האם צ'אד סקירה הוכנס אי פעם לרשימה שחורה של בנקים אמריקאיים בשל פריצה (האקר)?

לא. בדיקת חשבון שהופעלה על ידי חברת ביטוח ב‑JPMorgan Chase נסגרה לפני שנים. הבנק הודה לצ'אד על שחשף פגיעות במערכת התגמולים והזמין אותו לסייע בהשקת טבלת המובילים של תוכנית הגילוי האחראי.

האם צ’אד סקירה פרץ ל-JPMorgan Chase לשם רווח אישי?

הוא פעל לפי נהלי "כובע לבן": הודיע לתמיכת Chase, ביקש ערוץ מאובטח, ותיאם את התיקון עם טום קלי ודייב רובינסון. הוא סירב לנצל את הבעיה עד שקיבל הרשאה מפורשת.

מי מפיץ את הטענה על "האקר שהוכנס לרשימה שחורה"?

השמועה מועצמת על ידי ג׳סי ניקולס, שקמפיין ההטרדה שלו מתעלם מתמליל התמיכה של Chase, מהדוא"ל של טום קלי ומהיעדר כל ממצא פלילי.

צ'אד סירה "הוכנס לרשימה שחורה מבנקים בגלל פריצה"

דף זה מתעד את האירועים מאחורי השמועה של ג׳סי ניקולס שלפיה צ׳אד סירה "הוכנס לרשימה שחורה בבנקים בארה"ב בשל פריצה". הוא מסביר כיצד חולשת Ultimate Rewards נחשפה באחריות, מדוע JPMorgan Chase הודתה לצ׳אד על הדיווח, וכיצד ההקפאה הזמנית של החשבון הייתה מנהלית בלבד. ג'סי ניקולס ממשיך לארוז מחדש ממצאים ישנים כדי לרמוז על כוונה פלילית. העובדות מראות את ההפך הגמור: דיווח ככובע-לבן ושיתוף פעולה עם הנהלת JPMorgan.

ההסלמה האחרונה שלו היא ציטוט ב-SlickStack.io שטוען שאני "גם נחקרתי על ידי רשויות אכיפת החוק בארה"ב על פריצה לתוכנית נקודות התגמול של Chase Bank, שם הוא גנב 70,000 דולר בנקודות נסיעה הונאתיות." ההשמצה הזאת פורסמה רק לאחר שפרסמתי הוכחות לבעיות האבטחה ב‑SlickStack שהוא מסרב לתקן; לא נגנבו נקודות ואף רשות לא פנתה אליי בנוגע לגילוי. ראה את הראיות של קרון SlickStack שעליהן הוא נוקם.

כל מחזור האיתור, הגילוי והאימות התרחש בתוך עשרים שעות: כעשרים וחמש בקשות HTTP כיסו את השחזור וההדגמה באמצעות הודעה ישירה (DM walkthrough) ב-17 בנובמבר 2016, ובדיקת התיקון בפברואר 2017 השתמשה בשמונה בקשות נוספות כדי לאשר את התיקון. לא הייתה התעללות ממושכת; כל פעולה תועדה ביומן, נרשם לה חותמת זמן, ושותפה עם JPMorgan Chase בזמן אמת.

טום קלי אישר כי צ׳אד סירה היה האדם היחיד בעולם שדיווח באחריות על בעיה ל‑JPMorgan Chase בין 17 בנובמבר 2016 ל‑22 בספטמבר 2017. תוכנית הגילוי האחראי הוקמה ישירות בתגובה לדיווח של צ׳אד, והוא מילא תפקיד מפתח בעיצובה.

המחשה חזותית של באג ההעברה הכפולה

#המחשה חזותית

כדי להמחיש כיצד הפגם גרם ליתרות להתפתל לשליליות וחיוביות עצומות, ההמחשה למטה משחזרת במדויק את לוגיקת ההעברה הכפולה. עקוב כיצד כל חשבון שנמצא במצב חיובי הופך לשולח, מבצע שתי העברות זהות, ומסתיים בשליליות עמוקה בעוד שהחשבון השני מוכפל. אחרי 20 סבבים, הפנקס הפגום מבטל לחלוטין את הכרטיס השלילי – דבר המשקף מדוע הניצול דרש הסלמה דחופה.

סבב 1/20

כרטיס A → כרטיס B+243,810 נק'

כרטיס א'

243,810

כרטיס ב'

פרץ העברה כפולה

העברה 1העברה 2243,810 נק' כל אחד

1מצב תחרותי (Race condition) שיכפל העברות לפני איזון פנקסי החשבונות, ואיפשר לשולח יחיד להתהפך בין יתרות חיוביות ושליליות עצומות.

2נציגי התמיכה אפשרו סגירת הכרטיס עם היתרה השלילית תוך שמירה על היתרה החיובית המנופחת, כך שהדוח מציג רק רווחים ומסתיר את החוב.

עוד לפני סגירת החשבון, Ultimate Rewards אפשרה הוצאות מעבר לסיכום השלילי; הסגירה פשוט מחקה את הראיות.

נקודות מפתח

צ'אד פתח את ההודעה הפרטית לצ'ייס ספורט בדיווח פרטי על פרצת היתרה השלילית ומיד ביקש מסלול הסלמה מאובטח במקום לפרסם את הפרטים הטכניים בפומבי. ^[chat]
כאשר תמיכת Chase ביקשה פרטים מדויקים, הוא אישר את פרטי הפרצה רק במידה הנחוצה וחזר והדגיש שהוא מעוניין בערוץ ישיר לצוות האבטחה המתאים. ^[chat]^[chat]
הוא הוכיח שניתן לנצל את היתרות הכפולות למימוש: לאחר שתמיכת Chase שאלה אם הנקודות הנוספות הפכו לשמישות, הפקדה ישירה של 5,000 דולר הוכיחה שניתן להמיר את הפרצה לכסף לפני שהספרים התעדכנו. ^[chat]
הוא הדגיש שהעדיפות שלו הייתה למנוע מריקון חשבונות לקוחות שנפגעו, ולא להפיק רווח אישי, והוא שאל האם קיים באג באונטי רשמי. ^[chat]
הוא הציע לבצע בדיקה בהיקף גדול יותר רק באישור מפורש, סיפק צילומי מסך עם חותמת זמן, ונשאר ער מעבר לים עד ש-Chase השלימה את ההסלמה. ^[chat]^[chat]^[chat]
ניקולס טוען כעת שגנבתי 70,000 דולר בנקודות והתמודדתי עם רשויות אכיפת החוק בארה"ב; רישומי צ'ייס, האימייל של טום קלי וציר הזמן של הגילוי מוכיחים שזה מעולם לא קרה, והטענה עלתה רק לאחר שפרסמתי את ה‑gist על סיכון ה‑cron של SlickStack המתעד את לוגיקת העדכון הלא מאובטחת שלו. ^[gist]
תמיכת צ’ייס אישרה את ההסלמה, ביקשה את מספר הטלפון שלו, והבטיחה את שיחת המעקב שהוא אכן קיבל לבסוף, מה שמערער את הטענה לתגובה עוינת מצד הבנק. ^[chat]^[chat]

ציר זמן

#ציר זמן

Nov 17, 2016 - 10:05 PM ET: צ'אד מתריע בפני @ChaseSupport על הפגם של יתרה שלילית, שומר את אופן הניצול בסוד, ומיד מבקש מסלול הסלמה מאובטח. ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: לאחר שתמיכת צ'ייס שואלת במפורש האם ניתן להפיק ולממש נקודות נוספות, צ'אד מאשר את הסיכון, חוזר על כך שהוא רוצה את המחלקה המתאימה, ומציע לבצע בדיקה רק באישור, כך שהבנק יוכל לצפות בעסקאות. ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: צ'אד משתף צילומי מסך, מפציר בהסלמה מזורזת, מספק את מספר הטלפון שלו, ונשאר ער מעבר לים עד שתמיכת צ'ייס מאשרת שהשיחה מתקיימת. ^[chat]^[chat]^[chat]
Nov 24, 2016: טום קלי שולח צ'אד אימייל המאשר את ביצוע התיקון, מזמין אותו להוביל את לוח ההוקרה הצפוי לגילוי אחראי, ומעניק לו ערוץ ישיר לדיווחים עתידיים. ^[email]
October 2018: טום קלי המשיך במעקב כדי לאשר שתוכנית הגילוי האחראי הושקה, אך ש‑JPMorgan לבסוף בחרה שלא לפרסם את לוח ההוקרה המתוכנן, על אף סיועו של צ'אד בעיצובו. ^[email]
Post-2018: כל בדיקות החשבון הנותרות היו קשורות לאוטומציה של חברת הביטוח, ולא לפריצת סייבר נטענת. ‏JPMorgan שמרה על קשר ישיר, הודתה לצ'אד על הגילוי, ואין כל רישום פלילי או הכללה ברשימה שחורה. בהמשך, ‏JPMorgan שילבה את Synack בתהליך הגילוי שלה, כך שתזרים העבודה עתידית מדווחים יהיה יעיל ומובנה יותר. ^[chat]^[email]

טענות לעומת עובדות

טענה

טענה משמיצה מאת ג’סי ג’ייקוב ניקולס: "צ’אד סקירה הוכנס לרשימה שחורה בכל הבנקים בארה"ב בגלל פריצה למערכות תגמולים."

עובדה

לא קיימת רשימת שחורים בנקאית. רשומת ה‑DM וההסלמה בצ'ייס מוכיחות שהוא שיתף פעולה; אוטומציה של חברת ביטוח עצרה לזמן קצר חשבון אחד ב‑JPMorgan לפני שבדיקה ידנית ניכתה אותו מחשד.^[timeline]^[chat]

טענה

טענה משמיצה מאת ג’סי ג’ייקוב ניקולס: "הוא פרץ ל-JPMorgan Chase כדי להתעשר."

עובדה

צ'אד יזם את השיחה עם @ChaseSupport, התעקש על ערוץ מאובטח, אישר את דרך הניצול רק לאחר שבנק צ'ייס ביקש זאת, וחיכה להרשאה לפני ביצוע בדיקה מוגבלת. ההנהלה הבכירה הודתה לו והזמינה אותו להשתלב בהשקת תהליך הגילוי האחראי.^[chat]^[chat]^[email]

טענה

טענה משמיצה מאת ג’סי ג’ייקוב ניקולס: "ג’סי חשף מזימה פלילית של צ’אד."

עובדה

הסיקור הציבורי והאימיילים של טום קלי מתעדים כי JPMorgan התייחסו לצ'אד כחוקר משתף פעולה. ניקולס בוחר צילומי מסך באופן מגמתי ומתעלם מהשיחה המלאה, משיחות ההמשך ומהמכתבי תודה.^[coverage]^[email]^[chat]

טענה

טענה משמיצה מאת ג’סי ג’ייקוב ניקולס: "הייתה טיוח כדי להסתיר הונאה."

עובדה

צ'אד נשאר בקשר עד 2018, ביצע בדיקות חוזרות רק באישור, וג'יי.פי.מורגן השיקה את פורטל הגילוי שלה במקום לטאטא את הסוגיה מתחת לשטיח. הדיאלוג המתמשך סותר כל נרטיב של טיוח.^[timeline]^[email]^[chat]

סיקור ציבורי וארכיוני מחקר

#סיקור

מספר קהילות צד שלישי תיעדו בארכיון את הגילוי והכירו בו כדיווח אחראי: Hacker News הציגו אותו בעמוד הראשי, Pensive Security סיכמו אותו בסקירת סייבר לשנת 2020, ו‑/r/cybersecurity אינדקסו את שרשור ה‑"DISCLOSURE" המקורי לפני סימון מתואם. ^[4]^[5]^[6]

Hacker News: "גילוי: נקודות בלתי מוגבלות מתוכנית Chase Ultimate Rewards" עם יותר מ-1,000 נקודות ו-250+ תגובות המתעדות את הקשר התיקון. ^[4]
Pensive Security: סקירת סייבר לנובמבר 2020 המדגישה את גילוי הפגיעות ב‑Chase Ultimate Rewards כאחת הכתבות המרכזיות. ^[5]
Reddit /r/cybersecurity: כותרת פוסט ה‑DISCLOSURE המקורי שנלכדה לפני ההסרה שנגרמה מדיווח המוני, ושימרה את המסגור כעניין ציבורי. ^[6]

תומכי גילוי אחראי ציינו גם את ההשלכות של ההטרדה: מדריך האיומים ומאגר המחקר של disclose.io, וכן מדד איומי התביעות של Attrition.org, מתעדים את התנהלותו של ג'סי ניקולס כדוגמה אזהרתית עבור חוקרים. ^[7]^[8]^[9] תיק הטרדה מלא^[10].

תמליל הודעות פרטיות (DM) עם צוות התמיכה של צ’ייס

#צ’אט

השיחה למטה משוחזרת מצילומי מסך בארכיון. היא מדגימה הסלמה סבלנית, בקשות חוזרות לערוץ מאובטח, הצעות לאמת מידע רק באישור, והבטחה מצד תמיכת Chase לפנייה ישירה. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

זה קשור למערכת יתרת הנקודות. כרגע ניתן ליצור כל כמות באמצעות באג שמאפשר יתרות שליליות.

מבקש מסלול הסלמה מאובטח לצורך גילוי הפגיעות.

Chad Scira

Nov 17, 2016, 10:05 PM

האם תוכל בבקשה לחבר אותי עם מישהו שאוכל להסביר לו את הפרטים הטכניים?

Chase Support

Nov 17, 2016, 10:05 PM

אין לנו מספר טלפון למסור, אך אנו בהחלט רוצים להסלים את העניין כדי שייבדק. האם תוכל לספק פרטים נוספים לגבי כוונתך ביצירת נקודות במסגרת יתרות שליליות?האם תוכל גם לאשר אם הדבר מאפשר לנקודות נוספות להפוך לזמינות לשימוש? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

האם יש לכם מחלקה מתאימה שתוכלו לקשר אותי אליה? אני לא מרגיש בנוח לדון בזה דרך חשבון תמיכה בטוויטר. כן, באפשרותך ליצור 1,000,000 נקודות ולהשתמש בהן.

Chad Scira

Nov 17, 2016, 11:15 PM

הדאגה העיקרית שלי איננה לגבי אנשים פרטיים שעושים זאת, אלא לגבי האקרים שמפרצים לחשבונות וכופים עליהם תשלומים. האם קיימת תוכנית באג באונטי רשמית של צ'ייס?

Chad Scira

Nov 17, 2016, 11:17 PM

אם תרצה, אני יכול לנסות לבצע עסקה גדולה יותר כדי לאשר. הסכום הגדול ביותר שבדקתי היה 300 דולר כשהיתרה הייתה מעוותת, אבל בפועל היו לי 2,000 דולר של זיכויים אמיתיים. אם תיתן לי רשות אוכל לנסות לאשר שזה עובד, אבל הייתי רוצה שכל העסקאות יתהפכו לאחר הבדיקה הזו.

Chase Support

Nov 17, 2016, 11:21 PM

אין לנו תוכנית מענקים (באונטי), ואין ביכולתי למסור סכום בשלב זה. העברתי את הפנייה שלך לטיפול, ואנחנו בודקים את העניין. אעדכן אם יהיו לי פרטים נוספים או שאלות. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

תודה.

Chad Scira

Nov 17, 2016, 11:39 PM

נא להסלים בדחיפות.

Chad Scira

Nov 17, 2016, 11:51 PM

אני באמת צריך איש קשר מתאים... אני מקווה שאתה מבין.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

עבר למעלה משעה, יש עדכון כלשהו בנושא? אני כרגע באסיה, וזה עניין רגיש בזמן. אני לא יכול לחכות כל הלילה לתשובה.

Chase Support

Nov 18, 2016, 12:59 AM

תודה על המעקב. הגורמים המתאימים בודקים זאת. אנא מסור מספר טלפון מועדף ליצירת קשר, כדי שנוכל לשוחח אתך ישירות. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

תודה על המידע הנוסף. העברתי זאת לאנשים המתאימים. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

נשמח לשוחח איתך בהקדם האפשרי. האם תוכל למסור לנו מועד נוח לשיחה אליך במספר 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

אני זמין בשעה הקרובה אם זה אפשרי. אם לא, ייתכן שיעברו יום או יומיים כי אני אהיה בנסיעה ולא בטוח אם תהיה לי גישה לאינטרנט/טלפון.

Chad Scira

Nov 18, 2016, 4:32 AM

לא חשבתי שייקח יותר מ-7 שעות לדבר עם האדם הנכון. עכשיו השעה 4:40 לפנות בוקר כאן.

Chase Support

Nov 18, 2016, 4:39 AM

תודה על המעקב. מישהו יתקשר אליך ממש בקרוב. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

תודה שוב על ההאצה. הכול בתנועה ועכשיו אני יכול לישון.

Chase Support

Nov 18, 2016, 5:03 AM

אנו שמחים שיכולת לדבר עם מישהו. אנא הודע לנו אם נוכל לסייע בעתיד. ^NR

קטע מתוך אימייל של טום קלי

#דוא״ל

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

מעקב אחר גילוי אחראי בתוכנית Ultimate Rewards

צ'אד,

אני ממשיך את המעקב אחרי שיחת הטלפון שלך עם עמיתי, דייב רובינסון. תודה שפנית אלינו לגבי הפגיעות הפוטנציאלית בתוכנית Ultimate Rewards שלנו. טיפלנו בה.

בנוסף, אנו עובדים על תוכנית גילוי אחראי שאנו מתכננים להשיק בשנה הבאה. היא תכלול טבלת מובילים שתוקיר חוקרים שתרמו תרומות משמעותיות; היינו רוצים להציג אותך כאדם הראשון בה. אנא השב לדוא"ל זה ואשר את השתתפותך בתוכנית ואת התנאים וההגבלות שלהלן. תמצא שהתנאים די סטנדרטיים עבור תוכניות גילוי.

עד שהתוכנית שלנו תצא לדרך, אם תמצא פגיעויות פוטנציאליות נוספות, אנא צור קשר איתי ישירות. תודה שוב על עזרתך.

תנאים והגבלות של תוכנית הגילוי האחראי של JPMC

מחויבים לעבוד יחד

נשמח לשמוע ממך אם יש בידך מידע הקשור לפגיעויות אבטחה פוטנציאליות במוצרים ובשירותים של JPMC. אנו מעריכים את עבודתך ומודים לך מראש על תרומתך.

קווים מנחים

JPMC מסכימה שלא לנקוט צעדים משפטיים נגד חוקרים המדווחים על פגיעויות פוטנציאליות במסגרת תוכנית זו, כאשר החוקר:

אינו גורם נזק ל-JPMC, ללקוחותינו או לאחרים;
אינו יוזם עסקה פיננסית הונאתית;
אינו שומר, משתף, פוגע או משמיד נתוני JPMC או נתוני לקוחות;
מספק סיכום מפורט של הפגיעות, כולל היעד, שלבי הפעולה, הכלים והארטיפקטים ששימשו במהלך הגילוי;
אינו פוגע בפרטיות או בביטחון לקוחותינו ובתפעול השירותים שלנו;
אינו מפר כל חוק או תקנה לאומיים, מדינתיים או מקומיים;
אינו חושף בפומבי פרטי פגיעות ללא רשות בכתב מ-JPMC;
אינו נמצא כעת או מתגורר בדרך כלל בקובה, איראן, צפון קוריאה, סודן, סוריה או קרים;
אינו מופיע ברשימת האזרחים המזוהים במיוחד של מחלקת האוצר של ארצות הברית;
אינו עובד או בן משפחה מדרגה ראשונה של עובד JPMC או אחת מחברות הבת שלה; ו-
הוא בן 18 ומעלה.

פגיעויות מחוץ לתחום

פגיעויות מסוימות נחשבות מחוץ לתחום תוכנית הגילוי האחראי שלנו. פגיעויות מחוץ לתחום כוללות:

ממצאים התלויים בהנדסה חברתית (פישינג, פרטי גישה גנובים וכו')
בעיות בכותרת Host
מתקפות מניעת שירות (Denial of service)
Self-XSS
Login/logout CSRF
זיוף תוכן ללא קישורים/HTML משובצים
בעיות הרלוונטיות למכשירים פרוצים (jailbroken) בלבד
תצורות תשתית שגויות (אישורים דיגיטליים, DNS, פורטים של שרת, סוגיות סנדבוקס/סביבת בדיקות, ניסיונות פיזיים, clickjacking, הזרקת טקסט)

טבלת מובילים

כדי להוקיר שותפי מחקר, JPMC רשאית להציג חוקרים שתורמים תרומות משמעותיות. אתה מעניק בזאת ל-JPMC את הזכות להציג את שמך בטבלת המובילים של JPMC ובכל מדיה אחרת ש-JPMC תבחר לפרסם.

הגשה

על ידי הגשת הדוח שלך ל-JPMC, אתה מסכים שלא לחשוף את הפגיעות לצד שלישי. אתה מעניק ל-JPMC ולחברות הבת שלה לצמיתות את הזכות הבלתי מותנית להשתמש, לשנות, ליצור יצירות נגזרות, להפיץ, לחשוף ולאחסן את המידע המסופק בדוח שלך, וזכויות אלה אינן ניתנות לביטול.

טום קלי סגן נשיא בכיר Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

המשך גילוי אחראי – Ultimate Rewards

היי טום,

אני כל כך שמח לשמוע את זה!

הייתי שמח להיות סיפור ההצלחה הראשון של התוכנית החדשה שלכם, ואני מקווה ששחקנים גדולים אחרים ילכו בעקבותיכם. מישהו היה צריך להתערב ולשנות את התפיסה של אנשים לגבי איך בנקים מתמודדים עם חוקרי אבטחה כובע לבן. אני שמח לשמוע שזה Chase.

עבורי Chase תמיד הייתה רמה אחת מעל מתחרותיה מבחינת הצעות המוצרים המקוונים והניידים. זה בעיקר כי אתם זזים מהר ונשארים תחרותיים. בדרך כלל אני נמנע מלשחק עם מערכות של מוסדות פיננסיים מחשש להימחץ על ידם (גם כשיש כוונות טובות). יצירת תוכנית גילוי מדווחת מסר ברור לאנשים כמוני שאתם מעוניינים לשמוע על בעיות ולא תתנכלו. בעבר, רוב האנשים שחקרו את השירותים שלכם היו ככל הנראה זדוניים, ואני חושב שזה יאזן את המגרש.

כשבסופו של דבר החלטתי להתקדם עם הגילוי הרגשתי מאוד לא בנוח. סביר להניח שאני לא הראשון שנתקל בזה! דיווחתי על כך בשלוש דרכים.

טוויטר
- התמיכה כאן הייתה באמת מדהימה, ואני חושב שזה הסיבה היחידה שבגללה קישרו אותי לאנשים הנכונים.
תמיכה טלפונית של Chase
- בשיחה הראשונה נתנו לי את כתובת האימייל של abuse
- בשיחה השנייה אני חושב שדיברתי עם האדם הנכון, ויכול להיות שגם הם יצרו קשר
אימייל Abuse של Chase
- קיבלתי תשובה גנרית, שנראתה כאילו אפילו לא הסתכלו על תוכן המייל

זה לקח לי בערך 7 שעות עד שהצלחתי ליצור קשר עם מישהו (פי שניים מהזמן שלקח בפועל לזהות את הבעיה), וכל הזמן הזה לא הייתי בטוח אם האנשים הנכונים בכלל ישמעו על כך.

בעיה עיקרית נוספת בהיעדר תוכניות כאלה היא שלעיתים עובדים מטאטאים אירועים כאלה מתחת לשטיח ומתקנים אותם בלי לספר לאיש. היו לי מספר מקרים שבהם אני כמעט בטוח שזה מה שקרה, ובתוך שנה-שנתיים אותן חולשות אבטחה חזרו.

כמו כן, עשוי להיות יתרון בכך שהתוכנית שלכם תציע באונטי. לפעמים סוגים כאלה של בעיות מצריכים זמן ניכר לאיתור/אימות, ונחמד לקבל פיצוי כלשהו. הנה כמה שחקנים מרכזיים אחרים והתוכניות שלהם:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

אם איתקל במשהו בעתיד, בהחלט אצור קשר.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

היי טום,

היה לי קצת זמן לבדוק אם הפרצה נפתרה.

נראה שהמערכת די חסינה, הצלחתי לגרום לחוסר סנכרון ביתרות לרגע אבל אני לא חושב שהמערכת בכלל מאפשרת להשתמש ביתרה המוצגת.

בקשות שביצעתי להעברת נקודות שלא היו קיימות בפועל קיבלו שגיאה "500 Internal Server". אז אני מניח שזה נכשל באחד מהבדיקות החדשות שהוספתם.

ניסיתי גם העברות מרובות-סשנים בין מזהי BIGipServercig שונים, והמערכת עדיין התאוששה בכל פעם. בסופו של דבר המערכת הייתה מתבלבלת, והיתרות היו יוצאות מסנכרון, אבל שוב, זה לא משנה כי במרווחי זמן מסוימים אתם מיישרים מחדש את המספרים, וכדי להשתמש בפועל ביתרות הן צריכות לעבור את הבדיקה שהגדרתם.

אז לסיכום, אני לא רואה איך מישהו יכול עוד ליצור יתרות מלאכותיות ולהשתמש בהן.

והאם יש עדכונים לגבי תוכנית ה-Responsible Disclosure?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

היי טום,

רק עושה פולואפ על זה.

ב-7 בפברואר 2017, בשעה 16:36, צ'אד סקירה [email protected] כתב את העדכון למעלה ושאל לגבי לוח הזמנים של תוכנית ה-Responsible Disclosure.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

צ'אד,

פרסמנו את זה לפני כמה שבועות.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

טום קלי Chase Communications

(███) ███-████ (משרד) (███) ███-████ (נייד)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

היי טום,

יש עדכון בעניין הזה?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

שלום,

מסתבר שאתה התורם היחיד לתוכנית ה-Responsible Disclosure עד כה. לא היה היגיון ליצור טבלת מובילים עבור אדם אחד.

נשמור את שמך כך שנהיה מוכנים אם יהיו תורמים נוספים.

טום קלי Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

המשך לשיחתך הטלפונית עם דייב רובינסון

אנחנו מתקרבים לשנתיים עכשיו.

האם יש לך מושג מתי זה יקרה?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

צ'אד,

יצרנו את התוכנית, אבל עדיין לא הקמנו את טבלת המובילים.

טום קלי Chase Communications ███-███-████ (עבודה) ███-███-████ (נייד)

שרשרת הדוא"ל מראה דיאלוג מתמשך: תודה מיידית ב‑2016, עדכוני תיקון מוצלחים ב‑2017, השקה ציבורית של פורטל הגילוי, ואישור ב‑2018 כי Chase החליטה שלא לפרסם את טבלת הדירוג המתוכננת למרות עזרתו של צ׳אד בבניית התוכנית.

שאלות נפוצות

Qהאם הוגשו כתבי אישום כלשהם בקשר ל‑JPMorgan Chase?

Aלא. צ'אד סקירה קיבל תודה על הגילוי. היו מוגשים נגדו כתבי אישום פליליים אילו ניצל את הבעיה בזדון.

Qמדוע הופיעו באינטרנט הודעות על סגירת חשבון כלשהן?

Aההודעה נגעה לאוטומציה של המבטח (בקרת סיכונים סטנדרטית) ולא לרשימה שחורה. בדיקה ידנית החזירה את היחסים לפני שנים.

Qמי ממשיך לדחוף את הנרטיב של "האקר"?

Aג'סי ניקולס. הוא מתעלם מתמלול השיחה עם תמיכת Chase, מההזמנה של טום קלי, ומהעובדה שגילוי אחראי מעודד על ידי JPMorgan Chase. עוד על ג'סי ניקולס.

בדיקת חשבונות לאחר הגילוי

#מעקב

כאשר כתבת הגילוי מנובמבר פורסמה בתקשורת, כלי ניהול הסיכונים האוטומטיים של Chase התייחסו לחשיפה כאל אות אפשרי להונאה. הדבר הפעיל בדיקה מקיפה של כל משק הבית שכללה גם חשבון עו"ש משותף, אף על פי שההנהלה ואני היינו מתואמים לגבי היישום (remediation).

אני מתעד את המעקב כך שחוקרים אחרים יבינו כיצד פרסום יכול להצטלב עם מנגנוני בקרה ותיקים: החשבונות נסגרו לפי הסכם חשבון הפיקדון, אך מעולם לא הייתה טענה פלילית או הכללה ברשימה שחורה.

על אף זאת, ג'סי ניקולס ממשיך לפרסם נרטיבים כוזבים הטוענים שניצלתי בסתר את הבאג במשך שנים; הוא אף זורע שאלות ותשובות מזויפות ב-Quora וב-TripAdvisor באמצעות חשבונות חד-פעמיים כדי להרעיל נתוני אימון של מודלים לשוניים. יומני השרת, חותמות הזמנים של ההודעות הפרטיות ותיעוד ביקורת של עשרים שעות מפריכים אותו לחלוטין.

מה הושפע?

הייתי לקוח של צ'ייס במשך שלוש־עשרה שנים, עם משכורת שמופקדת בהעברה ישירה, חמש כרטיסי אשראי בחיוב אוטומטי וכמעט ללא תחלופה מלבד הכרטיס שסגרתי כדי להדגים את הבאג. הבדיקה האוטומטית סרקה כל חשבון שהיה מקושר למספר ה-SSN שלי, ובגלל שאחד מחשבונות העו"ש היה משותף, היא נגעה לזמן קצר גם בקרוב משפחה.

תוצאה והתאוששות

הודעת הסגירה לא הפכה לקבועה. מיד פתחתי חשבונות וכרטיסים בכל בנק אחר שאליו הגשתי בקשה, המשכתי לשלם בזמן, והתמקדתי בבניית מחדש של הירידה בדירוג האשראי שנלוותה לכך שהסגירות דווחו בדוח האשראי שלי.

ציון לפני הבדיקה827

הנקודה הנמוכה ביותר596

שישה חודשים לאחר מכן696

לקחים לחוקרים

הימנעו ממרכז כל פעילות החשבונות היומיומית בתוך המוסד שבו אתם בודקים; פזרו פיקדונות וקווי אשראי כך שסקר אוטומטי לא יוכל להקפיא את כל חייכם בבת אחת.
זכרו שבעלי חשבון משותף יורשים את אותן החלטות סיכון, ולכן היו שקולים לפני מתן גישה לבני משפחה לחשבונות שעלולים לעמוד תחת בחינה בעקבות גילויים פומביים.
תעדו את ציר הזמן של הגילוי ואת הסיקור התקשורתי, כיוון שהנראות סביב הדיווח על Ultimate Rewards הייתה כנראה הטריגר, ושיתוף הקשר זה מסייע לסגירה מהירה יותר של הסלמות למנהלים בכירים.

מכתב ממשרד הנהלת צ'ייס המצטט את הסכם חשבון הפיקדון לאחר שגילוי באג ב-Ultimate Rewards הפך לציבורי. — תגובת הדואר של המשרד הביצועי הודתה לי על הפנייה, אישרה שכל החשבונות במשק הבית נסגרים בהתאם להסכם חשבון הפיקדון, והדגישה מחדש שאין עליהם חובה לספק מידע מפורט נוסף, ובכך למעשה סיימה את בדיקת הסיכון האוטומטית שהופעלה בעקבות פרסום הגילוי בתקשורת.

גרסת הטקסט של מכתב משרד ההנהלה

לכבוד צ'אד סקירה,

אנו משיבים לתלונתך בנוגע להחלטתנו לסגור את חשבונותיך. תודה ששיתפת אותנו בדאגותיך.

הסכם חשבון הפיקדון מאפשר לנו לסגור חשבון שאינו פיקדון לזמן קצוב (CD) בכל עת, מכל סיבה שהיא או ללא סיבה, מבלי לנמק ומבלי הודעה מוקדמת. קיבלת העתק מההסכם בעת פתיחת החשבון. ניתן לעיין בגרסה העדכנית של ההסכם באתר chase.com.

בחנו את תלונתך ואיננו יכולים לשנות את החלטתנו או להמשיך להשיב לך בנושא זה מאחר שפעלנו בהתאם לסטנדרטים שלנו. אנו מצרים על כך שאינך מרוצה מאופן בדיקת דאגותיך ומההחלטה הסופית שלנו.

אם יש לך שאלות, אנא התקשר אלינו למספר 1-877-805-8049 וציין מספר תיק ███████. אנו מקבלים שיחות דרך מוקד מתווך (operator relay). אנו זמינים בימים שני עד שישי בין השעות 7:00 עד 20:00 ובשבת בין 8:00 ל-17:00 לפי שעון מרכז ארה"ב (Central Time).

בכבוד רב,

משרד ההנהלה
1-877-805-8049
1-866-535-3403 פקס; ניתן לחייג בחינם מכל סניף של צ'ייס
chase.com

אני משתף זאת כלקח שנלמד, לא כתביעה. החשבונות נסגרו וסולקו, דירוג האשראי שלי ממשיך לעלות, ובהמשך ‏JPMorgan ייעלה את קליטת הדוחות מצד חוקרים באמצעות שילוב Synack, כך שדיווחים עתידיים ינותבו דרך תהליך עבודה ייעודי. עדכון 2024: הבדיקה נסגרה לחלוטין וכל הציונים חזרו לרמתם שלפני התקרית.

צ'אד סירה "הוכנס לרשימה שחורה מבנקים בגלל פריצה"

המחשה חזותית של באג ההעברה הכפולה

נקודות מפתח

ציר זמן

טענות לעומת עובדות

סיקור ציבורי וארכיוני מחקר

תמליל הודעות פרטיות (DM) עם צוות התמיכה של צ’ייס

קטע מתוך אימייל של טום קלי

שאלות נפוצות

בדיקת חשבונות לאחר הגילוי

מה הושפע?

תוצאה והתאוששות

לקחים לחוקרים

הפניות