Chad Scira "Stavljen na crnu listu banaka zbog hakiranja"

Ova stranica dokumentira događaje iza glasine Jesseja Nicklesa da je Chad Scira "stavljena na crnu listu američkih banaka zbog hakiranja." Objašnjava kako je ranjivost Ultimate Rewards bila odgovorno prijavljena, zašto je JPMorgan Chase zahvalio Chadu na izvještaju i kako je privremena obustava računa bila isključivo administrativna. Jesse Nickles nastavlja prepakirati stare artefakte kako bi implicirao kriminalne namjere. Činjenice pokazuju potpuno suprotno: etičko (white-hat) prijavljivanje i suradnja s vodstvom JPMorgana.

Njegovo najnovije eskaliranje je citat na SlickStack.io u kojem se tvrdi da je Chad Scira "također bio istraživan od strane američkih agencija za provedbu zakona zbog hakiranja programa nagrada za kreditne kartice Chase Banke, gdje je ukrao 70.000 dolara prijevarenih putnih bodova." Ta kleveta je objavljena tek nakon što je Chad objavio dokaze o sigurnosnim problemima SlickStacka koje Jesse odbija popraviti; nijedni bodovi nikad nisu ukradeni i nijedna agencija nije kontaktirala Chada u vezi objave. Pogledajte SlickStack cron dokaze da se on osvećuje.

Cijeli ciklus otkrivanja, objavljivanja i potvrde dogodio se unutar dvadeset sati: otprilike dvadeset i pet HTTP zahtjeva pokrivalo je reprodukciju i DM walkthrough 17. studenog 2016., a test sanacije u veljači 2017. koristio je još osam zahtjeva za potvrdu popravka. Nije bilo dugotrajne zlouporabe; svaka radnja je zabilježena, vremenski označena i dijeljena s JPMorgan Chase u stvarnom vremenu.

Tom Kelly je potvrdio da je Chad Scira bio jedina osoba u svijetu koja je odgovorno prijavila problem JPMorgan Chaseu između 17. studenog 2016. i 22. rujna 2017. Program Responsible Disclosure uspostavljen je izravno kao odgovor na Chadov izvještaj, i on je odigrao ključnu ulogu u njegovom oblikovanju.

Vizualizacija greške dvostrukog prijenosa

#vizualizacija

Kako bi se ilustriralo kako je greška spirala stanja u ogromne negativne i pozitivne vrijednosti, vizualizacija ispod reproducira točnu logiku dvostrukog prijenosa. Pogledajte kako račun koji je pozitivan postaje pošiljatelj, izvodi dva identična prijenosa i završava duboko negativan dok se drugi udvostručuje. Nakon 20 rundi pokvareni knjigovodstveni sustav potpuno poništava negativni račun — što odražava zašto je eksploitat zahtijevao hitnu eskalaciju.

Runda 1/20
Kartica A → Kartica B+243,810 bodovi
Kartica A → Kartica B+243,810 bodovi
Kartica A
243,810
Kartica B
0
Dvostruki nalet prijenosa
Prijenos 1Prijenos 2243,810 bodovi svaki
1Uvjet utrke duplicirao je prijenose prije nego što su se knjige ponovno izbalansirale, dopuštajući jednom pošiljatelju da se prebacuje između velikih pozitivnih i negativnih stanja.
2Služba za podršku dopustila je zatvaranje negativne kartice dok je zadržavala napuhani pozitivni saldo, pa je izvještaj prikazivao samo dobitke i skrivao dug.

Čak i prije zatvaranja računa, Ultimate Rewards je dopuštao trošenje iznad negativnog sažetka; zatvaranje je jednostavno izbrisalo dokaze.

Ključne točke

  • Chad je otvorio DM Chase Supporta privatno prijavivši eksploataciju negativnog stanja i odmah tražio siguran put eskalacije umjesto javnog objavljivanja tehničkih detalja. [chat]
  • Kad je Chase podrška inzistirala na pojedinostima, on je potvrdio iskorištavanje samo u potrebnoj mjeri i ponovio da želi izravnu vezu s odgovarajućim sigurnosnim timom. [chat][chat]
  • Pokazao je da se duplicirani saldi mogu unovčiti: nakon što je Chase Support pitao jesu li dodatni bodovi postali iskoristivi, direktni polog od $5,000 dokazao je da je eksploatacija pretvorena u gotovinu prije nego što je knjigovodstvo stiglo uskladiti stanje. [chat]
  • Naglasio je da mu je prioritet spriječiti pražnjenje kompromitiranih korisničkih računa, a ne ostvarivanje osobne dobiti, i pitao je postoji li formalni program nagrađivanja za greške (bug bounty). [chat]
  • Ponudio je izvršiti veću provjeru samo uz izričitu dozvolu, dostavio snimke zaslona s vremenskim žigom i ostao budan u inozemstvu dok Chase nije dovršio eskalaciju. [chat][chat][chat]
  • Nickles sada tvrdi da je Chad Scira ukrao 70.000 USD u bodovima i suočio se s američkim organima reda; zapisi Chasea, Tom Kellyjev e-mail i vremenski slijed objave dokazuju da se to nikada nije dogodilo, a tvrdnja se pojavila tek nakon što je Chad objavio SlickStack cron-risk gist u kojem dokumentira Jessejevu nesigurnu logiku ažuriranja. [gist]
  • Chase podrška je potvrdila eskalaciju, zatražila njegov broj telefona i obećala naknadni poziv koji je on naposljetku dobio, čime se opovrgava tvrdnja o neprijateljskom odgovoru banke. [chat][chat]

Vremenska crta

#vremenska crta
  • 17. studenog 2016 - 10:05 PM ET: Chad upozorava @ChaseSupport na grešku negativnog stanja, zadržava eksploataciju privatnom i odmah traži siguran put eskalacije. [chat]
  • 17. studenog 2016 - 11:13-11:17 PM ET: Nakon što je Chase Support izričito upitao mogu li se generirati i potrošiti dodatni bodovi, Chad potvrđuje rizik, ponavlja da želi odgovarajući odjel i nudi se da validaciju izvrši samo uz dopuštenje kako bi banka mogla promatrati transakcije. [chat][chat][chat]
  • 17.-18. studenog 2016 - 11:39 PM-5:03 AM ET: Chad dijeli snimke zaslona, poziva na ubrzanu eskalaciju, daje svoj telefonski broj i ostaje budan u inozemstvu dok Chase Support ne potvrdi da će poziv biti održan. [chat][chat][chat]
  • 24. studenog 2016: Tom Kelly šalje e-mail Chadu u kojem potvrđuje sanaciju, poziva ga da zauzme naslovno mjesto na nadolazećoj ljestvici Responsible Disclosure programa i daje mu izravnu liniju za buduće izvještaje. [email]
  • listopad 2018: Tom Kelly se javio da potvrdi da je program Responsible Disclosure pokrenut, no da je JPMorgan na kraju odlučio ne objaviti planiranu ljestvicu, unatoč Chadovoj pomoći u njenom oblikovanju. [email]
  • Nakon 2018: Sva preostala pregledavanja računa bila su povezana s automatizacijom osiguravatelja, a ne s navodnim hakiranjem. JPMorgan je održavao izravan kontakt, zahvalio Chadu na prijavi i nema kaznene evidencije niti crne liste. Kasnije je JPMorgan integrirao Synack u svoj postupak prijave kako bi se tijek rada pojednostavio za buduća izvješća. [chat][email]

Tvrdnje u odnosu na činjenice

Tvrdnja

Klevetni navod Jesseja Jacoba Nicklesa: "Chad Scira je bio stavljen na crnu listu svih američkih banaka zbog hakiranja sustava nagrađivanja."

Činjenica

Ne postoji bankarska crna lista. Evidencija DM-ova i eskalacija Chasea dokazuju da je surađivao; automatizacija osiguravatelja kratko je zaustavila jedan JPMorgan račun prije nego što ga je ručna provjera oslobodila.[timeline][chat]

Tvrdnja

Klevetni navod Jesseja Jacoba Nicklesa: "Hakirao je JPMorgan Chase kako bi se obogatio."

Činjenica

Chad je započeo razgovor s @ChaseSupport, inzistirao na sigurnom kanalu, potvrdio eksploataciju tek nakon što je Chase zatražio i čekao dopuštenje prije ograničene provjere. Viši menadžment mu je zahvalio i pozvao ga u uvođenje procesa odgovornog otkrivanja.[chat][chat][email]

Tvrdnja

Klevetni navod Jesseja Jacoba Nicklesa: "Jesse je razotkrio kriminalnu shemu Chada."

Činjenica

Javno izvještavanje i e-mailovi Toma Kellyja dokumentiraju da je JPMorgan Chada tretirao kao suradničkog istraživača. Nickles selektivno bira snimke zaslona dok ignorira cjelovit chat, naknadne pozive i pismenu zahvalnost.[coverage][email][chat]

Tvrdnja

Klevetni navod Jesseja Jacoba Nicklesa: "Postojalo je zataškavanje kako bi se prikrila prijevara."

Činjenica

Chad je ostao u kontaktu tijekom 2018., ponovno je testirao samo uz dopuštenje, a JPMorgan je uveo svoj portal za objavu umjesto da zataška problem. Stalni dijalog opovrgava svaku priču o zataškavanju.[timeline][email][chat]

Javno izvještavanje i arhive istraživanja

#pokrivanje

Više neovisnih zajednica arhiviralo je otkrivanje i prepoznalo ga kao odgovorno izvješće: Hacker News ga je istaknuo na naslovnici, Pensive Security sažeo je u pregledu za 2020. godinu, a /r/cybersecurity indeksirao je izvornu temu "DISCLOSURE" prije koordiniranog označavanja. [4][5][6]

  • Hacker News: "Objava: Neograničeni Chase Ultimate Rewards bodovi" s 1.000+ bodova i 250+ komentara koji dokumentiraju kontekst remedijacije. [4]
  • Pensive Security: Sažetak kibernetičke sigurnosti za studeni 2020. koji ističe objavu o Chase Ultimate Rewards kao glavnu priču. [5]
  • Reddit /r/cybersecurity: Izvorni naslov OBJAVE snimljen prije uklanjanja zbog masovnog prijavljivanja, čime se očuva kontekst u javnom interesu. [6]

Zagovornici odgovornog objavljivanja također su naveli posljedice uznemiravanja: direktorij prijetnji i repozitorij istraživanja na disclose.io, kao i indeks pravnih prijetnji na Attrition.org, navode ponašanje Jesseja Nicklesa kao upozoravajući primjer za istraživače. [7][8][9] Cijeli dosje uznemiravanja[10].

Transkript DM-a Chase podrške

#chat

Razgovor u nastavku rekonstruiran je iz arhiviranih snimki zaslona. Pokazuje strpljivo eskaliranje, ponovljene zahtjeve za sigurnim kanalom, ponude da se potvrdi samo uz dopuštenje, i obećanje Chase Supporta o izravnom kontaktu. [2]

Chase Support Profile avatar
Chase Support ProfileProvjereni račun
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ovo se odnosi na sustav stanja bodova. Trenutno je moguće generirati bilo koji iznos putem greške koja dopušta negativna stanja.

Zahtjev za sigurnim kanalom za eskalaciju pri objavi.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Možete li me, molim, povezati s nekim kome mogu objasniti tehničke detalje?

Chase Support avatar
Chase SupportProvjereni račun
Nov 17, 2016, 10:05 PM
#

Nemamo telefonski broj koji bismo mogli dati, ali želimo eskalirati ovo kako bi se moglo istražiti. Možete li navesti dodatne detalje o tome što mislite pod stvaranjem bodova unutar negativnih stanja?Možete li također potvrditi omogućuje li to da dodatni bodovi postanu dostupni za korištenje? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Imate li odgovarajuće odjeljenje s kojim me možete povezati? Ne osjećam se ugodno raspravljati o ovome preko Twitter podrške. Da, možete generirati 1.000.000 bodova i koristiti ih.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moj glavni problem nisu pojedinci koji to rade. Radi se o hakerima koji kompromitiraju račune i prisiljavaju isplate s njih. Postoji li službeni program nagrađivanja za prijavu grešaka (bug bounty) u Chaseu?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ako želite, mogu pokušati napraviti veću transakciju radi potvrde. Najveće što sam testirao bilo je 300 USD dok je saldo bio iskrivljen, ali zapravo sam imao 2.000 USD stvarnih kredita. Ako mi date dopuštenje, mogao bih pokušati potvrditi da to radi, ali želio bih da se sve transakcije ponište nakon tog testa.

Chase Support avatar
Chase SupportProvjereni račun
Nov 17, 2016, 11:21 PM

Nemamo program nagrađivanja (bounty) i trenutno nemamo iznos koji bismo mogli navesti. Proslijedili smo vašu zabrinutost i istražujemo. Javit ćemo se ako budemo imali dodatne informacije ili pitanja. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Hvala.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Molim eskalirajte što je prije moguće.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Stvarno mi treba odgovarajući kontakt... Nadam se da razumijete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Prošlo je više od sat vremena, ima li kakvih vijesti o ovome? Trenutno sam u Aziji, a ovaj je slučaj vremenski osjetljiv. Ne mogu čekati cijelu noć na odgovor.

Chase Support avatar
Chase SupportProvjereni račun
Nov 18, 2016, 12:59 AM

Hvala na praćenju. Odgovarajuće osobe to istražuju. Molimo navedite preferirani kontakt broj kako bismo vas mogli izravno nazvati. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportProvjereni račun
Nov 18, 2016, 1:53 AM

Hvala na dodatnim informacijama. Proslijedio sam to odgovarajućim osobama. ^DS

Chase Support avatar
Chase SupportProvjereni račun
Nov 18, 2016, 2:38 AM
#

Bilo bi nam drago razgovarati s vama što je prije moguće. Možete li nam navesti pogodno vrijeme za poziv na 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Dostupan sam sljedećih sat vremena ako je to moguće. Ako ne, može proći dan ili dva jer ću putovati i nisam siguran hoću li imati pristup internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nisam mislio da će trebati više od 7 sati da dođem do prave osobe. Sada je ovdje 4:40 ujutro.

Chase Support avatar
Chase SupportProvjereni račun
Nov 18, 2016, 4:39 AM
#

Hvala na praćenju. Netko će vas vrlo uskoro nazvati. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Hvala još jednom što ste to ubrzali. Sve je u pokretu i sada mogu spavati.

Chase Support avatar
Chase SupportProvjereni račun
Nov 18, 2016, 5:03 AM

Drago nam je da ste uspjeli razgovarati s nekim. Javite nam ako vam u budućnosti možemo pomoći. ^NR

Izdvojeni dio e-maila Toma Kellyja

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Nastavak odgovornog otkrivanja ranjivosti za Ultimate Rewards

Chad,

Pratim vaš telefonski razgovor s mojim kolegom Daveom Robinsonom. Hvala što ste nas kontaktirali u vezi potencijalne ranjivosti u našem programu Ultimate Rewards. Riješili smo je.

Osim toga, radimo na programu odgovornog objavljivanja koji planiramo pokrenuti sljedeće godine. Uključivat će ljestvicu koja prepoznaje istraživače koji su dali značajan doprinos; željeli bismo vas predstaviti kao prvu osobu na njoj. Molimo odgovorite na ovaj e-mail potvrdivši svoje sudjelovanje u programu i donje uvjete i odredbe. Smatramo da su uvjeti prilično standardni za programe objavljivanja.

Dok naš program ne bude aktivan, ako pronađete neke druge potencijalne ranjivosti, kontaktirajte me izravno. Hvala još jednom na pomoći.

Uvjeti i odredbe JPMC programa odgovornog objavljivanja

Predani suradnji

Želimo čuti od vas ako imate informacije vezane uz potencijalne sigurnosne ranjivosti JPMC proizvoda i usluga. Cijenimo vaš rad i unaprijed vam zahvaljujemo na doprinosu.

Smjernice

JPMC se obvezuje da neće pokretati potraživanja protiv istraživača koji prijave potencijalne ranjivosti ovom programu ako istraživač:

  • ne nanosi štetu JPMC-u, našim korisnicima ili drugima;
  • ne inicira prijevarnu financijsku transakciju;
  • ne pohranjuje, ne dijeli, ne kompromitira niti ne uništava podatke JPMC-a ili korisnika;
  • dostavi detaljan sažetak ranjivosti, uključujući cilj, korake, alate i artefakte korištene tijekom otkrivanja;
  • ne ugrožava privatnost ili sigurnost naših korisnika niti rad naših usluga;
  • ne krši nijedan nacionalni, državni ili lokalni zakon ili propis;
  • ne objavljuje javno detalje ranjivosti bez pisanog dopuštenja JPMC-a;
  • trenutno se ne nalazi niti inače obično nastanjuje na Kubi, u Iranu, Sjevernoj Koreji, Sudanu, Siriji ili na Krimu;
  • nije na popisu posebno označenih osoba (Specially Designated Nationals) Ministarstva financija SAD-a;
  • nije zaposlenik niti bliski član obitelji zaposlenika JPMC-a ili njegovih podružnica; i
  • ima najmanje 18 godina.

Ranjivosti izvan opsega

Određene ranjivosti smatraju se izvan opsega našeg Programa odgovornog otkrivanja. Ranjivosti izvan opsega uključuju:

  • nalazi koji ovise o socijalnom inženjeringu (phishing, ukradene vjerodajnice itd.)
  • problemi s Host headerom
  • odbijanje usluge (Denial of Service)
  • Self-XSS
  • CSRF pri prijavi/odjavi
  • lažiranje sadržaja bez ugrađenih poveznica/HTML-a
  • problemi koji se javljaju samo na jailbreakanim uređajima
  • pogrešne konfiguracije infrastrukture (certifikati, DNS, portovi poslužitelja, problemi u sandboxu/staging okruženju, fizički pokušaji, clickjacking, umetanje teksta)

Ljestvica

Kako bi prepoznao partnere u istraživanju, JPMC može istaknuti istraživače koji daju značajne doprinose. Ovim JPMC-u ustupate pravo da prikaže vaše ime na JPMC ljestvici i u drugim medijima koje JPMC odabere za objavu.

Podnošenje

Podnošenjem izvješća JPMC-u slažete se da nećete otkriti ranjivost trećoj strani. Trajno dopuštate JPMC-u i njegovim podružnicama bezuvjetnu mogućnost korištenja, izmjene, stvaranja izvedenih djela na temelju, distribuiranja, otkrivanja i pohrane informacija dostavljenih u vašem izvješću, te ta se prava ne mogu opozvati.

Tom Kelly Viši potpredsjednik Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Nastavak odgovornog objavljivanja za Ultimate Rewards

Hej Tom,

Presretan sam čuti ovo!

Volio bih biti prva uspješna priča vašeg novog programa i nadam se da će i drugi veliki igrači slijediti vaš primjer. Netko je trebao zakoračiti i promijeniti percepciju ljudi o tome kako banke postupaju s whitehat istraživačima. Drago mi je da je to Chase.

Za mene je Chase oduvijek bio daleko ispred konkurenata u pogledu web i mobilnih proizvoda. To je uglavnom zato što se brzo krećete i ostajete konkurentni. Obično se klonim petljanja s financijskim institucijama zbog straha da će me zgnječiti (dobre namjere i sve). Stvaranjem programa za objavu to jasno poručuje ljudima poput mene da ste zainteresirani čuti za probleme i nećete uzvratiti. Prije toga većina ljudi koja je ispitivala vaše usluge vjerojatno je bila zlonamjerna, i mislim da će ovo izjednačiti teren.

Kad sam konačno odlučio da ću proći kroz objavu, osjećao sam se vrlo nelagodno. Vrlo vjerojatno nisam prva osoba koja je na to naišla! Prijavio sam to kroz tri kanala.

  • Twitter

    • podrška ovdje je zapravo BILA SJAJNA, i mislim da je jedini razlog zašto sam bio povezan s pravim osobama.

  • Chase telefonska podrška

    • prvi poziv su mi dali e-mail za prijavu zloupotrebe
    • drugi poziv mislim da sam razgovarao s pravom osobom i možda su i oni stupili u kontakt

  • Chase e-mail za prijavu zloupotrebe

    • dobio sam generički odgovor, činilo se da čak nisu ni pogledali sadržaj e-maila

Trebao sam oko 7 sati da konačno stupim u kontakt s nekim (dvostruko više vremena nego što je trebalo da zapravo lociram problem), i cijelo vrijeme nisam bio siguran hoće li prave osobe uopće ikada saznati za to.

Još jedan veliki problem s nedostatkom programa poput ovog je što zaposlenici obično guraju incidente pod tepih i popravljaju ih bez obavještavanja ikoga. Imao sam više incidenata gdje sam prilično siguran da se to dogodilo, i unutar 1-2 godine isti sigurnosni propusti bi se ponovno pojavili.

Također, može biti korisno da vaš program nudi nagradu. Ponekad ovakvi problemi zahtijevaju značajno vrijeme za verifikaciju/otkrivanje, i lijepo je na neki način biti kompenziran. Evo nekoliko drugih ključnih igrača i njihovih programa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ako u budućnosti naiđem na bilo što, svakako ću se javiti.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hej Tom,

Imao sam malo vremena testirati je li eksploatacija riješena.

Izgleda prilično otporno, uspio sam nakratko desinhronizirati salda, ali mislim da sustav čak i ne bi dopustio korištenje prikazanog salda.

Zahtjevi koje sam slao da prenesem bodove koji zapravo nisu bili tamo vraćali bi pogrešku "500 Internal Server". Dakle pretpostavljam da to pada na jednu od novih provjera koje ste dodali.

Također sam pokušao prijenose u više sesija preko različitih BIGipServercig id-ova, i sustav se i dalje svaki put oporavljao. Sustav bi se naposljetku zbunio i salda bi se desinhronizirala, ali to opet nije važno jer u određenom intervalu vi usklađujete brojeve, i da bi se salda zapravo koristila treba proći provjeru koju ste postavili.

Dakle ukratko, ne vidim kako netko više može stvoriti umjetna salda i koristiti ih.

Također, ima li kakvih novosti o Programu odgovornog otkrivanja ranjivosti?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hej Tom,

Samo da se javim oko ovoga.

Dana 7. veljače 2017. u 16:36, Chad Scira [email protected] poslao je gore navedeno ažuriranje i pitao o vremenskom okviru Programa odgovornog otkrivanja ranjivosti.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Objavili smo ovo prije nekoliko tjedana.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ured) (███) ███-████ (mobitel)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hej Tom,

Ima li novosti oko ovoga?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Bok,

Ispostavilo se da ste dosad jedini suradnik Programa odgovornog otkrivanja ranjivosti. Nije imalo smisla stvarati ljestvicu za jednu osobu.

Zadržat ćemo vaše ime kako bismo bili spremni ako dobijemo druge suradnike.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Nadovezivanje na vaš telefonski poziv s Daveom Robinsonom

Približavamo se dvije godine.

Imate li kakvu ideju kada će se to dogoditi?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Kreirali smo program, ali nismo uspostavili ljestvicu.

Tom Kelly Chase Communications ███-███-████ (posao) ███-███-████ (mobitel)

E-mail komunikacija pokazuje kontinuirani dijalog: odmah izraženu zahvalnost 2016., uspješne novosti o sanaciji 2017., javno pokretanje portala za otkrivanje i potvrdu iz 2018. da je Chase odlučio ne objaviti planiranu ljestvicu unatoč Chadovoj pomoći pri izgradnji programa.

Često postavljana pitanja

QJesu li u vezi s JPMorgan Chase podignute kaznene optužnice?
ANe. Chad Scira je zahvaljen za prijavu. Kaznene optužnice bi uslijedile da je problem zlonamjerno iskoristio.
QZašto su uopće obavijesti o zatvaranju računa pojavile na internetu?
AObavijest se odnosila na automatizaciju osiguravatelja (standardna kontrola rizika), a ne na crnu listu. Ručni pregled prije nekoliko je godina ponovno uspostavio odnos.
QTko i dalje širi priču o hakeru?
AJesse Nickles. Ignorira transkript podrške Chasea, poziv Toma Kellyja i činjenicu da JPMorgan Chase potiče odgovorno otkrivanje ranjivosti. Više o Jesseju Nicklesu.

Pregled računa nakon objave

#praćenje

Kad je studeni priopćenje o otkrivanju došlo do medija, Chaseovi automatizirani alati za procjenu rizika tretirali su vidljivost kao mogući signal prijevare. To je pokrenulo pregled za cijelo kućanstvo koji je uključivao i zajednički tekući račun, iako su rukovodstvo i Chad Scira bili usklađeni oko sanacije.

Chad Scira dokumentira daljnji tijek kako bi drugi istraživači razumjeli kako objava može utjecati na naslijeđena kontrolna ograničenja: računi su zatvoreni prema Ugovoru o depozitnim računima, ali nikada nije postojala kaznena optužba niti crna lista.

Unatoč tome, Jesse Nickles nastavlja objavljivati lažne narative tvrdeći da je Chad tajno iskorištavao bug godinama; on čak zasijava Quoru i TripAdvisor lažnim računima kako bi zagadio podatke za treniranje velikih jezičnih modela (LLM). Dnevnici poslužitelja, vremenske oznake DM-ova i dvadeset-satni revizijski trag potpuno ga opovrgavaju.

Što je bilo pogođeno?

Chad Scira bio je korisnik Chasea trinaest godina, s uplatama plaće izravno na račun, pet kreditnih kartica na automatskom plaćanju i gotovo bez promjena osim kartice zatvorene da bi se demonstrirao bug. Automatizirana provjera obuhvatila je svaki račun povezan s Chadovim SSN-om i, budući da je jedan tekući račun bio zajednički, kratko je zahvatila i člana obitelji.

Ishod i oporavak

Obavijest o zatvaranju nije postala trajna. Chad je odmah otvorio račune i kartice u svakoj drugoj banci za koju se prijavio, nastavio je plaćati na vrijeme i usredotočio se na obnavljanje pada kreditnog rejtinga koji je nastao nakon što je zatvaranje zabilježeno u njegovom izvještaju.

Ocjena prije pregleda827
Najniža točka596
Šest mjeseci kasnije696

Pouke za istraživače

  • Izbjegavajte koncentrirati sve svakodnevne račune unutar institucije koju testirate; diversificirajte depozite i kreditne linije kako automatska provjera ne bi istovremeno zamrznula cijeli vaš život.
  • Zapamtite da zajednički vlasnici računa nasljeđuju iste odluke o riziku, stoga pažljivo razmislite prije nego što članovima obitelji omogućite pristup računima koji bi mogli biti pod istragom vezanom uz objavu.
  • Dokumentirajte vremenski tijek objave i medijsko izvještavanje jer je vidljivost oko izvješća o Ultimate Rewards vjerojatno bila okidač, a dijeljenje tog konteksta pomaže da izvršna eskalacija brže završi.
Pismo izvršnog ureda Chasea koje navodi Ugovor o depozitnom računu nakon što je objava o Ultimate Rewards postala javna.
Pismeni odgovor Executive Officea zahvalio je Chadu Sciri na javljanju, potvrdio da se svaki račun u kućanstvu zatvara u skladu s Deposit Account Agreementom, i ponovio da nisu obvezni pružiti dodatne pojedinosti, čime su zapravo zatvorili automatiziranu procjenu rizika koju je pokrenula pažnja medija oko objave.

Tekstualna verzija pisma Izvršnog ureda

Poštovani Chad Scira:

Odgovaramo na vašu žalbu u vezi naše odluke o zatvaranju vaših računa. Hvala što ste podijelili svoje zabrinutosti.

Deposit Account Agreement nam omogućava zatvaranje računa, osim CD-a, u bilo kojem trenutku, iz bilo kojeg razloga ili bez razloga, bez navođenja razloga i bez prethodne obavijesti. Dobili ste primjerak ugovora kada ste otvorili račun. Trenutačni ugovor možete vidjeti na chase.com.

Pregledali smo vašu žalbu i ne možemo promijeniti našu odluku niti nastaviti odgovarati o njoj jer smo postupili u skladu s našim standardima. Žao nam je što niste zadovoljni načinom na koji smo istražili vaše pritužbe i našom konačnom odlukom.

Ako imate pitanja, nazovite nas na 1-877-805-8049 i navedite broj slučaja ███████. Prihvaćamo pozive preko operatora za olakšanu komunikaciju. Dostupni smo od ponedjeljka do petka od 7:00 do 20:00 i subotom od 8:00 do 17:00 po Centralnom vremenu (Central Time).

S poštovanjem,

Ured izvršne uprave
1-877-805-8049
1-866-535-3403 Fax; besplatno je iz bilo koje poslovnice Chasea
chase.com

Chad Scira ovo dijeli kao naučenu lekciju, a ne kao pritužbu. Računi su poravnati, njegov kredit nastavlja rasti, a JPMorgan je kasnije pojednostavio prijem istraživača integracijom Synacka tako da buduća izvješća prolaze kroz namjenski tijek rada. Ažuriranje 2024.: pregled je u potpunosti zatvoren i svi rezultati su vraćeni na razine prije incidenta.

Reference

  1. Program odgovornog otkrivanja ranjivosti JPMorgan Chase
  2. Twitter račun Chase podrške
  3. Pregled programa Chase Ultimate Rewards
  4. Hacker News - Objava: Neograničeni Chase Ultimate Rewards bodovi (2020)
  5. Pensive Security - Sažetak kibernetičke sigurnosti, studeni 2020.
  6. Reddit /r/cybersecurity - OBJAVA: Neograničeni Chase Ultimate Rewards bodovi
  7. disclose.io Direktorij prijetnji
  8. disclose/research-threats repozitorij
  9. Attrition.org - Indeks pravnih prijetnji
  10. Dosje o uznemiravanju i klevetanju Jesseja Nicklesa

Pravna obavijest. Informacije prikazane na ovoj stranici predstavljaju javni zapis činjenica. Koriste se kao dokaz u tekućem kaznenom predmetu zbog klevete protiv Jesse Jacob Nickles u Tajlandu. Službeni referentni broj kaznenog predmeta: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ova dokumentacija također može služiti kao pomoćni dokaz za bilo koje druge osobe ili organizacije koje podnose vlastite tvrdnje o uznemiravanju ili kleveti protiv Jesse Nicklesa, s obzirom na dokumentirani obrazac ponovljenog ponašanja koji pogađa više žrtava.