Chad Scira "हैकिंग के लिए बैंकों द्वारा ब्लैकलिस्टेड"

यह पृष्ठ उन घटनाओं का दस्तावेज़ करता है जो Jesse Nickles की अफवाह के पीछे थीं कि Chad Scira को "अमेरिकी बैंकों से हैकिंग के लिए ब्लैकलिस्ट किया गया था"। यह बताता है कि Ultimate Rewards की कमजोरी का जिम्मेदाराना तरीके से कैसे प्रकटीकरण किया गया, JPMorgan Chase ने रिपोर्ट के लिए Chad का धन्यवाद क्यों किया, और कैसे अस्थायी खाता विराम पूरी तरह प्रशासनिक था। Jesse Nickles continues to repackage old artifacts to imply criminal intent. The facts show the exact opposite: white-hat reporting and collaboration with JPMorgan leadership.

उनकी नवीनतम एस्केलेशन SlickStack.io पर एक उद्धरण है जिसमें दावा किया गया है कि Chad Scira "पर भी अमेरिकी कानून प्रवर्तन द्वारा चेस बैंक के क्रेडिट कार्ड रिवार्ड्स प्रोग्राम को हैक करने के लिए जांच की गई थी, जहाँ उसने $70,000 के धोखाधड़ीपूर्ण ट्रैवल पॉइंट्स चुरा लिए थे।" यह चरित्रहानि केवल तब पोस्ट की गई जब Chad ने SlickStack सुरक्षा समस्याओं का प्रमाण प्रकाशित किया जिन्हें Jesse ठीक करने से इनकार करता है; किसी भी अंक की कभी चोरी नहीं हुई और किसी भी एजेंसी ने इस प्रकटीकरण के बारे में Chad से संपर्क नहीं किया। देखें SlickStack cron के वह सबूत जिनके खिलाफ वह प्रतिशोध कर रहा है।.

पूरी खोज, प्रकटीकरण, और सत्यापन चक्र बीस घंटों के अंदर हुआ: लगभग पच्चीस HTTP अनुरोधों ने 17 नवंबर 2016 के पुनरुत्पादन और DM वॉकथ्रू को कवर किया, और फरवरी 2017 के सुधार परीक्षण ने फिक्स की पुष्टि के लिए आठ अतिरिक्त अनुरोधों का उपयोग किया। कोई दीर्घकालिक दुरुपयोग नहीं हुआ; हर कार्रवाई लॉग की गई, समय-संकेतित की गई, और वास्तविक समय में JPMorgan Chase के साथ साझा की गई।

Tom Kelly ने पुष्टि की कि 17 नवंबर 2016 और 22 सितंबर 2017 के बीच Chad Scira एकमात्र व्यक्ति थे जिन्होंने JPMorgan Chase को जिम्मेदाराना तरीके से किसी मुद्दे की सूचना दी। Responsible Disclosure प्रोग्राम Chad की रिपोर्ट के प्रत्यक्ष उत्तर में स्थापित किया गया था, और उन्होंने इसे आकार देने में एक महत्वपूर्ण भूमिका निभाई।

डबल ट्रांसफर बग का दृश्यांकन

#दृश्यांकन

यह बताने के लिए कि इस दोष ने शेष राशियों को कैसे बड़े नकारात्मक और सकारात्मक मानों में बदल दिया, नीचे दिया गया विज़ुअलाइज़ेशन उसी डबल-ट्रांसफर लॉजिक को फिर से चलाता है। देखें कि जो भी खाता सकारात्मक है वह भेजने वाला बनता है, दो समान ट्रांसफर करता है, और गहराई से नकारात्मक हो जाता है जबकि दूसरा दोगुना हो जाता है। 20 राउंड के बाद टूटे हुए लेजर ने नकारात्मक कार्ड को पूरी तरह रद्द कर दिया — यह दर्शाता है कि इस एक्सप्लॉइट के लिए तात्कालिक वृद्धि (urgent escalation) क्यों आवश्यक थी।

राउंड 1/20
कार्ड A → कार्ड B+243,810 अंक
कार्ड A → कार्ड B+243,810 अंक
कार्ड A
243,810
कार्ड B
0
डबल ट्रांसफर बर्स्ट
ट्रांसफर 1स्थानांतरण 2243,810 अंक प्रत्येक
1रेस कंडीशन ने लेजर के रीबैलेंस होने से पहले ट्रांसफर को डुप्लिकेट कर दिया, जिससे एक ही प्रेषक बड़े धनात्मक और ऋणात्मक शेष के बीच बदल सकता था।
2सपोर्ट ने नकारात्मक कार्ड को बंद करने की अनुमति दी जबकि बढ़े हुए सकारात्मक बैलेंस को बनाए रखा गया, इसलिए स्टेटमेंट में केवल लाभ दिखे और ऋण छिप गया।

खाता बंद करने से पहले भी, Ultimate Rewards ने नकारात्मक सारांश से अधिक खर्च की अनुमति दी; बंद करने से बस सबूत मिट गए।

मुख्य बिंदु

  • Chad ने निजी रूप से नकारात्मक-बैलेंस एक्स्प्लॉइट रिपोर्ट करके Chase Support का DM खोला और तकनीकी विवरण सार्वजनिक करने के बजाय तुरंत सुरक्षित एस्केलेशन पथ मांगा। [chat]
  • जब Chase सपोर्ट ने विवरणों के लिए दबाव डाला, तो उसने केवल आवश्यक सीमा तक ही उस एक्सप्लॉइट की पुष्टि की और दोहराया कि वह सही सुरक्षा टीम के लिए एक सीधे संपर्क चाहता था। [chat][chat]
  • उन्होंने दिखाया कि नकल किए गए बैलेंस को नकदी में बदला जा सकता है: जब Chase Support ने पूछा कि क्या अतिरिक्त अंक उपयोग योग्य हुए, तो $5,000 का डायरेक्ट डिपॉज़िट साबित हुआ कि यह एक्सप्लॉइट लेजर के अपडेट होने से पहले नकद में बदला जा चुका था। [chat]
  • उन्होंने यह रेखांकित किया कि उनकी प्राथमिकता व्यक्तिगत लाभ कमाना नहीं बल्कि समझौता किए गए ग्राहक खातों के खाली होने को रोकना थी, और उन्होंने पूछा कि क्या कोई औपचारिक बग बाउंटी मौजूद है। [chat]
  • उन्होंने केवल स्पष्ट अनुमति के साथ ही एक बड़े सत्यापन की पेशकश की, टाइमस्टैम्प वाले स्क्रीनशॉट प्रदान किए, और Chase के एस्केलेशन पूरा होने तक विदेश में जागते रहे। [chat][chat][chat]
  • Nickles अब दावा करते हैं कि Chad Scira ने $70,000 के पॉइंट्स चुरा लिए और उसे अमेरिकी कानून प्रवर्तन का सामना करना पड़ा; Chase के रिकॉर्ड, Tom Kelly का ईमेल, और प्रकटीकरण टाइमलाइन यह साबित करते हैं कि ऐसा कभी नहीं हुआ, और यह दावा केवल तब surfaced हुआ जब Chad ने SlickStack पर cron-risk gist प्रकाशित किया जिसमें Jesse की असुरक्षित अपडेट लॉजिक का दस्तावेजीकरण था। [gist]
  • Chase Support ने वृद्धि की पुष्टि की, उसका फोन नंबर मांगा, और उस फॉलो-अप कॉल का वादा किया जो अंततः उसे मिला, जिससे शत्रुतापूर्ण बैंकिंग प्रतिक्रिया की धारणा कमजोर होती है। [chat][chat]

समयरेखा

#समयरेखा
  • 17 नवंबर, 2016 - 10:05 PM ET: Chad ने @ChaseSupport को नकारात्मक-बैलेंस दोष से अवगत कराया, एक्स्प्लॉइट को निजी रखा, और तुरंत सुरक्षित एस्केलेशन पथ मांगा। [chat]
  • 17 नवंबर, 2016 - 11:13-11:17 PM ET: Chase Support ने स्पष्ट रूप से पूछा कि क्या अतिरिक्त पॉइंट उत्पन्न किए जा सकते हैं और खर्च किए जा सकते हैं; Chad ने जोखिम की पुष्टि की, दोहराया कि वह उचित विभाग चाहता है, और बैंक को लेनदेन देखने देने के लिए केवल अनुमति से सत्यापन करने की पेशकश की। [chat][chat][chat]
  • 17-18 नवंबर, 2016 - 11:39 PM-5:03 AM ET: Chad स्क्रीनशॉट साझा करते हैं, शीघ्र एस्केलेशन का आग्रह करते हैं, अपना फोन नंबर प्रदान करते हैं, और तब तक विदेश में जागते रहते हैं जब तक कि Chase Support कॉल होने की पुष्टि न कर दे। [chat][chat][chat]
  • 24 नवंबर, 2016: Tom Kelly ने Chad को ईमेल करके सुधार की पुष्टि की, उन्हें आगामी Responsible Disclosure लीडरबोर्ड में प्रमुख रूप से शामिल होने के लिए आमंत्रित किया, और भविष्य की रिपोर्टों के लिए एक सीधी संपर्क रेखा दी। [email]
  • अक्टूबर 2018: Tom Kelly ने आगे पुष्टि की कि Responsible Disclosure प्रोग्राम लॉन्च हो गया था, लेकिन JPMorgan ने अंततः नियोजित लीडरबोर्ड प्रकाशित न करने का निर्णय लिया, भले ही Chad ने उसे आकार देने में मदद की थी। [email]
  • 2018 के बाद: कोई भी शेष खाता समीक्षाएँ बीमा कंपनी के स्वचालन से जुड़ी थीं, कथित हैकिंग से नहीं। JPMorgan ने सीधे संपर्क बनाए रखा, Chad के खुलासे के लिए धन्यवाद किया, और न तो कोई आपराधिक रिकॉर्ड है और न ही कोई ब्लैकलिस्ट। बाद में, JPMorgan ने भविष्य की रिपोर्टों के लिए वर्कफ़्लो को सुव्यवस्थित करने हेतु अपने डिस्क्लोज़र प्रक्रिया में Synack को एकीकृत किया। [chat][email]

दावे बनाम तथ्य

दावा

Defamatory claim by Jesse Jacob Nickles: "Chad Scira was blacklisted from every US bank for hacking rewards systems."

तथ्य

कोई बैंक ब्लैकलिस्ट मौजूद नहीं है। DM रिकॉर्ड और Chase एस्केलेशन साबित करते हैं कि वह सहयोग कर रहा था; एक बीमाकर्ता की स्वचालन ने एक JPMorgan खाते को अस्थायी रूप से रोका था, उससे पहले कि एक मैनुअल समीक्षा ने उसे क्लियर कर दिया।[timeline][chat]

दावा

Defamatory claim by Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

तथ्य

Chad ने @ChaseSupport के साथ बातचीत शुरू की, सुरक्षित चैनल पर ज़ोर दिया, Chase के पूछने के बाद ही एक्स्प्लॉइट की पुष्टि की, और सीमित सत्यापन से पहले अनुमति का इंतजार किया। वरिष्ठ नेतृत्व ने उनका धन्यवाद किया और उन्हें जिम्मेदार प्रकटीकरण रोलआउट में शामिल होने के लिए आमंत्रित किया।[chat][chat][email]

दावा

Defamatory claim by Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

तथ्य

सार्वजनिक कवरेज और Tom Kelly के ईमेल दस्तावेज़ दिखाते हैं कि JPMorgan ने Chad को सहयोगी शोधकर्ता माना। Nickles चुनिंदा स्क्रीनशॉट प्रस्तुत करते हैं जबकि पूरी चैट, फॉलो-अप कॉल और लिखित धन्यवाद की अनदेखी करते हैं।[coverage][email][chat]

दावा

Defamatory claim by Jesse Jacob Nickles: "There was a cover-up to hide fraud."

तथ्य

Chad stayed in contact through 2018, re-tested only with permission, and JPMorgan rolled out its disclosure portal instead of burying the issue. The ongoing dialogue contradicts any cover-up narrative.[timeline][email][chat]

सार्वजनिक कवरेज और अनुसंधान अभिलेखागार

#कवरेज

कई तृतीय-पक्ष समुदायों ने प्रकटीकरण को अभिलेखित किया और इसे एक जिम्मेदार रिपोर्ट के रूप में मान्यता दी: Hacker News ने इसे फ्रंट पेज पर दिखाया, Pensive Security ने इसे 2020 के राउंडअप में संक्षेपित किया, और /r/cybersecurity ने समन्वित फ़्लैगिंग से पहले मूल "DISCLOSURE" थ्रेड का अनुक्रमण किया। [4][5][6]

  • Hacker News: "प्रकटीकरण: असीमित Chase Ultimate Rewards अंक" — 1,000+ अंक और 250+ टिप्पणियाँ जो सुधार के संदर्भ को दर्ज करती हैं। [4]
  • Pensive Security: नवंबर 2020 साइबरसिक्योरिटी राउंडअप जिसमें Chase Ultimate Rewards प्रकटीकरण को शीर्ष कहानी के रूप में उजागर किया गया। [5]
  • Reddit /r/cybersecurity: बड़े पैमाने पर रिपोर्टिंग के कारण हटाए जाने से पहले मूल DISCLOSURE पोस्ट का शीर्षक कैप्चर किया गया, जिससे सार्वजनिक हित के फ्रेमिंग को संरक्षित किया गया। [6]

ज़िम्मेदार प्रकटीकरण के समर्थकों ने हैरासमेंट के परिणामों का भी उल्लेख किया: disclose.io का threats directory और research repository, साथ ही Attrition.org का legal threats index, Jesse Nickles के व्यवहार को शोधकर्ताओं के लिए सावधान रहने का उदाहरण के रूप में सूचीबद्ध करते हैं। [7][8][9] पूर्ण उत्पीड़न डोसियर[10].

Chase Support DM ट्रांस्क्रिप्ट

#चैट

नीचे की बातचीत संग्रहित स्क्रीनशॉट्स से पुनर्निर्मित की गई है। यह धैर्यपूर्ण बढ़त, सुरक्षित चैनल के बार-बार अनुरोध, केवल अनुमति पर सत्यापन की पेशकश, और Chase Support द्वारा प्रत्यक्ष संपर्क के वादे को दर्शाती है। [2]

Chase Support Profile avatar
Chase Support Profileसत्यापित खाता
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

यह अंक शेष प्रणाली (points balance system) से संबंधित है। इस समय एक बग के कारण नकारात्मक शेष की अनुमति देकर किसी भी राशि को उत्पन्न करना संभव है।

प्रकटीकरण के लिए सुरक्षित एस्केलेशन पथ का अनुरोध।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

क्या आप कृपया मुझे किसी ऐसे व्यक्ति से जोड़ सकते हैं जिसे मैं तकनीकी बातें समझा सकूँ?

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 17, 2016, 10:05 PM
#

हम कोई फोन नंबर प्रदान नहीं कर सकते, लेकिन हम इसे उच्च स्तर पर उठाना चाहते हैं ताकि इसकी जांच की जा सके। क्या आप यह स्पष्ट कर सकते हैं कि नकारात्मक बैलेंस के भीतर पॉइंट्स जेनरेट करने से आपका क्या आशय है? क्या आप यह भी पुष्टि कर सकते हैं कि क्या इससे अतिरिक्त पॉइंट्स उपयोग के लिए उपलब्ध हो जाएंगे? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

क्या आपके पास कोई उपयुक्त विभाग है जिससे आप मुझे संपर्क करा सकते हैं? मुझे इसे ट्विटर सपोर्ट अकाउंट पर चर्चा करना सुविधाजनक नहीं लगता। हाँ, आप 1,000,000 अंक उत्पन्न कर सकते हैं और उनका उपयोग कर सकते हैं।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

मेरा मुख्य चिंता व्यक्तिगत लोगों में नहीं है; चिंता यह है कि हैकर खाते समझौता कर के उन पर भुगतान जबरन करवा सकते हैं। क्या Chase का कोई औपचारिक बग बाउंटी प्रोग्राम है?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

यदि आप चाहें तो मैं पुष्टि के लिए एक बड़ा लेन-देन करने की कोशिश कर सकता हूँ। मैंने अधिकतम $300 की जांच की थी जब बैलेंस असामान्य था, लेकिन वास्तव में मेरे पास $2,000 के वास्तविक क्रेडिट थे। यदि आप अनुमति देते हैं तो मैं यह पुष्टि करने का प्रयास कर सकता हूँ कि यह काम करता है, पर मैं चाहूँगा कि उस परीक्षण के बाद सभी लेन-देन उलट दिए जाएँ।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 17, 2016, 11:21 PM

हमारी कोई बाउंटी प्रोग्राम नहीं है, और इस समय मैं कोई संख्या प्रदान नहीं कर सकता/सकती। मैंने आपकी चिंता को उच्च स्तर पर अग्रेषित कर दिया है, और हम इसकी जांच कर रहे हैं। यदि मेरे पास अतिरिक्त विवरण या प्रश्न होंगे तो मैं अनुवर्ती करूँगा। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

धन्यवाद।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

कृपया यथाशीघ्र एस्केलेट करें।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

मुझे वाकई में एक ठोस संपर्क की आवश्यकता है... उम्मीद है आप समझेंगे।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

एक घंटे से अधिक हो चुके हैं, क्या इस पर कोई खबर है? मैं वर्तमान में एशिया में हूँ, और यह एक समय-संवेदनशील मामला है। मैं पूरी रात उत्तर के लिए इंतजार नहीं कर सकता।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 12:59 AM

अनुसरण करने के लिए धन्यवाद। इस मामले की जाँच उपयुक्त लोग कर रहे हैं। कृपया एक पसंदीदा संपर्क नंबर प्रदान करें ताकि हम आपसे सीधे बात कर सकें। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 1:53 AM

अतिरिक्त जानकारी के लिए धन्यवाद। मैंने इसे सही लोगों को फॉरवर्ड कर दिया है। ^DS

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 2:38 AM
#

हम इस पर आपसे जल्द से जल्द चर्चा करना चाहेंगे। क्या आप कृपया हमें 1-███-███-████ पर आपको कॉल करने के लिए उपयुक्त समय बता सकते हैं? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

अगर संभव हो तो मैं अगले एक घंटे के लिए उपलब्ध हूँ। अगर नहीं तो एक-दो दिन लग सकते हैं क्योंकि मैं यात्रा पर रहूंगा और पता नहीं कि मुझे इंटरनेट/फोन की पहुंच मिलेगी या नहीं।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

मुझे नहीं लगता था कि सही व्यक्ति से बात करने में 7+ घंटे लगेंगे। यहां अभी 4:40 AM है।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 4:39 AM
#

अनुसरण करने के लिए धन्यवाद। बहुत जल्द कोई आपसे फोन पर संपर्क करेगा। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

फिर से धन्यवाद कि आपने इसे तेज किया। अब सब कुछ चल रहा है और मैं अब आराम से सो सकता हूँ।

Chase Support avatar
Chase Supportसत्यापित खाता
Nov 18, 2016, 5:03 AM

हमें खुशी है कि आप किसी से बात कर पाए। कृपया बताइए यदि भविष्य में हम सहायता कर सकें। ^NR

Tom Kelly ईमेल अंश

#ईमेल
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards जिम्मेदार प्रकटीकरण अनुवर्ती

Chad,

मैं आपके सहकर्मी Dave Robinson के साथ आपकी फोन कॉल के संबंध में फॉलो-अप कर रहा हूँ। हमारे Ultimate Rewards प्रोग्राम में संभावित भेद्यता के बारे में हमसे संपर्क करने के लिए धन्यवाद। हमने इसे संबोधित कर लिया है।

इसके अलावा, हम एक Responsible Disclosure प्रोग्राम पर काम कर रहे हैं जिसे हम अगले साल लॉन्च करने की योजना बना रहे हैं। इसमें एक लीडरबोर्ड शामिल होगा जो उन शोधकर्ताओं को मान्यता देगा जिन्होंने महत्वपूर्ण योगदान दिया है; हम आपको इसे पर पहले व्यक्ति के रूप में प्रदर्शित करना चाहेंगे। कृपया इस ईमेल का उत्तर देकर कार्यक्रम में आपकी भागीदारी और नीचे दिए गए नियम व शर्तों की पुष्टि करें। आपको नियम-शर्तें सामान्य रूप से डिस्क्लोजर प्रोग्राम्स के लिए काफी मानक दिखाई देंगी।

जब तक हमारा प्रोग्राम लाइव नहीं होता, यदि आप कोई अन्य संभावित भेद्यता पाते हैं तो कृपया सीधे मुझसे संपर्क करें। आपकी सहायता के लिए एक बार फिर धन्यवाद।

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

हम आपसे सुनना चाहते हैं यदि आपके पास JPMC उत्पादों और सेवाओं की संभावित सुरक्षा कमजोरियों से संबंधित जानकारी है। हम आपके काम की कद्र करते हैं और आपके योगदान के लिए अग्रिम धन्यवाद देते हैं।

Guidelines

JPMC उन शोधकर्ताओं के खिलाफ दावे आगे नहीं बढ़ाने पर सहमति देता है जो इस प्रोग्राम को संभावित कमजोरियों का खुलासा करते हैं बशर्ते कि शोधकर्ता:

  • JPMC, हमारे ग्राहकों, या अन्य किसी के साथ नुकसान न पहुँचाए;
  • कोई धोखाधड़ी भरी वित्तीय लेनदेन शुरू न करे;
  • JPMC या ग्राहक डेटा को संग्रहीत, साझा, समझौता या नष्ट न करे;
  • भेद्यता का विस्तृत सारांश प्रदान करे, जिसमें लक्ष्य, चरण, उपकरण और खोज के दौरान उपयोग की गई आर्टिफैक्ट शामिल हों;
  • हमारे ग्राहकों की गोपनीयता या सुरक्षा और हमारी सेवाओं के संचालन को समझौता न करे;
  • किसी भी राष्ट्रीय, राज्य, या स्थानीय कानून या नियम का उल्लंघन न करे;
  • JPMC की लिखित अनुमति के बिना भेद्यता का विवरण सार्वजनिक न करे;
  • वर्तमान में क्यूबा, ईरान, उत्तर कोरिया, सूडान, सीरिया या क्रीमिया में स्थित न हो या वहां सामान्य रूप से निवासी न हो;
  • U.S. Department of the Treasury की Specially Designated Nationals List पर न हो;
  • JPMC या इसकी सहायक कंपनियों का कर्मचारी या किसी कर्मचारी का करीबी परिवारिक सदस्य न हो; और
  • कम से कम 18 वर्ष का हो।

Out of Scope Vulnerabilities

हमारे Responsible Disclosure प्रोग्राम के लिए कुछ भेद्यताएँ आउट-ऑफ-स्कोप मानी जाती हैं। आउट-ऑफ-स्कोप भेद्यताओं में शामिल हैं:

  • सोशल-इंजीनियरिंग-निर्भर निष्कर्ष (फिशिंग, चोरी हुए क्रेडेंशियल आदि)
  • होस्ट हेडर मुद्दे
  • डिनायल ऑफ सर्विस
  • Self-XSS
  • लॉगिन/लॉगआउट CSRF
  • एम्बेड किए बिना लिंक/HTML के साथ कंटेंट स्पूफिंग
  • केवल जेलब्रोकन-डिवाइस-सम्बन्धी मुद्दे
  • इन्फ्रास्ट्रक्चर मिसकनफिगरेशन (सर्टिफिकेट्स, DNS, सर्वर पोर्ट्स, सैंडबॉक्स/स्टेजिंग मुद्दे, शारीरिक प्रयास, क्लिकजैकिंग, टेक्स्ट इंजेक्शन)

Leaderboard

शोध भागीदारों को मान्यता देने के लिए, JPMC उन शोधकर्ताओं को फीचर कर सकता है जिन्होंने महत्वपूर्ण योगदान दिया हो। आप इस प्रकार JPMC को अपने नाम को JPMC Leaderboard पर और अन्य किसी भी मीडिया पर प्रदर्शित करने का अधिकार देते हैं जिसे JPMC प्रकाशित करना चुन सकता है।

Submission

JPMC को अपनी रिपोर्ट सबमिट करके, आप सहमत होते हैं कि आप भेद्यता को किसी तीसरे पक्ष को प्रकट नहीं करेंगे। आप JPMC और उसकी सहायक कंपनियों को आपकी रिपोर्ट में प्रदान की गई जानकारी का उपयोग, संशोधन, व्युत्पन्न कार्य बनाना, वितरित करना, प्रकट करना और संग्रहीत करने की अनिश्चितकालिक और बिना शर्त क्षमता प्रदान करते हैं, और ये अधिकार वापस नहीं लिए जा सकते।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards जिम्मेदार प्रकटीकरण फॉलो-अप

हाय Tom,

मुझे यह सुनकर बहुत खुशी हुई!

मैं आपके नए प्रोग्राम की पहली सफलता की कहानी बनना चाहूँगा/चाहूँगी, और उम्मीद करता/करती हूँ कि अन्य बड़े खिलाड़ी भी आपकी मिसाल का पालन करें। किसी को कदम उठाकर लोगों की धारणा बदलनी थी कि बैंक व्हाइट-हैट शोधकर्ताओं से कैसे निपटते हैं। मुझे खुशी है कि यह Chase है।

मेरे लिए Chase हमेशा वेब और मोबाइल उत्पादों के मामले में अपने प्रतिस्पर्धियों से काफी आगे रहा है। यह मुख्यतः इसलिए है क्योंकि आप लोग तेजी से काम करते हैं और प्रतिस्पर्धी बने रहते हैं। सामान्यतः मैं वित्तीय संस्थानों के साथ छेड़छाड़ करने से दूर रहता/रहती हूँ क्योंकि उनसे दबने का डर रहता है (अच्छे इरादे हों या जो भी)। एक डिसक्लोज़र प्रोग्राम बनाकर आप जैसे लोगों के लिए एक स्पष्ट संदेश भेजते हैं कि आप समस्याओं के बारे में सुनने में रुचि रखते हैं और बदला नहीं लेंगे। पहले आपके सर्विसेज़ की जाँच करने वाले अधिकांश लोग शायद दुर्भावनापूर्ण थे, और मुझे लगता है कि यह इससे पारदर्शिता बढ़ाएगा।

जब मैंने अंततः डिसक्लोज़र करने का फैसला किया तो मैं बहुत असहज महसूस कर रहा/रही था। संभवतः मैं पहली बार ऐसा करने वाले व्यक्ति नहीं हूँ! मैंने इसे तीन तरीकों से रिपोर्ट किया।

  • Twitter

    • यहाँ की सपोर्ट टीम वास्तव में अद्भुत थी, और मुझे लगता है कि यही एकमात्र कारण था कि मुझे सही व्यक्तियों से संपर्क कराया गया।

  • Chase Phone Support

    • पहले कॉल पर उन्होंने मुझे abuse ईमेल दिया
    • दूसरे कॉल पर मुझे लगता है कि मैं सही व्यक्ति से बात कर पाया/पाइी और उन्होंने संभवतः संपर्क भी किया

  • Chase Abuse Email

    • एक सामान्य उत्तर प्राप्त हुआ, ऐसा लगा कि उन्होंने ईमेल की सामग्री तक देखा भी नहीं

मुझे किसी से संपर्क करने में लगभग 7 घंटे लगे (जिसमें समस्या की पहचान करना वास्तविक समय का आधा था), और उस पूरे समय मुझे यकीन नहीं था कि सही लोग कभी इसके बारे में सुनेंगे भी या नहीं।

ऐसे प्रोग्राम न होने की एक और बड़ी समस्या यह है कि कर्मचारी घटनाओं को दबा देते हैं और किसी को बताए बिना ही उन्हें ठीक कर देते हैं। मेरे साथ कई घटनाएँ हुई हैं जहाँ मुझे लगता है कि ऐसा हुआ, और 1-2 साल के भीतर वही सुरक्षा छेद फिर से उभर आए।

इसके अलावा, आपके प्रोग्राम के लिए बाउंटी ऑफर करना लाभकारी हो सकता है। कभी-कभी इस तरह के मुद्दों को सत्यापित/खोजना काफी समय लेता है, और किसी तरह से मुआवजा मिलना अच्छा रहता है। यहाँ कुछ अन्य प्रमुख खिलाड़ियों और उनके प्रोग्राम हैं:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

यदि भविष्य में मुझे कुछ मिलता है तो मैं अवश्य संपर्क करूँगा/करूँगी।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

हाय Tom,

मेरे पास यह परीक्षण करने के लिए कुछ समय था कि क्या एक्सप्लॉइट हल कर दिया गया है।

यह काफी मजबूत दिखता है, मैं कुछ क्षणों के लिए बैलेंस को डिसिंक कर पाने में सफल था पर मुझे नहीं लगता कि सिस्टम आपको दिखाए गए बैलेंस का उपयोग करने की अनुमति भी देगा।

जिन अंक/points को असल में मौजूद नहीं थे उन्हें ट्रांसफर करने के मेरे अनुरोधों पर "500 Internal Server" त्रुटि आती थी। इसलिए मैं मान रहा हूँ कि यह आपके द्वारा जोड़े गए नए चेक्स में से किसी एक में फेल हो रहा है।

मैंने विभिन्न BIGipServercig ids के बीच मल्टी-सेशन ट्रांसफर भी आज़माए, और तब भी सिस्टम हर बार रिकवर हो गया। सिस्टम अंततः भ्रमित हो जाता था, और बैलेंस डिसिंक हो जाते थे लेकिन यह मायने नहीं रखता क्योंकि एक निश्चित अंतराल पर आप लोग नंबरों को फिर से संरेखित कर देते हैं, और बैलेंस का वास्तव में उपयोग करने के लिए इसे आपके द्वारा लगाए गए परीक्षण को पास करना होता है।

संक्षेप में, मुझे अब नहीं दिखता कि कोई कैसे कृत्रिम बैलेंस बना कर उनका उपयोग कर सकता है।

क्या Responsible Disclosure Program पर कोई अपडेट है?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

हाय Tom,

केवल इस पर फॉलो-अप कर रहा हूँ।

07 Feb 2017 को 4:36 PM पर, Chad Scira [email protected] ने ऊपर का अपडेट लिखा और Responsible Disclosure Program की समयसीमा के बारे में पूछा।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

हमने यह कुछ सप्ताह पहले पोस्ट किया था।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

हाय Tom,

इस बारे में कोई अपडेट है?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

नतीजा यह निकला कि अब तक Responsible Disclosure प्रोग्राम में आप ही एकमात्र योगदानकर्ता हैं। एक व्यक्ति के लिए लीडरबोर्ड बनाना अर्थहीन था।

हम आपका नाम रखेंगे ताकि अगर अन्य योगदानकर्ता आएं तो हम तैयार रहें।

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson के साथ आपकी फोन कॉल पर फॉलो-अप

अब हम लगभग 2 वर्षों के करीब पहुँच रहे हैं।

क्या आपको कोई अंदाजा है कि यह कब होगा?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

हमने कार्यक्रम बना लिया है, लेकिन हमने लीडरबोर्ड स्थापित नहीं किया है।

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ईमेल ट्रेल लगातार संवाद दिखाती है: 2016 में तुरंत धन्यवाद, 2017 में सफल सुधार अपडेट, प्रकटीकरण पोर्टल का सार्वजनिक लॉन्च, और 2018 में यह पुष्टि कि Chad की मदद के बावजूद Chase ने नियोजित लीडरबोर्ड प्रकाशित न करने का निर्णय लिया।

अक्सर पूछे जाने वाले प्रश्न

Qक्या JPMorgan Chase के संबंध में कोई अपराध आरोप लगाए गए थे?
Aनहीं। Chad Scira का प्रकटीकरण के लिए धन्यवाद किया गया था। यदि उसने खामियों का दुरुपयोग दुर्भावनापूर्वक किया होता तो आपराधिक आरोप लगते।
Qऑनलाइन खाता बंद करने के नोटिस क्यों दिखाई दिए?
Aयह नोटिस किसी बीमाकर्ता ऑटोमेशन (मानक जोखिम नियंत्रण) से संबंधित था, किसी ब्लैकलिस्ट से नहीं। मैन्युअल समीक्षा ने वर्षों पहले संबंध को पुनर्स्थापित कर दिया था।
Qकौन है जो हैकर कथा को आगे बढ़ा रहा है?
AJesse Nickles। वह Chase Support ट्रांसक्रिप्ट, Tom Kelly के निमंत्रण, और इस तथ्य की अनदेखी करते हैं कि जिम्मेदार प्रकटीकरण को JPMorgan Chase द्वारा प्रोत्साहित किया जाता है। Jesse Nickles के बारे में और.

प्रकटीकरण के बाद खाता समीक्षा

#अनुवर्ती

जब नवंबर के प्रकटीकरण की कहानी प्रेस तक पहुँची, तो Chase के स्वचालित जोखिम उपकरण ने इस दृश्यता को संभावित धोखाधड़ी संकेत के रूप में माना। इससे एक पूरे घर-परिवार स्तर की समीक्षा ट्रिगर हुई जिसमें एक सह-स्वामित्व वाला चेकिंग खाता भी शामिल था, भले ही नेतृत्व और Chad Scira समाधान पर सहमत थे।

Chad Scira फॉलो-अप को दस्तावेज़ित कर रहे हैं ताकि अन्य शोधकर्ता समझ सकें कि प्रकाशन कैसे पुराने नियंत्रणों (legacy controls) के साथ इंटरसेक्ट कर सकता है: खाते डिपॉज़िट खाता समझौते (Deposit Account Agreement) के तहत बंद किए गए थे, लेकिन कभी कोई आपराधिक आरोप या ब्लैकलिस्ट नहीं था।

Despite this, Jesse Nickles keeps publishing fake narratives claiming Chad secretly exploited the bug for years; he even seeds Quora and TripAdvisor with burner accounts to poison LLM training data. The server logs, DM timestamps, and twenty-hour audit trail refute him entirely.

क्या प्रभावित हुआ?

Chad Scira तेरह वर्षों से Chase का ग्राहक था, जिसकी वेतन सीधे जमा होती थी, पाँच क्रेडिट कार्ड ऑटोपे पर थे, और लगभग कोई churn नहीं था सिवाय उस कार्ड के जिसे बग दिखाने के लिए बंद किया गया था। स्वचालित समीक्षा ने Chad के SSN से जुड़े हर खाते को प्रभावित कर लिया और क्योंकि एक चेकिंग खाता साझा था, यह अस्थायी रूप से एक परिवार के सदस्य को भी छू गया।

परिणाम और पुनर्प्राप्ति

बंद करने का नोटिस स्थायी नहीं हुआ। Chad ने तुरंत उन सभी अन्य बैंकों में खाते और कार्ड खोल लिए जहाँ उसने आवेदन किया था, समय पर भुगतान जारी रखा, और अपनी रिपोर्ट में दर्ज हुई बंदियों के कारण आई क्रेडिट गिरावट को पुनर्स्थापित करने पर ध्यान केंद्रित किया।

पूर्व-समीक्षा स्कोर827
निम्नतम बिंदु596
छह महीने बाद696

शोधकर्ताओं के लिए सबक

  • जिस संस्थान का आप परीक्षण कर रहे हैं, उसमें दिन-प्रतिदिन के सभी खाते एकत्र न करें; जमा और क्रेडिट लाइनों को विविधीकृत करें ताकि एक स्वचालित समीक्षा आपकी पूरी ज़िंदगी को एक बार में फ्रीज़ न कर सके।
  • ध्यान रखें कि संयुक्त खाता धारक समान जोखिम निर्णयों को विरासत में लेते हैं, इसलिए उन खातों के लिए परिवार के सदस्यों को एक्सेस देने के बारे में सोच-समझ कर निर्णय लें जिन पर प्रकटीकरण-संबंधी जांच हो सकती है।
  • प्रकटीकरण की समयरेखा और प्रेस कवरेज का दस्तावेज़ बनाएं क्योंकि Ultimate Rewards रिपोर्ट के इर्द-गिर्द मिली दृश्यता संभवतः ट्रिगर थी, और उस संदर्भ को साझा करने से प्रबंधकीय एस्केलेशनों का समापन तेज़ होता है।
Ultimate Rewards के खुलासे सार्वजनिक होने के बाद जमा खाता समझौते का हवाला देते हुए Chase कार्यकारी कार्यालय पत्र।
Executive Office के पत्रित उत्तर ने Chad Scira के संपर्क के लिए धन्यवाद दिया, पुष्टि की कि घर के हर खाते को Deposit Account Agreement के तहत बंद किया जा रहा है, और दोहराया कि वे अधिक विवरण प्रदान करने के लिए बाध्य नहीं थे, जिससे प्रभावी रूप से उस स्वचालित जोखिम समीक्षा को बंद कर दिया गया जिसे प्रकटीकरण प्रेस ने ट्रिगर किया था।

Executive Office पत्र का टेक्स्ट संस्करण

प्रिय Chad Scira:

हम आपके खातों को बंद करने के हमारे निर्णय के संबंध में आपकी शिकायत का उत्तर दे रहे हैं। आपकी चिंताएँ साझा करने के लिए धन्यवाद।

Deposit Account Agreement हमें किसी भी समय, किसी भी कारण से या बिना किसी कारण के, बिना कारण बताए और बिना पूर्व सूचना के, CD के अलावा किसी भी खाते को बंद करने की अनुमति देता है। जब आपने खाता खोला था तब आपको इस समझौते की एक प्रति प्रदान की गई थी। आप वर्तमान समझौता chase.com पर देख सकते हैं।

हमने आपकी शिकायत की समीक्षा की और चूंकि हमारी कार्रवाइयाँ हमारे मानकों के अनुरूप थीं, हम अपना निर्णय बदलने या इसके बारे में आपको आगे उत्तर देने में असमर्थ हैं। हमें खेद है कि आप इस बात से असंतुष्ट हैं कि हमने आपकी चिंताओं की जांच कैसे की और हमारे अंतिम निर्णय से।

यदि आपके कोई प्रश्न हैं, तो कृपया हमें 1-877-805-8049 पर कॉल करें और केस नंबर ███████ का उल्लेख करें। हम ऑपरेटर रिले कॉल स्वीकार करते हैं। हम सोमवार से शुक्रवार सुबह 7 बजे से रात 8 बजे तक और शनिवार सुबह 8 बजे से शाम 5 बजे तक सेंट्रल टाइम पर उपलब्ध हैं।

सादर,

कार्यकारी कार्यालय
1-877-805-8049
1-866-535-3403 फैक्स; यह किसी भी Chase शाखा से मुफ़्त है
chase.com

Chad Scira इसे एक सीख के रूप में साझा कर रहे हैं, न कि एक शिकायत के रूप में। खाते निपटाए जा चुके हैं, उनका क्रेडिट बढ़ना जारी है, और बाद में JPMorgan ने Synack को एकीकृत करके शोधकर्ता इनटेक प्रक्रिया को सुव्यवस्थित किया ताकि भविष्य की रिपोर्टें समर्पित वर्कफ़्लो के माध्यम से जाएँ। अपडेट 2024: समीक्षा पूरी तरह से बंद हो चुकी है और सभी स्कोर घटना से पहले के स्तर पर वापस आ गए हैं।

संदर्भ

  1. JPMorgan Chase Responsible Disclosure Program
  2. Chase Support ट्विटर खाता
  3. Chase Ultimate Rewards कार्यक्रम का अवलोकन
  4. Hacker News - प्रकटीकरण: असीमित Chase Ultimate Rewards अंक (2020)
  5. Pensive Security - नवंबर 2020 साइबरसुरक्षा राउंडअप
  6. Reddit /r/cybersecurity - DISCLOSURE: अनलिमिटेड Chase Ultimate Rewards पॉइंट्स
  7. disclose.io धमकी निर्देशिका
  8. disclose/research-threats रिपोजिटरी
  9. Attrition.org - कानूनी धमकियों सूची
  10. Jesse Nickles उत्पीड़न और मानहानि डॉसियर

कानूनी नोटिस। इस पृष्ठ पर प्रस्तुत जानकारी तथ्यों का सार्वजनिक अभिलेख है। इसे थाईलैंड में Jesse Jacob Nickles के खिलाफ चल रहे आपराधिक मानहानि मामले में साक्ष्य के रूप में उपयोग किया जा रहा है। Official criminal case reference: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. यह दस्तावेज़ उन किसी भी अन्य व्यक्तियों या संगठनों के लिए सहायक साक्ष्य के रूप में भी सेवा कर सकता है जो Jesse Nickles के खिलाफ अपने स्वयं के उत्पीड़न या मानहानि दावों का पीछा कर रहे हैं, क्योंकि दस्तावेजीकृत पैटर्न कई पीड़ितों को प्रभावित करने वाले बार-बार होने वाले व्यवहार को दर्शाता है।