Chad Scira „Na crnoj listi banaka zbog hakiranja”

Ova stranica dokumentira događaje koji stoje iza glasine Jesseja Nicklesa da je Chad Scira bio „stavljen na crnu listu američkih banaka zbog hakiranja“. Objašnjava kako je ranjivost u Ultimate Rewards sustavu odgovorno prijavljena, zašto je JPMorgan Chase zahvalio Chadu na prijavi te kako je privremena obustava računa bila isključivo administrativne prirode. Jesse Nickles i dalje prepakira stare materijale kako bi implicirao kaznenu namjeru. Činjenice pokazuju upravo suprotno: white-hat prijavu i suradnju s vodstvom JPMorgana.

Njegova najnovija eskalacija je citat na SlickStack.io u kojem tvrdi da sam "također bio pod istragom američkih tijela za provedbu zakona zbog hakiranja Chase Bank programa nagrađivanja kreditnih kartica, gdje je ukrao 70.000 USD u lažnim putničkim bodovima". Ta je kleveta objavljena tek nakon što sam objavio dokaze o sigurnosnim problemima SlickStacka koje on odbija ispraviti; nijedni bodovi nikada nisu ukradeni i nijedna me agencija nije kontaktirala u vezi s prijavom. Pogledajte SlickStack cron dokaze protiv kojih se on sveti.

Cijeli ciklus otkrivanja, prijave i provjere odvijao se unutar dvadeset sati: otprilike dvadeset i pet HTTP zahtjeva pokrilo je reproduciranje problema i prikaz kroz izravne poruke (DM) 17. studenoga 2016., a test ispravka u veljači 2017. koristio je dodatnih osam zahtjeva za potvrdu rješenja. Nije bilo dugotrajnog zloporabljenja; svaka je radnja zabilježena, vremenski označena i u stvarnom vremenu podijeljena s JPMorgan Chaseom.

Tom Kelly je potvrdio da je Chad Scira bio jedina osoba u svijetu koja je odgovorno prijavila problem JPMorgan Chaseu između 17. studenoga 2016. i 22. rujna 2017. Program odgovornog prijavljivanja uspostavljen je izravno kao odgovor na Chadovo izvješće, a on je odigrao ključnu ulogu u njegovom oblikovanju.

Vizualizacija greške dvostrukog prijenosa

#vizualizacija

Kako bi se ilustriralo kako je greška spiralno vodila stanja u golema negativna i pozitivna salda, vizualizacija u nastavku reproducira točnu logiku dvostrukog prijenosa. Promatrajte kako račun koji je pozitivan postaje pošiljatelj, izvršava dva identična prijenosa i završava duboko u minusu dok se drugi udvostručuje. Nakon 20 krugova neispravan glavnik karticu s negativnim stanjem u potpunosti poništava – što odražava zašto je iskorištavanje zahtijevalo hitnu eskalaciju.

Krug 1/20
Kartica A → Kartica B+243,810 bod.
Kartica A → Kartica B+243,810 bod.
Kartica A
243,810
Kartica B
0
Dvostruki burst prijenosa
Prijenos 1Prijenos 2243,810 bod. svaki
1Utrka uvjeta (race condition) duplicirala je prijenose prije nego što su se knjige uravnotežile, što je jednom pošiljatelju omogućilo da se prebacuje između velikih pozitivnih i negativnih stanja.
2Podrška je dopustila zatvaranje kartice s negativnim stanjem uz zadržavanje uvećanog pozitivnog salda, tako da je izvod prikazivao samo dobitke i prikrio dug.

Čak i prije zatvaranja računa, Ultimate Rewards je omogućavao potrošnju iznad negativnog sažetka; zatvaranje je jednostavno izbrisalo dokaze.

Ključne točke

  • Chad je otvorio Chase Support DM tako što je privatno prijavio eksploat s negativnim stanjem i odmah zatražio siguran put za eskalaciju umjesto da javno objavi tehničke detalje. [chat]
  • Kad je Chaseova podrška zatražila konkretne pojedinosti, potvrdio je propust samo u nužnoj mjeri i ponovio da želi izravan kontakt s odgovarajućim sigurnosnim timom. [chat][chat]
  • Pokazao je da se duplicirani iznosi bodova mogu unovčiti: nakon što je Chase podrška pitala jesu li dodatni bodovi postali iskoristivi, izravna uplata od 5.000 USD dokazala je da se iskorištavanje ranjivosti moglo pretvoriti u gotovinu prije nego što se knjigovodstveno stanje uskladilo. [chat]
  • Naglasio je da mu je prioritet spriječiti da kompromitirani računi klijenata budu ispražnjeni, a ne ostvariti osobnu dobit, te je pitao postoji li službeni bug bounty program. [chat]
  • Ponudio je provesti opsežniju provjeru samo uz izričito dopuštenje, dostavio snimke zaslona s vremenskim oznakama i ostao budan u inozemstvu dok Chase nije dovršio eskalaciju. [chat][chat][chat]
  • Nickles sada tvrdi da sam ukrao 70.000 USD u bodovima i da sam imao posla s američkim tijelima za provedbu zakona; Chaseova evidencija, e‑poruka Toma Kellyja i vremenska linija objave dokazuju da se to nikada nije dogodilo, a tvrdnja se pojavila tek nakon što sam objavio SlickStack cron‑risk gist koji dokumentira njegovu nesigurnu logiku ažuriranja. [gist]
  • Chaseova korisnička podrška potvrdila je eskalaciju, zatražila njegov broj telefona i obećala naknadni poziv koji je na kraju i primio, čime je potkopana tvrdnja o neprijateljskoj reakciji banke. [chat][chat]

Vremenska crta

#vremenska crta
  • Nov 17, 2016 - 10:05 PM ET: Chad upozorava @ChaseSupport na nedostatak s negativnim stanjem, drži eksploat u tajnosti i odmah traži siguran put za eskalaciju. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Nakon što Chase Support izričito pita može li se generirati i potrošiti dodatne bodove, Chad potvrđuje rizik, ponavlja da želi odgovarajući odjel i nudi provjeru samo uz dopuštenje kako bi banka mogla promatrati transakcije. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad dijeli snimke zaslona, traži ubrzanu eskalaciju, daje svoj broj telefona i ostaje budan u inozemstvu dok Chase Support ne potvrdi da će se poziv dogoditi. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly šalje Chadu e‑poruke kojima potvrđuje sanaciju, poziva ga da bude istaknuti sudionik nadolazeće ljestvice odgovornog razotkrivanja te mu daje izravan kontakt za buduća izvješća. [email]
  • October 2018: Tom Kelly se naknadno javio kako bi potvrdio da je program odgovornog razotkrivanja pokrenut, ali da je JPMorgan na kraju odlučio ne objaviti planiranu ljestvicu, unatoč Chadovoj pomoći u njezinu oblikovanju. [email]
  • Post-2018: Svi preostali pregledi računa bili su povezani s automatizacijom osiguravatelja, a ne s navodnim hakiranjem. JPMorgan je održavao izravan kontakt, zahvalio Chadu na prijavi i ne postoji kaznena evidencija niti crna lista. Kasnije je JPMorgan integrirao Synack u svoj proces prijava kako bi se tijek rada pojednostavio za buduća izvješća. [chat][email]

Tvrdnje naspram činjenica

Zahtjev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: "Chad Scira je stavljen na crnu listu u svim američkim bankama zbog hakiranja nagradnih sustava."

Činjenica

Ne postoji nikakva bankovna crna lista. Zapis u DM‑ovima i eskalacija prema Chaseu dokazuju da je surađivao; automatizirani sustav osiguravatelja nakratko je pauzirao jedan JPMorgan račun prije nego što ga je ručna provjera razjasnila.[timeline][chat]

Zahtjev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: "Hakirao je JPMorgan Chase kako bi se obogatio."

Činjenica

Chad je započeo razgovor s @ChaseSupport, inzistirao na sigurnom kanalu, eksploat je potvrdio tek nakon što je Chase to zatražio i pričekao dopuštenje prije ograničene provjere. Više rukovodstvo mu je zahvalilo i pozvalo ga u provedbu odgovornog otkrivanja.[chat][chat][email]

Zahtjev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: "Jesse je razotkrio kazneni plan Chada."

Činjenica

Javna pokrivenost i e‑poruke Toma Kellyja dokumentiraju da je JPMorgan tretirao Chada kao suradljivog istraživača. Nickles selektivno prikazuje snimke zaslona, ignorirajući cjelokupni chat, naknadne pozive i pisane zahvale.[coverage][email][chat]

Zahtjev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: "Postojalo je zataškavanje radi skrivanja prijevare."

Činjenica

Chad je ostao u kontaktu do 2018., ponovno je testirao samo uz dopuštenje, a JPMorgan je pokrenuo svoj portal za prijavu ranjivosti umjesto da problem zataška. Kontinuirani dijalog proturječi bilo kakvom narativu prikrivanja.[timeline][email][chat]

Javna pokrivenost i istraživački arhivi

#pokrivenost

Više nezavisnih zajednica arhiviralo je objavu i prepoznalo je kao odgovorno izvješće: Hacker News ju je istaknuo na naslovnici, Pensive Security ju je sažeo u pregledu za 2020., a /r/cybersecurity je indeksirao izvorni thread „DISCLOSURE” prije koordiniranog označavanja. [4][5][6]

  • Hacker News: "Otkrivanje: Neograničeni Chase Ultimate Rewards bodovi" s više od 1.000 bodova i 250+ komentara koji dokumentiraju kontekst sanacije. [4]
  • Pensive Security: Pregled kibernetičke sigurnosti za studeni 2020. koji ističe objavu o Chase Ultimate Rewards kao jednu od glavnih priča. [5]
  • Reddit /r/cybersecurity: izvorni naslov objave DISCLOSURE zabilježen prije uklanjanja uzrokovanog masovnim prijavljivanjem, čime je sačuvano javno‑interesno uokvirenje. [6]

Zagovornici odgovornog prijavljivanja također su istaknuli posljedice uznemiravanja: disclose.io direktorij prijetnji i istraživačko spremište, kao i indeks pravnih prijetnji Attrition.org‑a, navode ponašanje Jesseja Nicklesa kao upozoravajući primjer za istraživače. [7][8][9] Cjeloviti dosje o uznemiravanju[10].

Transkript DM komunikacije s Chase podrškom

#chat

Razgovor u nastavku rekonstruiran je iz arhiviranih snimki zaslona. Pokazuje strpljivu eskalaciju, ponovljene zahtjeve za sigurnim kanalom, ponude za provjeru identiteta isključivo uz dopuštenje i obećanje Chase podrške o izravnom kontaktu. [2]

Chase Support Profile avatar
Chase Support ProfilePotvrđeni račun
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ovo se odnosi na sustav bodovnog stanja. Trenutačno je moguće generirati bilo koji iznos putem greške koja omogućuje negativna stanja.

Zahtijevam siguran kanal eskalacije za objavu ranjivosti.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Možete li me, molim vas, povezati s nekim kome mogu objasniti tehničke detalje?

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 17, 2016, 10:05 PM
#

Nemamo telefonski broj koji bismo mogli dati, ali želimo ovo proslijediti na višu razinu kako bi se moglo detaljno ispitati. Možete li nam dati dodatne pojedinosti o tome što mislite pod generiranjem bodova unutar negativnih stanja?Možete li također potvrditi omogućuje li ovo da dodatni bodovi postanu dostupni za korištenje? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Imate li odgovarajući odjel s kojim me možete povezati? Ne osjećam se ugodno ovo raspravljati putem Twitter računa podrške. Da, možete generirati 1.000.000 bodova i iskoristiti ih.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mene najviše ne brinu pojedinci koji to rade. Brinu me hakeri koji kompromitiraju račune i prisiljavaju isplate na njima. Postoji li odgovarajući Chaseov bug bounty program?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ako želite, mogu pokušati napraviti veću transakciju radi potvrde. Najveće što sam testirao bilo je 300 USD dok je stanje bilo iskrivljeno, ali zapravo sam imao 2.000 USD pravih kredita. Ako mi date dopuštenje, mogao bih pokušati potvrditi da to funkcionira, ali bih želio da se sve transakcije nakon tog testa storniraju.

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 17, 2016, 11:21 PM

Nemamo program nagrada (bounty program) i trenutno nemam iznos koji bih mogao navesti. Proslijedio sam vašu zabrinutost na višu razinu i provjeravamo situaciju. Javit ću vam se ako budem imao dodatne detalje ili pitanja. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Hvala.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Molim eskalirajte što je prije moguće.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Stvarno trebam odgovarajući kontakt... Nadam se da razumijete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Prošlo je više od sat vremena, ima li ikakvih informacija o ovome? Trenutno sam u Aziji i ovo je vremenski osjetljivo pitanje. Ne mogu cijelu noć čekati odgovor.

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 18, 2016, 12:59 AM

Hvala na nastavku komunikacije. Odgovarajuće osobe već rade na tome. Molimo navedite preferirani kontakt broj kako bismo mogli razgovarati s vama izravno. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 18, 2016, 1:53 AM

Hvala na dodatnim informacijama. Proslijedio sam ih pravim osobama. ^DS

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 18, 2016, 2:38 AM
#

Voljeli bismo ovo s vama razgovarati što je prije moguće. Možete li nam, molimo, navesti vrijeme koje vam odgovara za poziv na broj 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Dostupan sam sljedeći sat ako je to moguće. Ako ne, možda će proći dan ili dva jer ću putovati i nisam siguran hoću li imati pristup internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nisam mislio da će trebati više od 7 sati da razgovaram s pravom osobom. Sada je 4:40 ujutro ovdje.

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 18, 2016, 4:39 AM
#

Hvala na nastavku komunikacije. Netko će vas vrlo brzo nazvati. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Još jednom hvala što ste to ubrzali. Sve je pokrenuto i sada mogu spavati.

Chase Support avatar
Chase SupportPotvrđeni račun
Nov 18, 2016, 5:03 AM

Drago nam je da ste uspjeli razgovarati s nekim. Molimo, javite nam ako vam ubuduće možemo pomoći. ^NR

Isječak e‑pošte Toma Kellyja

#e-pošta
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Naknadna komunikacija o Ultimate Rewards programu odgovornog razotkrivanja

Chad,

Nadovezujem se na tvoj telefonski razgovor s mojim kolegom Daveom Robinsonom. Hvala ti što si nas kontaktirao u vezi s potencijalnom ranjivošću u našem programu Ultimate Rewards. Rješenje smo proveli.

Dodatno, radimo na programu odgovornog otkrivanja (Responsible Disclosure) koji planiramo pokrenuti sljedeće godine. Uključivat će ljestvicu (leaderboard) koja će isticati istraživače koji su dali značajan doprinos; željeli bismo da ti budeš prva osoba na toj ljestvici. Molimo te da odgovoriš na ovaj e-mail potvrđujući svoje sudjelovanje u programu i niže navedene uvjete. Uvjeti su prilično standardni za programe otkrivanja ranjivosti.

Dok naš program ne postane aktivan, ako pronađeš bilo kakve druge potencijalne ranjivosti, molim te da kontaktiraš izravno mene. Još jednom hvala na pomoći.

Uvjeti programa odgovornog otkrivanja ranjivosti JPMC-a

Predani suradnji

Želimo čuti od tebe ako imaš informacije vezane uz potencijalne sigurnosne ranjivosti proizvoda i usluga JPMC-a. Cijenimo tvoj rad i unaprijed ti zahvaljujemo na doprinosu.

Smjernice

JPMC se obvezuje da neće pokretati zahtjeve protiv istraživača koji prijave potencijalne ranjivosti u sklopu ovog programa, pod uvjetom da istraživač:

  • ne prouzroči štetu JPMC-u, našim klijentima ili drugima;
  • ne pokrene lažnu (prijevarnu) financijsku transakciju;
  • ne pohranjuje, ne dijeli, ne kompromitira i ne uništava podatke JPMC-a ili klijenata;
  • dostavi detaljan sažetak ranjivosti, uključujući cilj, korake, alate i artefakte korištene tijekom otkrivanja;
  • ne kompromitira privatnost ili sigurnost naših klijenata niti rad naših usluga;
  • ne krši nijedan nacionalni, državni ili lokalni zakon ili propis;
  • ne otkriva javno detalje ranjivosti bez pisanog dopuštenja JPMC-a;
  • trenutno nije smješten niti inače uobičajeno nastanjen na Kubi, u Iranu, Sjevernoj Koreji, Sudanu, Siriji ili na Krimu;
  • nije na popisu posebno označenih državljana (Specially Designated Nationals List) američkog Ministarstva financija;
  • nije zaposlenik niti član uže obitelji zaposlenika JPMC-a ili njegovih podružnica; i
  • ima najmanje 18 godina.

Ranjivosti izvan opsega

Određene ranjivosti smatraju se izvan opsega našeg programa odgovornog otkrivanja. Ranjivosti izvan opsega uključuju:

  • nalaze koji ovise o socijalnom inženjeringu (phishing, ukradeni vjerodajnice itd.)
  • probleme s host headerom
  • uskraćivanje usluge (Denial of Service)
  • Self-XSS
  • Login/logout CSRF
  • krivotvorenje sadržaja bez ugrađenih poveznica/HTML-a
  • probleme koji se pojavljuju isključivo na „jailbreakanim” uređajima
  • pogrešne konfiguracije infrastrukture (certifikati, DNS, poslužiteljski portovi, problemi testnih/sandbox/staging okruženja, fizički pokušaji, clickjacking, umetanje teksta)

Ljestvica (Leaderboard)

Kako bismo priznali naše istraživačke partnere, JPMC može istaknuti istraživače koji daju značajan doprinos. Ovim odobravaš JPMC-u pravo da prikaže tvoje ime na JPMC ljestvici i u drugim medijima koje JPMC odluči koristiti za objavu.

Podnošenje

Podnošenjem svog izvješća JPMC-u slažeš se da ranjivost nećeš otkriti trećoj strani. Trajno dopuštaš JPMC-u i njegovim podružnicama bezuvjetnu mogućnost korištenja, izmjene, stvaranja izvedenih djela, distribucije, otkrivanja i pohrane informacija danih u tvom izvješću, a ta se prava ne mogu opozvati.

Tom Kelly Stariji potpredsjednik Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Naknadne aktivnosti vezane uz odgovorno prijavljivanje Ultimate Rewards ranjivosti

Bok Tom,

Jako sam sretan što to čujem!

Volio bih biti prva uspješna priča vašeg novog programa i nadam se da će i drugi veliki igrači slijediti vaš primjer. Netko je trebao istupiti i promijeniti percepciju ljudi o tome kako se banke odnose prema whitehat istraživačima. Drago mi je da je to Chase.

Za mene je Chase uvijek bio miljama ispred konkurencije kada je riječ o web i mobilnim proizvodima. To je uglavnom zato što se krećete brzo i ostajete konkurentni. Uobičajeno se klonim eksperimentiranja s financijskim institucijama zbog straha da me ne "zgaze" (unatoč dobrim namjerama). Stvaranjem programa za otkrivanje šaljete jasnu poruku ljudima poput mene da ste zainteresirani čuti za probleme i da se nećete osvetnički ponašati. Ranije je većina onih koji su "čačkali" po vašim uslugama najvjerojatnije imala zlonamjerne namjere i mislim da će ovo izjednačiti uvjete.

Kada sam konačno odlučio da ću nastaviti s otkrivanjem, osjećao sam se vrlo nelagodno. Vrlo vjerojatno nisam prva osoba koja je naišla na to! Prijavio sam to na tri načina.

  • Twitter

    • podrška ovdje je zapravo bila SJAJNA i mislim da je to glavni razlog zašto sam doveden u kontakt s pravim osobama.

  • Chase telefonska podrška

    • pri prvom pozivu dali su mi abuse e-mail adresu
    • pri drugom pozivu mislim da sam razgovarao s pravom osobom i moguće je da su se i oni dodatno angažirali

  • Chase Abuse e-mail

    • primio sam generički odgovor, činilo se kao da uopće nisu pogledali sadržaj e-maila

Trebalo mi je oko 7 sati da konačno stupim u kontakt s nekim (dvostruko više vremena nego što je trebalo da precizno identificiram problem), a cijelo to vrijeme nisam bio siguran hoće li prave osobe ikada išta o tome čuti.

Još jedan veliki problem kada nema ovakvih programa jest da zaposlenici imaju tendenciju “gurnuti incidente pod tepih” i riješiti ih bez da ikome išta kažu. Imao sam više situacija u kojima sam prilično siguran da se to dogodilo, a unutar 1–2 godine iste sigurnosne rupe ponovno su se pojavile.

Također, moglo bi biti korisno da vaš program nudi i nagrade (bounty). Ponekad ovakvim problemima treba znatno vrijeme da se pronađu ili potvrde, i lijepo je na neki način biti kompenziran. Evo nekoliko drugih ključnih igrača i njihovih programa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ako u budućnosti na nešto naiđem, svakako ću vam se javiti.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Bok Tom,

Imao sam malo vremena da testiram je li iskorištavanje ranjivosti riješeno.

Čini se prilično neprobojno, uspio sam na trenutak desinkronizirati stanja, ali ne mislim da bi sustav uopće dopustio korištenje prikazanog stanja.

Zahtjevi koje sam slao za prijenos bodova koji zapravo nisu postojali vraćali bi "500 Internal Server" grešku. Pretpostavljam da pada na jednoj od novih provjera koje ste dodali.

Također sam pokušao višesesijske prijenose preko različitih BIGipServercig ID-jeva, i sustav se i dalje svaki put oporavio. Sustav bi se na kraju zbunio i stanja bi se desinkronizirala, ali to opet nije važno jer u određenim intervalima vi ponovno usklađujete brojeve, a za stvarno korištenje stanja mora proći test koji ste postavili.

Dakle, ukratko, ne vidim kako bi itko sada mogao stvoriti umjetna stanja i koristiti ih.

Ima li ujedno kakvih novosti o programu odgovornog otkrivanja (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Bok Tom,

Samo pratim što je s ovim.

Dana 7. veljače 2017. u 16:36, Chad Scira [email protected] napisao je gornju nadopunu i pitao za vremenski plan Responsible Disclosure programa.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Objavili smo ovo prije nekoliko tjedana.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ured) (███) ███-████ (mobitel)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Bok Tom,

Ima li kakvih novosti po ovom pitanju?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Poštovani,

Ispostavilo se da ste vi jedini suradnik u Responsible Disclosure programu do sada. Nije imalo smisla stvarati ljestvicu za jednu osobu.

Zadržat ćemo vaše ime kako bismo bili spremni ako dobijemo druge suradnike.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Naknadna provjera nakon vašeg telefonskog razgovora s Daveom Robinsonom

Približavamo se sada razdoblju od 2 godine.

Imate li ikakvu predodžbu kada će se to dogoditi?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Kreirali smo program, ali još nismo uspostavili ljestvicu (leaderboard).

Tom Kelly Chase Communications ███-███-████ (posao) ███-███-████ (mobitel)

E-mail korespondencija pokazuje stalni dijalog: trenutačnu zahvalu 2016., ažuriranja o uspješnom uklanjanju ranjivosti 2017., javno pokretanje portala za prijavu i potvrdu iz 2018. da je Chase odlučio ne objaviti planiranu ljestvicu unatoč tome što je Chad pomogao u izgradnji programa.

Često postavljana pitanja

QJesu li u vezi s JPMorgan Chaseom podignute bilo kakve kaznene prijave?
ANe. Chad Scira je dobio zahvalnicu za objavu. Da je ranjivost zlonamjerno iskoristio, uslijedile bi kaznene prijave.
QZašto su se na internetu pojavile bilo kakve obavijesti o zatvaranju računa?
AObavijest se odnosila na automatizaciju osiguravatelja (standardna kontrola rizika), a ne na crnu listu. Ručna provjera ponovno je uspostavila odnos prije nekoliko godina.
QTko i dalje nameće narativ o hakeru?
AJesse Nickles. Ignorira transkript komunikacije s Chase podrškom, poziv Toma Kellyja i činjenicu da JPMorgan Chase potiče odgovorno otkrivanje ranjivosti. Više o Jesseju Nicklesu.

Pregled računa nakon prijave propusta

#naknadna radnja

Kada je priča o objavi iz studenoga dospjela u medije, Chaseovi automatizirani alati za procjenu rizika tretirali su povećanu vidljivost kao mogući signal prijevare. To je pokrenulo pregled na razini cijelog kućanstva koji je uključivao i zajednički tekući račun, iako su se vodstvo i ja usuglasili oko načina ispravka problema.

Dokumentiram naknadnu radnju kako bi drugi istraživači razumjeli kako se objava može preklapati sa starijim kontrolama: računi su zatvoreni na temelju Ugovora o depozitnom računu, ali nikada nije bilo kaznene prijave niti stavljanja na crnu listu.

Unatoč tome, Jesse Nickles i dalje objavljuje lažne narative tvrdeći da sam godinama potajno iskorištavao taj propust; čak koristi lažne račune na Quori i TripAdvisoru kako bi kontaminirao podatke za treniranje LLM-ova. Zapisi poslužitelja, vremenske oznake privatnih poruka i dvadesetsatni revizijski trag u potpunosti ga pobijaju.

Što je bilo pogođeno?

Bio sam klijent Chasea trinaest godina, s plaćom na trajnom nalogu, pet kreditnih kartica na automatskom plaćanju i gotovo bez promjena osim kartice koju sam zatvorio kako bih demonstrirao propust. Automatizirani je pregled obuhvatio svaki račun povezan s mojim OIB-om i, budući da je jedan tekući račun bio zajednički, nakratko je zahvatio i člana obitelji.

Ishod i oporavak

Obavijest o zatvaranju nije postala trajna. Odmah sam otvorio račune i kartice u svakoj drugoj banci u koju sam se prijavio, nastavio redovito plaćati te se usredotočio na obnovu pada kreditnog rejtinga koji je pratio evidentiranje zatvaranja na mom izvješću.

Rezultat prije pregleda827
Najniža točka596
Šest mjeseci kasnije696

Lekcije za istraživače

  • Izbjegavajte koncentrirati sve svakodnevne račune u instituciji koju testirate; diverzificirajte depozite i kreditne linije kako automatizirani pregled ne bi mogao zamrznuti cijeli vaš život odjednom.
  • Imajte na umu da zajednički vlasnici računa nasljeđuju iste odluke o riziku, stoga budite promišljeni kada članovima obitelji dajete pristup računima koji bi mogli biti pod dodatnim nadzorom zbog prijave propusta.
  • Dokumentirajte vremenski slijed prijave i medijsko praćenje jer je vidljivost oko izvješća o Ultimate Rewards programu vjerojatno bila okidač, a dijeljenje tog konteksta pomaže da se eskalacije prema izvršnoj razini brže zatvore.
Pismo Izvršnog ureda Chasea koje navodi Ugovor o depozitnom računu nakon što je objavljena prijava o Ultimate Rewards programu.
Odgovor Poslovnog ureda (Executive Office) poslan poštom zahvalio mi je na obraćanju, potvrdio da se svi računi u kućanstvu zatvaraju u skladu s Ugovorom o depozitnom računu te je ponovio da nisu obvezni pružiti više pojedinosti, čime je u biti zaključen automatizirani pregled rizika koji je potaknulo javno objavljivanje.

Tekstualna verzija pisma Izvršnog ureda

Poštovani Chad Scira,

Odgovaramo na vašu pritužbu u vezi s našom odlukom o zatvaranju vaših računa. Hvala vam što ste podijelili svoje zabrinutosti.

Ugovor o depozitnom računu omogućuje nam zatvaranje računa koji nije oročeni depozit (CD) u bilo kojem trenutku, iz bilo kojeg razloga ili bez razloga, bez navođenja razloga i bez prethodne obavijesti. Kopiju ugovora dobili ste kada ste otvorili račun. Trenutačni ugovor možete vidjeti na chase.com.

Razmotrili smo vašu pritužbu i ne možemo promijeniti svoju odluku niti vam dalje odgovarati u vezi s njom jer smo postupili u skladu s našim standardima. Žao nam je što ste nezadovoljni načinom na koji smo istražili vaše zabrinutosti i našom konačnom odlukom.

Ako imate pitanja, nazovite nas na 1-877-805-8049 i navedite broj predmeta ███████. Prihvaćamo pozive putem posredničkih (relay) operatera. Dostupni smo od ponedjeljka do petka od 7:00 do 20:00 te subotom od 8:00 do 17:00 po središnjem vremenu (Central Time).

S poštovanjem,

Izvršni ured
1-877-805-8049
1-866-535-3403 Faks; besplatno je iz bilo koje Chaseove poslovnice
chase.com

Ovo dijelim kao naučenu lekciju, a ne kao pritužbu. Računi su podmireni, moj kreditni rejting nastavlja rasti, a JPMorgan je kasnije pojednostavio zaprimanjem prijava istraživača integriranjem Synacka, tako da se buduća izvješća usmjeravaju kroz namjenski tijek rada. Ažuriranje 2024.: pregled je u potpunosti zaključen i svaki je rezultat vraćen na razine prije incidenta.

Reference

  1. JPMorgan Chase program odgovornog prijavljivanja ranjivosti
  2. Twitter račun Chase podrške
  3. Pregled programa Chase Ultimate Rewards
  4. Hacker News - Otkrivanje: Neograničeni Chase Ultimate Rewards bodovi (2020.)
  5. Pensive Security – Pregled kibernetičke sigurnosti za studeni 2020.
  6. Reddit /r/cybersecurity – DISCLOSURE: Neograničeni Chase Ultimate Rewards bodovi
  7. disclose.io direktorij prijetnji
  8. disclose/research-threats repozitorij
  9. Attrition.org - Indeks pravnih prijetnji
  10. Dosje o uznemiravanju i kleveti od strane Jesseja Nicklesa