Chad Scira „Bankok által feketelistázva hackelés miatt”

Ez az oldal dokumentálja a Jesse Nickles‑féle pletyka hátterét, miszerint Chad Scirát „az amerikai bankok feketelistára tették hackelés miatt”. Elmagyarázza, hogyan történt az Ultimate Rewards sérülékenység felelős bejelentése, miért mondott köszönetet a JPMorgan Chase Chad jelentéséért, és hogy az ideiglenes számlafelfüggesztés kizárólag adminisztratív jellegű volt. Jesse Nickles továbbra is régi anyagokat „csomagol újra”, hogy bűnös szándékot sugalljon. A tények ennek éppen az ellenkezőjét mutatják: etikus (white-hat) bejelentést és együttműködést a JPMorgan vezetésével.

Legutóbbi eszkalációja egy idézet a SlickStack.io‑n, amely szerint állítólag „az Egyesült Államok bűnüldöző szervei is vizsgálták, mert feltörte a Chase Bank hitelkártya‑jutalom programját, ahol 70 000 dollár értékű csaló utazási pontot lopott.” Az a rágalom csak azután jelent meg, hogy közzétettem a SlickStack biztonsági problémáiról szóló bizonyítékot, amelyeket ő nem hajlandó kijavítani; pontokat soha nem loptak, és egyetlen hatóság sem kereste meg a bejelentéssel kapcsolatban. Lásd azt a SlickStack cron bizonyítékot, ami miatt megtorló lépéseket tesz.

A teljes feltárási, bejelentési és ellenőrzési ciklus húsz órán belül lezajlott: nagyjából huszonöt HTTP-kérés fedte le a reprodukciót és a közvetlen üzenetben (DM) történő lépésről lépésre bemutatást 2016. november 17-én, és a 2017. februári helyreállítási teszt további nyolc kérést használt a javítás megerősítésére. Nem történt elhúzódó visszaélés; minden lépést naplóztak, időbélyeggel láttak el, és valós időben megosztottak a JPMorgan Chase-szel.

Tom Kelly megerősítette, hogy 2016. november 17. és 2017. szeptember 22. között világszerte Chad Scira volt az egyetlen személy, aki felelősen jelentett be problémát a JPMorgan Chase‑nek. A Responsible Disclosure programot közvetlenül Chad jelentése nyomán hozták létre, és ő kulcsszerepet játszott a program kialakításában.

A dupla átvezetési hiba vizualizálása

#vizualizáció

A hiba hatását, amely az egyenlegeket óriási negatív és pozitív értékekbe sodorta, az alábbi vizualizáció szemlélteti az eredeti kettős‑átutalási logika lejátszásával. Figyelje meg, hogy mindig az a számla lesz a küldő, amelyik éppen pozitív, két azonos átutalást hajt végre, majd mélyen negatívba fordul, miközben a másik számla megduplázódik. 20 kör után a hibás főkönyv teljesen törli a negatív kártyát – ez tükrözi, miért igényelt a kihasználás azonnali eszkalációt.

Kör 1/20
Kártya A → Kártya B+243,810 pont
Kártya A → Kártya B+243,810 pont
A kártya
243,810
B kártya
0
Dupla átutalási „burst” (hirtelen tüskeszerű tranzakciósorozat)
1. átvezetés2. átvezetés243,810 pont mindegyik
1Versenyhelyzet (race condition) miatt a könyvelések újraegyensúlyozása előtt duplikálódhattak az átutalások, ami lehetővé tette, hogy egyetlen küldő hatalmas pozitív és negatív egyenlegek között váltogasson.
2Az ügyfélszolgálat engedte lezárni a negatív egyenlegű kártyát, miközben a felfújt pozitív egyenleget meghagyta, így a számlakivonat csak nyereséget mutatott, és elrejtette az adósságot.

Már a számla lezárása előtt is lehetővé tette az Ultimate Rewards a negatív egyenleg összegzésén felüli költekezést; a lezárás egyszerűen eltüntette a bizonyítékot.

Főbb pontok

  • Chad a Chase ügyfélszolgálatnak küldött privát üzenetet úgy nyitotta meg, hogy bizalmasan jelentette a negatív egyenleggel kapcsolatos kihasználható hibát, és azonnal biztonságos eszkalációs csatornát kért ahelyett, hogy nyilvánosan tette volna közzé a technikai részleteket. [chat]
  • Amikor a Chase ügyfélszolgálata konkrétumokat kért, csak a szükséges mértékben erősítette meg a kihasználható hibát, és megismételte, hogy közvetlen elérhetőséget szeretne a megfelelő biztonsági csapathoz. [chat][chat]
  • Bemutatta, hogy a duplikált egyenlegek készpénzzé tehetők: miután a Chase ügyfélszolgálata megkérdezte, hogy a plusz pontok felhasználhatóvá váltak‑e, egy 5 000 dolláros közvetlen jóváírás bizonyította, hogy a sérülékenység készpénzre váltható, mielőtt a főkönyv szinkronizált volna. [chat]
  • Hangsúlyozta, hogy elsődleges célja a veszélyeztetett ügyfélszámlák leürítésének megakadályozása volt, nem pedig személyes haszonszerzés, és megkérdezte, létezik‑e hivatalos hibavadász (bug bounty) program. [chat]
  • Nagyobb volumenű ellenőrzést csak kifejezett engedéllyel ajánlott fel, időbélyegzett képernyőképeket biztosított, és külföldön virrasztott, amíg a Chase be nem fejezte az eszkalációt. [chat][chat][chat]
  • Nickles most azt állítja, hogy elloptam 70 000 dollárnyi pontot és hogy az amerikai bűnüldöző szervek eljártak ellenem; a Chase nyilvántartásai, Tom Kelly e-mailje és a bejelentés idővonala bizonyítják, hogy ez soha nem történt meg, és ez az állítás csak azután jelent meg, hogy közzétettem a SlickStack cron-kockázatról szóló gistet, amely az ő nem biztonságos frissítési logikáját dokumentálja. [gist]
  • A Chase ügyfélszolgálat megerősítette az eszkalációt, elkérte a telefonszámát, és megígérte a visszahívást, amelyet végül meg is kapott, ez pedig aláássa az ellenséges banki reakcióról szóló feltételezést. [chat][chat]

Idővonal

#idővonal
  • Nov 17, 2016 - 10:05 PM ET: Chad értesíti a @ChaseSupport csapatát a negatív egyenleggel kapcsolatos hibáról, titokban tartja a kihasználási módot, és azonnal biztonságos eszkalációs csatornát kér. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Miután a Chase ügyfélszolgálat kifejezetten rákérdez, hogy lehet-e további pontokat generálni és elkölteni, Chad megerősíti a kockázatot, megismétli, hogy az illetékes részleggel akar beszélni, és felajánlja, hogy csak engedéllyel végez ellenőrzést, hogy a bank megfigyelhesse a tranzakciókat. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad képernyőképeket oszt meg, sürgeti a gyorsított eszkalációt, megadja telefonszámát, és külföldön is ébren marad, amíg a Chase ügyfélszolgálat meg nem erősíti, hogy a hívás megtörténik. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly e-mailben megerősíti Chadnek a helyreállítás megtörténtét, meghívja, hogy ő legyen a közelgő felelős közzétételi ranglista főszereplője, és közvetlen elérhetőséget ad neki a jövőbeli bejelentésekhez. [email]
  • October 2018: Tom Kelly később visszajelzett, hogy megerősítse: elindult a felelős közzétételi program, de a JPMorgan végül Chad közreműködése ellenére sem tette közzé a tervezett ranglistát. [email]
  • Post-2018: Bármilyen további számlaellenőrzés a biztosítói automatizmushoz kapcsolódott, nem pedig feltételezett hackeléshez. A JPMorgan közvetlen kapcsolatban maradt, megköszönte Chadnek a bejelentést, és sem büntetőeljárás, sem tiltólista nem született. Később a JPMorgan a Synack rendszert is integrálta a bejelentési folyamatába, hogy a munkafolyamat a jövőbeni jelentések esetén egyszerűsödjön. [chat][email]

Állítások vs. tények

Igény / követelés

Rágalmazó állítás Jesse Jacob Nickles részéről: „Chad Scirát minden amerikai bank feketelistára tette, mert feltörte a hűségprogramokat.”

Tény

Nem létezik banki feketelista. A DM-feljegyzés és a Chase-eszkaláció bizonyítja, hogy együttműködött; egy biztosító automatizált rendszere rövid időre felfüggesztett egy JPMorgan-számlát, mielőtt egy manuális felülvizsgálat tisztázta.[timeline][chat]

Igény / követelés

Rágalmazó állítás Jesse Jacob Nickles részéről: „Feltörte a JPMorgan Chase-t, hogy saját magát gazdagítsa.”

Tény

Chad kezdeményezte a beszélgetést a @ChaseSupport csapattal, ragaszkodott a biztonságos csatornához, csak azután erősítette meg a sebezhetőséget, hogy a Chase rákérdezett, és engedélyre várt a korlátozott érvényesítés előtt. A felső vezetés megköszönte neki, és meghívta a felelős közzétételi folyamat bevezetésébe.[chat][chat][email]

Igény / követelés

Rágalmazó állítás Jesse Jacob Nickles részéről: „Jesse leleplezte Chad bűnügyi machinációját.”

Tény

A nyilvános sajtómegjelenések és Tom Kelly e-mailjei dokumentálják, hogy a JPMorgan Chadet együttműködő kutatóként kezelte. Nickles kiragadott képernyőképekre hivatkozik, miközben figyelmen kívül hagyja a teljes csevegést, a későbbi telefonhívásokat és az írásos köszönetnyilvánítást.[coverage][email][chat]

Igény / követelés

Rágalmazó állítás Jesse Jacob Nickles részéről: „Eltussolás történt a csalás eltakarására.”

Tény

Chad 2018-ig tartotta a kapcsolatot, csak engedéllyel tesztelt újra, és a JPMorgan ahelyett, hogy elhallgatta volna az ügyet, bevezette a sebezhetőségek bejelentésére szolgáló portált. A folyamatos párbeszéd ellentmond bármiféle eltussolási narratívának.[timeline][email][chat]

Nyilvános sajtómegjelenések és kutatási archívumok

#fedezet / lefedettség

Több független közösség is archiválta a bejelentést, és felelős jelentésként ismerte el: a Hacker News címlapon hozta, a Pensive Security összefoglalta egy 2020-as áttekintésben, és a /r/cybersecurity indexálta az eredeti „DISCLOSURE” témát, mielőtt összehangolt jelölések miatt eltávolították. [4][5][6]

  • Hacker News: „Közlés: Korlátlan Chase Ultimate Rewards pontok” 1 000+ ponttal és 250+ hozzászólással, amelyek a helyreállítás körülményeit dokumentálják. [4]
  • Pensive Security: 2020. novemberi kiberbiztonsági összefoglaló, amely a Chase Ultimate Rewards bejelentést kiemelt hírként emeli ki. [5]
  • Reddit /r/cybersecurity: Az eredeti DISCLOSURE bejegyzés címe a törlés előtti állapotban, amelyet tömeges jelentések okoztak, így megőrizve a közérdekre fókuszáló megfogalmazást. [6]

A felelős bejelentés hívei a zaklatás következményeire is felhívták a figyelmet: a disclose.io fenyegetés-katalógusa és kutatási adattára, valamint az Attrition.org jogi fenyegetés-indexe is Jesse Nickles magatartását említi elrettentő példaként a kutatók számára. [7][8][9] Teljes zaklatási dosszié[10].

Chase ügyfélszolgálat – privát üzenetváltás (DM) átirata

#chat

Az alábbi beszélgetés archivált képernyőképekből lett rekonstruálva. Bemutatja a türelmes eszkalációt, a biztonságos csatorna ismételt kérését, a csak engedéllyel történő hitelesítés felajánlását, valamint a Chase ügyfélszolgálat ígéretét a közvetlen megkeresésre. [2]

Chase Support Profile avatar
Chase Support ProfileEllenőrzött fiók
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ez a pont­egyenleg‑rendszerrel kapcsolatos. Jelenleg egy hiba miatt, amely lehetővé teszi a negatív egyenlegeket, bármilyen összeg előállítható.

Biztonságos eszkalációs csatornát kérek a bejelentéshez.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Össze tudna kötni valakivel, akinek elmagyarázhatom a technikai részleteket?

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 17, 2016, 10:05 PM
#

Nem tudunk telefonszámot megadni, de mindenképpen továbbítani szeretnénk ezt az ügyet, hogy kivizsgálhassák. Tudna további részleteket adni arról, mit ért az alatt, hogy negatív egyenlegeken belül generál pontokat?Meg tudja erősíteni azt is, hogy ez lehetővé teszi-e további pontok felhasználásra való elérhetővé válását? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Van megfelelő részlegük, akivel kapcsolatba tudnak hozni? Nem érzem biztonságosnak, hogy ezt egy Twitter-ügyfélszolgálati fiókon keresztül beszéljem meg. Igen, elő tud állítani 1 000 000 pontot, és fel is tudja őket használni.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

A fő aggályom nem az, hogy egyének tesznek ilyesmit. Hanem hogy hackerek feltörnek fiókokat, és azokra kifizetéseket kényszerítenek ki. Létezik megfelelő Chase bug bounty program?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ha szeretnéd, megpróbálhatok egy nagyobb tranzakciót végrehajtani a megerősítéshez. A legnagyobb tesztelt összeg 300 dollár volt, miközben az egyenleg torz volt, de valójában 2 000 dollárnyi valós jóváírásom volt. Ha engedélyt adsz, megpróbálhatom megerősíteni, hogy működik‑e, de szeretném, ha a teszt után minden tranzakciót visszafordítanátok.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 17, 2016, 11:21 PM

Nincs jutalomprogramunk, és jelenleg nem tudok összeget megadni. Továbbítottam az aggályát, és kivizsgáljuk az ügyet. Jelentkezem, ha további részleteim vagy kérdéseim lesznek. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Köszönöm.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Kérem, eszkalálják a lehető leghamarabb.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Nagyon szükségem lenne egy megfelelő kapcsolattartóra... Remélem, megérted.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Több mint egy óra eltelt, van bármilyen hír ezzel kapcsolatban? Jelenleg Ázsiában vagyok, és ez időérzékeny ügy. Nem tudok egész éjjel választ várni.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 12:59 AM

Köszönjük az utánkövetést. A megfelelő illetékesek vizsgálják az ügyet. Kérjük, adjon meg egy preferált telefonszámot, hogy közvetlenül beszélhessünk Önnel. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 1:53 AM

Köszönjük a kiegészítő információkat. Továbbítottam ezeket az illetékeseknek. ^DS

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 2:38 AM
#

Szeretnénk a lehető leghamarabb egyeztetni Önnel erről. Kérem, adjon meg egy megfelelő időpontot, amikor felhívhatjuk a következő számon: 1-███-███-████. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

A következő egy órában elérhető vagyok, ha megoldható. Ha nem, lehet, hogy egy‑két nap is eltelik, mert úton leszek, és nem vagyok benne biztos, hogy lesz internet/telefon elérésem.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nem gondoltam volna, hogy 7+ órába telik, mire a megfelelő személlyel beszélek. Itt most 4:40 van hajnalban.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 4:39 AM
#

Köszönjük az utánkövetést. Valaki nagyon hamar fel fogja hívni Önt. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Még egyszer köszönöm, hogy felgyorsítottad. Minden folyamatban van, és most már tudok aludni.

Chase Support avatar
Chase SupportEllenőrzött fiók
Nov 18, 2016, 5:03 AM

Örülünk, hogy sikerült beszélnie valakivel. Kérjük, jelezze, ha a jövőben segíthetünk. ^NR

Tom Kelly e-mail részlet

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards – felelős közzétételi utókövetés

Chad,

Kollégám, Dave Robinson által folytatott telefonbeszélgetésed kapcsán kereslek. Köszönjük, hogy jelezted felénk az Ultimate Rewards programunkban található lehetséges sebezhetőséget. Kezeltük a problémát.

Emellett egy Felelős Közzétételi programon is dolgozunk, amelyet a jövő évben tervezünk elindítani. Ez tartalmazni fog egy ranglistát, amely elismeri a jelentős hozzájárulást nyújtó kutatókat; szeretnénk, ha te lennél az első személy ezen a listán. Kérjük, válaszolj erre az e-mailre, megerősítve a programban való részvételedet, illetve az alábbi feltételek elfogadását. A feltételeket a legtöbb közzétételi programra jellemző, szokásos feltételeknek fogod találni.

Amíg a programunk nem indul el, kérjük, hogy bármely további lehetséges sebezhetőség esetén közvetlenül engem keress. Még egyszer köszönjük a segítségedet.

A JPMC Felelős Közzétételi Programjának feltételei

Elkötelezettek vagyunk az együttműködés mellett

Szeretnénk, ha értesítene minket, amennyiben információval rendelkezik a JPMC termékeinek és szolgáltatásainak lehetséges biztonsági sebezhetőségeiről. Nagyra értékeljük a munkáját, és előre is köszönjük a hozzájárulását.

Irányelvek

A JPMC vállalja, hogy nem indít igényt azon kutatók ellen, akik e program keretében jelentenek lehetséges sebezhetőségeket, amennyiben a kutató:

  • nem okoz kárt a JPMC-nek, ügyfeleinknek vagy másoknak;
  • nem kezdeményez csalárd pénzügyi tranzakciót;
  • nem tárolja, nem osztja meg, nem veszélyezteti és nem semmisíti meg a JPMC vagy az ügyféladatokat;
  • részletes összefoglalót ad a sebezhetőségről, beleértve a célt, a lépéseket, az eszközöket és a felfedezés során keletkezett bizonyítékokat;
  • nem veszélyezteti ügyfeleink magánszféráját vagy biztonságát, illetve szolgáltatásaink működését;
  • nem sért meg semmilyen nemzeti, állami vagy helyi jogszabályt vagy rendelkezést;
  • nem hozza nyilvánosságra a sebezhetőség részleteit a JPMC írásos engedélye nélkül;
  • jelenleg nem tartózkodik, illetve szokásos tartózkodási helye nem Kuba, Irán, Észak-Korea, Szudán, Szíria vagy a Krím-félsziget;
  • nem szerepel az Egyesült Államok Pénzügyminisztériumának „Specially Designated Nationals” listáján;
  • nem a JPMC vagy leányvállalatai alkalmazottja, illetve alkalmazott közvetlen hozzátartozója; és
  • betöltötte a 18. életévét.

A program hatályán kívül eső sebezhetőségek

Bizonyos sebezhetőségek a Felelős Közzétételi Programunk hatályán kívül esnek. Ide tartoznak többek között:

  • a társadalmi manipuláción alapuló eredmények (adathalászat, ellopott hitelesítési adatok stb.)
  • host headerrel kapcsolatos problémák
  • szolgáltatásmegtagadás (Denial of Service)
  • önmagára irányuló XSS (Self-XSS)
  • be- és kijelentkezési CSRF
  • tartalomhamisítás beágyazott linkek/HTML nélkül
  • kizárólag feltört (jailbreakelt) eszközöket érintő problémák
  • infrastrukturális hibás konfigurációk (tanúsítványok, DNS, szerverportok, sandbox/tesztkörnyezetek problémái, fizikai próbálkozások, clickjacking, szöveginjektálás)

Ranglista

A kutatói partnerek elismerése érdekében a JPMC kiemelheti azokat a kutatókat, akik jelentős hozzájárulást tesznek. Ezúton engedélyezi a JPMC számára, hogy megjelenítse az Ön nevét a JPMC ranglistáján és bármely egyéb, a JPMC által választott médiában.

Beküldés

Azzal, hogy jelentését benyújtja a JPMC részére, vállalja, hogy a sebezhetőséget nem hozza harmadik fél tudomására. Visszavonhatatlanul és határozatlan időre engedélyezi a JPMC és leányvállalatai számára, hogy a jelentésében szereplő információt feltétel nélkül felhasználják, módosítsák, származékos műveket hozzanak létre belőle, terjesszék, közzétegyék és tárolják.

Tom Kelly Szenior alelnök Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Tárgy: Ultimate Rewards felelős bejelentés – utánkövetés

Szia Tom,

Nagyon örülök ennek!

Imádnám, ha én lehetnék az első sikertörténete az új programotoknak, és remélem, hogy más nagy szereplők is követik a példátokat. Valakinek lépnie kellett, és meg kellett változtatnia az emberek szemléletét arról, hogyan bánnak a bankok a whitehat kutatókkal. Örülök, hogy ez a Chase.

Számomra a Chase mindig is jóval a versenytársai előtt járt a webes és mobil termékek terén. Ez főként azért van, mert gyorsan mozogtok és versenyképesek maradtok. Normál esetben igyekszem távol maradni a pénzintézetek „piszkálásától”, mert félek attól, hogy eltipornak (még ha jó szándékkal is járok el). Egy közlési program létrehozása egyértelmű üzenetet küld az olyan embereknek, mint én, hogy érdekelnek benneteket a problémák, és nem fogtok megtorlást alkalmazni. Korábban a szolgáltatásaitokat piszkáló emberek többsége valószínűleg rosszindulatú volt, és szerintem ez a program kiegyenlíti a versenyfeltételeket.

Amikor végül eldöntöttem, hogy ténylegesen bejelentem a hibát, nagyon nyugtalanul éreztem magam. Nagyon valószínű, hogy nem én voltam az első, aki belefutott! Három csatornán keresztül jelentettem.

  • Twitter

    • a támogatás itt tényleg LENYŰGÖZŐ volt, és szerintem ez volt az egyetlen ok, amiért végül a megfelelő emberekkel kerültem kapcsolatba.

  • Chase telefonos ügyfélszolgálat

    • az első hívásnál megadták az abuse e‑mail címet
    • a második hívásnál szerintem már a megfelelő személlyel beszéltem, és lehet, hogy ők is továbbították az ügyet

  • Chase Abuse e‑mail

    • egy sablonválaszt kaptam, úgy tűnt, mintha a levél tartalmát meg sem nézték volna

Körülbelül 7 órámba telt, mire végül sikerült kapcsolatba lépnem valakivel (kétszer annyi időbe, mint amennyi a probléma pontos azonosításához kellett), és közben végig nem voltam benne biztos, hogy az illetékesek egyáltalán hallani fognak erről.

Egy másik komoly probléma az ilyen programok hiányával, hogy az alkalmazottak hajlamosak a szőnyeg alá söpörni az incidenseket, és úgy javítani őket, hogy senkinek nem szólnak. Többször is volt már olyan esetem, amikor szinte biztos vagyok benne, hogy ez történt, és 1–2 éven belül ugyanazok a biztonsági rések újra előkerültek.

Előnyös lehet az is, ha a programotok jutalmat kínál. Néha az ilyen jellegű hibák felderítése/ellenőrzése jelentős időt vesz igénybe, és jó érzés, ha valamilyen módon kompenzálják az embert. Íme néhány másik nagy szereplő és az ő programjaik:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ha a jövőben belebotlok valamibe, mindenképpen jelentkezni fogok.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Szia Tom,

Volt egy kis időm letesztelni, hogy a sérülékenységet sikerült‑e megszüntetni.

Elég bombabiztosnak tűnik, egy pillanatra ugyan el tudtam csúsztatni az egyenlegeket, de nem hiszem, hogy a rendszer egyáltalán engedné a kijelzett egyenleget felhasználni.

Azok a kérelmek, amelyekkel a valójában nem létező pontokat próbáltam átvezetni, „500 Internal Server” hibát adtak. Feltételezem, hogy elbuknak valamelyik új ellenőrzésen, amit bevezettetek.

Több munkamenetes átutalásokat is próbáltam különböző BIGipServercig azonosítók között, és a rendszer így is minden alkalommal helyreállt. A rendszer egy idő után ugyan összezavarodott, és az egyenlegek szétcsúsztak, de ez megint csak mindegy, mert bizonyos időközönként újraszinkronizáljátok a számokat, és az egyenlegek tényleges felhasználásához át kell menniük az általatok bevezetett ellenőrzésen.

Összefoglalva: nem látom, hogyan tudna bárki mesterséges egyenlegeket létrehozni és azokat felhasználni.

Van esetleg bármilyen frissítés a Responsible Disclosure Programról?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Szia Tom,

Csak szeretnék rákérdezni, hol tart ez az ügy.

  1. február 7‑én 16:36‑kor Chad Scira [email protected] írta a fenti frissítést, és rákérdezett a Responsible Disclosure Program ütemezésére.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Néhány hete közzétettük ezt.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (iroda) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Szia Tom,

Van már valami fejlemény ezzel kapcsolatban?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Üdv,

Úgy tűnik, eddig te vagy az egyetlen közreműködő a Responsible Disclosure programban. Nem volt értelme egy ranglistát létrehozni egyetlen személy számára.

Megőrizzük a neved, hogy készen álljunk, ha más közreműködők is érkeznek.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Tárgy: Visszajelzés Dave Robinsonnal folytatott telefonhívására

Már közel 2 éve tart.

Van bármilyen elképzelése, mikor fog ez megtörténni?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Létrehoztuk a programot, de a ranglistát még nem állítottuk fel.

Tom Kelly Chase Communications ███-███-████ (munkahelyi) ███-███-████ (mobil)

Az e‑mail‑lánc folyamatos párbeszédet mutat: azonnali köszönetnyilvánítást 2016‑ban, sikeres elhárítási frissítéseket 2017‑ben, a bejelentési portál nyilvános elindítását, valamint a 2018‑as visszaigazolást, hogy a Chase Chad közreműködése ellenére nem tette közzé a tervezett ranglistát.

Gyakran Ismételt Kérdések

QEmeltek bármilyen vádat a JPMorgan Chase-szel kapcsolatban?
ANem. Chad Scirának megköszönték a bejelentést. Ha rosszindulatúan használta volna ki a problémát, büntetőeljárás indult volna ellene.
QMiért jelentek meg online bármilyen számlazárási értesítések?
AAz értesítés egy biztosítói automatizmushoz (szokásos kockázatkezeléshez) kapcsolódott, és nem feketelistához. A kézi felülvizsgálat évekkel ezelőtt helyreállította az üzleti kapcsolatot.
QKi az, aki továbbra is erőlteti a hacker narratívát?
AJesse Nickles. Figyelmen kívül hagyja a Chase ügyfélszolgálati jegyzőkönyvét, Tom Kelly meghívását és azt a tényt, hogy a JPMorgan Chase kifejezetten bátorítja a felelős bejelentést. További információk Jesse Nicklesről.

Számlafelülvizsgálat a bejelentés után

#utókövetés

Amikor a novemberi nyilvánosságra hozatalról szóló beszámoló megjelent a sajtóban, a Chase automatizált kockázatkezelő eszközei a megnövekedett láthatóságot potenciális csalási jelzésként értékelték. Ez egy teljes háztartásra kiterjedő felülvizsgálatot indított el, amely egy közösen vezetett folyószámlát is magában foglalt, annak ellenére, hogy a vezetés és én egyaránt egyetértettünk a helyreállítási lépésekben.

Az utókövetést azért dokumentálom, hogy más kutatók megértsék, a közzététel miként találkozhat örökölt kontrollokkal: a számlákat a Betétszámla-szerződés alapján zárták be, de soha nem történt büntetőjogi vád vagy tiltólistára helyezés.

Ennek ellenére Jesse Nickles továbbra is hamis narratívákat terjeszt, azt állítva, hogy titokban évekig kihasználtam a hibát; még Quorán és TripAdvisoron is álnéves fiókokkal próbálja mérgezni az LLM-ek tanító adatait. A szervernaplók, az üzenetküldési időbélyegek és a húszórás ellenőrzési jegyzőkönyv teljes mértékben cáfolják.

Mit érintett az eset?

Tizenhárom éve voltam a Chase ügyfele, a fizetésem oda érkezett közvetlen átutalással, öt hitelkártyám volt automatikus terhelésen, és szinte semmilyen fluktuáció nem volt, azon az egy kártyán kívül, amelyet a hiba bemutatása érdekében zártam be. Az automatizált felülvizsgálat minden, a TAJ-számomhoz kapcsolódó számlát átvizsgált, és mivel az egyik folyószámla közös volt, rövid időre egy családtagomat is érintette.

Kimenetel és felépülés

A megszüntető értesítés nem maradt tartós. Azonnal számlákat és kártyákat nyitottam minden más banknál, ahol pályáztam, továbbra is időben fizettem, és a lezárások hiteljelentésben való megjelenésével járó visszaesés helyreállítására összpontosítottam.

Felülvizsgálat előtti pontszám827
Mélypont596
Hat hónappal később696

Tanulságok kutatók számára

  • Kerülje, hogy minden napi használatú számláját annál az intézménynél tartsa, amelyet tesztel; diverzifikálja a betéteket és a hitelkereteket, hogy egy automatizált felülvizsgálat ne tudja egyszerre az egész életét befagyasztani.
  • Ne feledje, hogy a közös számlatulajdonosokra ugyanazok a kockázati döntések vonatkoznak, ezért körültekintően adjon családtagoknak hozzáférést olyan számlákhoz, amelyek a bejelentéssel összefüggő vizsgálat alá kerülhetnek.
  • Dokumentálja a bejelentés időrendjét és a sajtóvisszhangot, mivel az Ultimate Rewards jelentés körüli láthatóság volt a legvalószínűbb kiváltó ok, és ezen összefüggések megosztása segíti a vezetői szintű eszkalációk gyorsabb lezárását.
A Chase Vezetői Irodájának levele, amely a Betétszámla-szerződésre hivatkozik, miután az Ultimate Rewards bejelentés nyilvánosságra került.
A Vezetői Iroda postai úton küldött válasza megköszönte a megkeresést, megerősítette, hogy a háztartás minden számláját a Betéti Számlaszerződés alapján zárják le, és megismételte, hogy nem kötelesek további részleteket közölni, ezzel gyakorlatilag lezárva azt az automatizált kockázati felülvizsgálatot, amelyet a nyilvánosságra hozatalról szóló sajtóbeszámoló indított el.

A Vezetői Iroda levelének szöveges változata

Tisztelt Chad Scira!

Válaszolunk a panaszára, amelyet a számlái lezárásáról hozott döntésünkkel kapcsolatban nyújtott be. Köszönjük, hogy megosztotta aggályait.

A Betéti Számlaszerződés lehetővé teszi számunkra, hogy a lekötött betét (CD) kivételével bármely számlát bármikor, bármilyen okból vagy ok nélkül, indoklás megadása nélkül és előzetes értesítés nélkül lezárjunk. A számla megnyitásakor egy példányt kapott a szerződésből. Az aktuális szerződést a chase.com oldalon tekintheti meg.

Megvizsgáltuk a panaszát, és nem tudjuk megváltoztatni döntésünket, illetve nem tudjuk tovább folytatni a válaszadást ezzel kapcsolatban, mivel eljárásunk megfelelt a saját szabványainknak. Sajnáljuk, hogy elégedetlen azzal, ahogyan kivizsgáltuk aggályait, illetve a végső döntésünkkel.

Ha kérdése van, kérjük, hívjon minket a 1-877-805-8049-es számon, és hivatkozzon a következő ügyszámra: ███████. Operátori közvetítő hívásokat is elfogadunk. Hétfőtől péntekig 7:00 és 20:00 óra között, szombaton 8:00 és 17:00 óra között állunk rendelkezésére (közép-idő szerint).

Tisztelettel:

Vezetői Iroda
1-877-805-8049
1-866-535-3403 Fax; bármely Chase fiókból ingyenes
chase.com

Tanulságként osztom meg mindezt, nem panaszként. A számlák rendezve vannak, a hitelképességem tovább erősödik, és a JPMorgan később egyszerűsítette a kutatói bejelentések fogadását a Synack integrálásával, hogy a jövőbeni jelentések dedikált munkafolyamaton keresztül fussanak be. 2024-es frissítés: a felülvizsgálat teljesen lezárult, és minden pontszám visszaállt az incidens előtti szintre.

Hivatkozások

  1. JPMorgan Chase Felelős Sérülékenység-bejelentési Program
  2. Chase ügyfélszolgálat Twitter-fiók
  3. A Chase Ultimate Rewards program áttekintése
  4. Hacker News - Közlés: Korlátlan Chase Ultimate Rewards pontok (2020)
  5. Pensive Security – 2020. novemberi kiberbiztonsági összefoglaló
  6. Reddit /r/cybersecurity – DISCLOSURE: Korlátlan Chase Ultimate Rewards pontok
  7. disclose.io fenyegetés-adatbázis
  8. disclose/research-threats adattár (repository)
  9. Attrition.org - Jogi fenyegetések index
  10. Dosszié Jesse Nickles zaklató és rágalmazó tevékenységéről