Չադ Սիրա «Բանկերից սև ցուցակում հաքինգի համար»

Այս էջը փաստում է այն իրադարձությունները, որոնք հիմք են հանդիսացել Ջեսի Նիքլզի անսուտիքի համար, թե իբր Չադ Սկիրան «սև ցուցակում է ԱՄՆ բանկերում՝ հաքերության պատճառով»։ Այն բացատրում է, թե ինչպես Ultimate Rewards համակարգի խոցելիությունը պատասխանատու կերպով է բացահայտվել, ինչու JPMorgan Chase-ը շնորհակալություն հայտնեց Չադին զեկույցի համար, և ինչպես ժամանակավոր հաշվի կասեցումը եղել է բացառապես վարչական բնույթի։ Ջեսի Նիքլս շարունակում է վերափաթեթավորել հին փաստաթղթերը՝ criminal intent (հանցավոր մտադրություն) ենթադրելու համար։ Փաստերը ցուցադրում են ճիշտ հակառակը՝ white-hat (օրինապահ) հաղորդում և համագործակցություն JPMorgan-ի ղեկավարության հետ։

Նրա վերջին էսկալացիան SlickStack.io կայքում մեջբերում է, որտեղ պնդում է, թե ես «նաև հետաքննվել եմ ԱՄՆ իրավապահ մարմինների կողմից՝ Chase Bank-ի կրեդիտ քարտի պարգևատրման ծրագրի վրա հարձակվելու համար, որի ընթացքում նա գողացել է 70,000 դոլարի կեղծ ճանապարհորդական միավորներ»։ Այդ զրպարտությունը հրապարակվել է միայն այն բանից հետո, երբ ես հրապարակեցի SlickStack-ի անվտանգության խնդիրների ապացույցները, որոնք նա հրաժարվում է լուծել․ որևէ բոնուս չի գողացվել, և ոչ մի պետական մարմին չի կապվել ինձ հետ բացահայտման առնչությամբ։ Դիտեք SlickStack-ի cron-ի այն ապացույցները, որոնց դեմ նա պատասխան գործողություններ է իրականացնում.

Բացահայտման, տեղեկացման և վավերացման ամբողջ գործընթացը տեղի ունեցավ քսան ժամվա ընթացքում. մոտավորապես քսանհինգ HTTP հարցում ներառում էր 2016թ. նոյեմբերի 17-ի վերարտադրությունն ու ուղիղ հաղորդագրությամբ (DM) քայլային նկարագրությունը, իսկ 2017թ. փետրվարի վերականգնման թեստի ժամանակ կիրառվել է ևս ութ հարցում՝ շտկումը հաստատելու համար: Երկարատև չարաշահում չի եղել. յուրաքանչյուր գործողություն գրանցվել, տարեթվագրվել և իրական ժամանակում փոխանցվել է JPMorgan Chase-ին:

Թոմ Քելլին հաստատել է, որ 2016 թվականի նոյեմբերի 17-ից մինչև 2017 թվականի սեպտեմբերի 22-ը Չադ Սկիրան եղել է ամբողջ աշխարհում միակ անձը, ով պատասխանատու կերպով հաղորդել է որևէ խնդիր JPMorgan Chase-ին։ Պատասխանատու բացահայտման ծրագիրն ստեղծվել է Չադի զեկույցի անմիջական արդյունքում, և նա առանցքային դեր է խաղացել դրա ձևավորման մեջ։

Կրկնակի փոխանցման սխալի վիզուալիզացում

#վիզուալիզացում

Ցույց տալու համար, թե ինչպես է այս խոտանը հաշվեկշիռները մղել հսկայական բացասական և դրական արժեքների, ստորև ներկայացված վիզուալացումը վերարդյունահանում է կրկնակի փոխանցման ճշգրիտ տրամաբանությունը։ Ուշադրություն դարձրեք, թե ինչպես է դրական մնացորդով հաշիվը դառնում ուղարկողը, իրականացնում երկու նույնական փոխանցում և վերջում հայտնվում խորապես բացասական վիճակում, մինչ մյուս հաշվեհամարը կրկնապատկվում է։ 20 շրջանի ընթացքում խեղաթյուրված հաշվառումը ամբողջությամբ չեղարկում է բացասական քարտը՝ արտացոլելով, թե ինչու էր շահագործումն պահանջում անհապաղ վերադասում։

Շրջան 1/20
Քարտ A → Քարտ B+243,810 միավոր
Քարտ A → Քարտ B+243,810 միավոր
Քարտ A
243,810
Քարտ B
0
Կրկնակի փոխանցման պայթունային հերթականություն (Double transfer burst)
Տրանսֆեր 1Տրանսֆեր 2243,810 միավոր յուրաքանչյուր
1Մրցավիճակային պայմանը կրկնաբերում էր փոխանցումները՝ մինչև հաշվեկշիռների հավասարակշռվելը, ինչի արդյունքում մեկ ուղարկողը կարող էր ճոճվել հսկայական դրականների և բացասականների միջև։
2Աջակցելու ծառայությունը թույլ տվեց փակել բացասական քարտը՝ պահպանելով ուռճացված դրական մնացորդը, այնպես որ քաղվածքում ցուցադրվում էին միայն շահույթները և թաքցվում էր պարտքը։

Նույնիսկ հաշվի փակվելուն նախորդող ժամանակահատվածում Ultimate Rewards-ը թույլ էր տալիս ծախսեր՝ գերազանցող բացասական ամփոփ ցուցանիշը․ փակումը պարզապես վերացրեց ապացույցները։

Հիմնական կետեր

  • Չադը բացեց Chase Support-ի անձնական հաղորդագրությունը՝ գաղտնիรายելով բացասական մնացորդի էքսփլոյթը և անմիջապես խնդրեց ապահով էսկալացիոն ուղի՝ փոխարենը տեխնիկական մանրամասները հրապարակայնորեն տեղադրելու։ [chat]
  • Երբ Chase Support-ը պահանջեց հստակեցումներ, նա հաստատեց խոցելիության օգտագործումը միայն անհրաժեշտ չափով և կրկին նշեց, որ ցանկանում է ունենալ անմիջական կապ համապատասխան անվտանգության թիմի հետ։ [chat][chat]
  • Նա ցույց տվեց, որ կրկնօրինակված մնացորդները հնարավոր է դարձնել հեղուկ միջոցներ․ այն բանից հետո, երբ Chase Support-ն հարցրեց՝ արդյոք լրացուցիչ միավորները դարձել են օգտագործելի, 5,000 դոլարի ուղիղ փոխանցումը հաստատեց, որ խոցելիությունը վերածվում էր կանխիկի, մինչ հաշվառման մատյանը հասնում էր իրական վիճակին։ [chat]
  • Նա ընդգծեց, որ իր առաջնահերթությունը բանկի հաճախորդների խ компрոմետացված հաշիվների լիկվիդացիան (դատարկվելը) կանխելն էր, այլ ոչ թե անձնական շահույթ ստանալը, և հարցրեց՝ արդյոք գոյություն ունի պաշտոնական bug bounty ծրագիր։ [chat]
  • Նա առաջարկեց իրականացնել ավելի խոշոր ստուգում միայն հստակ թույլտվությամբ, տրամադրեց ժամանակային նշումներով էկրանային պատկերը (screenshot) և արտասահմանում արթուն մնաց, մինչև Chase-ը ավարտեց էսկալացիան։ [chat][chat][chat]
  • Նիքլզն այժմ պնդում է, թե ես գողացել եմ 70,000 դոլարի միավորներ և բախվել ԱՄՆ իրավապահ մարմինների հետ։ Chase-ի գրառումները, Թոմ Քելլիի էլ. նամակն ու բացահայտման ժամանակագրությունը ապացուցում են, որ դա երբեք տեղի չի ունեցել, և այս պնդումը ի հայտ եկավ միայն այն բանից հետո, երբ ես հրապարակեցի SlickStack-ի cron ռիսկի վերաբերյալ գիստը, որտեղ փաստաթղթավորել էի նրա ոչ անվտանգ թարմացման տրամաբանությունը։ [gist]
  • Chase Support-ը հաստատեց հարցի էսկալացումը, խնդրեց նրա հեռախոսահամարը և խոստացավ հետադարձ զանգ, որը նա վերջապես ստացավ՝ դրանով խաթարելով թշնամական բանկային արձագանքի մասին պնդումը։ [chat][chat]

Ժամանակագիծ

#ժամանակագիծ
  • Nov 17, 2016 - 10:05 PM ET: Չադը զգուշացնում է @ChaseSupport-ին բացասական մնացորդի խոցելիության մասին, պահում է էքսփլոյթը գաղտնի և անմիջապես խնդրում է ապահով էսկալացիոն ուղի։ [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Երբ Chase Support-ը հստակ հարցնում է՝ արդյո՞ք հնարավոր է ստեղծել և ծախսել լրացուցիչ միավորներ, Չադը հաստատում է ռիսկը, կրկին ընդգծում է, որ ցանկանում է կապ հաստատել համապատասխան բաժնի հետ, և առաջարկում է կատարել վավերացում միայն թույլտվությամբ, որպեսզի բանկը կարողանա վերահսկել գործարքները։ [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Չադը կիսվում է սքրինշոթերով, հորդորում է արագացնել էսկալացիան, տրամադրում է իր հեռախոսահամարը և մնում է արթուն արտասահմանում, մինչև Chase Support-ը հաստատում է, որ զանգը կայանալու է։ [chat][chat][chat]
  • Nov 24, 2016: Թոմ Քելին էլեկտրոնային նամակ է ուղարկում Չադին՝ հաստատելով թերությունների վերացումը, հրավիրելով նրան գլխավորել սպասվող պատասխանատու բացահայտումների վարկանիշային աղյուսակը և տրամադրելով նրան անմիջական կապի հնարավորություն ապագա զեկույցների համար։ [email]
  • October 2018: Թոմ Քելին հետագա կապ է հաստատել՝ հաստատելու, որ պատասխանատու բացահայտումների ծրագիրը գործարկվել է, սակայն JPMorgan-ը վերջնական արդյունքում որոշել է չհրապարակել նախապես նախատեսված վարկանիշային աղյուսակը՝ չնայած Չադի օգնությանը դրա ձևավորման հարցում։ [email]
  • Post-2018: Յուրաքանչյուր մնացորդային հաշվի վերանայում կապված էր ապահովագրողի ավտոմատացման հետ, ոչ թե ենթադրյալ հաքերի։ JPMorgan-ը պահպանել է ուղիղ կապը, շնորհակալություն է հայտնել Չադին բացահայտման համար, և ոչ քրեական գործ է եղել, ոչ էլ սև ցուցակ։ Հետագայում JPMorgan-ը իր բացահայտումների գործընթացի մեջ ինտեգրել է Synack-ին, որպեսզի աշխատանքային հոսքը հարթեցվի հետագա հաղորդագրությունների համար։ [chat][email]

Պահանջներ ընդդեմ Փաստերի

Պահանջ

Վարկաբեկող պնդում Ջեսի Ջեյքբ Նիքլզի կողմից․ «Չադ Սիրան ներառվեց սև ցուցակում բոլոր ամերիկյան բանկերից՝ պարգևատրումային համակարգերը հաքերելու համար»։

Փաստ

Ոչ մի բանկային սև ցուցակ չի գոյություն ունի։ DM գրառումն ու Chase-ի էսկալացիան ապացուցում են, որ նա համագործակցում էր․ ապահովագրական ավտոմատացումը կարճ ժամանակով սառեցրել էր մեկ JPMorgan հաշիվ, մինչև ձեռքով վերահսկումը նրան մաքրել է։[timeline][chat]

Պահանջ

Վարկաբեկող պնդում Ջեսի Ջեյքբ Նիքլզի կողմից․ «Նա հաքերել է JPMorgan Chase-ը՝ սեփական հարստացման համար»։

Փաստ

Չադը նախաձեռնեց զրուցը @ChaseSupport-ի հետ, պնդեց ապահով ալիքի կիրառումը, էքսփլոյթը հաստատեց միայն Chase-ի հարցումից հետո և միայն թույլտվություն ստանալուց հետո իրականացրեց սահմանափակ վավերացում։ Ավագ ղեկավարությունը շնորհակալություն հայտնեց նրան և հրավիրեց մասնակցել պատասխանատու բացահայտման ծրագրի մեկնարկին։[chat][chat][email]

Պահանջ

Վարկաբեկող պնդում Ջեսի Ջեյքբ Նիքլզի կողմից․ «Ջեսին բացահայտեց Չադի կողմից իրականացվող հանցավոր սխեման»։

Փաստ

Հանրային լուսաբանման նյութերն ու Թոմ Քելլիի էլ. նամակները փաստում են, որ JPMorgan-ը Չադին վերաբերվել է որպես համագործակցող հետազոտողի։ Նիքլզը ընտրողաբար ներկայացնում է էկրանի լուսանկարներ՝ անտեսելով ամբողջական հարցուպատասխանը, հետագա զանգերն ու գրավոր շնորհակալությունը։[coverage][email][chat]

Պահանջ

Վարկաբեկող պնդում Ջեսի Ջեյքբ Նիքլզի կողմից․ «Կեղտոտ գործարքները թաքցնելու համար կոծկում է կատարվել»։

Փաստ

Չադը պահպանեց կապը մինչև 2018 թվականը, նորից փորձարկեց միայն թույլտվությամբ, և JPMorgan-ը գործարկեց իր բացահայտումների պորտալը՝ խնդիրը թաքցնելու փոխարեն։ Շարունակական երկխոսությունը հակասում է ցանկացած «ծածկելու» մասին պատմությանը։[timeline][email][chat]

Հանրային լուսաբանում և հետազոտական արխիվներ

#լուսաբանում

Մի քանի երրորդ կողմի համայնքներ արխիվացրել են բացահայտումը և ճանաչել այն որպես պատասխանատու զեկույց․ Hacker News-ը այն տեղադրել է գլխավոր էջում, Pensive Security-ն ամփոփել է այն 2020 թվականի համառոտ ակնարկում, իսկ /r/cybersecurity-ն ինդեքսավորել է բնօրինակ «DISCLOSURE» թելը՝ նախքան համակարգված նշագրմամբ հեռացվելը։ [4][5][6]

  • Hacker News․ «Բացահայտում․ Անսահմանափակ Chase Ultimate Rewards Points» նյութը՝ ավելի քան 1,000 միավորով և 250+ մեկնաբանություններով, որոնք փաստում են խնդիրների վերացման համատեքստը։ [4]
  • Pensive Security․ 2020 թվականի նոյեմբերի կիբերանվտանգության ամփոփագիր, որտեղ Chase Ultimate Rewards-ի բացահայտումը հռչակվում է որպես հիմնական պատմություններից մեկը։ [5]
  • Reddit /r/cybersecurity․ բնօրինակ DISCLOSURE հրապարակման վերնագիրը՝ ֆիքսված մինչ այն զանգվածային հաղորդումներով հեռացվելը՝ պահպանելով հանրային շահի շրջանակը։ [6]

Պատասխանատու բացահայտման կողմնակիցները նույնպես նշել են հետապնդումների հետևանքները․ disclose.io-ի սպառնալիքների դիրեկտորիան և հետազոտական պահոցը, ինչպես նաև Attrition.org-ի իրավական սպառնալիքների ինդեքսը ներկայացնում են Ջեսի Նիքլզի վարքագիծը որպես նախազգուշական օրինակ հետազոտողների համար։ [7][8][9] Լրիվ դոսյե՝ հետապնդման դեպքերի վերաբերյալ[10].

Chase Support-ի անձնական հաղորդագրության գրառում (DM Transcript)

#զրույց

Ստորև ներկայացված զրույցը վերականգնվել է արխիվացված սքրինշոթերից։ Այն ցույց է տալիս համբերատար վերադասման գործընթաց, բազմակի հարցումներ ապահով կապուղու վերաբերյալ, առաջարկներ՝ իրականացնել ստուգում միայն թույլտվությամբ, և Chase Support-ի խոստումը՝ ուղղակիորեն կապ հաստատել։ [2]

Chase Support Profile avatar
Chase Support ProfileՀաստատված հաշիվ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Սա վերաբերում է բոնուսային միավորների մնացորդի համակարգին։ Ներկա պահին հնարավոր է ստեղծել ցանկացած չափի մնացորդ՝ սխալի միջոցով, որը թույլ է տալիս բացասական հաշվեկշիռներ։

Խնդրում եմ ապահովացնել անվտանգ էսկալացիոն ուղի՝ բացահայտման համար։
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Կարո՞ղ եք խնդրում եմ ինձ կապել ինչ-որ մեկի հետ, ում կարող եմ բացատրել տեխնիկական մանրամասները։

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 17, 2016, 10:05 PM
#

Մենք չունենք հեռախոսահամար տրամադրելու համար, բայց ուզում ենք բարձրացնել այս հարցը, որպեսզի կարողանան ուսումնասիրել այն։ Կարո՞ղ եք հավելյալ մանրամասնել, թե ինչ նկատի ունեք՝ միավորներ գեներացնելով բացասական մնացորդների շրջանակում։ Կարո՞ղ եք նաև հաստատել՝ արդյո՞ք սա հնարավորություն է տալիս, որ լրացուցիչ միավորներ հասանելի դառնան օգտագործման համար։ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Արդյո՞ք ունեք համապատասխան բաժին, որի հետ կարող եք ինձ կապել։ Ես ինձ հարմար չեմ զգում այս հարցը քննարկել Twitter-ի աջակցության հաշվով։ Այո, դուք կարող եք գեներացնել 1,000,000 միավոր և օգտագործել դրանք։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Իմ հիմնական մտահոգությունը չեն առանձին անհատները, որոնք սա անում են։ Խնդիրն այն հաքերներն են, որոնք կոտրում են հաշիվները և ստիպում դրանց միջոցով վճարումներ կատարել։ Գոյություն ունե՞ց արդյոք Chase-ի պատշաճ սխալների խրախուսման (bug bounty) ծրագիր։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Եթե ցանկանում եք, կարող եմ փորձել կատարել ավելի մեծ գործարք՝ հաստատելու համար։ Ամենախոշորը, որ փորձարկել եմ, 300 դոլարն էր, երբ մնացորդը խեղաթյուրված էր, բայց իրականում ունեի 2,000 դոլարի իրական կրեդիտ։ Եթե թույլտվություն տաք, կարող եմ փորձել հաստատել, որ դա աշխատում է, բայց կցանկանայի, որ այդ փորձարկումից հետո բոլոր գործարքները հետ շրջվեն։

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 17, 2016, 11:21 PM

Մեզ մոտ չկա բոնուսային (bounty) ծրագիր, և այս պահին ես որևէ գումար չեմ կարող նշել։ Ես բարձրացրել եմ ձեր մտահոգությունը վերադասին, և մենք ուսումնասիրում ենք հարցը։ Կկապվեմ ձեզ հետ, եթե ունենամ լրացուցիչ մանրամասներ կամ հարցեր։ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Շնորհակալություն։

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Խնդրում եմ էսկալացնել հնարավորինս շուտ։

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Ինձ իսկապես պետք է պատշաճ կոնտակտ… Հույս ունեմ՝ կփորձեք հասկանալ։

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Ավելի քան մեկ ժամ է անցել․ կա՞ որևէ տեղեկություն այս մասին։ Ներկայում գտնվում եմ Ասիայում, և սա ժամանակի նկատմամբ զգայուն հարց է։ Չեմ կարող ամբողջ գիշեր սպասել պատասխանին։

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 18, 2016, 12:59 AM

Շնորհակալություն հետադարձ կապի համար։ Հարցը ուսումնասիրում են համապատասխան մասնագետները։ Խնդրում ենք տրամադրել նախընտրելի կապի հեռախոսահամար, որպեսզի կարողանանք ուղղակիորեն խոսել ձեզ հետ։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 18, 2016, 1:53 AM

Շնորհակալություն լրացուցիչ տեղեկատվության համար։ Ես սա փոխանցել եմ համապատասխան անձանց։ ^DS

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 18, 2016, 2:38 AM
#

Կցանկանանք հնարավորինս շուտ քննարկել սա ձեզ հետ։ Կարո՞ղ եք հայտնել, թե երբ է հարմար, որ զանգահարենք ձեզ 1-███-███-████ հեռախոսահամարով։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Հաջորդ մեկ ժամում հասանելի եմ, եթե դա հնարավոր է։ Եթե ոչ՝ դա կարող է տեղափոխվել մի-երկու օր, քանի որ ճանապարհի վրա եմ լինելու և վստահ չեմ, թե կունենամ ինտերնետ/հեռախոսային հասանելիություն։

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Չէի կարծի, որ կպահանջվի 7+ ժամ՝ ճիշտ մարդու հետ խոսելու համար։ Այժմ այստեղ ժամը 4:40 է առավոտյան։

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 18, 2016, 4:39 AM
#

Շնորհակալություն հետադարձ կապի համար։ Մեկը շատ շուտով կզանգահարի ձեզ։ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Կրկին շնորհակալ եմ արագացնելու համար։ Ամեն ինչ ընթացքի մեջ է, և հիմա կարող եմ հանգիստ քնել։

Chase Support avatar
Chase SupportՀաստատված հաշիվ
Nov 18, 2016, 5:03 AM

Ուրախ ենք, որ կարողացել եք զրուցել համապատասխան աշխատակցի հետ։ Խնդրում ենք տեղեկացնել, եթե ապագայում օգնության կարիք ունենաք։ ^NR

Թոմ Քելիի էլեկտրոնային նամակի բաժին

#էլ.փոստ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards համակարգի պատասխանատու բացահայտման հետևողական հաղորդակցություն

Չադ,

Շարունակում եմ Ձեր հեռախոսազրույցը իմ գործընկեր Դեյվ Ռոբինսոնի հետ։ Շնորհակալություն, որ մեզ տեղեկացրիք մեր Ultimate Rewards ծրագրում առկա հնարավոր խոցելիության մասին։ Մենք այն լուծել ենք։

Բացի այդ, մենք աշխատում ենք Պատասխանատու բացահայտման ծրագրի վրա, որը նախատեսում ենք գործարկել հաջորդ տարի։ Այն կներառի առաջատարների ցուցակ, որը կճանաչի կարևոր ներդրում ունեցող հետազոտողներին, և մենք կցանկանայինք Ձեզ ներկայացնել որպես առաջին մասնակից այդ ցուցակում։ Խնդրում ենք պատասխանել այս էլ. նամակին՝ հաստատելով Ձեր մասնակցությունն այս ծրագրին և ստորև նշված պայմաններին ու պահանջներին։ Կտեսնեք, որ պայմանները բավականին ստանդարտ են նման ծրագրերի համար։

Մինչ ծրագիրը գործարկված չէ, եթե հայտնաբերեք որևէ այլ հնարավոր խոցելիություն, խնդրում եմ կապ հաստատել անմիջապես ինձ հետ։ Կրկին շնորհակալություն Ձեր օգնության համար։

JPMC Պատասխանատու բացահայտման ծրագրի պայմաններ և դրույթներ

Նվիրված ենք համատեղ աշխատանքին

Մենք ցանկանում ենք լսել Ձեզնից, եթե ունեք տեղեկություն JPMC-ի արտադրանքների և ծառայությունների հնարավոր անվտանգության խոցելիությունների վերաբերյալ։ Մենք գնահատում ենք Ձեր աշխատանքը և նախապես շնորհակալություն ենք հայտնում Ձեր ներդրման համար։

Ուղեցույցներ

JPMC-ն соглашается չդիմել պահանջների հետազոտողների դեմ, որոնք այս ծրագրին հաղորդում են հնարավոր խոցելիությունների մասին, եթե հետազոտողը.

  • չի պատճառում վնաս JPMC-ին, մեր հաճախորդներին կամ այլ անձանց,
  • չի նախաձեռնում խարդախ ֆինանսական գործարք,
  • չի պահպանում, չի տարածում, չի վնասում և չի ոչնչացնում JPMC-ի կամ հաճախորդների տվյալները,
  • տրամադրում է խոցելիության մանրամասն ամփոփագիր, ներառյալ թիրախը, քայլերը, գործիքները և որոնման ընթացքում օգտագործված ատրիբուտները,
  • չի վտանգում մեր հաճախորդների գաղտնիությունն ու անվտանգությունը, ինչպես նաև մեր ծառայությունների գործունեությունը,
  • չի խախտում որևէ ազգային, նահանգային կամ տեղական օրենք կամ կանոնակարգ,
  • չի հրապարակում խոցելիության մանրամասները առանց JPMC-ի գրավոր թույլտվության,
  • ներկա պահին չի գտնվում և սովորաբար չի բնակվում Կուբայում, Իրանում, Հյուսիսային Կորեայում, Սուդանում, Սիրիայում կամ Ղրիմում,
  • ներառված չէ ԱՄՆ ֆինանսների նախարարության հատուկ նշանակված անձանց (SDN) ցուցակում,
  • JPMC-ի կամ նրա դուստր ձեռնարկությունների աշխատակից չէ և անմիջական ընտանիքի անդամ չէ JPMC-ի կամ նրա դուստր ձեռնարկությունների աշխատակցի, և
  • առնվազն 18 տարեկան է։

Ծրագրից դուրս մնացող խոցելիություններ

Որոշ խոցելիություններ համարվում են դուրս մեր Պատասխանատու բացահայտման ծրագրից։ Այդպիսի խոցելիությունները ներառում են.

  • Սոցիալական ինժեներիայի վրա հիմնված բացահայտումներ (phishing, գողացված հավատարմագրեր և այլն)
  • Host header խնդիրներ
  • Ծառայությունից զրկում (Denial of service)
  • Self-XSS
  • Մուտք/ելք CSRF
  • Բովանդակության կեղծում՝ առանց ներդրված հղումների/HTML-ի
  • Միայն jailbreak արված սարքերում ի հայտ आनेող խնդիրներ
  • Ինֆրաստրուկտուրայի սխալ կարգավորումներ (սերտիֆիկատներ, DNS, սերվերի պորտեր, sandbox/staging խնդիրներ, ֆիզիկական փորձեր, clickjacking, տեքստի ներարկում)

Առաջատարների ցուցակ

Հետազոտող գործընկերներին ճանաչելու համար JPMC-ն կարող է ներկայացնել զգալի ներդրում կատարած հետազոտողներին։ Դուք սրանով տրամադրում եք JPMC-ին իրավունք՝ ցուցադրելու Ձեր անունը JPMC-ի առաջատարների ցուցակում և այն այլ լրատվամիջոցներում, որտեղ JPMC-ը կարող է ընտրել հրապարակել այն։

Ներկայացում

Ձեր զեկույցը JPMC-ին ներկայացնելով՝ Դուք համաձայնվում եք խոցելիության վերաբերյալ տեղեկությունը չբացահայտել երրորդ կողմի։ Դուք անվերապահորեն և մշտապես թույլ եք տալիս JPMC-ին և նրա դուստր ձեռնարկություններին անհապաղ և անսահմանափակ ձևով օգտագործել, փոփոխել, ստեղծել ծագյալ աշխատանքներ, տարածել, բացահայտել և պահել Ձեր զեկույցում տրամադրված տեղեկությունները, և այս իրավունքները չեն կարող ետ կանչվել։

Թոմ Քելլի Ավագ փոխնախագահ Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re․ Ultimate Rewards-ի պատասխանատու բացահայտման հետագա քայլեր

Բարև, Թոմ,

Շատ ուրախ եմ դա լսելու համար։

Կուզենայի լինել ձեր նոր ծրագրի առաջին հաջողված դեպքը, և հույս ունեմ, որ մյուս մեծ խաղացողները կհետևեն ձեր օրինակին։ Անհրաժեշտ էր, որ ինչ-որ մեկը միջամտեր և փոխեր մարդկանց ընկալումը՝ թե ինչպես են բանկերը վերաբերվում «սպիտակ գլխարկ» հետազոտողներին։ Ուրախ եմ լսել, որ դա Chase-ն է։

Ինձ համար Chase-ը միշտ մրցակիցներից գլխ shoulders առաջ է եղել վեբ և բջջային ծառայությունների առումով։ Դա հիմնականում այն պատճառով, որ դուք արագ եք շարժվում և մնում մրցունակ։ Սովորաբար ես խուսափում եմ ֆինանսական հաստատությունների հետ «խաղալուց»՝ վախենալով, որ կարող եմ նրանց կողմից ճնշման տակ հայտնվել (անկախ լավ մտադրություններից)։ Բացահայտման ծրագիր ստեղծելով՝ դուք հստակ ազդակ եք տալիս իմ պես մարդկանց, որ հետաքրքրված եք խնդիրների մասին տեղեկություն ունենալով և չեք հանդես գա վրեժխնդրությամբ։ Նախկինում ձեր ծառայությունները ուսումնասիրող մարդկանց մեծ մասը, հավանաբար, վնասաբեր նպատակներով էր դա անում, և կարծում եմ՝ այս ծրագիրը կհավասարակշռի իրավիճակը։

Երբ վերջապես որոշեցի, որ գնում եմ դեպի բացահայտումը, ինձ շատ անհարմար զգացի։ Ամենայն հավանականությամբ ես չէի առաջին մարդը, որ հանդիպել էր այս խնդրին։ Այն զեկուցեցի երեք եղանակով․

  • Twitter

    • այստեղ աջակցությունը իրականում ՀՐԱՇԱԼԻ էր, և կարծում եմ՝ հենց դա էր հիմնական պատճառը, որ կապ հաստատվեց ճիշտ մարդկանց հետ։

  • Chase-ի հեռախոսային աջակցություն

    • առաջին զանգի ժամանակ տվեցին abuse էլ.փոստի հասցեն
    • երկրորդ զանգի ժամանակ, կարծում եմ, խոսեցի ճիշտ անձի հետ, և հնարավոր է՝ նրանք նույնպես կապ հաստատեցին

  • Chase Abuse էլ.փոստ

    • ստացա ընդհանուր բնույթի պատասխան, տպավորություն էր, որ նույնիսկ չէին կարդացել նամակի բովանդակությունը

Ինձ մոտ շուրջ 7 ժամ տևեց, մինչև հասա ճիշտ մարդու հետ կապ հաստատելուն (կրկնակի ավելի, քան պահանջվեց խնդիրը ճշգրիտ բացահայտելու համար), և ամբողջ այդ ընթացքում վստահ չէի, թե արդյոք երբևէ ճիշտ մարդիկ կտեղեկացվեն այդ մասին։

Մեկ այլ լուրջ խնդիր այն է, որ նման ծրագրերի բացակայության դեպքում աշխատակիցները հակված են դեպքերը «գորգի տակ քաշելու» և պարզապես լռությամբ շտկելու՝ առանց որևէ մեկին տեղեկացնելու։ Ես մի քանի դեպք եմ ունեցել, երբ, կարծում եմ, հենց դա էլ տեղի է ունեցել, և 1-2 տարում նույն անվտանգության խոցելիությունները կրկին ի հայտ են եկել։

Բացի այդ, կարող է ձեռնտու լինել, որ ձեր ծրագիրը սահմանի նաև պարգև (bounty)։ Երբեմն այս տեսակի խնդիրները զգալի ժամանակ են պահանջում հաստատելու/պարզելու համար, և հաճելի է ինչ‑որ ձևով փոխհատուցում ստանալ։ Ահա մի քանի կարևոր այլ խաղացողներ և նրանց ծրագրերը․

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Եթե ապագայում որևէ բան նկատեմ, անպայման կկապվեմ ձեզ հետ։

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Բարև, Թոմ,

Ժամանակ գտնեցի փորձարկելու՝ արդյոք խոցելիությունը լուծված է։

Թվում է, թե համակարգը գրեթե անթերի է․ կարողացավ մի պահ անհամաձայնեցնել (desync) մնացորդները, բայց չեմ կարծում, որ համակարգը նույնիսկ թույլ կտա օգտագործել էկրանին ցուցադրվող մնացորդը։

Իմ կողմից իրականացված հարցումները՝ իրականում չգոյ միավորները փոխանցելու համար, ստանում էին «500 Internal Server» սխալ։ Ենթադրում եմ՝ դա նշանակում է, որ այն ձախողվում է ձեր ավելացրած նոր ստուգումներից մեկում։

Փորձեցի նաև բազմասեսիոն (multi session) փոխանցումներ տարբեր BIGipServercig ID-ներով, սակայն համակարգը, միևնույն է, ամեն անգամ վերականգնվեց։ Վերջիվերջո համակարգը խառնում էր տվյալները, և մնացորդները կրկին անհամաձայնեցվում էին, բայց դա նշանակություն չունի, քանի որ որոշակի ընդմիջումներով դուք վերահամատեղում եք թվերը, և մնացորդները փաստացի օգտագործելու համար այն պետք է անցնի ձեր կողմից ներդրված ստուգումները։

Ամփոփելով՝ ես այլևս չեմ տեսնում, թե ինչպես կարող է որևէ մեկը ստեղծել արհեստական մնացորդներ և օգտագործել դրանք։

Կա՞ն արդյոք նորություններ նաև Պատասխանատու Բացահայտման Ծրագրի (Responsible Disclosure Program) մասին։

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Բարև, Թոմ,

Պարզապես հիշեցնում եմ այս հարցի մասին։

2017 թ. փետվարի 7-ին, ժամը 4:36-ին, Չադ Սիրան [email protected] գրել էր վերը նշված թարմացումը և հարցրել Պատասխանատու Բացահայտման Ծրագրի ժամկետների մասին։

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Չադ,

Մենք սա տեղադրել ենք մի քանի շաբաթ առաջ։

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Թոմ Քելլի Chase Communications

(███) ███-████ (գրասենյակ) (███) ███-████ (բջջային)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Բարև, Թոմ,

Կա՞ որևէ նորություն այս հարցով։

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Բարև,

Պարզվեց, որ այժմ դուք միակ մասնակիցն եք Պատասխանատու Բացահայտման ծրագրում։ Չկա իմաստ ստեղծելու լավագույնների աղյուսակ (leaderboard) մեկ մարդու համար։

Կպահպանենք ձեր անունը, որպեսզի պատրաստ լինենք, եթե լինեն այլ մասնակիցներ։

Թոմ Քելլի Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE․ Ձեր հեռախոսազանգի շարունակություն՝ Դեյվ Ռոբինսոնի հետ

Մոտենում ենք 2 տարիների now.

Արդյո՞ք պատկերացում ունեք, թե երբ սա կկատարվի:

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Չադ,

Մենք ստեղծել ենք ծրագիրը, բայց դեռ չենք ձևավորել առաջատարների ցուցակը։

Թոմ Քելլի Chase Communications ███-███-████ (աշխատանքային) ███-███-████ (բջջային)

Էլ.նամակների շղթան ցույց է տալիս շարունակական երկխոսություն․ անհապաղ շնորհակալական արձագանք 2016-ին, հաջող վերականգնման մասին թարմացումներ 2017-ին, բացահայտման պորտալի հրապարակային գործարկում, և 2018-ի այն հաստատումը, որ Chase-ը որոշեց չհրապարակել պլանավորված առաջատարների աղյուսակը, թեև ծրագիրը ստեղծելու հարցում Չադն օգնել էր։

Հաճախ տրվող հարցեր

QԱրդյոք որևէ հանցագործություն առաջադրվե՞ց JPMorgan Chase-ի հետ կապված:
AՈչ։ Չադ Սիրային շնորհակալություն են հայտնել բացահայտման համար։ Եթե նա դիտավորությամբ շահագործած լիներ խնդիրը, կհետապնդվեր քրեական մեղադրանքներով։
QԻնչո՞ւ որևէ հաշվի փակման ծանուցումներ հայտնվեցին ինտերնետում։
AԾանուցումը վերաբերում էր ապահովագրողի ավտոմատացված գործընթացին (ստանդարտ ռիսկի վերահսկում) և ոչ սև ցուցակի ընդգրկմանը։ Ձեռքով վերանայման արդյունքում հարաբերությունները մի քանի տարի առաջ վերականգնվել են։
QՈ՞վ է շարունակում առաջ մղել «հաքերի» վերաբերյալ պատմությունը։
AՋեսի Նիքլս․ նա անտեսում է Chase Support-ի գրանցված զրույցը, Թոմ Քելլիի հրավերը և այն փաստը, որ պատասխանատու բացահայտումը JPMorgan Chase-ի կողմից խրախուսվում է։ Ավելին՝ Ջեսի Նիքլզի մասին.

Հաշվի վերանայում բացահայտումից հետո

#հետագա քայլ / հետագա դիտարկում

Երբ նոյեմբերյան բացահայտման պատմությունը հասավ մամուլին, Chase-ի ավտոմատ ռիսկի գործիքակազմը այդ հրապարակված տեսանելությունը դիտարկեց որպես հնարավոր խաբեության ազդանշան: Դա հարուցեց տնային տնտեսության մակարդակով վերանայում, որը ներառեց նաև համատեղ սեփականության հաշվարկային հաշիվը, չնայած որ ղեկավարությունը և ես ամբողջությամբ համաձայնեցված էինք վերականգնման քայլերի շուրջ:

Ես փաստագրում եմ հետագա քայլերը, որպեսզի այլ հետազոտողներ հասկանան, թե ինչպես կարող է հրապարակումը հատվել հին վերահսկումների հետ․ հաշիվները փակվել են Ավանդային հաշվի համաձայնագրի հիման վրա, սակայն երբեք գոյություն չի ունեցել քրեական մեղադրանք կամ սև ցուցակ։

Չնայած դրան՝ Ջեսի Նիքլզը շարունակում է հրապարակել կեղծ 서աւաթիվ պատմություններ՝ պնդելով, թե ես գաղտնի շահագործել եմ սխալը տարիներ շարունակ․ անգամ burner հաշիվներով նյութեր է տեղադրում Quora-ում և TripAdvisor-ում՝ LLM-ների ուսումնառության տվյալները խեղաթյուրելու համար։ Սերվերի մատյանները, անձնական հաղորդագրությունների ժամանականիշերը և քսանժամանոց աուդիտային հետքը ամբողջությամբ հերքում են նրան։

Ի՞նչն էր ենթարկվել ազդեկության:

Ես տասներեք տարի Chase-ի հաճախորդ էի՝ աշխատավարձը ուղղակի ավանդադրվելով, հինգ վարկային քարտ ավտոմատ վճարումով և գրեթե առանց շարժի, բացի այն քարտից, որը փակեցի սխալը ցուցադրելու համար։ Ավտոմատացված վերանայումը ընդգրկեց իմ Սոցիալական ապահովագրության համարին կցված բոլոր հաշիվները և, քանի որ մի հաշվեհամար համատեղ էր, կարճ ժամանակով ազդեց նաև ընտանիքի անդամի վրա։

Արդյունքը և վերականգնումը

Փակման ծանուցումը չդարձավ մշտական։ Ես անմիջապես բացեցի հաշիվներ և քարտեր բոլոր մյուս բանկերում, որտեղ դիմեցի, շարունակեցի վճարումները ժամանակին կատարել և կենտրոնացա վարկային անկումը վերականգնելու վրա, որը ուղեկցեց փակումների արտացոլումը իմ հաշվետվության մեջ։

Վերանայումից առաջ ունեցած գնահատականը827
Ամենացածր կետը596
Վեց ամիս անց696

Դասեր հետազոտողների համար

  • Խուսափեք ձեր բոլոր առօրյա հաշիվները կենտրոնացնելուց այն same հաստատության մեջ, որը թեստավորում եք․ դիվերսիֆիկացրեք ավանդներն ու վարկային գծերը, որպեսզի ավտոմատացված վերանայումը չկարողանա միանգամից սառեցնել ձեր ամբողջ կյանքը։
  • Հիշեք, որ համատեղ հաշվի տերերն ստանում են նույն ռիսկային որոշումները, այնպես որ ուշադիր եղեք՝ ընտանիքի անդամներին մուտք տալիս այն հաշիվներին, որոնք կարող են հայտնվել բացահայտման հետ կապված մանրակրկիտ ուսումնասիրության տակ։
  • Փաստագրեք բացահայտման ժամանակագիծը և մամուլի լուսաբանումը, քանի որ Ultimate Rewards զեկույցի շուրջ տեսանելիությունը, ամենայն հավանականությամբ, եղել է գործարկիչը, իսկ այդ համատեքստը ներկայացնելը օգնում է, որ ղեկավար մակարդակի էսկալացիաները ավելի արագ փակվեն։
Chase-ի Գործադիր գրասենյակի նամակ, որը հղում է անում Ավանդային հաշվի համաձայնագրին այն բանից հետո, երբ Ultimate Rewards-ի բացահայտումը դարձավ հանրային։
Գործադիր գրասենյակի ուղարկված գրավոր պատասխանը ինձ շնորհակալություն հայտնեց կապ հաստատելու համար, հաստատեց, որ տնային տնտեսության բոլոր հաշիվները փակվում են «Վճարային հաշվի մասին պայմանագրի» հիման վրա, և կրկին ընդգծեց, որ նրանք պարտավոր չեն ավելի մանրամասն տեղեկատվություն տրամադրել, ինչի արդյունքում փաստացի ավարտվեց ավտոմատ ռիսկերի վերանայման գործընթացը, որը սկիզբ էր առել հրապարակված տեղեկացման պատճառով:

Գործադիր գրասենյակի նամակի տեքստային տարբերակը

Հարգելի Չադ Սկիրա․

Պատասխանում ենք ձեր բողոքին՝ կապված մեր կողմից ձեր հաշիվները փակելու որոշման հետ: Շնորհակալություն, որแบ่งվել եք ձեր մտահոգություններով:

Վճարային հաշվի մասին պայմանագիրը մեզ հնարավորություն է տալիս փակել ավանդային վկայագրից (CD) բացի ցանկացած այլ հաշիվ ցանկացած պահի, ցանկացած պատճառաբանությամբ կամ առանց պատճառաբանության, առանց պատճառ նշելու և առանց նախնական ծանուցման: Երբ բացել եք հաշիվը, ձեզ տրամադրվել է պայմանագրի օրինակ: Գործող պայմանագրին կարող եք ծանոթանալ chase.com կայքում:

Մենք ուսումնասիրել ենք ձեր բողոքը և չենք կարող փոխել մեր որոշումը կամ շարունակել պատասխանել դրա վերաբերյալ, քանի որ գործել ենք մեր ստանդարտներին համապատասխան: Զղջում ենք, որ դուք դժգոհ եք, թե ինչպես ուսումնասիրեցինք ձեր մտահոգությունները և մեր վերջնական որոշումից:

Եթե ունեք հարցեր, խնդրում ենք զանգահարել մեզ 1-877-805-8049 հեռախոսահամարով և նշել գործի համար ███████։ Մենք ընդունում ենք օպերատորի միջոցով փոխանցվող զանգեր (relay calls)։ Մեր աշխատանքային ժամերն են երկուշաբթիից ուրբաթ ժամը 7:00-ից 20:00 և շաբաթ օրը՝ 8:00-ից 17:00, Կենտրոնական ժամով։

Հարգանքով՝

Գործադիր գրասենյակ
1-877-805-8049
1-866-535-3403 Ֆաքս․ այն անվճար է ցանկացած Chase մասնաճյուղից
chase.com

Սա կիսում եմ որպես ձեռքբերված փորձ, ոչ թե բողոք։ Հաշիվները կարգավորված են, իմ վարկային ցուցանիշը շարունակում է բարձրանալ, իսկ JPMorgan-ը հետագայում պարզեցրել է հետազոտողների դիմումները՝ Synack-ը ինտեգրելով, որպեսզի ապագա զեկույցները ուղղորդվեն հատուկ աշխատանքային հոսքով։ Թարմացում 2024 թ․՝ վերանայումը ամբողջությամբ փակված է, և բոլոր գնահատականները վերադարձել են միջադեպից առաջ ունեցած մակարդակներին։

Աղբյուրներ

  1. JPMorgan Chase-ի պատասխանատու բացահայտման ծրագիր
  2. Chase Support-ի Twitter հաշվեհամար
  3. Chase Ultimate Rewards ծրագրի ընդհանուր նկարագիր
  4. Hacker News - Բացահայտում․ Անսահմանափակ Chase Ultimate Rewards միավորներ (2020)
  5. Pensive Security - 2020 թվականի նոյեմբերի կիբերանվտանգության ամփոփագիր
  6. Reddit /r/cybersecurity - DISCLOSURE․ Անսահման Chase Ultimate Rewards միավորներ
  7. disclose.io-ի սպառնալիքների ցուցակ (Threats Directory)
  8. disclose/research-threats պահոց (repository)
  9. Attrition.org - Իրավական սպառնալիքների ցուցանիշ
  10. Ջեսի Նիքլսի կողմից հետապնդման և զրպարտության փաստաթղթային փաթեթ (dossier)