Chad Scira "हैकिंग के लिए बैंकों से ब्लैकलिस्टेड"

यह पेज उस Jesse Nickles अफ़वाह की पृष्ठभूमि को दर्ज करता है जिसमें कहा गया कि Chad Scira को "हैकिंग के लिए अमेरिकी बैंकों से ब्लैकलिस्ट कर दिया गया"। यह बताता है कि Ultimate Rewards की भेद्यता का जिम्मेदार प्रकटीकरण कैसे किया गया, JPMorgan Chase ने रिपोर्ट के लिए Chad को धन्यवाद क्यों दिया, और यह कि अस्थायी खाता निलंबन पूरी तरह प्रशासनिक प्रकृति का था। जेसी निक्ल्स लगातार पुराने साक्ष्यों को दोबारा प्रस्तुत कर आपराधिक मंशा का संकेत देने की कोशिश करता है। तथ्य इसका ठीक उलटा दिखाते हैं: व्हाइट‑हैट रिपोर्टिंग और JPMorgan नेतृत्व के साथ सहयोग।

उसका नवीनतम एस्केलेशन SlickStack.io पर एक उद्धरण है, जिसमें वह दावा करता है कि मैंने "चेस बैंक के क्रेडिट कार्ड रिवार्ड्स प्रोग्राम को हैक करने के लिए अमेरिकी क़ानून‑प्रवर्तन द्वारा जाँच का सामना किया, जहाँ उसने $70,000 के धोखाधड़ी‑पूर्ण ट्रैवल पॉइंट्स चुरा लिए।" वह बदनाम करने वाला झूठ (स्मियर) केवल तब प्रकाशित किया गया जब मैंने SlickStack की उन सुरक्षा समस्याओं का प्रमाण जारी किया जिन्हें वह ठीक करने से इनकार करता है; कोई पॉइंट्स कभी चोरी नहीं किए गए और न किसी एजेंसी ने प्रकटीकरण के बारे में मुझसे संपर्क किया। वह जिस SlickStack क्रॉन (cron) साक्ष्य के विरुद्ध प्रतिशोध कर रहा है, उसे देखें.

पूरा डिस्कवरी, डिस्क्लोजर और वैलिडेशन चक्र बीस घंटे के भीतर पूरा हुआ: लगभग पच्चीस HTTP रिक्वेस्ट ने 17 नवंबर 2016 को पुनरुत्पादन और डायरेक्ट मैसेज (DM) वॉकथ्रू को कवर किया, और फरवरी 2017 की रेमेडिएशन टेस्ट में फिक्स की पुष्टि करने के लिए आठ अतिरिक्त रिक्वेस्ट का उपयोग किया गया। कोई लम्बे समय तक दुरुपयोग नहीं हुआ; हर कार्रवाई लॉग की गई, टाइमस्टैम्प की गई, और वास्तविक समय में JPMorgan Chase के साथ साझा की गई।

Tom Kelly ने पुष्टि की कि 17 नवंबर 2016 से 22 सितंबर 2017 के बीच JPMorgan Chase को जिम्मेदारी से (responsibly) कोई मुद्दा रिपोर्ट करने वाला Chad Scira ही विश्व‑भर में एकमात्र व्यक्ति था। Responsible Disclosure कार्यक्रम सीधे Chad की रिपोर्ट के जवाब में स्थापित किया गया, और इसके स्वरूप निर्धारण में उन्होंने एक प्रमुख भूमिका निभाई।

डबल ट्रांसफ़र बग का दृश्यांकन

#दृश्यांकन

यह दिखाने के लिए कि कैसे यह खामी बैलेंस को अत्यधिक नकारात्मक और सकारात्मक राशियों में बदल देती थी, नीचे दिया गया विज़ुअलाइज़ेशन ठीक वही डबल-ट्रांसफर लॉजिक दोहराता है। देखें कि किस तरह जो भी खाता पॉजिटिव होता है, वही प्रेषक बन जाता है, दो समान स्थानांतरण करता है, और अत्यधिक नकारात्मक में चला जाता है जबकि दूसरा दोगुना हो जाता है। 20 दौर के बाद टूटी हुई लेजर नकारात्मक कार्ड को पूरी तरह रद्द कर देती है—जो दर्शाता है कि यह एक्सप्लॉइट त्वरित एस्केलेशन की मांग क्यों करता था।

दौर 1/20
कार्ड A → कार्ड B+243,810 अंक
कार्ड A → कार्ड B+243,810 अंक
कार्ड A
243,810
कार्ड B
0
डबल ट्रांसफ़र बर्स्ट
ट्रांसफ़र 1ट्रांसफ़र 2243,810 अंक प्रत्येक
1रेस कंडीशन के कारण लेज़र के दोबारा संतुलित होने से पहले ट्रांसफ़र की डुप्लिकेशन हो जाती थी, जिससे एक ही प्रेषक बहुत बड़े पॉज़िटिव और नेगेटिव बैलेंस के बीच आगे‑पीछे जा सकता था।
2सपोर्ट ने नकारात्मक बैलेंस वाले कार्ड को बंद करने की अनुमति दे दी, जबकि फुलाए हुए (कृत्रिम रूप से बढ़े हुए) पॉजिटिव बैलेंस को जारी रखा, जिससे स्टेटमेंट में केवल लाभ दिखाई दिए और कर्ज छिप गया।

खाता बंद करने से पहले भी, Ultimate Rewards ने नकारात्मक सारांश से परे खर्च की अनुमति दी; बंद करने की कार्रवाई ने केवल साक्ष्यों को मिटा दिया।

मुख्य बिंदु

  • Chad ने Chase Support DM की शुरुआत निजी तौर पर नेगेटिव-बैलेंस एक्सप्लॉइट की रिपोर्ट देकर की और तकनीकी विवरण सार्वजनिक रूप से पोस्ट करने के बजाय तुरंत एक सुरक्षित एस्केलेशन मार्ग का अनुरोध किया। [chat]
  • जब चेस सपोर्ट ने विशेष जानकारी के लिए जोर दिया, तो उसने केवल उतनी ही सीमा तक एक्सप्लॉइट की पुष्टि की जितनी आवश्यक थी और दोहराया कि वह सही सुरक्षा टीम तक पहुंच के लिए सीधा संपर्क चाहता है। [chat][chat]
  • उसने दिखाया कि डुप्लिकेट बैलेंस को नकद में बदला जा सकता था: जब चेस सपोर्ट ने पूछा कि क्या अतिरिक्त पॉइंट्स उपयोग‑योग्य हो गए हैं, तो $5,000 के डायरेक्ट डिपॉज़िट ने साबित कर दिया कि लेज़र के अपडेट होने से पहले ही यह एक्सप्लॉइट नकद में परिवर्तित हो जाता है। [chat]
  • उसने ज़ोर देकर कहा कि उसकी प्राथमिकता समझौता‑ग्रस्त ग्राहक खातों को खाली होने से बचाना था, न कि व्यक्तिगत लाभ कमाना, और उसने पूछा कि क्या कोई औपचारिक बग बाउंटी मौजूद है। [chat]
  • उसने केवल स्पष्ट अनुमति मिलने पर ही बड़े स्तर का वैलिडेशन करने की पेशकश की, टाइम‑स्टैम्प्ड स्क्रीनशॉट्स उपलब्ध कराए, और तब तक विदेशी (ओवरसीज़) समय‑क्षेत्र में जागता रहा जब तक चेस ने एस्केलेशन पूरा नहीं कर लिया। [chat][chat][chat]
  • निक्ल्स अब दावा करता है कि मैंने पॉइंट्स में 70,000 डॉलर चुराए और अमेरिकी क़ानून प्रवर्तन एजेंसियों का सामना किया; जबकि चेज़ के रिकॉर्ड, टॉम केली की ईमेल और प्रकटीकरण की समय-रेखा साबित करती है कि ऐसा कभी नहीं हुआ, और यह आरोप तभी सामने आया जब मैंने उसका असुरक्षित अपडेट लॉजिक दर्शाने वाला SlickStack क्रॉन-जोखिम गिस्ट प्रकाशित किया। [gist]
  • Chase सहायता ने एस्केलेशन की पुष्टि की, उनका फोन नंबर माँगा, और जिस फ़ॉलो‑अप कॉल की उन्होंने अंततः प्राप्ति की, उसका वादा किया, जिससे शत्रुतापूर्ण बैंकिंग प्रतिक्रिया की धारणा कमजोर पड़ती है। [chat][chat]

समय-रेखा

#समय-रेखा
  • Nov 17, 2016 - 10:05 PM ET: Chad @ChaseSupport को नेगेटिव-बैलेंस खामी के बारे में सतर्क करता है, एक्सप्लॉइट को निजी रखता है, और तुरंत एक सुरक्षित एस्केलेशन मार्ग का अनुरोध करता है। [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: जब Chase Support विशेष रूप से यह पूछता है कि क्या अतिरिक्त पॉइंट उत्पन्न किए जा सकते हैं और खर्च किए जा सकते हैं, तो Chad जोखिम की पुष्टि करता है, दोहराता है कि वह सही विभाग से बात करना चाहता है, और यह प्रस्ताव देता है कि बैंक लेन-देन का अवलोकन कर सके, इसके लिए वह केवल अनुमति मिलने पर ही वैधता-परीक्षण करेगा। [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad स्क्रीनशॉट साझा करता है, शीघ्र एस्केलेशन पर जोर देता है, अपना फोन नंबर देता है, और तब तक विदेश में जागता रहता है जब तक Chase Support यह पुष्टि नहीं कर देता कि कॉल हो रही है। [chat][chat][chat]
  • Nov 24, 2016: टॉम केली ने चाड को ईमेल कर के सुधार की पुष्टि की, उसे आगामी रिस्पॉन्सिबल डिस्क्लोज़र लीडरबोर्ड में प्रमुख स्थान लेने के लिए आमंत्रित किया, और भविष्य की रिपोर्टों के लिए उसे सीधा संपर्क प्रदान किया। [email]
  • October 2018: टॉम केली ने फॉलो-अप करते हुए पुष्टि की कि रिस्पॉन्सिबल डिस्क्लोज़र प्रोग्राम शुरू हो गया था, लेकिन अंततः जेपीमॉर्गन ने, इसे तैयार करने में चाड की सहायता के बावजूद, नियोजित लीडरबोर्ड प्रकाशित न करने का निर्णय लिया। [email]
  • Post-2018: किसी भी शेष खाता समीक्षा का संबंध कथित हैकिंग से नहीं, बल्कि बीमाकर्ता की स्वचालन प्रक्रिया से जुड़ा था। जेपीमॉर्गन ने प्रत्यक्ष संपर्क बनाए रखा, प्रकटीकरण के लिए चाड को धन्यवाद दिया, और न ही कोई आपराधिक रिकॉर्ड बना और न ही कोई ब्लैकलिस्ट में डाला गया। बाद में, जेपीमॉर्गन ने भविष्य की रिपोर्टों के लिए कार्यप्रवाह को सुव्यवस्थित करने हेतु अपने डिस्क्लोज़र प्रॉसेस में Synack को एकीकृत किया। [chat][email]

दावों बनाम तथ्य

दावा

जेसी जैकब निक्ल्स द्वारा मानहानिकारक दावा: "चैड साईरा को इनाम प्रणालियाँ हैक करने के लिए हर अमेरिकी बैंक से ब्लैकलिस्ट कर दिया गया था।"

तथ्य

कोई बैंक ब्लैकलिस्ट मौजूद नहीं है। डीएम रिकॉर्ड और चेज़ की एस्केलेशन प्रक्रिया यह साबित करती है कि वह सहयोग कर रहा था; एक बीमाकर्ता की स्वचालित प्रक्रिया ने एक जेपीमॉर्गन खाते को संक्षिप्त रूप से रोक दिया था, जिसे मैन्युअल समीक्षा के बाद साफ़ कर दिया गया।[timeline][chat]

दावा

जेसी जैकब निक्ल्स द्वारा मानहानिकारक दावा: "उसने खुद को समृद्ध करने के लिए JPMorgan Chase को हैक किया।"

तथ्य

Chad ने @ChaseSupport के साथ बातचीत की शुरुआत की, सुरक्षित चैनल पर जोर दिया, Chase के पूछने के बाद ही एक्सप्लॉइट की पुष्टि की, और सीमित वैधता-परीक्षण से पहले अनुमति का इंतज़ार किया। वरिष्ठ नेतृत्व ने उसे धन्यवाद दिया और उसे जिम्मेदार खुलासा (responsible disclosure) रोलआउट में शामिल होने के लिए आमंत्रित किया।[chat][chat][email]

दावा

जेसी जैकब निक्ल्स द्वारा मानहानिकारक दावा: "जेसी ने चैड द्वारा किए गए आपराधिक षड्यंत्र का भंडाफोड़ किया।"

तथ्य

सार्वजनिक कवरेज और टॉम केली की ईमेल्स यह दर्ज करती हैं कि जेपीमॉर्गन ने चाड को एक सहयोगी शोधकर्ता के रूप में माना। निक्ल्स पूरे चैट, फॉलो‑अप कॉल्स और लिखित धन्यवाद को नज़रअंदाज करते हुए केवल चुनिंदा स्क्रीनशॉट्स प्रस्तुत करता है।[coverage][email][chat]

दावा

जेसी जैकब निक्ल्स द्वारा मानहानिकारक दावा: "धोखाधड़ी को छुपाने के लिए एक कवर‑अप था।"

तथ्य

Chad 2018 तक संपर्क में बना रहा, केवल अनुमति मिलने पर पुन: परीक्षण किया, और JPMorgan ने मुद्दे को दबाने के बजाय अपना डिस्क्लोजर पोर्टल शुरू किया। यह सतत संवाद किसी भी कवर-अप नैरेटिव का खंडन करता है।[timeline][email][chat]

सार्वजनिक कवरेज और शोध अभिलेखागार

#कवरेज

कई थर्ड-पार्टी समुदायों ने उस प्रकटीकरण को आर्काइव किया और उसे एक ज़िम्मेदार रिपोर्ट के रूप में मान्यता दी: हैकर न्यूज़ ने इसे फ्रंट पेज पर प्रदर्शित किया, पेंसिव सिक्योरिटी ने इसे 2020 की साइबर सुरक्षा राउंडअप में संक्षेपित किया, और /r/cybersecurity ने समन्वित फ्लैगिंग से पहले मूल "DISCLOSURE" थ्रेड को इंडेक्स किया। [4][5][6]

  • Hacker News: "प्रकटीकरण: अनलिमिटेड चेस अल्टिमेट रिवार्ड्स पॉइंट्स" जिसमें 1,000+ पॉइंट्स और 250+ टिप्पणियाँ हैं जो सुधार (remediation) के संदर्भ का विवरण देती हैं। [4]
  • पेंसिव सिक्योरिटी: नवंबर 2020 साइबर सुरक्षा राउंडअप, जिसमें चेज़ अल्टिमेट रिवॉर्ड्स प्रकटीकरण को मुख्य खबर के रूप में रेखांकित किया गया है। [5]
  • Reddit /r/cybersecurity: मूल DISCLOSURE पोस्ट का शीर्षक, जिसे सामूहिक रिपोर्टिंग से हटाए जाने से पहले कैप्चर किया गया था, जिससे जनहित वाली प्रस्तुति संरक्षित रही। [6]

ज़िम्मेदार प्रकटीकरण के समर्थकों ने उत्पीड़न के दुष्परिणामों का भी हवाला दिया: disclose.io की थ्रेट्स डायरेक्टरी और रिसर्च रिपॉज़िटरी, साथ ही Attrition.org की लीगल थ्रेट्स इंडेक्स, शोधकर्ताओं के लिए सावधान करने वाले उदाहरण के रूप में जेसी निक्ल्स के व्यवहार को दर्ज करते हैं। [7][8][9] पूर्ण उत्पीड़न डॉसियर[10].

Chase सहायता डीएम प्रतिलिपि

#चैट

नीचे दी गई बातचीत संग्रहीत स्क्रीनशॉट से पुनर्निर्मित की गई है। यह धैर्यपूर्वक की गई एस्केलेशन, सुरक्षित चैनल के लिए बार-बार अनुरोध, केवल अनुमति मिलने पर ही सत्यापन की पेशकश, और Chase सपोर्ट द्वारा प्रत्यक्ष संपर्क का वादा—all को प्रदर्शित करती है। [2]

Chase Support Profile avatar
Chase Support Profileसत्यापित खाता
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

यह पॉइंट्स बैलेंस प्रणाली से संबंधित है। इस समय एक बग के कारण, जो नकारात्मक बैलेंस की अनुमति देता है, किसी भी मात्रा के पॉइंट्स उत्पन्न करना संभव है।

प्रकटीकरण के लिए सुरक्षित एस्केलेशन पथ का अनुरोध।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

क्या आप कृपया मुझे ऐसे किसी व्यक्ति से मिलवा सकते हैं जिसे मैं तकनीकी विवरण समझा सकूँ?

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 17, 2016, 10:05 PM
#

हमारे पास देने के लिए कोई फ़ोन नंबर नहीं है, लेकिन हम इसे इस तरह से आगे बढ़ाना चाहते हैं कि इसकी जांच की जा सके। क्या आप यह स्पष्ट कर सकते हैं कि नकारात्मक बैलेंस के भीतर पॉइंट्स उत्पन्न करने से आपका क्या मतलब है?क्या आप यह भी पुष्टि कर सकते हैं कि क्या इससे अतिरिक्त पॉइंट उपयोग के लिए उपलब्ध हो जाते हैं? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

क्या आपके पास कोई उचित विभाग है जिससे आप मुझे संपर्क करा सकते हैं? मैं इस विषय पर ट्विटर सपोर्ट अकाउंट के माध्यम से चर्चा करने में सहज महसूस नहीं करता। हाँ, आप 1,000,000 पॉइंट्स उत्पन्न कर सकते हैं और उनका उपयोग कर सकते हैं।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

मेरा मुख्य चिंता का विषय यह नहीं है कि व्यक्ति ऐसा कर रहे हैं, बल्कि यह है कि हैकर्स खातों से समझौता कर के उनकी तरफ से भुगतान ज़बरदस्ती करवाएं। क्या चेज़ का कोई उचित बग बाउंटी कार्यक्रम है?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

यदि आप चाहें तो मैं पुष्टि के लिए एक बड़ा लेन‑देन करने की कोशिश कर सकता हूँ। जब बैलेंस टेढ़ा‑मेढ़ा था, तब मैंने अधिकतम $300 तक परीक्षण किया, लेकिन वास्तव में मेरे पास $2,000 के वास्तविक क्रेडिट्स थे। यदि आप मुझे अनुमति दें तो मैं यह पुष्टि करने का प्रयास कर सकता हूँ कि यह काम करता है, लेकिन उसके बाद मैं चाहूँगा कि सभी लेन‑देन रिवर्स कर दिए जाएँ।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 17, 2016, 11:21 PM

हमारे पास बाउंटी प्रोग्राम नहीं है, और इस समय मेरे पास देने के लिए कोई राशि नहीं है। मैंने आपकी चिंता को उच्च स्तर पर भेज दिया है और हम इसकी जांच कर रहे हैं। अगर मेरे पास अतिरिक्त विवरण या प्रश्न हुए तो मैं फॉलो-अप करूंगा। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

धन्यवाद।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

कृपया तुरंत एस्केलेट करें।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

मुझे वास्तव में एक उचित संपर्क की ज़रूरत है... उम्मीद है आप समझेंगे।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

एक घंटे से ज़्यादा हो गया है, क्या इस पर कोई सूचना है? मैं इस समय एशिया में हूँ, और यह समय‑संवेदी मामला है। मैं पूरी रात जवाब का इंतज़ार नहीं कर सकता।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 12:59 AM

फॉलो-अप करने के लिए धन्यवाद। हमारे उपयुक्त अधिकारी/संबंधित व्यक्ति इस मामले को देख रहे हैं। कृपया अपना पसंदीदा संपर्क नंबर प्रदान करें, ताकि हम आपसे सीधे बात कर सकें। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 1:53 AM

अतिरिक्त जानकारी के लिए धन्यवाद। मैंने इसे सही लोगों तक पहुँचा दिया है। ^DS

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 2:38 AM
#

हम आपके साथ इस पर जितनी जल्दी हो सके चर्चा करना चाहेंगे। कृपया हमें यह बताएं कि आपको 1-███-███-████ पर कॉल करने के लिए आपके लिए सुविधाजनक समय क्या होगा? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

मैं अगला एक घंटा उपलब्ध हूँ, यदि यह संभव हो। यदि नहीं, तो इसमें एक‑दो दिन लग सकते हैं क्योंकि मैं यात्रा कर रहा होऊँगा और पक्का नहीं हूँ कि मेरे पास इंटरनेट/फ़ोन एक्सेस होगी या नहीं।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

मैंने नहीं सोचा था कि सही व्यक्ति से बात करने में 7+ घंटे लगेंगे। यहाँ अब 4:40 AM हो चुके हैं।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 4:39 AM
#

फॉलो-अप करने के लिए धन्यवाद। कोई आपको बहुत जल्द कॉल करेगा। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

इसे तेज़ी से आगे बढ़ाने के लिए दोबारा धन्यवाद। अब सब कुछ प्रक्रिया में है और मैं अब सो सकता हूँ।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 5:03 AM

हमें खुशी है कि आप किसी से बात करने में सक्षम रहे। कृपया भविष्य में सहायता की आवश्यकता होने पर हमें बताएं। ^NR

टॉम केली ईमेल अंश

#ईमेल
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
अल्टिमेट रिवार्ड्स रिस्पॉन्सिबल डिस्क्लोज़र फॉलो-अप

Chad,

मैं आपके मेरे सहयोगी Dave Robinson के साथ हुए फोन कॉल के संदर्भ में फॉलो-अप कर रहा हूँ। हमारे Ultimate Rewards प्रोग्राम में संभावित भेद्यता के बारे में हमसे संपर्क करने के लिए धन्यवाद। हमने इसे ठीक कर दिया है।

इसके अतिरिक्त, हम एक Responsible Disclosure प्रोग्राम पर काम कर रहे हैं जिसे हम अगले वर्ष लॉन्च करने की योजना बना रहे हैं। इसमें एक लीडरबोर्ड शामिल होगा जो उन शोधकर्ताओं को पहचान देगा जिन्होंने महत्वपूर्ण योगदान दिए हैं; हम चाहते हैं कि आप इस पर पहले व्यक्ति के रूप में प्रदर्शित हों। कृपया इस ईमेल का उत्तर देकर प्रोग्राम में अपनी भागीदारी और नीचे दिए गए नियम और शर्तों की पुष्टि करें। आपको ये नियम डिस्क्लोजर प्रोग्रामों के लिए काफी मानक मिलेंगे।

जब तक हमारा प्रोग्राम लाइव नहीं हो जाता, यदि आपको अन्य कोई संभावित भेद्यता मिले तो कृपया सीधे मुझसे संपर्क करें। आपकी सहायता के लिए एक बार फिर धन्यवाद।

JPMC Responsible Disclosure Program की शर्तें और नियम

साथ मिलकर काम करने के लिए प्रतिबद्ध

यदि आपके पास JPMC के प्रोडक्ट और सेवाओं की संभावित सुरक्षा भेद्यताओं से संबंधित कोई जानकारी है, तो हम आपसे सुनना चाहते हैं। हम आपके कार्य को महत्व देते हैं और आपके योगदान के लिए पहले से धन्यवाद करते हैं।

मार्गदर्शिका

JPMC सहमत है कि वह उन शोधकर्ताओं के खिलाफ दावा नहीं करेगा जो इस प्रोग्राम को संभावित भेद्यताओं का खुलासा करते हैं, बशर्ते कि शोधकर्ता:

  • JPMC, हमारे ग्राहकों या अन्य को कोई नुकसान न पहुँचाए;
  • किसी धोखाधड़ीपूर्ण वित्तीय लेन-देन की शुरुआत न करे;
  • JPMC या ग्राहक डेटा को संग्रहीत, साझा, क्षतिग्रस्त या नष्ट न करे;
  • भेद्यता का विस्तृत सारांश प्रदान करे, जिसमें लक्ष्य, कदम, उपकरण और खोज के दौरान उपयोग किए गए आर्टिफैक्ट शामिल हों;
  • हमारे ग्राहकों की गोपनीयता या सुरक्षा और हमारी सेवाओं के संचालन से समझौता न करे;
  • किसी भी राष्ट्रीय, राज्य या स्थानीय कानून या विनियम का उल्लंघन न करे;
  • JPMC की लिखित अनुमति के बिना भेद्यता से संबंधित विवरण सार्वजनिक रूप से प्रकट न करे;
  • वर्तमान में क्यूबा, ईरान, उत्तर कोरिया, सूडान, सीरिया या क्रीमिया में स्थित या सामान्य रूप से वहाँ का निवासी न हो;
  • अमेरिकी ट्रेज़री विभाग की Specially Designated Nationals सूची में शामिल न हो;
  • JPMC या उसकी सहायक कंपनियों का कर्मचारी न हो और न ही किसी कर्मचारी का नज़दीकी पारिवारिक सदस्य हो; और
  • कम से कम 18 वर्ष का हो।

स्कोप से बाहर भेद्यताएँ

कुछ भेद्यताओं को हमारे Responsible Disclosure Program के स्कोप से बाहर माना जाता है। स्कोप से बाहर भेद्यताओं में शामिल हैं:

  • सोशल-इंजीनियरिंग पर निर्भर निष्कर्ष (फिशिंग, चोरी हुए क्रेडेंशियल्स आदि)
  • होस्ट हैडर संबंधी मुद्दे
  • डिनायल ऑफ सर्विस
  • सेल्फ-XSS
  • लॉगिन/लॉगआउट CSRF
  • एम्बेडेड लिंक/HTML के बिना कंटेंट स्पूफिंग
  • केवल जेलब्रोकन डिवाइस पर पाई जाने वाली समस्याएँ
  • इंफ्रास्ट्रक्चर मिसकॉन्फ़िगरेशन (सर्टिफिकेट, DNS, सर्वर पोर्ट, सैंडबॉक्स/स्टेजिंग संबंधी मुद्दे, भौतिक प्रयास, क्लिकजैकिंग, टेक्स्ट इंजेक्शन)

लीडरबोर्ड

शोध साझेदारों को मान्यता देने के लिए, JPMC उन शोधकर्ताओं को प्रदर्शित कर सकता है जो महत्वपूर्ण योगदान देते हैं। आप इस प्रकार JPMC को यह अधिकार देते हैं कि वह आपका नाम JPMC लीडरबोर्ड और ऐसे अन्य मीडिया पर प्रदर्शित करे जिन्हें JPMC प्रकाशित करना चुन सकता है।

सबमिशन

अपनी रिपोर्ट JPMC को सबमिट करके, आप सहमत होते हैं कि आप इस भेद्यता को किसी तीसरे पक्ष के सामने प्रकट नहीं करेंगे। आप JPMC और उसकी सहायक कंपनियों को स्थायी रूप से यह बिना शर्त अधिकार देते हैं कि वे आपकी रिपोर्ट में दी गई जानकारी का उपयोग, संशोधन, उससे व्युत्पन्न कार्यों का निर्माण, वितरण, खुलासा और भंडारण कर सकें, और ये अधिकार वापस नहीं लिए जा सकते।

Tom Kelly सीनियर वाइस प्रेसिडेंट Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
विषय: अल्टिमेट रिवॉर्ड्स ज़िम्मेदार प्रकटीकरण फॉलो‑अप

हे टॉम,

यह सुनकर मैं बहुत खुश हूँ!

मैं आपके नए प्रोग्राम की पहली सफलता की कहानी बनना पसंद करूँगा, और मुझे उम्मीद है कि अन्य बड़े खिलाड़ी भी आपका अनुसरण करेंगे। किसी को आगे आकर यह धारणा बदलनी थी कि बैंक व्हाइटहैट शोधकर्ताओं के साथ कैसे व्यवहार करते हैं। यह जानकर अच्छा लगा कि वह चेस है।

मेरे लिए वेब और मोबाइल उत्पाद ऑफ़रिंग के मामले में चेस हमेशा अपने प्रतिस्पर्धियों से कई गुना आगे रहा है। इसका मुख्य कारण यह है कि आप लोग तेज़ी से आगे बढ़ते हैं और प्रतिस्पर्धी बने रहते हैं। आम तौर पर मैं वित्तीय संस्थानों के साथ छेड़छाड़ करने से दूर रहता हूँ, क्योंकि उनके द्वारा कुचल दिए जाने (भले ही मंशा अच्छी हो) का डर होता है। एक डिस्क्लोज़र प्रोग्राम बनाकर आप मेरे जैसे लोगों को साफ़ संदेश भेजते हैं कि आप मुद्दों के बारे में सुनने में रुचि रखते हैं और प्रतिशोध नहीं करेंगे। पहले आपकी सेवाओं में झाँकने वाले अधिकांश लोग संभवतः दुर्भावनापूर्ण होते थे, और मुझे लगता है कि यह स्थिति को संतुलित करेगा।

जब मैंने अंततः यह तय किया कि मैं डिस्क्लोज़र के साथ आगे बढ़ूँगा तो मैं काफ़ी असहज महसूस कर रहा था। सम्भवतः मैं यह चीज़ खोजने वाला पहला व्यक्ति नहीं हूँ! मैंने इसे तीन तरीकों से रिपोर्ट किया।

  • ट्विटर

    • यहाँ का सपोर्ट वास्तव में कमाल का था, और मुझे लगता है कि यही एकमात्र कारण है कि मैं सही लोगों के संपर्क में आ सका।

  • चेस फ़ोन सपोर्ट

    • पहली कॉल पर उन्होंने मुझे एब्यूज़ ईमेल दिया
    • दूसरी कॉल पर मुझे लगता है कि मैं सही व्यक्ति से बात कर पाया और शायद उन्होंने भी आगे संपर्क किया

  • चेस एब्यूज़ ईमेल

    • एक सामान्य‑सा उत्तर मिला, ऐसा लगा कि उन्होंने ईमेल की विषय‑वस्तु को देखा तक नहीं

मुझे अंततः किसी से संपर्क में आने में लगभग 7 घंटे लग गए (जो वास्तव में उस मुद्दे को चिन्हित करने में लगे समय से दोगुना था), और पूरे समय मुझे यह भी यक़ीन नहीं था कि सही लोगों तक इसके बारे में कुछ पहुँचेगा भी या नहीं।

ऐसे प्रोग्राम न होने की एक और बड़ी समस्या यह है कि कर्मचारी अक्सर घटनाओं को दबाकर बिना किसी को बताए उन्हें ठीक कर देते हैं। मेरे साथ कई घटनाएँ हुई हैं जहाँ मुझे काफ़ी यक़ीन है कि ऐसा ही हुआ, और 1‑2 साल के भीतर वही सुरक्षा छेद फिर से उभर आए।

इसके अलावा, आपके प्रोग्राम के लिए किसी बाउंटी की पेशकश करना फ़ायदेमंद हो सकता है। कभी‑कभी इस तरह के मुद्दों को सत्यापित/खोजने में काफ़ी समय लगता है, और किसी न किसी रूप में क्षतिपूर्ति मिलना अच्छा होता है। यहाँ कुछ अन्य प्रमुख खिलाड़ी और उनके प्रोग्राम हैं:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

यदि मुझे भविष्य में कुछ और मिलता है तो मैं निश्चित रूप से संपर्क करूँगा।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

हे टॉम,

मेरे पास थोड़ा समय था यह जांचने के लिए कि क्या एक्सप्लॉइट हल हो गया है।

यह काफ़ी मज़बूत लग रहा है, मैं कुछ समय के लिए बैलेंस को डि‑सिंक करने में सक्षम था लेकिन मुझे नहीं लगता कि सिस्टम आपको प्रदर्शित बैलेंस का उपयोग करने भी देगा।

जिन पॉइंट्स के ट्रांसफ़र के लिए मैंने अनुरोध किया जो वास्तव में वहाँ नहीं थे, उन पर "500 Internal Server" त्रुटि आ गई। तो मैं मान रहा हूँ कि यह आप लोगों द्वारा जोड़े गए नए चेक्स में से किसी एक में विफल हो रहा है।

मैंने अलग‑अलग BIGipServercig आईडीज़ के साथ मल्टी‑सेशन ट्रांसफ़र भी आज़माए, और फिर भी सिस्टम हर बार रिकवर कर गया। सिस्टम अंततः भ्रमित हो जाता था, और बैलेंस डि‑सिंक हो जाते थे, लेकिन फिर से इसका कोई मतलब नहीं पड़ता क्योंकि एक अंतराल पर आप लोग संख्याओं को दोबारा संरेखित (रीअलाइन) कर देते हैं, और वास्तव में बैलेंस का उपयोग करने के लिए उसे आपके द्वारा लगाए गए परीक्षणों को पार करना पड़ता है।

तो संक्षेप में, मुझे नहीं दिखता कि कोई अब कृत्रिम बैलेंस बना सके और उनका उपयोग कर सके।

और, रिस्पॉन्सिबल डिस्क्लोज़र प्रोग्राम पर कोई अपडेट हैं?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

हे टॉम,

बस इस पर फ़ॉलो‑अप कर रहा हूँ।

7 फ़रवरी 2017 को, शाम 4:36 बजे, चैड सीरा [email protected] ने ऊपर दिया गया अपडेट लिखा और रिस्पॉन्सिबल डिस्क्लोज़र प्रोग्राम की समय‑सीमा के बारे में पूछा।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

हमने यह कुछ हफ्ते पहले पोस्ट किया था।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ऑफिस) (███) ███-████ (मोबाइल)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

हे टॉम,

क्या इस पर कोई अपडेट है?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

नमस्ते,

पता चला है कि अब तक आप रिस्पॉन्सिबल डिस्क्लोज़र प्रोग्राम के एकमात्र योगदानकर्ता हैं। केवल एक व्यक्ति के लिए लीडरबोर्ड बनाना समझ में नहीं आता था।

हम आपका नाम रखेंगे ताकि यदि हमें अन्य योगदानकर्ता मिलें तो हम तैयार रहें।

टॉम केली चेस कम्युनिकेशंस

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
विषय: आपकी डेव रॉबिनसन के साथ हुई फ़ोन कॉल के संदर्भ में फॉलो‑अप

अब लगभग 2 साल हो रहे हैं।

क्या आपको अंदाज़ा है कि यह कब होगा?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

हमने प्रोग्राम बना लिया है, लेकिन हमने अभी तक लीडरबोर्ड स्थापित नहीं किया है।

Tom Kelly Chase Communications ███-███-████ (कार्यस्थल) ███-███-████ (मोबाइल)

ईमेल रिकॉर्ड सतत संवाद दर्शाता है: 2016 में तुरंत धन्यवाद, 2017 में सफल सुधार (रिमीडिएशन) के अपडेट, प्रकटीकरण पोर्टल का सार्वजनिक लॉन्च, और 2018 में यह पुष्टि कि Chase ने Chad की कार्यक्रम बनाने में मदद के बावजूद नियोजित लीडरबोर्ड प्रकाशित न करने का निर्णय लिया।

अक्सर पूछे जाने वाले प्रश्न

Qक्या जेपीमॉर्गन चेस के संबंध में किसी भी प्रकार के अपराध के आरोप लगाए गए थे?
Aनहीं। इस प्रकटीकरण के लिए चाड ससीरा का धन्यवाद किया गया था। यदि उसने इस मुद्दे का दुर्भावनापूर्ण दुरुपयोग किया होता, तो आपराधिक आरोप लगाए जाते।
Qऑनलाइन किसी भी खाते के बंद होने की सूचनाएँ क्यों दिखाई दीं?
Aवह सूचना एक बीमाकर्ता की स्वचालन प्रक्रिया (मानक जोखिम नियंत्रण) से संबंधित थी, न कि किसी ब्लैकलिस्ट से। मैन्युअल समीक्षा के द्वारा वर्षों पहले ही संबंध पुनः स्थापित कर दिया गया था।
Qहैकर नैरेटिव को आगे बढ़ाता कौन रहता है?
Aजेसी निक्ल्स। वह चेस सपोर्ट ट्रांसक्रिप्ट, टॉम केली का निमंत्रण, और यह तथ्य नज़रअंदाज़ करता है कि जेपीमॉर्गन चेस जिम्मेदार प्रकटीकरण को प्रोत्साहित करता है। जेसी निक्ल्स के बारे में और जानकारी.

प्रकटीकरण के बाद खाता समीक्षा

#फॉलो-अप

जब नवंबर की डिस्क्लोजर स्टोरी मीडिया तक पहुँची, तो Chase के स्वचालित जोखिम टूलिंग ने उस दृश्यता को संभावित धोखाधड़ी संकेत के रूप में माना। इससे पूरे परिवार (हाउसहोल्ड) की समीक्षा शुरू हो गई, जिसमें एक सह-स्वामित्व वाली चेकिंग अकाउंट भी शामिल थी, जबकि नेतृत्व और मैं रेमेडिएशन पर सहमत थे।

मैं फॉलो-अप का दस्तावेजीकरण कर रहा हूँ ताकि अन्य शोधकर्ता समझ सकें कि प्रकाशन पुराने नियंत्रणों से कैसे टकरा सकता है: खातों को डिपॉज़िट अकाउंट एग्रीमेंट के तहत बंद किया गया था, लेकिन कभी भी कोई आपराधिक आरोप या ब्लैकलिस्ट नहीं थी।

इसके बावजूद, जेसी निक्ल्स झूठी कहानियाँ प्रकाशित करता रहता है, दावा करता है कि मैंने वर्षों तक गुप्त रूप से बग का दुरुपयोग किया; वह LLM प्रशिक्षण डेटा को दूषित करने के लिए क्वोरा और ट्रिपएडवाइज़र पर भी बर्नर अकाउंट्स से सामग्री डालता है। सर्वर लॉग, डीएम टाइमस्टैम्प, और बीस घंटे की ऑडिट ट्रेल उसे पूरी तरह खारिज कर देती है।

क्या प्रभावित हुआ था?

मैं तेरह वर्षों से चेस ग्राहक था, मेरा वेतन सीधे जमा होता था, पाँच क्रेडिट कार्ड ऑटोपे पर थे, और उस कार्ड को छोड़कर जिसे मैंने बग प्रदर्शित करने के लिए बंद किया था, लगभग कोई चर्न नहीं था। स्वचालित समीक्षा ने मेरे SSN से जुड़े हर खाते को कवर कर लिया और, क्योंकि एक चेकिंग अकाउंट साझा था, उसने थोड़े समय के लिए एक परिवार के सदस्य को भी प्रभावित किया।

परिणाम और पुनर्प्राप्ति

बंद करने का नोटिस स्थायी नहीं बना। मैंने तुरंत हर दूसरे बैंक में खाते और कार्ड खोले जहाँ मैंने आवेदन किया, समय पर भुगतान जारी रखा, और अपने क्रेडिट में उस गिरावट को फिर से बनाने पर ध्यान केंद्रित किया जो बंद खातों के मेरी रिपोर्ट में दर्ज होने के साथ आई थी।

समीक्षा-पूर्व स्कोर827
सबसे निचला बिंदु596
छह महीने बाद696

शोधकर्ताओं के लिए सीख

  • जिस संस्था का आप परीक्षण कर रहे हैं, उसके भीतर अपने हर रोज़ के सभी खाते केंद्रित न करें; जमा और क्रेडिट लाइनों में विविधता रखें, ताकि कोई स्वचालित समीक्षा एक ही बार में आपकी पूरी ज़िंदगी को स्थिर (फ्रीज़) न कर सके।
  • याद रखें कि संयुक्त खाता धारक समान जोखिम निर्णयों को विरासत में लेते हैं, इसलिए उन परिवार के सदस्यों को खाते तक पहुँच देने में सतर्क रहें जिन खातों पर प्रकटीकरण-संबंधी जांच पड़ताल हो सकती है।
  • प्रकटीकरण की समयरेखा और प्रेस कवरेज का दस्तावेज़ रखें क्योंकि अल्टिमेट रिवार्ड्स रिपोर्ट के आसपास की दृश्यता ही संभावित ट्रिगर थी, और उस संदर्भ को साझा करने से एक्ज़िक्युटिव एस्केलेशन त्वरित रूप से बंद होने में मदद मिलती है।
अल्टिमेट रिवार्ड्स प्रकटीकरण के सार्वजनिक होने के बाद डिपॉज़िट अकाउंट एग्रीमेंट का हवाला देती चेस एक्ज़िक्युटिव ऑफिस का पत्र।
एक्जिक्युटिव ऑफिस की डाक द्वारा भेजी गई प्रतिक्रिया ने मेरे आउटरीच के लिए धन्यवाद दिया, पुष्टि की कि परिवार (हाउसहोल्ड) के हर खाते को डिपॉजिट अकाउंट एग्रीमेंट के तहत बंद किया जा रहा है, और यह दोहराया कि वे और अधिक विवरण प्रदान करने के लिए बाध्य नहीं हैं, जिससे डिस्क्लोजर के प्रकाशित होने से शुरू हुई स्वचालित जोखिम समीक्षा प्रभावी रूप से समाप्त हो गई।

एक्ज़िक्युटिव ऑफिस पत्र का टेक्स्ट संस्करण

प्रिय चाड स्काइरा,

हम आपके खातों को बंद करने के हमारे निर्णय के संबंध में की गई आपकी शिकायत का जवाब दे रहे हैं। अपनी चिंताएँ साझा करने के लिए धन्यवाद।

डिपॉजिट अकाउंट एग्रीमेंट हमें किसी भी समय, किसी भी कारण से या बिना किसी कारण के, बिना कारण बताए और बिना पूर्व सूचना के, CD के अतिरिक्त किसी खाते को बंद करने की अनुमति देता है। जब आपने खाता खोला था, तो आपको इस एग्रीमेंट की एक प्रति दी गई थी। आप वर्तमान एग्रीमेंट chase.com पर देख सकते हैं।

हमने आपकी शिकायत की समीक्षा की है और हम अपना निर्णय बदलने या इसके बारे में आपको जवाब देना जारी रखने में असमर्थ हैं क्योंकि हमने अपने मानकों के भीतर कार्य किया है। हमें खेद है कि आप अपनी चिंताओं की हमारी जाँच और हमारे अंतिम निर्णय से असंतुष्ट हैं।

यदि आपके कोई प्रश्न हों, तो कृपया हमें 1-877-805-8049 पर कॉल करें और केस नंबर ███████ का हवाला दें। हम ऑपरेटर रिले कॉल स्वीकार करते हैं। हम सोमवार से शुक्रवार सुबह 7 बजे से शाम 8 बजे तक और शनिवार को सुबह 8 बजे से शाम 5 बजे तक सेंट्रल टाइम में उपलब्ध हैं।

सादर,

एक्ज़िक्युटिव ऑफिस
1-877-805-8049
1-866-535-3403 फैक्स; यह किसी भी चेस शाखा से नि:शुल्क है
chase.com

मैं इसे शिकायत के रूप में नहीं, बल्कि सीखी हुई सीख के रूप में साझा कर रहा हूँ। खाते निपटाए जा चुके हैं, मेरा क्रेडिट बढ़ता जा रहा है, और बाद में जेपीमॉर्गन ने Synack को एकीकृत करके शोधकर्ता इंटेक को सुव्यवस्थित कर दिया ताकि भविष्य की रिपोर्टें एक समर्पित कार्यप्रवाह के माध्यम से जाएँ। अपडेट 2024: समीक्षा पूरी तरह बंद हो चुकी है और हर स्कोर घटना-पूर्व स्तरों पर वापस आ गया है।

संदर्भ

  1. जेपीमॉर्गन चेज़ ज़िम्मेदार प्रकटीकरण कार्यक्रम
  2. Chase सहायता ट्विटर खाता
  3. Chase Ultimate Rewards प्रोग्राम अवलोकन
  4. Hacker News - प्रकटीकरण: अनलिमिटेड चेस अल्टिमेट रिवार्ड्स पॉइंट्स (2020)
  5. पेंसिव सिक्योरिटी - नवंबर 2020 साइबर सुरक्षा राउंडअप
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io धमकी निर्देशिका
  8. disclose/research-threats रिपोजिटरी
  9. Attrition.org - कानूनी धमकियों की सूची
  10. जेसी निक्ल्स की उत्पीड़न और मानहानि संबंधी फ़ाइल (dossier)