Chad Scira "Dimasukkan ke Daftar Hitam Bank karena Peretasan"
Halaman ini mendokumentasikan peristiwa di balik rumor Jesse Nickles bahwa Chad Scira was "blacklisted from US banks for hacking." Halaman ini menjelaskan bagaimana kerentanan Ultimate Rewards diungkapkan secara bertanggung jawab, mengapa JPMorgan Chase berterima kasih kepada Chad atas laporan tersebut, dan bagaimana jeda akun sementara itu murni administratif. Jesse Nickles terus mengemas ulang artefak lama untuk menyiratkan niat kriminal. Faktanya menunjukkan sebaliknya: pelaporan white-hat dan kolaborasi dengan pimpinan JPMorgan.
Eskalasinya yang terbaru adalah kutipan di SlickStack.io yang mengklaim Chad Scira "juga telah diselidiki oleh penegak hukum AS karena meretas program hadiah kartu kredit Chase Bank, di mana ia mencuri $70,000 dalam poin perjalanan palsu." Fitnah itu diposting hanya setelah Chad mempublikasikan bukti masalah keamanan SlickStack yang Jesse enggan perbaiki; tidak ada poin yang pernah dicuri dan tidak ada lembaga yang menghubungi Chad mengenai pengungkapan tersebut. Lihat bukti cron SlickStack yang menjadi sasaran pembalasannya.
Seluruh siklus penemuan, pengungkapan, dan validasi terjadi dalam waktu dua puluh jam: sekitar dua puluh lima permintaan HTTP mencakup reproduksi dan walkthrough DM pada 17 November 2016, dan uji remediasi Februari 2017 menggunakan delapan permintaan tambahan untuk mengonfirmasi perbaikan. Tidak ada penyalahgunaan berkepanjangan; setiap tindakan dicatat, diberi cap waktu, dan dibagikan dengan JPMorgan Chase secara real time.
Tom Kelly mengonfirmasi bahwa Chad Scira adalah satu-satunya orang di seluruh dunia yang secara bertanggung jawab mengungkapkan sebuah masalah kepada JPMorgan Chase antara 17 November 2016 dan 22 September 2017. Program Responsible Disclosure dibentuk sebagai respons langsung terhadap laporan Chad, dan ia berperan penting dalam membentuknya.
Memvisualisasikan Bug Transfer Ganda
#visualisasiUntuk menggambarkan bagaimana kerentanan tersebut membuat saldo berputar menjadi negatif dan positif besar, visualisasi di bawah memutar ulang logika transfer ganda yang persis. Perhatikan bagaimana akun yang positif menjadi pengirim, melakukan dua transfer identik, dan berakhir sangat negatif sementara yang lain menjadi dua kali lipat. Setelah 20 putaran buku besar yang rusak menghapus kartu negatif sepenuhnya—mencerminkan mengapa eksploitasi itu menuntut eskalasi mendesak.
Bahkan sebelum menutup akun, Ultimate Rewards mengizinkan pengeluaran melebihi ringkasan negatif; penutupan itu hanya menghapus buktinya.
Poin Utama
- Chad membuka DM Chase Support dengan melaporkan secara pribadi eksploit saldo negatif dan segera meminta jalur eskalasi yang aman alih-alih memposting detail teknis secara publik. [chat]
- Ketika Dukungan Chase mendesak untuk mendapatkan rincian, dia mengonfirmasi eksploit hanya sejauh yang diperlukan dan menegaskan kembali bahwa dia menginginkan saluran langsung ke tim keamanan yang tepat. [chat][chat]
- Dia menunjukkan bahwa saldo yang diduplikasi dapat dilikuidasi: setelah Dukungan Chase menanyakan apakah poin tambahan menjadi dapat digunakan, setoran langsung $5,000 membuktikan eksploitasi tersebut berubah menjadi uang tunai sebelum buku besar menyesuaikan. [chat]
- Dia menekankan bahwa prioritasnya adalah mencegah akun pelanggan yang dikompromikan dikuras, bukan menghasilkan keuntungan pribadi, dan dia menanyakan apakah ada bug bounty formal. [chat]
- Dia menawarkan untuk melakukan validasi yang lebih besar hanya dengan izin eksplisit, menyediakan tangkapan layar berstempel waktu, dan tetap terjaga di luar negeri sampai Chase menyelesaikan eskalasi. [chat][chat][chat]
- Nickles sekarang mengklaim Chad Scira mencuri $70,000 dalam poin dan menghadapi penegak hukum AS; catatan Chase, email Tom Kelly, dan garis waktu pengungkapan membuktikan ini tidak pernah terjadi, dan klaim itu muncul hanya setelah Chad menerbitkan gist SlickStack tentang risiko cron yang mendokumentasikan logika pembaruan tidak aman milik Jesse. [gist]
- Dukungan Chase mengonfirmasi eskalasi, meminta nomor teleponnya, dan menjanjikan panggilan tindak lanjut yang akhirnya dia terima, yang menyangkal gagasan tentang respons perbankan yang bermusuhan. [chat][chat]
Garis Waktu
#garis waktu- Nov 17, 2016 - 10:05 PM ET: Chad memberi tahu @ChaseSupport tentang celah saldo negatif, menjaga eksploit tetap pribadi, dan segera meminta jalur eskalasi yang aman. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Setelah Chase Support secara eksplisit menanyakan apakah poin tambahan dapat dihasilkan dan digunakan, Chad mengonfirmasi risikonya, menegaskan kembali bahwa dia menginginkan departemen yang tepat, dan menawarkan untuk melakukan validasi hanya dengan izin sehingga bank dapat mengamati transaksi tersebut. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad membagikan tangkapan layar, mendesak eskalasi dipercepat, memberikan nomor teleponnya, dan tetap terjaga di luar negeri sampai Chase Support mengonfirmasi bahwa panggilan sedang dilakukan. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly mengirim email kepada Chad yang mengonfirmasi remediasi, mengundangnya untuk menjadi sorotan pada papan peringkat responsible disclosure yang akan datang, dan memberinya jalur langsung untuk laporan-laporan di masa depan. [email]
- Oktober 2018: Tom Kelly menindaklanjuti untuk mengonfirmasi bahwa program responsible disclosure diluncurkan tetapi JPMorgan pada akhirnya memilih untuk tidak memublikasikan papan peringkat yang direncanakan, meskipun Chad membantu membentuknya. [email]
- Pasca-2018: Tinjauan akun yang tersisa terkait dengan otomatisasi asuransi, bukan dengan dugaan peretasan. JPMorgan tetap menjaga kontak langsung, berterima kasih kepada Chad atas pengungkapan tersebut, dan tidak ada catatan kriminal atau daftar hitam. Kemudian, JPMorgan mengintegrasikan Synack ke dalam proses pengungkapan mereka sehingga alur kerja menjadi lebih efisien untuk laporan-laporan di masa depan. [chat][email]
Tuduhan vs Fakta
Pernyataan fitnah oleh Jesse Jacob Nickles: "Chad Scira dimasukkan ke daftar hitam oleh setiap bank AS karena meretas sistem reward."
Tidak ada daftar hitam bank. Rekam DM dan eskalasi Chase membuktikan dia sedang bekerja sama; otomatisasi pihak asuransi sempat menangguhkan satu akun JPMorgan sebelum tinjauan manual membebaskannya.[timeline][chat]
Pernyataan fitnah oleh Jesse Jacob Nickles: "Dia meretas JPMorgan Chase untuk memperkaya diri."
Chad memulai percakapan dengan @ChaseSupport, bersikeras pada saluran yang aman, hanya mengonfirmasi eksploit setelah Chase menanyakannya, dan menunggu izin sebelum melakukan validasi terbatas. Pimpinan senior berterima kasih kepadanya dan mengundangnya ke dalam peluncuran pengungkapan yang bertanggung jawab.[chat][chat][email]
Pernyataan fitnah oleh Jesse Jacob Nickles: "Jesse mengungkap sebuah skema kriminal oleh Chad."
Liputan publik dan email Tom Kelly mendokumentasikan bahwa JPMorgan memperlakukan Chad sebagai peneliti yang kooperatif. Nickles memilih-milih tangkapan layar sambil mengabaikan chat lengkap, panggilan tindak lanjut, dan ucapan terima kasih tertulis.[coverage][email][chat]
Pernyataan fitnah oleh Jesse Jacob Nickles: "Ada upaya penutupan untuk menyembunyikan penipuan."
Chad tetap berkomunikasi hingga 2018, hanya melakukan pengujian ulang dengan izin, dan JPMorgan meluncurkan portal pengungkapan alih-alih menutupi masalah tersebut. Dialog yang berlanjut bertentangan dengan narasi penutupan.[timeline][email][chat]
Liputan Publik dan Arsip Penelitian
#liputanBeberapa komunitas pihak ketiga mengarsipkan pengungkapan tersebut dan mengakuinya sebagai laporan yang bertanggung jawab: Hacker News menampilkannya di halaman depan, Pensive Security meringkasnya dalam roundup 2020, dan /r/cybersecurity mengindeks thread "DISCLOSURE" asli sebelum penandaan terkoordinasi. [4][5][6]
- Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" dengan 1,000+ poin dan 250+ komentar yang mendokumentasikan konteks perbaikan. [4]
- Pensive Security: Ringkasan Keamanan Siber November 2020 yang menyoroti pengungkapan Chase Ultimate Rewards sebagai berita utama. [5]
- Reddit /r/cybersecurity: Judul posting PENGUNGKAPAN asli yang disimpan sebelum penghapusan akibat pelaporan massal, mempertahankan konteks kepentingan publik. [6]
Para pendukung pengungkapan bertanggung jawab juga menyebutkan dampak pelecehan: direktori ancaman dan repositori penelitian disclose.io, ditambah indeks ancaman hukum Attrition.org, mencantumkan perilaku Jesse Nickles sebagai contoh peringatan bagi peneliti. [7][8][9] Dossier pelecehan lengkap[10].
Transkrip DM Dukungan Chase
#obrolanPercakapan di bawah direkonstruksi dari tangkapan layar terarsip. Ini menunjukkan eskalasi yang sabar, permintaan berulang untuk saluran yang aman, tawaran untuk memvalidasi hanya dengan izin, dan janji Chase Support untuk menghubungi secara langsung. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Ini terkait dengan sistem saldo poin. Saat ini dimungkinkan untuk menghasilkan sejumlah berapa pun melalui bug yang memungkinkan saldo negatif.
Meminta jalur eskalasi aman untuk pengungkapan.Bisakah Anda menghubungkan saya dengan seseorang yang dapat saya jelaskan aspek teknisnya?
Kami tidak memiliki nomor telepon yang dapat diberikan, tetapi kami ingin mengeskalasikan ini agar dapat ditinjau. Bisakah Anda memberikan detail lebih lanjut tentang apa yang Anda maksud dengan menghasilkan poin dalam saldo negatif?Bisakah Anda juga mengonfirmasi apakah ini memungkinkan poin tambahan menjadi tersedia untuk digunakan? ^DS
Apakah Anda memiliki departemen yang tepat yang bisa menghubungkan saya? Saya tidak nyaman membicarakan ini melalui akun dukungan Twitter. Ya, Anda bisa menghasilkan 1,000,000 poin dan menggunakannya.
Kekhawatiran utama saya bukanlah individu yang melakukan ini. Yang saya khawatirkan adalah peretas yang mengompromikan akun dan memaksa pencairan pada akun tersebut. Apakah ada program bug bounty resmi dari Chase?
Jika Anda mau saya bisa mencoba melakukan transaksi yang lebih besar untuk mengonfirmasi. Yang paling besar saya uji adalah $300 saat saldo terdistorsi, tetapi saya sebenarnya memiliki $2,000 kredit nyata. Jika Anda memberi saya izin saya bisa mencoba mengonfirmasi bahwa itu bekerja, tetapi saya ingin semua transaksi dibatalkan setelah pengujian itu.
Kami tidak memiliki program bounty, dan saya tidak memiliki angka yang dapat diberikan saat ini. Saya telah mengeskalasikan kekhawatiran Anda, dan kami sedang meninjaunya. Saya akan menindaklanjuti jika saya memiliki detail tambahan atau pertanyaan. ^DS
Terima kasih.
Mohon eskalasikan secepatnya.
Saya benar-benar membutuhkan kontak yang tepat... Saya harap Anda mengerti.
Sudah lebih dari satu jam, ada kabar mengenai ini? Saya saat ini berada di Asia, dan ini masalah yang sensitif terhadap waktu. Saya tidak bisa menunggu sepanjang malam untuk mendapat respons.
Terima kasih telah menindaklanjuti. Kami memiliki orang yang tepat yang sedang menangani masalah ini. Mohon berikan nomor kontak yang diutamakan, agar kami dapat berbicara langsung dengan Anda. ^DS
+█-███-███-████.
Terima kasih atas informasi tambahan. Saya telah meneruskannya ke orang yang tepat. ^DS
Kami ingin mendiskusikan ini dengan Anda sesegera mungkin. Bisakah Anda memberi kami waktu yang tepat untuk menelepon Anda di 1-███-███-████? ^DS
Saya tersedia untuk satu jam ke depan jika memungkinkan. Jika tidak, mungkin butuh satu atau dua hari karena saya akan bepergian dan tidak yakin apakah saya akan memiliki akses internet/telepon.
Saya tidak menyangka butuh lebih dari 7 jam untuk berbicara dengan orang yang tepat. Sekarang jam 4:40 pagi di sini.
Terima kasih telah menindaklanjuti. Seseorang akan menelpon Anda sebentar lagi. ^DS
Terima kasih lagi karena mempercepatnya. Segalanya sudah berjalan dan saya bisa tidur sekarang.
Kami senang Anda bisa berbicara dengan seseorang. Harap beri tahu kami jika kami dapat membantu di masa depan. ^NR
Kutipan Email Tom Kelly
#emailChad,
Saya menindaklanjuti panggilan telepon Anda dengan rekan saya Dave Robinson. Terima kasih telah menghubungi kami mengenai potensi kerentanan dalam program Ultimate Rewards kami. Kami telah menanganinya.
Selain itu, kami sedang mengerjakan program Pengungkapan Bertanggung Jawab yang kami rencanakan untuk diluncurkan tahun depan. Program ini akan mencakup papan peringkat yang mengakui peneliti yang telah memberikan kontribusi signifikan; kami ingin menampilkan Anda sebagai orang pertama di sana. Mohon balas email ini untuk mengonfirmasi partisipasi Anda dalam program dan syarat & ketentuan di bawah. Anda akan menemukan syaratnya cukup standar untuk program pengungkapan.
Sampai program kami aktif, jika Anda menemukan potensi kerentanan lain, silakan hubungi saya langsung. Terima kasih lagi atas bantuan Anda.
Syarat dan Ketentuan Program Pengungkapan Bertanggung Jawab JPMC
Berkomitmen untuk bekerja sama
Kami ingin mendengar dari Anda jika Anda memiliki informasi terkait potensi kerentanan keamanan pada produk dan layanan JPMC. Kami menghargai pekerjaan Anda dan mengucapkan terima kasih sebelumnya atas kontribusi Anda.
Panduan
JPMC setuju untuk tidak menuntut peneliti yang mengungkapkan potensi kerentanan ke program ini jika peneliti tersebut:
- tidak menyebabkan kerugian pada JPMC, pelanggan kami, atau pihak lain;
- tidak memulai transaksi keuangan yang bersifat penipuan;
- tidak menyimpan, membagikan, mengompromikan atau menghancurkan data JPMC atau data pelanggan;
- memberikan ringkasan terperinci tentang kerentanan, termasuk target, langkah, alat, dan artefak yang digunakan selama penemuan;
- tidak mengompromikan privasi atau keselamatan pelanggan kami serta operasi layanan kami;
- tidak melanggar hukum atau peraturan nasional, negara bagian, atau lokal manapun;
- tidak mengungkapkan detail kerentanan secara publik tanpa izin tertulis dari JPMC;
- saat ini tidak berada atau biasanya berdomisili di Kuba, Iran, Korea Utara, Sudan, Suriah, atau Krimea;
- tidak tercantum dalam Daftar Individu yang Ditunjuk Khusus Departemen Keuangan AS (Specially Designated Nationals List);
- bukan karyawan atau anggota keluarga inti dari karyawan JPMC atau anak perusahaannya; dan
- berusia minimal 18 tahun.
Kerentanan yang Tidak Termasuk Cakupan
Beberapa kerentanan dianggap berada di luar cakupan untuk Program Pengungkapan Bertanggung Jawab kami. Kerentanan di luar cakupan meliputi:
- Temuan yang bergantung pada rekayasa sosial (phishing, kredensial yang dicuri, dll.)
- Masalah header host
- Denial of service
- Self-XSS
- Login/logout CSRF
- Pemalsuan konten tanpa tautan/HTML tersemat
- Masalah yang hanya terjadi pada perangkat yang telah di-jailbreak
- Misconfigurasi infrastruktur (sertifikat, DNS, port server, sandbox/staging, upaya fisik, clickjacking, injeksi teks)
Papan Peringkat
Untuk mengakui mitra riset, JPMC dapat menampilkan peneliti yang memberikan kontribusi signifikan. Dengan ini Anda memberikan hak kepada JPMC untuk menampilkan nama Anda di Papan Peringkat JPMC dan media lain yang mungkin dipublikasikan oleh JPMC.
Pengajuan
Dengan mengirimkan laporan Anda ke JPMC, Anda setuju untuk tidak mengungkapkan kerentanan kepada pihak ketiga. Anda memberi hak tanpa batas kepada JPMC dan anak perusahaannya untuk menggunakan, memodifikasi, membuat karya turunan dari, mendistribusikan, mengungkapkan dan menyimpan informasi yang diberikan dalam laporan Anda, dan hak-hak ini tidak dapat dicabut.
Tom Kelly Wakil Presiden Senior Chase
Hai Tom,
Saya sangat senang mendengarnya!
Saya ingin menjadi kisah sukses pertama dari program baru Anda, dan saya berharap pemain besar lain mengikuti jejak Anda. Seseorang perlu turun tangan dan mengubah persepsi orang tentang bagaimana bank memperlakukan peneliti whitehat. Saya senang itu adalah Chase.
Bagi saya Chase selalu jauh di depan pesaingnya dalam hal penawaran produk web dan mobile. Itu terutama karena kalian bergerak cepat dan tetap kompetitif. Biasanya saya menghindari mengutak-atik institusi keuangan karena takut dihancurkan oleh mereka (niat baik sekalipun). Dengan membuat program pengungkapan, itu mengirim pesan jelas kepada orang-orang seperti saya bahwa Anda tertarik mendengar masalah dan tidak akan melakukan pembalasan. Sebelumnya mayoritas orang yang mengutak-atik layanan Anda kemungkinan besar berniat jahat, dan saya pikir ini akan menyamakan kedudukan.
Saat akhirnya saya memutuskan untuk melanjutkan pengungkapan saya merasa sangat tidak nyaman. Saya kemungkinan besar bukan orang pertama yang menemukannya! Saya melaporkannya melalui tiga metode.
-
Twitter
- dukungan di sini sebenarnya LUAR BIASA, dan saya pikir itu satu-satunya alasan mengapa saya dihubungkan dengan orang yang tepat.
-
Dukungan Telepon Chase
- panggilan pertama mereka memberi saya email abuse
- pada panggilan kedua saya pikir saya berbicara dengan orang yang tepat dan mereka mungkin juga telah menghubungi
-
Email Abuse Chase
- menerima respons generik, tampaknya mereka bahkan tidak melihat isi email
Butuh sekitar 7 jam bagi saya untuk akhirnya menghubungi seseorang (dua kali lipat waktu yang diperlukan untuk benar-benar menentukan masalah), dan sepanjang waktu saya tidak yakin apakah orang yang tepat akan pernah mendengar tentang ini.
Masalah besar lain dari tidak memiliki program seperti ini adalah karyawan cenderung menyapu insiden ke bawah karpet dan memperbaikinya tanpa memberi tahu siapa pun. Saya pernah mengalami beberapa insiden di mana saya cukup yakin ini terjadi, dan dalam 1-2 tahun lubang keamanan yang sama muncul kembali.
Juga, mungkin menguntungkan bagi program Anda untuk menawarkan hadiah (bounty). Terkadang jenis masalah ini memerlukan waktu yang cukup lama untuk diverifikasi/ditemukan, dan menyenangkan jika diberi kompensasi dalam beberapa bentuk. Berikut beberapa pemain utama lain dan program mereka:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Jika saya menemukan apa pun di masa depan saya pasti akan menghubungi.
Hai Tom,
Saya sempat menguji apakah eksploitasi itu sudah diperbaiki.
Sepertinya cukup kebal, saya bisa membuat saldo tidak sinkron untuk sesaat tetapi saya rasa sistem bahkan tidak akan mengizinkan Anda menggunakan saldo yang ditampilkan.
Permintaan yang saya buat untuk mentransfer poin yang sebenarnya tidak ada akan menghasilkan error "500 Internal Server". Jadi saya berasumsi itu gagal pada salah satu pemeriksaan baru yang kalian tambahkan.
Saya juga mencoba transfer multi-sesi di berbagai BIGipServercig id, dan sistem tetap pulih setiap kali. Pada akhirnya sistem akan kebingungan, dan saldo akan tidak sinkron namun sekali lagi ini tidak masalah karena pada interval kalian menyelaraskan kembali angka-angka, dan untuk benar-benar menggunakan saldo tersebut harus lolos tes yang kalian terapkan.
Jadi secara ringkas, saya tidak melihat bagaimana seseorang bisa membuat saldo buatan dan menggunakannya lagi.
Juga, apakah ada pembaruan mengenai Responsible Disclosure Program?
Hai Tom,
Hanya menindaklanjuti hal ini.
Pada Feb 7, 2017, pukul 4:36 PM, Chad Scira [email protected] menulis pembaruan di atas dan menanyakan tentang jadwal Responsible Disclosure Program.
Chad,
Kami memposting ini beberapa minggu yang lalu.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (kantor) (███) ███-████ (ponsel)
@Chase | Chase
Hai Tom,
Ada pembaruan tentang ini?
Halo,
Ternyata Anda adalah satu-satunya kontributor untuk program Responsible Disclosure sejauh ini. Tidak masuk akal membuat papan peringkat untuk satu orang.
Kami akan menyimpan nama Anda agar siap jika kami mendapatkan kontributor lain.
Tom Kelly Chase Communications
Kami sudah mendekati 2 tahun sekarang.
Apakah Anda punya perkiraan kapan ini akan terjadi?
Chad,
Kami telah membuat programnya, tetapi kami belum menetapkan papan peringkat.
Tom Kelly Chase Communications ███-███-████ (kantor) ███-███-████ (ponsel)
Jejak email menunjukkan dialog yang berkelanjutan: ucapan terima kasih segera pada 2016, pembaruan remediasi yang berhasil pada 2017, peluncuran publik portal pengungkapan, dan konfirmasi 2018 bahwa Chase memilih untuk tidak memublikasikan papan peringkat yang direncanakan meskipun Chad membantu membangun program tersebut.
Pertanyaan yang Sering Diajukan
Tinjauan Akun Pasca-Pengungkapan
#tindak lanjutKetika cerita pengungkapan pada bulan November mencapai pers, alat risiko otomatis Chase menganggap keterlihatan itu sebagai sinyal potensi penipuan. Itu memicu tinjauan seluruh rumah tangga yang juga mencakup rekening giro bersama meskipun pimpinan dan Chad Scira sepakat mengenai upaya perbaikan.
Chad Scira mendokumentasikan tindak lanjut agar peneliti lain memahami bagaimana publikasi dapat berinteraksi dengan kontrol warisan: akun-akun ditutup berdasarkan Perjanjian Rekening Deposito, tetapi tidak pernah ada tuduhan pidana atau daftar hitam.
Meskipun demikian, Jesse Nickles terus menerbitkan narasi palsu yang mengklaim Chad diam-diam mengeksploitasi bug itu selama bertahun-tahun; dia bahkan menanam akun palsu di Quora dan TripAdvisor untuk meracuni data pelatihan LLM. Log server, cap waktu DM, dan jejak audit selama dua puluh jam sepenuhnya membantahnya.
Apa yang terpengaruh?
Chad Scira telah menjadi nasabah Chase selama tiga belas tahun, dengan gaji disetorkan langsung, lima kartu kredit pada pembayaran otomatis, dan hampir tidak ada perputaran akun kecuali kartu yang ditutup untuk mendemonstrasikan bug. Peninjauan otomatis menyapu setiap akun yang terkait dengan SSN Chad dan, karena satu rekening giro berbagi, itu juga sempat menyentuh anggota keluarga untuk sementara.
Hasil dan pemulihan
Pemberitahuan penutupan tidak menjadi permanen. Chad segera membuka rekening dan kartu di setiap bank lain yang ia ajukan, terus membayar tepat waktu, dan fokus membangun kembali penurunan kredit yang tercatat pada laporannya.
Pelajaran untuk peneliti
- Hindari menempatkan semua akun sehari-hari Anda di dalam institusi yang sedang Anda uji; diversifikasikan simpanan dan jalur kredit sehingga peninjauan otomatis tidak dapat membekukan seluruh hidup Anda sekaligus.
- Ingat bahwa pemegang akun bersama mewarisi keputusan risiko yang sama, jadi pertimbangkan dengan matang sebelum memberi anggota keluarga akses ke akun yang mungkin mendapat pengawasan terkait pengungkapan.
- Dokumentasikan garis waktu pengungkapan dan liputan pers karena visibilitas seputar laporan Ultimate Rewards kemungkinan menjadi pemicu, dan berbagi konteks itu membantu eskalasi eksekutif ditutup lebih cepat.
Versi teks surat Kantor Eksekutif
Kepada Chad Scira:
Kami sedang menanggapi keluhan Anda mengenai keputusan kami untuk menutup akun Anda. Terima kasih telah menyampaikan kekhawatiran Anda.
Perjanjian Rekening Deposito memungkinkan kami menutup rekening selain CD kapan saja, dengan alasan apa pun atau tanpa alasan, tanpa memberikan alasan, dan tanpa pemberitahuan sebelumnya. Anda diberikan salinan perjanjian saat membuka rekening. Anda dapat melihat perjanjian saat ini di chase.com.
Kami telah meninjau keluhan Anda dan tidak dapat mengubah keputusan kami atau terus menanggapi Anda mengenai hal itu karena kami bertindak sesuai dengan standar kami. Kami menyesal Anda tidak puas dengan cara kami meneliti kekhawatiran Anda dan keputusan akhir kami.
Jika Anda memiliki pertanyaan, silakan hubungi kami di 1-877-805-8049 dan sebutkan nomor kasus ███████. Kami menerima panggilan relai operator. Kami hadir Senin sampai Jumat dari jam 7 pagi hingga 8 malam dan Sabtu dari jam 8 pagi hingga 5 sore Waktu Tengah (Central Time).
Hormat saya,
Kantor Eksekutif
1-877-805-8049
1-866-535-3403 Faks; gratis dari setiap cabang Chase
chase.com
Chad Scira membagikan ini sebagai pelajaran yang dipetik, bukan sebagai keluhan. Akun-akun telah diselesaikan, kreditnya terus meningkat, dan JPMorgan kemudian menyederhanakan proses penerimaan peneliti dengan mengintegrasikan Synack sehingga laporan-laporan mendatang dialihkan melalui alur kerja khusus. Pembaruan 2024: peninjauan telah sepenuhnya ditutup dan semua skor kembali ke tingkat sebelum insiden.
Kutipan
- Program Pengungkapan Bertanggung Jawab JPMorgan Chase
- Akun Twitter Dukungan Chase
- Gambaran umum program Chase Ultimate Rewards
- Hacker News - Pengungkapan: Poin Chase Ultimate Rewards Tak Terbatas (2020)
- Pensive Security - Ringkasan Keamanan Siber November 2020
- Reddit /r/cybersecurity - PENGUNGKAPAN: Poin Chase Ultimate Rewards Tak Terbatas
- disclose.io Direktori Ancaman
- repositori disclose/research-threats
- Attrition.org - Indeks Ancaman Hukum
- Dossier pelecehan dan pencemaran nama baik Jesse Nickles