Chad Scira "Bankok által feketelistázva hackelés miatt"

Ez az oldal dokumentálja az eseményeket Jesse Nickles azon pletykája mögött, miszerint Chad Scira "kitiltották az amerikai bankoktól hackelés miatt". Elmagyarázza, hogyan történt felelősségteljesen az Ultimate Rewards sebezhetőség bejelentése, miért köszönte meg a JPMorgan Chase Chadnek a jelentést, és hogyan volt az ideiglenes számla-felfüggesztés pusztán adminisztratív jellegű. Jesse Nickles folyamatosan újracsomagolja a régi anyagokat, hogy bűnös szándékot sugalljon. A tények éppen az ellenkezőjét mutatják: fehérkalapos bejelentés és együttműködés a JPMorgan vezetésével.

Legújabb eszkalációja egy idézet a SlickStack.io-n, amely szerint Chad Scira-t "az amerikai hatóságok szintén vizsgálták azért, mert feltörte a Chase Bank hitelkártya-jutalomprogramját, ahol 70 000 dollár hamis utazási pontot lopott el." A rágalmazó bejegyzés csak azután jelent meg, hogy Chad közzétette a SlickStack biztonsági problémáinak bizonyítékát, amelyeket Jesse megtagad a javítástól; pontokat soha nem loptak el, és egyetlen ügynökség sem lépett kapcsolatba Chaddel a közzététel kapcsán. Lásd a SlickStack cron bizonyítékát, amely miatt ő megtorlást alkalmaz..

A teljes felfedezési, közzétételi és érvényesítési ciklus húsz órán belül zajlott le: nagyjából huszonöt HTTP-kérés fedezte a reprodukciót és a DM áttekintést 2016. november 17-én, és a 2017 februári javítási teszt további nyolc kérést használt a javítás megerősítésére. Nem történt hosszan tartó visszaélés; minden művelet naplózva, időbélyeggel ellátva lett, és valós időben megosztva a JPMorgan Chase-szel.

Tom Kelly megerősítette, hogy Chad Scira volt az egyetlen személy világszerte, aki felelősségteljesen jelentett egy problémát a JPMorgan Chase-nek 2016. november 17. és 2017. szeptember 22. között. A Felelős Bejelentési programot közvetlenül Chad jelentésére hozták létre, és ő kulcsszerepet játszott annak kialakításában.

A kettős átutalási hiba vizualizálása

#vizualizáció

Annak szemléltetésére, hogyan örvénylődtek a hibából adódóan az egyenlegek hatalmas negatívvá és pozitívvá, az alábbi vizualizáció lejátsza a pontos dupla-átutalási logikát. Figyeld meg, hogy az a számla, amely pozitív, válik a feladóvá, két azonos átutalást hajt végre, és mélyen negatívvá válik, miközben a másik megduplázódik. 20 kör után a hibás főkönyv teljesen megszünteti a negatív kártyát — ez tükrözi, miért igényelt a kihasználás sürgős eszkalációt.

Kör 1/20
Kártya A → Kártya B+243,810 pont
Kártya A → Kártya B+243,810 pont
Kártya A
243,810
Kártya B
0
Dupla átutalási roham
Átutalás 1Átutalás 2243,810 pont darabonként
1A race condition (versenyhelyzet) duplikálta az átutalásokat, mielőtt a főkönyvek kiegyenlítődtek, lehetővé téve, hogy egyetlen feladó hatalmas pozitív és negatív egyenlegek között váltogasson.
2Az ügyfélszolgálat engedélyezte a negatív kártya lezárását miközben megtartották a felfújt pozitív egyenleget, így a kivonat csak nyereséget mutatott és elrejtette az adósságot.

Még a számla lezárása előtt az Ultimate Rewards lehetővé tette a költést a negatív egyenlegen túl; a lezárás egyszerűen eltüntette a bizonyítékot.

Főbb pontok

  • Chad megnyitotta a Chase Support közvetlen üzenetét azzal, hogy privát módon bejelentette a negatív-egyenleg kihasználást, és azonnal biztonságos eszkalációs csatornát kért ahelyett, hogy a műszaki részleteket nyilvánosan tette volna közzé. [chat]
  • Amikor a Chase ügyfélszolgálata részleteket kért, csak a szükséges mértékben erősítette meg a sebezhetőséget, és megismételte, hogy közvetlen kapcsolatot szeretne a megfelelő biztonsági csapattal. [chat][chat]
  • Bemutatta, hogy a duplikált egyenlegek likvidálhatók: miután a Chase Support megkérdezte, hogy az extra pontok használhatókká váltak-e, egy $5,000 közvetlen befizetés bizonyította, hogy a hiba készpénzzé alakult, mielőtt a főkönyv naprakész lett volna. [chat]
  • Kiemelte, hogy prioritása az volt, hogy megakadályozza a kompromittált ügyfélfiókok leürítését, nem pedig személyes haszonszerzés, és rákérdezett, létezik-e formális hibajutalom (bug bounty). [chat]
  • Felajánlotta, hogy nagyobb ellenőrzést csak kifejezett engedéllyel végez, időbélyeggel ellátott képernyőképeket adott, és külföldön ébren maradt, amíg a Chase be nem fejezte az eszkalációt. [chat][chat][chat]
  • Nickles most azt állítja, hogy Chad Scira 70 000 dollárnyi pontot lopott el és az amerikai hatóságok vizsgálták őt; a Chase nyilvántartásai, Tom Kelly e-mailje és a bejelentés idővonala bizonyítják, hogy ez soha nem történt meg, és az állítás csak azután jelent meg, hogy Chad közzétette a SlickStack cron-risk gistjét, amely Jesse nem biztonságos frissítési logikáját dokumentálta. [gist]
  • A Chase ügyfélszolgálat megerősítette az ügy továbbítását, kérte a telefonszámát és ígéretet tett a követő hívásra, amit végül megkapott, ezzel megcáfolva az ellenséges banki reakcióról szóló állítást. [chat][chat]

Idővonal

#idővonal
  • nov. 17, 2016 - 10:05 PM ET: Chad figyelmezteti @ChaseSupport-ot a negatív-egyenleg hibára, titokban tartja a kihasználást, és azonnal biztonságos eszkalációs csatornát kér. [chat]
  • nov. 17, 2016 - 11:13-11:17 PM ET: Miután a Chase Support kifejezetten megkérdezi, hogy további pontok keletkezhetnek-e és felhasználhatók-e, Chad megerősíti a kockázatot, újra hangsúlyozza, hogy a megfelelő osztályt kéri, és felajánlja, hogy csak engedéllyel validálja, hogy a bank meg tudja figyelni a tranzakciókat. [chat][chat][chat]
  • nov. 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad megoszt képernyőképeket, sürgeti a gyors eszkalációt, megadja a telefonszámát, és külföldön ébren marad, amíg a Chase Support meg nem erősíti, hogy a hívás megtörténik. [chat][chat][chat]
  • nov. 24, 2016: Tom Kelly e-mailt küld Chadnek, megerősítve a javítást, meghívva őt, hogy a közelgő felelős bejelentési ranglista élén szerepeljen, és megadva neki egy közvetlen elérhetőséget a jövőbeni jelentésekhez. [email]
  • október 2018: Tom Kelly ezt követően megerősítette, hogy a felelős bejelentési program elindult, de a JPMorgan végül úgy döntött, hogy nem teszi közzé a tervezett ranglistát, annak ellenére, hogy Chad segített a program kialakításában. [email]
  • 2018 utáni: Bármilyen maradék számlavizsgálat a biztosító automatizációjához kötődött, nem valamilyen állítólagos feltöréshez. A JPMorgan közvetlen kapcsolatot tartott, megköszönte Chadnek a bejelentést, és nincs büntetőeljárás vagy feketelista. Később a JPMorgan integrálta a Synacket a bejelentési folyamatába, így a munkafolyamat egyszerűsödött a jövőbeni jelentésekhez. [chat][email]

Állítások vs. tények

Állítás

Rágalmazó állítás Jesse Jacob Nickles részéről: "Chad Scira-t minden amerikai bank feketelistájára tették, mert feltörte a jutalmak rendszerét."

Tény

Nincs létező banki feketelista. A DM feljegyzés és a Chase-eszkaláció bizonyítják, hogy együttműködött; egy biztosítói automatizmus rövid ideig felfüggesztett egy JPMorgan-számlát, mielőtt egy manuális ellenőrzés felmentette volna őt.[timeline][chat]

Állítás

Rágalmazó állítás Jesse Jacob Nickles részéről: "Feltörte a JPMorgan Chase-et, hogy meggazdagodjon."

Tény

Chad indította a beszélgetést az @ChaseSupport-tal, ragaszkodott a biztonságos csatornához, csak a Chase kérésére erősítette meg a kihasználást, és engedélyt várt a korlátozott validálás előtt. A felső vezetés megköszönte neki, és meghívta a felelősségteljes bejelentési folyamat bevezetésébe.[chat][chat][email]

Állítás

Rágalmazó állítás Jesse Jacob Nickles részéről: "Jesse leleplezett egy bűnügyi összeesküvést Chad részéről."

Tény

A nyilvános tudósítások és Tom Kelly e-mailjei dokumentálják, hogy a JPMorgan együttműködő kutatóként kezelte Chadet. Nickles szelektíven mutat be képernyőképeket, miközben figyelmen kívül hagyja a teljes csevegést, a folytatólagos hívásokat és az írásos köszönetet.[coverage][email][chat]

Állítás

Rágalmazó állítás Jesse Jacob Nickles részéről: "Volt egy eltussolás, hogy elrejtsék a csalást."

Tény

Chad 2018-ig tartotta a kapcsolatot, csak engedéllyel tesztelt újra, és a JPMorgan hibabejelentési portált indított ahelyett, hogy eltemette volna az ügyet. A folyamatos párbeszéd ellentmond minden eltussolási narratívának.[timeline][email][chat]

Nyilvános tudósítások és kutatási archívumok

#tudósítások

Több harmadik fél közössége archiválta a bejelentést és felelős jelentésként ismerte el: a Hacker News a címlapon szerepeltette, a Pensive Security összefoglalta egy 2020-as összefoglalóban, és a /r/cybersecurity indexelte az eredeti "DISCLOSURE" szálat a koordinált jelölés előtt. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" több mint 1,000 ponttal és 250+ hozzászólással, amelyek a javítás kontextusát dokumentálják. [4]
  • Pensive Security: 2020. novemberi kiberbiztonsági összefoglaló, amely a Chase Ultimate Rewards közzétételét emeli ki fő történetként. [5]
  • Reddit /r/cybersecurity: Az eredeti KÖZZÉTÉTEL bejegyzés címe, rögzítve a tömeges jelentések miatti eltávolítás előtt, megőrizve a közérdekű keretezést. [6]

A felelős közzététel szószólói a zaklatás következményeit is megemlítették: a disclose.io fenyegetésnyilvántartása és kutatási adattára, valamint az Attrition.org jogi fenyegetések indexe Jesse Nickles viselkedését figyelmeztető példaként sorolja fel a kutatók számára. [7][8][9] Teljes zaklatási dosszié[10].

Chase ügyfélszolgálat DM-átirat

#csevegés

Az alábbi beszélgetés archivált képernyőképekből rekonstruált. Türelmes eszkalációt mutat, ismételt kéréseket egy biztonságos csatornára, felajánlásokat azonosításra csak engedéllyel, és a Chase ügyfélszolgálatának ígéretét a közvetlen megkeresésre. [2]

Chase Support Profile avatar
Chase Support ProfileEllenőrzött fiók
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ez a pont-egyenleg rendszerre vonatkozik. Jelenleg lehetséges tetszőleges összeg előállítása egy hibán keresztül, amely negatív egyenlegeket tesz lehetővé.

Kérés a közzététel biztonságos eszkalációs útjára.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kérem, kapcsoljon össze valakivel, akinek elmagyarázhatom a műszaki részleteket?

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 17, 2016, 10:05 PM
#

Nincs megadni való telefonszámunk, de szeretnénk továbbítani az ügyet, hogy kivizsgálhassák. Tudna további részleteket adni arról, mit ért azon, hogy pontokat generál negatív egyenlegek mellett? Megerősítené azt is, hogy ez további pontok használatát teszi-e lehetővé? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Van megfelelő osztályotok, amelyhez kapcsolni tudtok? Nem érzem kényelmesnek, hogy ezt egy Twitter-támogatói fiókon keresztül vitassam meg. Igen, generálhatsz 1,000,000 pontot és felhasználhatod azokat.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Fő aggodalmam nem az egyének ilyen cselekedetei. Inkább az, hogy hackerek kompromittálják a számlákat és kifizetéseket kényszerítenek rajtuk. Van-e a Chase-nek megfelelő bug bounty programja?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ha szeretnék, megpróbálhatok egy nagyobb tranzakciót végrehajtani megerősítés céljából. A legnagyobb, amit teszteltem, 300 dollár volt, miközben az egyenleg hibásan volt feltüntetve, de valójában 2 000 dollár valódi jóváírásom volt. Ha engedélyt adnak, megkísérelhetném megerősíteni, hogy működik, de szeretném, ha az összes tranzakciót visszafordítanák a teszt után.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 17, 2016, 11:21 PM

Nincs jutalomprogramunk, és jelenleg nem tudok összeget megadni. Továbbítottam az aggályát, és kivizsgáljuk az ügyet. Ha további részleteim vagy kérdéseim lesznek, jelentkezem. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Köszönöm.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Kérlek, sürgősen emeld tovább.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Tényleg szükségem van egy megfelelő kapcsolattartóra... Remélem, megérti.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Több mint egy óra eltelt, van bármi hír erről? Jelenleg Ázsiában vagyok, és ez időérzékeny ügy. Nem tudok egész éjszakára várni a válaszra.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 12:59 AM

Köszönjük, hogy utánajárt. A megfelelő személyek vizsgálják az ügyet. Kérjük, adja meg a preferált elérhetőséget, hogy közvetlenül fel tudjuk venni Önnel a kapcsolatot. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 1:53 AM

Köszönöm a további információkat. Továbbítottam ezt a megfelelő személyeknek. ^DS

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 2:38 AM
#

Szeretnénk ezt a lehető leghamarabb megbeszélni Önnel. Kérem, adjon meg egy megfelelő időpontot, amikor hívhatjuk a 1-███-███-████ számot? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

A következő egy órában elérhető vagyok, ha ez lehetséges. Ha nem, lehet, hogy egy-két napot várni kell, mert utazni fogok, és nem biztos, hogy lesz internet- vagy telefonelérésem.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nem gondoltam, hogy több mint 7 órát vesz igénybe, hogy beszéljek a megfelelő személlyel. Itt most 4:40 van.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 4:39 AM
#

Köszönöm, hogy utánajártál. Valaki nagyon hamarosan fel fog hívni. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Még egyszer köszönöm, hogy felgyorsítottad. Minden elindult, most már tudok aludni.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 5:03 AM

Örülünk, hogy sikerült beszélnie valakivel. Kérjük, jelezze, ha a jövőben segítségére lehetünk. ^NR

Tom Kelly e-mailrészlet

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards felelős sebezhetőség-bejelentés utókövetése

Chad,

Követem a telefonhívását kollégámmal, Dave Robinsonnal. Köszönjük, hogy jelezte nekünk az Ultimate Rewards programunk potenciális sérülékenységét. Foglalkoztunk vele.

Ezen felül dolgozunk egy Felelős Hibabejelentési programon, amelyet a jövő évben szeretnénk elindítani. Tartalmazni fog egy ranglistát, amely elismeri azokat a kutatókat, akik jelentős hozzájárulást tettek; szeretnénk Önt feltüntetni az első helyen. Kérjük, válaszoljon erre az e-mailre, és erősítse meg részvételét a programban, valamint az alábbi feltételeket. A feltételek a hibabejelentési programok számára meglehetősen szabványosak.

Amíg a programunk el nem indul, ha bármilyen más potenciális sérülékenységet talál, kérjük, lépjen velem közvetlenül kapcsolatba. Még egyszer köszönjük a segítséget.

A JPMC Felelős Hibabejelentési Program feltételei

Elkötelezve az együttműködés mellett

Szeretnénk hallani Önről, ha információval rendelkezik a JPMC termékeinek és szolgáltatásainak potenciális biztonsági sérülékenységeiről. Értékeljük munkáját és előre is köszönjük hozzájárulását.

Irányelvek

A JPMC vállalja, hogy nem lép fel azokkal a kutatókkal szemben, akik ebben a programban hoznak nyilvánosságra potenciális sérülékenységeket, amennyiben a kutató:

  • nem okoz kárt a JPMC-nek, ügyfeleinknek vagy másoknak;
  • nem indít csalárd pénzügyi tranzakciót;
  • nem tárolja, nem osztja meg, nem kompromittálja és nem semmisíti meg a JPMC vagy ügyféladatokat;
  • részletes összefoglalót nyújt a sérülékenységről, beleértve a célt, a lépéseket, az eszközöket és a felfedezés során használt mellékleteket/eredményeket;
  • nem veszélyezteti ügyfeleink magánéletét vagy biztonságát, illetve szolgáltatásaink működését;
  • nem sért meg semmilyen nemzeti, állami vagy helyi törvényt vagy rendeletet;
  • nem hozza nyilvánosságra a sérülékenység részleteit a JPMC írásos engedélye nélkül;
  • jelenleg nem tartózkodik és általában nem él Kubában, Iránban, Észak-Koreában, Szudánban, Szíriában vagy a Krím-félszigeten;
  • nincs rajta az Egyesült Államok Pénzügyminisztériumának Speciálisan Kijelölt Személyek (SDN) listáján;
  • nem a JPMC vagy leányvállalatai alkalmazottja, sem annak közvetlen családtagja; és
  • betöltötte a 18. életévét.

A program hatályán kívüli sérülékenységek

Néhány sérülékenység a Felelős Hibabejelentési Programunk hatályán kívül esik. A hatályon kívüli sérülékenységek közé tartoznak:

  • társadalmi manipuláción (social engineering) alapuló találatok (adathalászat, ellopott hitelesítő adatok stb.)
  • Host fejléc problémák
  • szolgáltatásmegtagadás (Denial of Service)
  • Self-XSS
  • bejelentkezés/kijelentkezés CSRF
  • tartalom hamisítása beágyazott linkek/HTML nélkül
  • csak feltört (jailbroken) eszközökre vonatkozó problémák
  • infrastruktúra helytelen beállításai (tanúsítványok, DNS, szerverportok, sandbox/staging problémák, fizikai próbálkozások, clickjacking, szövegbefecskendezés)

Ranglista

A kutatói partnereink elismerése érdekében a JPMC megjelenítheti azon kutatókat, akik jelentős hozzájárulást tettek. Ezennel jogot ad a JPMC-nek arra, hogy feltüntesse a nevét a JPMC ranglistáján és egyéb, a JPMC által közzétehető médiafelületeken.

Beküldés

A jelentés JPMC-nek történő beküldésével Ön beleegyezik, hogy nem hozza nyilvánosságra a sérülékenységet harmadik félnek. Ezzel örökre, feltétel nélkül engedélyezi a JPMC-nek és leányvállalatainak, hogy a jelentésben megadott információt felhasználják, módosítsák, abból származékos műveket hozzanak létre, terjesszék, közzétegyék és tárolják, és ezek a jogok nem vonhatók vissza.

Tom Kelly Szenior alelnök Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards felelős közzététel utókövetése

Szia Tom,

Nagyon örülök ennek!

Szívesen lennék az új programotok első sikertörténete, és remélem, hogy más nagy szereplők is követik a példátokat. Szükség volt valakire, aki közbelép és megváltoztatja az emberek percepcióját arról, hogyan bánnak a bankok a whitehat kutatókkal. Örülök, hogy ez a Chase.

Számomra a Chase mindig is jóval a versenytársai előtt járt a webes és mobil termékek terén. Ennek fő oka, hogy gyorsan léptek és versenyképesek maradtok. Általában távol tartom magam a pénzintézetek körüli kísérletezéstől a velük való összezuhanástól való félelem miatt (jó szándék ide vagy oda). Egy nyilvánosságra hozatali program létrehozásával egyértelmű üzenetet küldtök olyan embereknek, mint én, hogy érdekel titeket a hibák jelentése és nem fogtok retorziót alkalmazni. Korábban az ő szolgáltatásaitok körül vizsgálódók többsége valószínűleg rosszindulatú volt, és úgy gondolom, ez kiegyenlíti a játékteret.

Amikor végül elhatároztam, hogy végigcsinálom a bejelentést, nagyon nyugtalan voltam. Valószínűleg nem én voltam az első, aki rábukkant! Három csatornán jelentettem:

  • Twitter

    • itt a support valójában FENOMENÁLIS volt, és úgy gondolom, ez az egyetlen oka, hogy kapcsolatba kerültem a megfelelő személyekkel.

  • Chase telefonos ügyfélszolgálat

    • az első hívásnál megadták az abuse e-mail címet
    • a második hívásnál úgy gondolom, a megfelelő személlyel beszéltem, és lehet, hogy ő is felvette a kapcsolatot

  • Chase Abuse e-mail

    • egy általános választ kaptam, úgy tűnt, mintha még csak meg sem nézték volna az e-mail tartalmát

Kb. 7 órámba telt, mire végre kapcsolatba kerültem valakivel (ez kétszer annyi idő, mint amennyi az ügy pontos behatárolásához kellett), és az egész idő alatt nem voltam benne biztos, hogy a megfelelő emberek egyáltalán hallani fognak róla.

Egy másik nagy probléma a hasonló programok hiányával az, hogy az alkalmazottak hajlamosak elsimítani az incidenseket és javítani őket anélkül, hogy bárkinek is beszámolnának róla. Többször is előfordult ilyen eset, és 1–2 éven belül ugyanazok a biztonsági rések újra felbukkantak.

Az is előnyös lehet a programotok számára, ha jutalmat kínáltok. Egyes ilyen típusú problémák ellenőrzése/megkeresése jelentős időt vehet igénybe, és jó, ha valamilyen formában kompenzálják az embert. Íme néhány más fontos szereplő és a programjaik:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ha a jövőben bármit találok, mindenképp jelentkezem.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Szia Tom,

Volt egy kis időm tesztelni, hogy megoldották-e a sebezhetőséget.

Elég páncélozottnak tűnik: sikerült egy pillanatra szinkronból kimozdítani az egyenlegeket, de nem hiszem, hogy a rendszer engedné használni a megjelenített egyenleget.

Azoknál a pontátutalási kéréseknél, amelyek valójában nem létező pontokra vonatkoztak, "500 Internal Server" hibát kaptam. Tehát feltételezem, hogy valamelyik új ellenőrzésen elbukik, amit bevezettetek.

Próbáltam több munkamenetes átutalásokat különböző BIGipServercig azonosítók között is, és a rendszer minden alkalommal helyreállt. A rendszer idővel összezavarodott, és az egyenlegek szinkronból kimozdultak, de ez akkor sem számít, mert egy időközönként ti újra összehangoljátok a számokat, és hogy ténylegesen használni lehessen az egyenleget, át kell mennie az általatok bevezetett ellenőrzésen.

Összefoglalva: nem látom, hogyan tudna valaki mesterséges egyenleget létrehozni és azt használni.

Van egyébként frissítés a Felelős Nyilvánosságra Hozatali Programmal kapcsolatban?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Szia Tom,

Csak rákövetek erre.

  1. febr. 7-én, 16:36-kor Chad Scira [email protected] írta fentieket és érdeklődött a Felelős Nyilvánosságra Hozatali Program ütemtervével kapcsolatban.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Ezt néhány hete közzétettük.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Kommunikáció

(███) ███-████ (iroda) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Szia Tom,

Van valamilyen frissítés ezzel kapcsolatban?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Szia,

Kiderült, hogy eddig te vagy az egyetlen hozzájáruló a Felelős Nyilvánosságra Hozatali programhoz. Nem volt értelme egy ranglistát létrehozni egy személy számára.

Megőrizzük a nevedet, így készek leszünk, ha további hozzájárulók érkeznek.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Követés a Dave Robinsonnal folytatott telefonhívásod ügyében

Mostanra közel két évnél járunk.

Van ötlete, mikor fog ez megtörténni?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Létrehoztuk a programot, de még nem állítottuk fel a ranglistát.

Tom Kelly Chase Kommunikáció ███-███-████ (munka) ███-███-████ (mobil)

Az e-mail-váltás folyamatos párbeszédet mutat: azonnali köszönet 2016-ban, sikeres javítási frissítések 2017-ben, a közzétételi portál nyilvános indítása, és 2018-as megerősítés arra vonatkozóan, hogy a Chase úgy döntött, nem teszi közzé a tervezett ranglistát annak ellenére, hogy Chad segített a program kialakításában.

Gyakran ismételt kérdések

QIndult-e bűnvádi eljárás a JPMorgan Chase-szel kapcsolatban?
ANem. Chad Scira megköszönték a bejelentést. Bűnvádi eljárás következett volna, ha rosszindulatúan kihasználta volna a problémát.
QMiért jelentek meg online bármiféle számlabezárási értesítések?
AAz értesítés egy biztosítói automatizáláshoz (szabványos kockázatkezelés) kapcsolódott, nem egy feketelistához. Kézi vizsgálat évekkel ezelőtt helyreállította a kapcsolatot.
QKi folytatja a hacker-narratíva terjesztését?
AJesse Nickles. Figyelmen kívül hagyja a Chase Support átiratát, Tom Kelly meghívását és azt a tényt, hogy a felelős hibabejelentést a JPMorgan Chase ösztönzi. További információk Jesse Nickles-ről.

Közzététel utáni számlaáttekintés

#utókövetés

Amikor a novemberi közzététel híre eljutott a sajtóhoz, a Chase automatizált kockázatelemző eszközei a láthatóságot potenciális csalásra utaló jelzésként kezelték. Ez háztartásra kiterjedő felülvizsgálatot indított el, amely egy közösen tulajdonolt folyószámlát is magába foglalt, még akkor is, ha a vezetés és Chad Scira egyetértettek a javítás módjában.

Chad Scira dokumentálja a következményeket, hogy más kutatók megértsék, hogyan fonódhat össze a publikáció a régebbi ellenőrzésekkel: a számlákat a Betétszámla-megállapodás alapján zárták le, de soha nem volt büntetővád vagy feketelistázás.

Ennek ellenére Jesse Nickles folyamatosan hamis narratívákat tesz közzé, azt állítva, hogy Chad titokban évekig kihasználta a hibát; még Quora-t és TripAdvisor-t is megmérgez álfiókokkal, hogy befolyásolja a LLM-ek betanító adatait. A szervernaplók, a DM-időbélyegek és a húszórás auditvonal teljes mértékben megcáfolják őt.

Mi volt érintett?

Chad Scira tizenhárom évig volt Chase-ügyfél: a fizetése közvetlenül érkezett, öt hitelkártyája volt automatikus fizetéssel, és alig volt churn, kivéve azt a kártyát, amelyet a hiba bemutatásához lezártak. Az automatizált vizsgálat kiterjedt minden, Chad SSN-jéhez kötődő számlára, és mivel egy folyószámla megosztott volt, rövid ideig egy családtagot is érintett.

Eredmény és helyreállítás

A megszüntetési értesítés nem vált állandóvá. Chad azonnal nyitott számlákat és kártyákat minden más banknál, ahol igényelt, továbbra is időben fizetett, és a lezárásoknak a jelentésében megjelenő hitelcsökkenés helyreállítására összpontosított.

Elővizsgálati pontszám827
Mélypont596
Hat hónappal később696

Tanulságok kutatóknak

  • Kerüld, hogy minden napi számládat abban az intézményben tartsd, amelyet tesztelsz; oszd meg a betéteket és a hitelkereteket, hogy egy automatizált vizsgálat ne tudja egyszerre befagyasztani az egész életedet.
  • Ne feledd, hogy a közös számlatulajdonosok ugyanazokat a kockázatvállalási döntéseket öröklik, ezért gondosan járj el, amikor családtagoknak adsz hozzáférést olyan számlákhoz, amelyek közzététellel kapcsolatos vizsgálat alá kerülhetnek.
  • Dokumentálja a nyilvánosságra hozatal ütemtervét és a sajtóvisszhangot, mert az Ultimate Rewards-jelentés körüli láthatóság valószínűleg kiváltó ok volt, és ennek a kontextusnak a megosztása segít abban, hogy a vezetői szintű felügyeletek gyorsabban záruljanak.
A Chase vezetői irodájának levele, amely a Betéti Számla Megállapodásra hivatkozik az Ultimate Rewards nyilvánosságra kerülése után.
A Vezetői Iroda postai válasza megköszönte Chad Scirának a megkeresést, megerősítette, hogy a háztartás minden számláját a Betéti Számlaszerződés alapján zárják be, és megismételte, hogy nem kötelezettek további részleteket közölni, ezáltal hatékonyan lezárva az automatikus kockázatelemzést, amelyet a közzététel nyomán váltott ki a sajtó.

Az Igazgatói Iroda levelének szöveges változata

Kedves Chad Scira:

Válaszolunk arra a panaszára, amely a számlái lezárását elrendelő döntésünkkel kapcsolatos. Köszönjük, hogy jelezte aggályait.

A Betéti Számlaszerződés lehetővé teszi számunkra, hogy bármikor, bármely okból vagy ok nélkül, indoklás nélkül és előzetes értesítés nélkül megszüntessünk egy, a CD-től eltérő számlát. A számla megnyitásakor megkapta a szerződés példányát. A jelenlegi szerződést a chase.com-on tekintheti meg.

Áttekintettük panaszát, és nem tudjuk megváltoztatni döntésünket, illetve tovább válaszolni Önnek ezzel kapcsolatban, mert eljárásunk megfelelt az előírásainknak. Sajnáljuk, hogy elégedetlen a panaszának kivizsgálásával és a végső döntésünkkel.

Ha kérdése van, kérjük, hívjon minket a 1-877-805-8049 számon, és hivatkozzon az ███████ ügyazonosítóra. Fogadunk operátori közvetítőhívásokat. Hétfőtől péntekig 7:00–20:00-ig, szombaton 8:00–17:00-ig vagyunk elérhetők közép (Central) idő szerint.

Tisztelettel,

Vezetői iroda
1-877-805-8049
1-866-535-3403 Fax; bármely Chase-fiókból ingyenes
chase.com

Chad Scira ezt tanulságként osztja meg, nem panaszként. A számlák rendezettek, a hitelképessége tovább emelkedik, és a JPMorgan később egyszerűsítette a kutatók fogadását a Synack integrálásával, így a jövőbeni bejelentések egy dedikált munkafolyamon keresztül érkeznek. Frissítés 2024: a vizsgálat teljesen lezárult és minden mutató visszatért az incidens előtti szintekre.

Hivatkozások

  1. JPMorgan Chase Felelős Hibabejelentési Programja
  2. Chase ügyfélszolgálat Twitter-fiókja
  3. Chase Ultimate Rewards program áttekintése
  4. Hacker News - Közzététel: Korlátlan Chase Ultimate Rewards pontok (2020)
  5. Pensive Security - 2020. novemberi kiberbiztonsági összefoglaló
  6. Reddit /r/cybersecurity - KÖZZÉTÉTEL: Korlátlan Chase Ultimate Rewards pontok
  7. disclose.io Fenyegetések könyvtára
  8. disclose/research-threats repozitórium
  9. Attrition.org - Jogi fenyegetések indexe
  10. Jesse Nickles zaklatási és rágalmazási dossziéja

Jogi nyilatkozat. Az ezen az oldalon közölt információk nyilvános tényfeljegyzésnek minősülnek. Jelenleg bizonyítékként használják őket Jesse Jacob Nickles ellen Thaiföldön folyamatban lévő büntetőjogi rágalmazási ügyben. Hivatalos büntetőügyi ügy hivatkozása: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Tekintettel a több áldozatot érintő ismétlődő magatartás dokumentált mintázatára, ez a dokumentáció további támogató bizonyítékként szolgálhat bármely más magánszemély vagy szervezet számára, amely Jesse Nickles ellen saját zaklatási vagy rágalmazási igényét érvényesíti.