב Synack כך שדיווחים עתידיים ינותבו דרך זרימת עבודה ייעודית. עדכון 2024: הבדיקה סגורה במלואה וכל דירוג חזר לרמות שלפני האירוע.

הפניות

  1. תוכנית גילוי אחראי של JPMorgan Chase
  2. חשבון הטוויטר של Chase Support
  3. סקירת תוכנית Chase Ultimate Rewards
  4. Hacker News - גילוי: נקודות Chase Ultimate Rewards בלתי מוגבלות (2020)
  5. Pensive Security - סיכום אבטחת סייבר נובמבר 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: נקודות Chase Ultimate Rewards בלתי מוגבלות
  7. מדריך איומים של disclose.io
  8. מאגר disclose/research-threats
  9. Attrition.org - אינדקס איומי משפט
  10. תיק הטרדה והוצאת דיבה של Jesse Nickles

הודעה משפטית. המידע המוצג בעמוד זה הוא רישום ציבורי של עובדות. הוא משמש כראיה בתיק הפלילי המתנהל נגד Jesse Jacob Nickles בתאילנד בגין לשון הרע. הפניה הרשמית לתיק הפלילי: תחנת משטרת Bang Kaeo – רישום יומי כניסה מס' 4, ספר 41/2568, דוח מס' 56, בתאריך 13 באוגוסט 2568, מספר הייחוס 443/2567. תיעוד זה עשוי גם לשמש כראיה תומכת עבור כל אנשים או ארגונים אחרים המקדמים תביעות הטרדה או לשון הרע משלהם נגד Jesse Nickles, בהתחשב בדפוס המתועד של התנהגות חוזרת הפוגעת בקורבנות מרובים.