Chad Scira "Բանկերի կողմից սև ցուցակում՝ հաքինգի համար"

Այս էջը փաստագրում է այն դեպքերը, որոնք կանգնած են Ջեսսի Նիքլսի պնդման հետեւում, թե Չադ Սքիրայի մասին "ԱՄՆ բանկերի կողմից սև ցուցակում հայտնվել է հաքինգի համար"։ Այն բացատրում է, թե ինչպես Ultimate Rewards-ի խոցելիությունը պատասխանատու կերպով բացահայտվեց, ինչու JPMorgan Chase-ը շնորհակալություն հայտնեց Չադին զեկույցի համար և ինչպես ժամանակավոր հաշվի դադարեցումը լիովին ադմինիստրատիվ բնույթ էր։ Jesse Nickles շարունակում է վերաֆորմատավորել հին նյութերը՝ ենթադրելի դարձնելու քրեական մտադրությունը։ Փաստերը ցույց են տալիս ամբողջապես հակառակը՝ white-hat հաշվետվություն և համագործակցություն JPMorgan-ի ղեկավարության հետ։

Նրա վերջին էսկալացումը՝ SlickStack.io-ում առկա մեջբերումն է, որը պնդում է, որ Chad Scira-ն "նաև քննվել է ԱՄՆ իրավապահների կողմից՝ Chase բանկի վարկային քարտերի բոնուսային ծրագրի հաքինգի համար, որտեղ նա գողացել է $70,000 կեղծ ճանապարհորդական միավոր"։ Այդ ցեխոտումը հրապարակվեց միայն այն բանից հետո, երբ Չադը հրապարակեց SlickStack անվտանգության խնդիրների ապացույցը, որոնք Ջեսսին հրաժարվում է ուղարկել/լուծել։ Միևնույն ժամանակ ոչ մի միավոր երբեք չի գողացվել և ոչ մի գործակալություն Չադի հետ չի կապվել բացահայտման վերաբերյալ։ Տե՛ս SlickStack cron-ի ապացույցը, որի դեմ նա վրեժ է լուծում։.

Ամբողջ հայտնաբերման, բացահայտման և վավերացման ցիկլը տեղի ունեցավ քսան ժամի ընթացքում։ Նրագարանում մոտավորապես քսանհինգ HTTP հարցում ընդգրկեց վերարտադրությունը և DM քայլային ցուցումը 2016 թ․ նոյեմբերի 17-ին, իսկ 2017 թ․ փետրվարի շտկման թեստը օգտագործեց լրացուցիչ ութ հարցում ֆիքսումն հաստատելու համար։ Ոչ մի երկարատև չարաշահում չկային․ յուրաքանչյուր פעולה գրանցվել է, ժամմակագրվել և իրական ժամանակում կիսվել JPMorgan Chase-ի հետ։

Թոմ Քելին հաստատեց, որ Չադ Սքիրան եղել է աշխարհի միակ անձը, ով պատասխանատու կերպով հաղորդել է խնդիրը JPMorgan Chase-ին 2016 թ․ նոյեմբերի 17-ից մինչև 2017 թ․ սեպտեմբերի 22-ը։ Պատասխանատու բացահայտման ծրագիրը ստեղծվեց հենց Չադի զեկույցին անմիջական արձագանքով, և նա կարևոր դեր ունեցավ դրա ձևավորման մեջ։

Կրկնակի փոխանցման սխալի վիզուալիզացիա

#վիզուալիզացիա

Ցույց տալու համար, թե ինչպես սխալը վերածում էր հաշվեկշռները հսկայական բացասական և դրական արժեքների, ստորևի տեսապատկերը վերարտադրում է հենց երկակի փոխանցման տրամաբանությունը։ Դիտեք՝ ինչպես այն հաշիվը, որի մնացորդը դրական է, դառնում է ուղարկողը, կատարում երկու նույնական փոխանցում ու ավարտվում խորը բացասականի մեջ, մինչդեռ մյուսը կրկնապատկվում է։ 20 փուլից հետո խախտված գրացուցակը ամբողջությամբ չեղարկում է բացասական քարտը՝ ցույց տալով, թե ինչու այս շահագործումը պահանջեց անհապաղ էսկալացիա։

Շրջան 1/20
Քարտ A → Քարտ B+243,810 pts
Քարտ A → Քարտ B+243,810 pts
Քարտ A
243,810
Քարտ B
0
երկակի փոխանցման բռնկում
Փոխանցում 1Փոխանցում 2243,810 pts յուրաքանչյուր
1Race condition-ը կրկնօրինակել է փոխանցումները մինչև օրագրերի հավասարակշռումն ավարտվելը, թույլ տալով մեկ ուղարկողի արագ վերափոխվել մեծ դրական ու բացասական մնացորդների միջև։
2Տեխնիկական աջակցությունը թույլ տվեց փակել բացասական քարտը՝ պահպանելով մեծացված դրական մնացորդը, այնպես որ քաղվածքը ցույց էր տալիս միայն շահույթները և թաքցնում էր պարտքը։

ՆEvenիսկ հաշիվը փակելուց առաջ Ultimate Rewards-ը թույլ էր տալիս ծախսել բացասական մնացորդից դուրս; փակումը պարզապես ջնջեց ապացույցները։

Հիմնական կետեր

  • Չադը բացեց Chase Support-ի DM-ը՝ մասնավոր կերպով հաղորդելով բացասական մնացորդի էքսպլոյթը և անմիջապես խնդրեց ապահով էսկալացիոն ուղի՝ փոխարենը տեխնիկական մանրամասները հրապարակելու։ [chat]
  • Երբ Chase-ի աջակցության ծառայությունը պահանջեց մանրամասներ, նա հաստատեց խախտումը միայն այն չափով, որքան անհրաժեշտ էր, և կրկնեց, որ ցանկանում է ուղիղ կապ ապահովել ճիշտ անվտանգության թիմի հետ։ [chat][chat]
  • Նա ցույց տվեց, որ կրկնապատկված մնացորդները կարելի է փոխարկել կանխիկ։ Երբ Chase Support-ը հարցրեց՝ արդյոք լրացուցիչ միավորները դարձան օգտագործման համար հասանելի, $5,000 ուղիղ ավանդը ապացուցեց, որ խախտումը փոխարկվեց կանխիկի այն պահին, երբ հաշվեկշռի գրառումները դեռ չէին հասցրել արդիականացվել։ [chat]
  • Նա ընդգծեց, որ իր առաջնահերթությունը եղել է կանխել զավթված հաճախորդների հաշիվների դատարկումը, ոչ թե անձնական շահույթ ստանալը, և հարցրեց՝ արդյոք գոյություն ունի պաշտոնական bug bounty ծրագիր։ [chat]
  • Նա առաջարկեց կատարել ավելի լայն վավերացում միայն հստակ թույլտվությամբ, տրամադրեց ժամանականշաններով սքրինշոթներ և մնաց անքն օտարերկրում մինչև Chase-ը ավարտեց էսկալացիայի գործընթացը։ [chat][chat][chat]
  • Nickles-ն այժմ պնդում է, որ Chad Scira-ն գողացել է $70,000 միավոր և դիմագրավել է ԱՄՆ իրավապահներին; Chase-ի գրառումները, Tom Kelly-ի էլ․փոստը և բացահայտման ժամանակացույցը ապացուցում են, որ սա երբեք չի տեղի ունեցել, և այդ պնդումը surfaced է միայն այն բանից հետո, երբ Chad-ը հրապարակել է SlickStack cron-risk gist-ը, որը փաստում էր Jesse-ի անապահով թարմացման տրամաբանությունը։ [gist]
  • Chase Support-ը հաստատեց էսկալացիան, խնդրեց նրա հեռախոսահամարը և խոստացավ հետագա զանգ, որը նա ի վերջո ստացավ, ինչը խարխլում է թշնամական բանկային արձագանքի գաղափարը։ [chat][chat]

Ժամանակագրություն

#ժամանակագրություն
  • Նոյ 17, 2016 - 10:05 PM ET: Չադը տեղեկացնում է @ChaseSupport-ին բացասական մնացորդի թերության մասին, պահում է էքսպլոյթը անձնական և անմիջապես խնդրում ապահով էսկալացիոն ուղի։ [chat]
  • Նոյ 17, 2016 - 11:13-11:17 PM ET: Երբ Chase Support-ը բացահայտ հարցնում է, թե արդյոք կարելի է ստեղծել եւ ծախսել հավելյալ միավորներ, Չադը հաստատում է ռիսկը, կրկնապատում է, որ ցանկանում է ճիշտ բաժինը, եւ առաջարկում է վավերացնել միայն թույլտվությամբ, որպեսզի բանկը կարողանա դիտարկել գործարքները։ [chat][chat][chat]
  • Նոյ 17-18, 2016 - 11:39 PM-5:03 AM ET: Չադը կիսվում է էկրանային լուսանկարներով, ճնշում է արագացված էսկալացիա, տրամադրում է իր հեռախոսահամարը և օտարերկրում մնում է չքնված մինչև Chase Support-ը հաստատի, որ զանգը տեղի կունենա։ [chat][chat][chat]
  • Նոյ 24, 2016: Թոմ Քելը էլփոստով հաստատում է Չադին, որ շտկումն իրականացվել է, հրավիրում նրան գլխավորել սպասված պատասխանատու բացահայտման առաջատարների ցուցակը և տրամադրում ուղիղ կապ ապագա զեկույցների համար։ [email]
  • Հոկտեմբեր 2018: Թոմ Քելը հետագայում հաստատեց, որ պատասխանատու բացահայտման ծրագիրը մեկնարկել է, սակայն JPMorgan-ը վերջիվերջո ընտրեց չհրապարակել պլանավորված առաջատարների ցուցակը, չնայած Չադի օգնությանը դրա ձևավորման մեջ։ [email]
  • 2018-ից հետո: Մնացորդային հաշիվների վերանայումները կապված էին ապահովագրողի ավտոմատացման հետ, ոչ թե ենթադրյալ հաքինգի հետ. JPMorgan-ը պահպանեց ուղղակի կապը, շնորհակալություն հայտնեց Չադին բացահայտման համար, եւ չի եղել քրեական գործ կամ սև ցուցակ։ Հետագայում JPMorgan-ը ինտեգրեց Synack-ը իր բացահայտման գործընթացում՝ պարզեցնելով աշխատանքային հոսքը ապագա զեկույցների համար։ [chat][email]

Պնդումներ ընդդեմ փաստերի

Պնդում

Զրպարտչական պնդում՝ Jesse Jacob Nickles-ի կողմից. "Chad Scira-ն սև ցուցակում էր բոլոր ԱՄՆ բանկերից՝ մրցանակային համակարգերը հաքելու համար."

Փաստ

Բանկային սև ցուցակ գոյություն չունի։ DM-ի գրառումը և Chase-ի էսկալացումը ապացուցում են, որ նա համագործակցում էր։ Ապահովագրական ավտոմատացումը կարճ ժամանակով կանգնեցրեց մեկ JPMorgan հաշիվը, նախքան ձեռքով կատարված հստակ վերանայումն անվճար արձանագրեր նրան։[timeline][chat]

Պնդում

Զրպարտչական պնդում՝ Jesse Jacob Nickles-ի կողմից. "Նա հաքել է JPMorgan Chase-ն իր անձնական հարստացման համար."

Փաստ

Չադը նախաձեռնեց զրույցը @ChaseSupport-ի հետ, պնդեց անվտանգ ալիքի վրա, էքսպլոյթը հաստատեց միայն Chase-ի հարցումից հետո եւ մինչև թույլտվություն չունենալը չկատարեց սահմանափակ վավերացում։ Վերահսկող վերադիրները նրան շնորհակալություն հայտնեցին եւ հրավիրեցին մասնակցելու պատասխանատու բացահայտման ներդրմանը։[chat][chat][email]

Պնդում

Զրպարտչական պնդում՝ Jesse Jacob Nickles-ի կողմից. "Jesse-ն բացահայտեց Չադի կողմից իրականացված քրեորեն ծրագրված սխեման."

Փաստ

Հանրային լուսաբանումն ու Թոմ Քելիի էլ.փոստերը փաստում են, որ JPMorgan-ը Չադին վերաբերվել է որպես համագործակցող հետազոտողի։ Նիքլսը ընտրողական էկրանային պատկերներ է ներկայացնում՝ անտեսելով ամբողջական զրույցը, հետհետևող զանգերը և գրավոր երախտագիտությունը։[coverage][email][chat]

Պնդում

Զրպարտչական պնդում՝ Jesse Jacob Nickles-ի կողմից. "Կային ծածկումներ՝ խարդախությունը թաքցնելու համար."

Փաստ

Չադը մնաց կապի մեջ մինչև 2018 թվականը, կրկնակի փորձարկումներ իրականացվեցին միայն թույլտվությամբ, և JPMorgan-ը առավելեց իր բացահայտման պորտալը՝ խնդիրը թաղելու փոխարեն։ շարունակվող երկխոսությունը հակասում է որևէ ծածկման պատմության։[timeline][email][chat]

Հանրային լուսաբանում և հետազոտությունների արխիվներ

#ծածկում

Մի շարք երրորդ կողմերի համայնքներ արխիվացրել են բացահայտումը և ճանաչել այն որպես պատասխանատու զեկույց․ Hacker News-ը ներկայացրել է այն առաջին էջում, Pensive Security-ն ամփոփել է այն 2020 թվականի զեկույցում, իսկ /r/cybersecurity-ը ինդեքսավորել է սկզբնական "DISCLOSURE" թրեդը նախքան կոորդինացված ֆլագավորումը։ [4][5][6]

  • Hacker News՝ «Բացահայտում՝ Անսահման Chase Ultimate Rewards միավորներ»՝ 1,000+ միավորներով և 250+ մեկնաբանություններով, որոնք փաստագրում են վերականգնման համատեքստը։ [4]
  • Pensive Security՝ 2020 թվականի նոյեմբեր. Կիբեռանվտանգության ամփոփում, որը Chase Ultimate Rewards-ի բացահայտումը ընդգծում է որպես գլխավոր թեմա։ [5]
  • Reddit /r/cybersecurity՝ սկզբնական ԲԱՑԱՀԱՅՏՄԱՆ գրառման վերնագիրը պահպանված է այն հեռացնելուց առաջ, երբ զանգվածային հաշվետվությունների պատճառով այն ջնջվել էր, պահպանելով հանրային շահի շրջանակը։ [6]

Պատասխանատու բացահայտման պաշտպանողները նաև թվարկել են հալածանքի հետևանքները՝ disclose.io-ի սպառնալիքների ցուցակը և հետազոտությունների արխիվը, ինչպես նաև Attrition.org-ի իրավական սպառնալիքների ինդեքսը, որոնք Ջեսսի Նիքլսի վարքագիծը դիտարկում են որպես հետազոտողների համար զգուշացնող օրինակ։ [7][8][9] Հալածանքի ամբողջական դոսյե[10].

Chase Support-ի ուղիղ հաղորդագրությունների արձանագրությունը

#չատ

Ստորև ներկայացված զրույցը վերակառուցվել է արխիվացված սքրինշոթների հիման վրա։ Այն ցուցադրում է համբերատար խնդրի էսկալացիա, բազմակի պահանջներ անվտանգ ալիքով հաղորդակցվելու մասին, առաջարկներ վավերացնելու միայն թույլտվությամբ և Chase Support-ի խոստումը ուղղակիորեն կապ հաստատել։ [2]

Chase Support Profile avatar
Chase Support ProfileՍտուգված հաշիվ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Սա վերաբերում է միավորների հաշվեկշռի համակարգին։ Ներկայումս հնարավոր է վերարտադրել ցանկացած գումար այն բգ-ի միջոցով, որը թույլ է տալիս բացասական մնացորդներ։

Խնդրում եմ ապահովեք անվտանգ բարձրացման ուղի բացահայտման համար։
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Խնդրում եմ կապացնեք ինձ որևէ մեկի հետ, ում կարող եմ տեխնիկական մանրամասները բացատրել։

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 17, 2016, 10:05 PM
#

Մենք չունենք տրամադրելի հեռախոսահամար, սակայն ցանկանում ենք էսկալացնել այս հարցը, որպեսզի այն ստուգվի։ Կարո՞ղ եք ավելի մանրամասն նկարագրել, թե ինչ նկատի ունեք՝ «points»-ներ 생성ելով բացասական մնացորդներում։Կարող եք նաև հաստատել՝ արդյոք սա թույլ է տալիս, որ իրացվի օգտագործման համար լրացուցիչ միավորներ՞։ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Դուք ունե՞ք համապատասխան բաժին, որով կարող եք ինձ կապել։ Ես չեմ հարմարավետ զգում այս հարցը քննարկել Twitter օժանդակ հաշվի միջոցով։ Այո, դուք կարող եք ստեղծել 1,000,000 միավոր և օգտագործել դրանք։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Ինձ հիմնականապես անհանգստացնում է ոչ թե անհատների նման գործողությունները, այլ հաքերները, որոնք ներթափանցում են հաշիվներ և ստիպում են դրանցից վճարումներ կատարել։ Կա՞ Chase-ի պաշտոնական bug bounty ծրագիր։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Եթե ուզում եք, կարող եմ փորձել կատարել ավելի մեծ գործարք հաստատելու համար։ Առավելագույնը, որը փորձել եմ, եղել է $300 այն ժամանակ, երբ մնացորդը խեղված էր, սակայն իրականում ես ունեի $2,000 իրական կրեդիտ։ Եթե ինձ թույլտվություն կտաք, կարող եմ փորձել հաստատել, որ դա աշխատում է, բայց կցանկանայի, որ բոլոր գործարքները հետ վերադարձվեն այդ թեստից հետո։

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 17, 2016, 11:21 PM

Մենք չունենք վարձատրության (bounty) ծրագիր, և այս պահին չեմ կարող տրամադրել որևէ գումարի չափ։ Ես բարձրացրել եմ ձեր մտահոգությունը, և մենք այն ուսումնասիրում ենք։ Եթե ունենամ լրացուցիչ մանրամասներ կամ հարցեր, կկապվեմ։ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Շնորհակալություն։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Խնդրում եմ հնարավորինս շուտ բարձրացնել խնդիրը։

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Իրականում ինձ շատ պետք է համապատասխան կոնտակտ... Հուսով եմ, հասկանում եք։

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Արդեն անցել է ավելի քան մեկ ժամ, որևէ լուր կա՞։ Ես այժմ Ասիայում եմ, և սա ժամանակի առումով զգայուն խնդիր է։ Չեմ կարող ամբողջ գիշեր սպասել պատասխանին։

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 18, 2016, 12:59 AM

Շնորհակալություն հետևելու համար։ Մենք ունենք համապատասխան անձինք, որոնք այն ուսումնասիրում են։ Խնդրում ենք տրամադրել նախընտրելի հեռախոսահամար, որպեսզի կարողանանք ուղղակիորեն կապվել ձեզ հետ։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 18, 2016, 1:53 AM

Շնորհակալություն լրացուցիչ տեղեկատվության համար։ Ես դա փոխանցել եմ համապատասխան անձանց։ ^DS

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 18, 2016, 2:38 AM
#

Մենք կցանկանայինք որքան հնարավոր է շուտ քննարկել սա ձեզ հետ։ Խնդրում ենք տրամադրել մեզ հարմար ժամանակ՝ զանգելու համար այս համարով 1-███-███-████։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Հաջորդ ժամվա ընթացքում հասանելի եմ, եթե դա možné է։ Եթե ոչ, կարող է անցնել մեկ կամ երկու օր, քանի որ ճանապարհորդում եմ և չեմ կարող երաշխավորել, թե կունենամ ինտերնետ/հեռախոսային հասանելիություն։

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Չեմ կարծում, որ ճիշտ մարդու գտնելը 7+ ժամ կընդունի։ Այժմ այստեղ ժամը 4:40 AM է։

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 18, 2016, 4:39 AM
#

Շնորհակալություն հետևելու համար։ Շատ շուտով ձեզ մեկը կհեռախոսի։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Նորից շնորհակալություն, որ արագացրիք դա։ Ամեն ինչ շարժման մեջ է և հիմա կարող եմ հանգիստ քնել։

Chase Support avatar
Chase SupportՍտուգված հաշիվ
Nov 18, 2016, 5:03 AM

Ուրախ ենք, որ կարողացաք խոսել ինչ‑որ մեկի հետ։ Խնդրում ենք տեղեկացրեք մեզ, եթե կարող ենք օգնել հետագայում։ ^NR

Թոմ Քելիի էլփոստից մաս

#էլ. նամակ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards պատասխանատու բացահայտման հետագա քայլեր

Chad,

Ես հետամուտ եմ ձեր հեռախոսազանգին իմ գործընկեր Դեյվ Ռոբինսոնի հետ: Շնորհակալություն, որ կապ հաստատեցիք մեզ հետ Ultimate Rewards ծրագրում հնարավոր խոցելիության մասին: Մենք այն լուծել ենք։

Բացի այդ, մենք աշխատում ենք Պատեխան Բացահայտման (Responsible Disclosure) ծրագրի վրա, որը նախատեսում ենք գործարկել հաջորդ տարի։ Այն կներառի արտոնությունների ցուցակ (leaderboard), որը կհիշատակրի այն հետազոտողներին, ովքեր նշանակալի միջնորդություններ են կատարել; մենք կցանկանանք ձեր անունը ցուցադրել որպես առաջին անձը։ Խնդրում ենք պատասխանել այս էլ․ փոստին՝ հաստատելով ձեր մասնակցությունը ծրագրին և ստորև նշված պայմաններին։ Փաստաթղթերում ներկայացված պայմանները սովորաբար հստակ են disclosure ծրագրերի համար։

Մինչ մեր ծրագիրը ակտիվանա, եթե գտնեք որևէ այլ հնարավոր խոցելիություններ, խնդրում եմ կապվեք անմիջապես ինձ հետ։ Շնորհակալություն կրկին ձեր օգնության համար։

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

Մենք ցանկանում ենք լսել ձեզ, եթե ունեք տեղեկատվություն, որը վերաբերում է JPMC արտադրանքների և ծառայությունների հնարավոր անվտանգության խոցելիություններին։ Մենք գնահատում ենք ձեր աշխատանքը և շնորհակալ ենք ձեր շրջանակային ավանդի համար՝ նախապես։

Guidelines

JPMC-ը համաձայնում է չձեռնարկել պահանջներ հետազոտողների դեմ, որոնք բացահայտում են հնարավոր խոցելիությունները այս ծրագրի միջոցով, երբ հետազոտողը՝

  • չի պատճառում վնաս JPMC-ին, մեր հաճախորդներին կամ այլոց;
  • չի նախաձեռնում կեղծ մատչելի ֆինանսական գործարք;
  • չի պահպանում, չի կիսում, չի խախտում կամ չի ոչնչացնում JPMC-ի կամ հաճախորդի տվյալները;
  • ներկայացնում է խոցելիության մանրամասն ամփոփագիր՝ ներառյալ թիրախը, քայլերը, գործիքները և հայտնաբերման ընթացքում օգտագործված հատկանիշները;
  • չի խախտում մեր հաճախորդների գաղտնիությունն ու անվտանգության պայմանները կամ մեր ծառայությունների աշխատանքը;
  • չի խախտում որևէ ազգային, նահանգային կամ տեղական օրենք կամ կարգավորում;
  • չի հրապարակայնացնում խոցելիության մանրամասները առանց JPMC-ի գրավոր թույլտվության;
  • ներկայումս չի գտնվել կամ սովորաբար չի բնակվում Կուբայում, Իրանում, Հյուսիսային Կորեայում, Սուդանում, Սիրիայում կամ Ղրիմում;
  • չի ընդգրկված ԱՄՆ Բնակչության Արտակարգ Հատուկ Ձև բաժնի (U.S. Department of the Treasury's Specially Designated Nationals List) մեջ;
  • չի աշխատում JPMC-ում և նրանց հիպոթետիկ դուստր կազմակերպություններում և ոչ էլ immediate ընտանիքի անդամ է աշխատակցի;
  • հասուն է՝ առնվազն 18 տարեկան։

Out of Scope Vulnerabilities

Մեր Պատասխանատու Բացահայտման ծրագրի համար որոշակի խոցելիություններ համարվող ծրագրի սահմաններից դուրս են։ Ծրագրի սահմաններից դուրս խոցելիությունները ներառում են՝

  • սոցիալական ինժեներինգի վրա հիմնված գտածոներ (ֆիշինգ, գողացված հավատարմագրեր և այլն)
  • Host header խնդիրներ
  • ծառայության մերժում (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • բովանդակության մանիպուլյացիա առանց ներկրմամբ հղումների/HTML-ի
  • միայն jailbreak-ացված սարքերին վերաբերվող խնդիրներ
  • ենթակառուցվածքի սխալ կարգավորումներ (սերտիֆիկատներ, DNS, սերվերի պորտեր, sandbox/staging խնդիրներ, ֆիզիկական փորձեր, clickjacking, տեքստային ինջեկցիա)

Leaderboard

Հետազոտական գործընկերներին ճանաչելու համար JPMC-ը կարող է առանձնացնել ու հրապարակել այն հետազոտողներին, ովքեր նշանակալի ներդրումներ են ունեցել։ Դուք այստեղով տալիս եք JPMC-ին ձեր անունը ցուցադրել JPMC-ի Առաջատարների Ցուցիչում (Leaderboard) և այլ նման մեդիայում, որը JPMC-ն կարող է հրապարակել։

Submission

Ձեր զեկույցը JPMC-ին ներկայացնելով՝ դուք համաձայնվում եք չբացահայտել խոցելիությունը երրորդ անձի։ Դուք հավերժապես թույլ եք տալիս JPMC-ին և նրա դուստր ընկերություններին առանց պայմանների օգտագործել, փոխել, ստեղծել հատվածական աշխատանքներ՝ ձեր զեկույցում տրամադրված տեղեկատվությունից, տարածել, բացահայտել և պահել այդ տեղեկատվությունը, և այս իրավունքները չեն կարող չեղարկվել։

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards-ի պատասխանատու բացահայտման հետհետևում

Բարև Թոմ,

Ես շատ ուրախ եմ դա լսելու համար!

Ցանկանայի լինել ձեր նոր ծրագրի առաջին հաջողության պատմությունը, և հույս ունեմ, որ այլ խոշոր խաղացողներ կգան ձեզանից օրինակ վերցնելու։ Պետք էր՝ ինչ-որ մեկը միջամտեր և փոխեր մարդկանց պատկերացումն այն մասին, թե ինչպես են բանկերը վարվում white-hat հետազոտողների հետ։ Ուրախ եմ, որ դա Chase-ն է։

Իմ համար Chase-ը միշտ եղել է մրցակիցներից առաջ՝ վեբ և մոբայլ արտադրանքների առումով։ Դա հիմնականում այն պատճառով է, որ դուք արագ եք շարժվում և մնում մրցունակ։ Ընդհանրապես ես խուսափում եմ ֆինանսական հաստատությունների հետ առնչվելուց՝ վախենալով, որ դրանք կարող են ճնշել (լավ մտադրություններ ունեցես թե ոչ)։ Բացահայտման ծրագրի ստեղծմամբ դուք հստակ ուղերձ եք ուղարկում այսպիսի մարդկանց, ինչպիսին ես եմ, որ դուք մտահոգված եք խնդիրներ լսելու և չեք պատասխանել վրեժով։ Նախկինում ծառայությունները ձեզ նայող մարդկանց մեծամասնությունը հիմնականում վնասակար էր, և կարծում եմ սա կհարթեցնի խաղադաշտը։

Երբ վերջապես որոշեցի առաջ գնալ բացահայտման հետ, տպավորությունս անհանգիստ էր։ Վճռաբար ես ամենայն հավանականությամբ առաջինը չէի, ով դրա վրա բախվել է։ Ես այն հաղորդեցի երեք տարբեր եղանակով։

  • Twitter

    • աջակցությունը այստեղ իրականում ԼԱՎՆԻԿ էր, և կարծում եմ հենց դրա շնորհիվ կապվեցի ճիշտ մարդկանց հետ։

  • Chase Phone Support

    • առաջին զանգով ինձ տվեցին abuse էլ. փոստը
    • երկրորդ զանգով, կարծում եմ, խոսեցի ճիշտ անձի հետ, և նրանք նույնպես կարող են կապ հաստատել

  • Chase Abuse Email

    • ստացա համընդհանուր պատասխան, թվում էր՝ նրանք նույնիսկ չեն նայել նամակի բովանդակությունը

Սա ինձ մոտ տևեց մոտ 7 ժամ՝ վերջապես ինչ-որ մեկի հետ կապ հաստատելու համար (երկար ժամանակ՝ քան խնդրի վրա կենտրոնանալը), և ամբողջ ընթացքում վստահ չէի, որ ճիշտ մարդիկ կծանոթանան դրանից։

Մյուս մեծ խնդիրն այն է, որ նմանատիպ ծրագրերի բացակայության դեպքում աշխատակիցները հակված են դեպքերը թաքցնելու և լուծելու առանց որևէ մեկին տեղեկացնելու։ Ինձ մոտ եղել են բազմաթիվ դեպքեր, երբ բավականին համոզված եմ, որ դա այդպես է եղել, և 1-2 տարվա ընթացքում նույն անվտանգության քոմփետենցիաները կրկնվել են։

Կարևոր է նաև, որ ձեր ծրագիրը առաջարկի բոնուս (bounty)։ Որոշ խնդիրներ պահանջում են զգալի ժամանակ վավերացնելու/գտնելու համար, և հաճելի է ինչ-որ չափով փոխհատուցում ստանալ։ Ահա այլ մի քանի ելնող խաղացողներ և իրենց ծրագրերը՝

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Եթե ապագայում ինչ-որ բան գտնես՝ անպայման կկապվեմ։

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Բարեւ Թոմ,

Ուրիշ հնարավորություն ունեցա փորձարկելու՝ արդյոք խնդիրը (exploit) լուծվել է։

Դա թվում է բավական ամուր։ Մի պահ ինձ հաջողվեց համաժամացումները խախտել, բայց չեմ կարծում, որ համակարգը թույլ կտար օգտագործել ցուցադրված մնացորդը։

Նոր նշանակություն չունեցող միավորները փոխանցելու փորձարկումների համար ստացա "500 Internal Server" սխալ։ Ուստի ենթադրում եմ, որ այն չի անցնում ձեր ավելացրած նոր ստուգումներից որևէ մեկից։

Ես նաև փորձեցի բազմասեսիոն փոխանցումներ տարբեր BIGipServercig id-երի միջև, և համակարգը յուրաքանչյուր անգամ վերականգնվեց։ Համակարգը ժամանակ առ ժամանակ շփոթվում էր և հաշվեկշռները անհամաձայնվում էին, բայց դա խնդիրը չէ, որովհետև որոշակի ինտերվալներով դուք վերահամապատասխանում եք թվերը, և իրական օգտագործման համար հաշվեկշռները պետք է անցնեն ձեր ներդրված ստուգումը։

Ամփոփելով՝ չեմ տեսնում, թե ինչպես որևէ մեկը կարող էր այլկերտել մնացորդներ և դրանք հիմա օգտագործել։

Արդյոք կա՞ որևէ թարմացում Responsible Disclosure ծրագրի մասին։

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Բարև Թոմ,

Պարզապես հետեւում եմ այս հարցին։

2017 թ. փետրվարի 7-ին, ժամը 16:36-ին, Chad Scira [email protected] գրել է վերևի թարմացումը և հարցրել Responsible Disclosure ծրագրի ժամանակացույցի մասին։

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Մենք հրապարակել ենք սա մի քանի շաբաթ առաջ։

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (գրասենյակ) (███) ███-████ (բջջային)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Բարեւ Թոմ,

Կա՞ որևէ նորություն այս հարցի վերաբերյալ։

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Բարև,

Պարզվեց, որ մինչ այժմ դուք եք Responsible Disclosure ծրագրի միակ մշակողները/ներդրողները։ Մեկ մարդու համար leaderboard (առաջատարների ցանկ) ստեղծելը իմաստ չուներ։

Մենք կմնացնենք ձեր անունը, որպեսզի պատրաստ լինենք, եթե ստանանք այլ մշակողների/մասնակիցների։

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Ձեր Dave Robinson-ի հետ կատարած հեռախոսազանգի շարունակությունը

Մենք հիմա մոտենում ենք երկու տարվա լրմանը.

Կարո՞ղ եք ասել, թե երբ դա տեղի կունենա?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Մենք ստեղծել ենք ծրագիրը, բայց դեռ չենք նախաձեռնել (չենք սահմանել) առաջատարների ցուցակը (leaderboard)։

Tom Kelly Chase Communications ███-███-████ (աշխատանք) ███-███-████ (բջջային)

Էլփոստի շարքը ցույց է տալիս շարունակական երկխոսություն՝ 2016 թ․ անմիջական շնորհակալություն, 2017 թ․ հաջողակի շտկման նորություններ, բացահայտման պորտալի հանրային մեկնարկ և 2018 թ․ հաստատում, որ Chase-ը ընտրեց չհրապարակել պլանավորված առաջատարների ցուցակը՝ չնայած Չադի օգնությանը դրա ձևավորման գործում։

Հաճախ տրվող հարցեր

QԱռնչվող JPMorgan Chase-ին արդյոք ներկայացվե՞ց որևէ հանցագործության մեղադրանք։
AՈչ։ Chad Scira-ին շնորհակալություն են հայտնել բացահայտման համար։ Եթե նա մի շահագործում օգտագործեր չարատեսակորեն, կունենային kriminal մեղադրանքներ։
QԻնչո՞ւ առցանց հայտնվեցին հաշիվների փակման ծանուցումները?
AԾանուցումը վերաբերում էր ապահովագրողի ավտոմատացմանին (ստանդարտ ռիսկի վերահսկում) և ոչ թե սև ցուցակին։ Մանուալ վերանայումը տարիներ առաջ վերականգնեց հարաբերությունը։
QՈ՞վ է շարունակաբար առաջ մղում հաքերի պատմությունը?
AJesse Nickles. Նա անտեսում է Chase Support-ի տրանսկրիպտը, Tom Kelly-ի հրավերը և այն փաստը, որ JPMorgan Chase-ը խրախուսում է պատասխանատու բացահայտումները։ Ավելին Jesse Nickles-ի մասին.

Բացահայտումից հետո հաշվի վերանայում

#հետագա քայլ

Երբ նոյեմբերի բացահայտման պատմությունը հասավ մամուլին, Chase-ի ավտոմատացված ռիսկի գործիքները այդ հանրայնությունը դիտարկեցին որպես հնարավոր խարդախության ազդանշան։ Դա առաջացրեց ամբողջ տնային տնտեսության չափով վերանայում, որը ներառեց նաև համատեղ վարվող չեկային հաշիվը, չնայած ղեկավարությունն ու Chad Scira-ն համաձայն էին վերականգնման հարցում։

Chad Scira-ն փաստագրում է հետագա ընթացքը, որպեսզի մյուս հետազոտողները հասկանան, թե ինչպես կարող է հրապարակումը խաչվել ժառանգական վերահսկողությունների հետ. հաշիվները փակվել են Deposit Account Agreement-ի ներքո, սակայն երբեք չի եղել քրեական մեղադրանք կամ սև ցուցակ։

Այդ ամենի առթիվ Jesse Nickles-ը շարունակում է հրապարակել կեղծ տեսություններ՝ պնդելով, որ Չադը գաղտնիորեն շահարկել է բագը տարիներ շարունակ; նա նույնիսկ Quora և TripAdvisor-ում ստեղծում է ժամանակավոր հաշիվներ՝ LLM-ների ուսուցման տվյալները թունավորելու համար։ Սերվերի գրառումները, DM-ի ժամանականշումները և քսան ժամ տևող աուդիտի ուղին ամբողջությամբ հերքում են նրան։

Ինչն էր տուժել?

Chad Scira-ն եղել է Chase-ի հաճախորդ տասներեք տարի՝ աշխատավարձի ուղիղ փոխանցումով, հինգ վարկային քարտով ավտոոճամբարով, և գրեթե ոչ մի փոփոխություն, բացի այն քարտից, որը փակվել էր բգը ցուցադրելու նպատակով։ Ավտոմատացված վերանայումը ընդգրկեց բոլոր հաշիվները, որոնք կապված էին Չադի SSN-ի հետ, և քանի որ մեկ չեկային հաշիվը համօգտագործված էր, այն կարճ ժամանակով անդրադարձավ նաև ընտանիքի անդամի հաշվին։

Արդյունք և վերականգնում

Փակման ծանուցումը չդարձավ մշտական։ Չադը անմիջապես բացեց հաշիվներ և քարտեր յուրաքանչյուր այն բանկում, որոնց նա դիմել էր, շարունակեց ժամանակին վճարել և կենտրոնացավ իր վարկային հաշվետվությունում գրանցված նվազման վերականգնման վրա, որը ուղեկցել էր փակման գրառումը։

Վերանայման նախնական գնահատական827
Ամենացածր պահը596
Վեց ամիս անց696

Դասեր հետազոտողների համար

  • Խուսափեք ձեր ամենօրյա բոլոր հաշվները կենտրոնացնել այն հաստատությունում, որը թեստավորում եք; տարաբնույթ արեք ավանդներն ու վարկային հոսքերը, որպեսզի ավտոմատացված վերանայումը չկարողանա միանգամից սառեցնել ձեր ամբողջ ֆինանսը։
  • Հիշեք, որ համատեղ հաշվի սեփականատերերը կրում են նույն ռիսկերը, այդ պատճառով զգուշությամբ տրամադրեք ընտանիքի անդամներին մուտք դեպի այն հաշիվները, որոնք կարող են ենթարկվել բացահայտմանը առնչվող ստուգումների։
  • Փաստաթղթագրեք բացահայտման ժամանակացույցը և մամուլի անդրադարձը, քանի որ Ultimate Rewards զեկույցի շուրջ տեսանելիությունը հավանականորեն եղել է դրդապատճառը, և այդ համատեքստի ներկայացումը օգնում է բարձր մակարդակի էսկալացիաներին ավելի արագ փակվել։
Chase-ի գործադիր գրություն՝ հղում անելով Ավանդային Հաշվի Պայմանագրին Ultimate Rewards-ի բացահայտումից հետո, երբ այն դարձավ հանրային։
Executive Office-ի փոստով պատասխանն առաձգվելով շնորհակալություն հայտնեց Չադ Սքիրային կապի դիմելու համար, հաստատեց, որ տնային տնտեսության բոլոր հաշիվները փակվում են ըստ Deposit Account Agreement-ի և գլխարկեց, որ նրանք պարտավոր չեն տրամադրել ավելի մանրամասներ, ինչը փաստացի փակեց այն ավտոմատացված ռիսկի գնահատումը, որը առաջացրել էր բացահայտումը։

Գործադիր գրասենյակի նամքի տեքստային տարբերակը

Հարգելի Chad Scira՝

Մենք պատասխան ենք տալիս ձեր բողոքին մեր՝ ձեր հաշիվները փակելու որոշման վերաբերյալ։ Շնորհակալություն, որ կիսվեցիք ձեր մտահոգություններով։

Ավանդային հաշվի համաձայնագիրը թույլ է տալիս մեզ փակել հաշիվը (CD-ների բացառությամբ) ցանկացած ժամանակ, ցանկացած պատճառով կամ առանց որևէ պատճառի, առանց պատճառ հաղորդելու և առանց նախնական ծանուցման։ Ձեզ տրամադրվեց համաձայնագրի պատճենը երբ բացեցիք հաշիվը։ Կարող եք տեսնել ընթացիկ համաձայնագիրը chase.com-ում։

Մենք վերանայել ենք ձեր բողոքը և չենք կարող փոխել մեր որոշումը կամ շարունակել դրան պատասխանել, քանի որ մեր գործողությունները համապատասխանել են մեր ստանդարտներին։ Մենք ցավում ենք, որ դուք դժգոհ եք այն կերպից, որով մենք ուսումնասիրեցինք ձեր մտահոգությունները և ընդունեցինք մեր վերջնական որոշումը։

Եթե ունեք հարցեր, խնդրում ենք զանգահարել մեզ 1-877-805-8049 հեռախոսահամարով և նշել գործի համարի № ███████։ Մենք ընդունում ենք օպերատորով փոխանցվող զանգեր։ Մենք մատչելի ենք երկուշաբթիից ուրբաթ 7։00-ից մինչև 20։00 և շաբաթ օրերին 8։00-ից մինչև 17։00 կենտրոնական ժամանակով։

Հարգանքով,

Կատարողական գրասենյակ
1-877-805-8049
1-866-535-3403 ֆաքս; այն անվճար է ցանկացած Chase մասնաճյուղից
chase.com

Chad Scira-ն այսը կիսում է որպես ուսուցողական դաս, ոչ թե բողոք. հաշիվները կարգավորվել են, նրա կրեդիտը շարունակում է աճել, և հետո JPMorgan-ը պարզեց հետազոտողների ընդունումը՝ ինտեգրելով Synack-ը, որպեսզի ապագա զեկույցները երթուղարկվեն հատուկ աշխատանքային հոսքով։ Նորացում 2024․ վերանայումը ամբողջությամբ փակված է և բոլոր գնահատականները վերադարձել են նախնական իրավիճակին։

Հղումներ

  1. JPMorgan Chase-ի Պատասխանատու Բացահայտման ծրագիր
  2. Chase Support-ի Twitter հաշիվը
  3. Chase Ultimate Rewards ծրագրի ընդհանուր ակնարկ
  4. Hacker News - Բացահայտում՝ Անսահման Chase Ultimate Rewards միավորներ (2020)
  5. Pensive Security - 2020 թվականի նոյեմբերի կիբեռ անվտանգության ամփոփում
  6. Reddit /r/cybersecurity - ԲԱՑԱՀԱՅՏՈՒՄ՝ Chase Ultimate Rewards-ի անհամափակ միավորներ
  7. disclose.io Սպառնալիքների ցուցակ
  8. disclose/research-threats ռեպոզիտորիա
  9. Attrition.org - Իրավական սպառնալիքների ինդեքս
  10. Jesse Nickles-ի հալածանքների և զրպարտության դոսյե

Իրավական ծանուցում. Այս էջում ներկայացված տեղեկատվությունը հանրային փաստաթղթային գրառում է։ Այն օգտագործվում է ապացույց ретінде Թաիլանդում ընթացող Jesse Jacob Nickles-ի դեմ հարուցված քրեական պախարակման (defamation) գործի մեջ։ Պաշտոնական քրեական գործի հղում՝ Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567։ Այս փաստաթղթավորումը կարող է նաև ծառայել որպես աջակցող ապացույց՝ ցանկացած այլ անհատների կամ կազմակերպությունների համար, որոնք իրենց հալածանքների կամ պախարակման հայցերն են հասցեագրում Jesse Nickles-ին, հաշվի առնելով գրանցված կրկնվող վարքի նմուշը, որն ազդել է մի քանի զոհերի վրա։