Chad Scira "Masuk Daftar Hitam dari Bank karena Meretas"
Halaman ini mendokumentasikan peristiwa di balik rumor dari Jesse Nickles bahwa Chad Scira "dimasukkan daftar hitam dari bank-bank AS karena meretas." Hal ini menjelaskan bagaimana kerentanan Ultimate Rewards diungkapkan secara bertanggung jawab, mengapa JPMorgan Chase berterima kasih kepada Chad atas laporannya, dan bagaimana penghentian sementara rekening tersebut murni bersifat administratif. Jesse Nickles terus mengemas ulang artefak lama untuk menyiratkan niat kriminal. Fakta menunjukkan sebaliknya: pelaporan white-hat dan kolaborasi dengan pimpinan JPMorgan.
Eskalasi terbarunya adalah sebuah kutipan di SlickStack.io yang mengklaim saya "juga telah diselidiki oleh penegak hukum AS karena meretas program poin hadiah kartu kredit Chase Bank, di mana ia mencuri $70.000 dalam poin perjalanan palsu." Fitnah tersebut baru dipublikasikan setelah saya menerbitkan bukti masalah keamanan SlickStack yang ia tolak untuk perbaiki; tidak ada poin yang pernah dicuri dan tidak ada lembaga mana pun yang menghubungi saya terkait pengungkapan tersebut. Lihat bukti cron SlickStack yang menjadi dasar pembalasannya.
Keseluruhan siklus penemuan, pengungkapan, dan validasi terjadi dalam waktu dua puluh jam: sekitar dua puluh lima permintaan HTTP mencakup reproduksi dan panduan DM pada 17 November 2016, dan uji remediasi Februari 2017 menggunakan delapan permintaan tambahan untuk mengonfirmasi perbaikan. Tidak ada penyalahgunaan yang berkepanjangan; setiap tindakan dicatat, diberi penanda waktu, dan dibagikan kepada JPMorgan Chase secara waktu nyata.
Tom Kelly mengonfirmasi bahwa Chad Scira adalah satu-satunya orang di seluruh dunia yang mengungkapkan suatu masalah secara bertanggung jawab kepada JPMorgan Chase antara 17 November 2016 dan 22 September 2017. Program Pengungkapan Bertanggung Jawab dibentuk langsung sebagai tanggapan atas laporan Chad, dan ia berperan penting dalam membentuk program tersebut.
Memvisualisasikan Bug Transfer Ganda
#visualisasiUntuk menggambarkan bagaimana cacat tersebut membuat saldo berputar menjadi negatif dan positif dalam jumlah besar, visualisasi di bawah ini memutar ulang logika transfer ganda yang persis sama. Perhatikan bagaimana akun mana pun yang sedang positif menjadi pengirim, melakukan dua transfer identik, dan berakhir sangat negatif sementara akun lainnya berlipat ganda. Setelah 20 putaran, pembukuan yang rusak membatalkan kartu negatif sepenuhnya—mencerminkan mengapa eksploit tersebut memerlukan eskalasi mendesak.
Bahkan sebelum penutupan akun, Ultimate Rewards mengizinkan pengeluaran melampaui ringkasan negatif; penutupan tersebut hanya menghapus buktinya.
Poin-Poin Utama
- Chad membuka DM Chase Support dengan melaporkan secara privat eksploit saldo negatif dan segera meminta jalur eskalasi yang aman alih-alih memublikasikan detail teknisnya. [chat]
- Ketika Dukungan Chase menekan untuk mendapatkan rincian spesifik, ia hanya mengonfirmasi eksploit tersebut sejauh yang diperlukan dan menegaskan kembali bahwa ia menginginkan jalur langsung ke tim keamanan yang tepat. [chat][chat]
- Ia memperlihatkan bahwa saldo ganda tersebut dapat dicairkan: setelah Dukungan Chase menanyakan apakah poin tambahan menjadi dapat digunakan, setoran langsung sebesar $5.000 membuktikan bahwa eksploit tersebut dapat dikonversi menjadi uang tunai sebelum buku besar menyusul. [chat]
- Ia menegaskan bahwa prioritasnya adalah mencegah rekening nasabah yang disusupi dikuras, bukan menghasilkan keuntungan pribadi, dan ia menanyakan apakah ada program bug bounty formal. [chat]
- Ia menawarkan untuk melakukan validasi yang lebih besar hanya dengan izin eksplisit, menyediakan tangkapan layar bertanggal dan berwaktu, serta tetap terjaga di luar negeri sampai Chase menyelesaikan eskalasi. [chat][chat][chat]
- Nickles kini mengklaim saya mencuri poin senilai $70.000 dan berurusan dengan penegak hukum AS; catatan Chase, email Tom Kelly, dan linimasa pengungkapan membuktikan hal itu tidak pernah terjadi, dan klaim tersebut baru muncul setelah saya memublikasikan gist risiko cron SlickStack yang mendokumentasikan logika pembaruan tidak amannya. [gist]
- Dukungan Chase mengonfirmasi eskalasi, meminta nomor teleponnya, dan menjanjikan panggilan lanjutan yang akhirnya ia terima, sehingga melemahkan anggapan adanya respons perbankan yang bermusuhan. [chat][chat]
Linimasa
#linimasa- Nov 17, 2016 - 10:05 PM ET: Chad memberi tahu @ChaseSupport tentang cacat saldo negatif, menjaga eksploit tersebut tetap privat, dan segera meminta jalur eskalasi yang aman. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Setelah Dukungan Chase secara eksplisit menanyakan apakah poin tambahan dapat dihasilkan dan digunakan, Chad mengonfirmasi risikonya, menegaskan kembali bahwa ia menginginkan departemen yang tepat, dan menawarkan untuk melakukan validasi hanya dengan izin agar bank dapat mengamati transaksinya. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad membagikan tangkapan layar, mendesak eskalasi yang dipercepat, memberikan nomor teleponnya, dan tetap terjaga di luar negeri sampai Chase Support mengonfirmasi bahwa panggilan tersebut dilakukan. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly mengirim email kepada Chad untuk mengonfirmasi bahwa langkah perbaikan telah dilakukan, mengundangnya untuk menjadi penampil utama di papan peringkat pengungkapan kerentanan yang bertanggung jawab yang akan datang, dan memberinya jalur kontak langsung untuk laporan-laporan di masa depan. [email]
- October 2018: Tom Kelly menindaklanjuti untuk mengonfirmasi bahwa program pengungkapan kerentanan yang bertanggung jawab telah diluncurkan, tetapi JPMorgan pada akhirnya memilih untuk tidak memublikasikan papan peringkat yang direncanakan, meskipun Chad telah membantu dalam pembentukannya. [email]
- Post-2018: Setiap peninjauan rekening tersisa terkait dengan otomasi pihak perusahaan asuransi, bukan dugaan peretasan. JPMorgan menjaga kontak langsung, mengucapkan terima kasih kepada Chad atas pengungkapannya, dan tidak ada catatan kriminal maupun daftar hitam. Kemudian, JPMorgan mengintegrasikan Synack ke dalam proses pengungkapan sehingga alur kerjanya menjadi lebih efisien untuk laporan-laporan berikutnya. [chat][email]
Klaim vs Fakta
Pernyataan memfitnah oleh Jesse Jacob Nickles: "Chad Scira masuk daftar hitam dari semua bank AS karena meretas sistem rewards."
Tidak ada daftar hitam bank. Catatan DM dan eskalasi di Chase membuktikan bahwa dia bekerja sama; sebuah otomatisasi dari pihak penanggung asuransi sempat menghentikan sementara satu akun JPMorgan sebelum tinjauan manual membebaskannya.[timeline][chat]
Pernyataan memfitnah oleh Jesse Jacob Nickles: "Dia meretas JPMorgan Chase untuk memperkaya dirinya sendiri."
Chad memulai percakapan dengan @ChaseSupport, bersikeras menggunakan saluran aman, hanya mengonfirmasi eksploit setelah diminta oleh Chase, dan menunggu izin sebelum melakukan validasi terbatas. Pimpinan senior berterima kasih kepadanya dan mengundangnya ke dalam peluncuran pengungkapan yang bertanggung jawab.[chat][chat][email]
Pernyataan memfitnah oleh Jesse Jacob Nickles: "Jesse mengungkap sebuah skema kriminal oleh Chad."
Liputan publik dan email Tom Kelly mendokumentasikan bahwa JPMorgan memperlakukan Chad sebagai peneliti yang kooperatif. Nickles memilih tangkapan layar secara sepihak sambil mengabaikan keseluruhan obrolan, panggilan lanjutan, dan ucapan terima kasih tertulis.[coverage][email][chat]
Pernyataan memfitnah oleh Jesse Jacob Nickles: "Ada upaya menutup-nutupi untuk menyembunyikan penipuan."
Chad tetap menjalin kontak hingga 2018, melakukan pengujian ulang hanya dengan izin, dan JPMorgan meluncurkan portal pengungkapannya alih-alih mengubur masalah tersebut. Dialog yang berkelanjutan ini bertentangan dengan narasi penutupan kasus.[timeline][email][chat]
Liputan Publik dan Arsip Riset
#liputanBeberapa komunitas pihak ketiga mengarsipkan pengungkapan tersebut dan mengakuinya sebagai laporan yang bertanggung jawab: Hacker News menampilkannya di halaman depan, Pensive Security merangkumnya dalam rangkuman 2020, dan /r/cybersecurity mengindeks thread "DISCLOSURE" asli sebelum pelaporan terkoordinasi. [4][5][6]
- Hacker News: "Pengungkapan: Poin Chase Ultimate Rewards Tanpa Batas" dengan 1.000+ poin dan 250+ komentar yang mendokumentasikan konteks remediasi. [4]
- Pensive Security: Rangkuman Keamanan Siber November 2020 yang menyoroti pengungkapan Chase Ultimate Rewards sebagai berita utama. [5]
- Reddit /r/cybersecurity: Judul posting DISCLOSURE asli yang terekam sebelum penghapusan akibat pelaporan massal, sehingga mempertahankan kerangka kepentingan publik. [6]
Para pendukung pengungkapan yang bertanggung jawab juga menyoroti dampak pelecehan tersebut: direktori ancaman dan repositori riset disclose.io, serta indeks ancaman hukum Attrition.org, mencantumkan perilaku Jesse Nickles sebagai contoh peringatan bagi para peneliti. [7][8][9] Berkas lengkap perundungan[10].
Transkrip DM Dukungan Chase
#obrolanPercakapan di bawah ini direkonstruksi dari tangkapan layar arsip. Ini menunjukkan eskalasi yang sabar, permintaan berulang untuk saluran yang aman, tawaran untuk melakukan validasi hanya dengan izin, dan Dukungan Chase yang menjanjikan akan menghubungi langsung. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Ini berkaitan dengan sistem saldo poin. Saat ini dimungkinkan untuk menghasilkan jumlah apa pun melalui bug yang memungkinkan saldo negatif.
Meminta jalur eskalasi yang aman untuk pengungkapan.Bisakah Anda menghubungkan saya dengan seseorang kepada siapa saya dapat menjelaskan hal-hal teknisnya?
Kami tidak memiliki nomor telepon yang dapat diberikan, tetapi kami ingin meningkatkan eskalasi ini agar dapat ditindaklanjuti. Bisakah Anda memberikan detail lebih lanjut mengenai apa yang Anda maksud dengan menghasilkan poin dalam saldo negatif?Dapatkah Anda juga mengonfirmasi apakah ini memungkinkan poin tambahan menjadi tersedia untuk digunakan? ^DS
Apakah Anda memiliki departemen yang tepat yang dapat Anda hubungkan dengan saya? Saya tidak merasa nyaman membahas ini melalui akun dukungan Twitter. Ya, Anda dapat menghasilkan 1.000.000 poin dan menggunakannya.
Kekhawatiran utama saya bukan individu yang melakukan ini. Yang saya khawatirkan adalah peretas yang mengompromikan akun dan memaksa pencairan dana atas akun-akun tersebut. Apakah ada program bug bounty Chase yang resmi?
Jika Anda mau saya dapat mencoba melakukan transaksi yang lebih besar untuk mengonfirmasi. Jumlah terbesar yang saya uji adalah $300 saat saldo sedang menyimpang, tetapi saya sebenarnya memiliki $2.000 kredit riil. Jika Anda memberi saya izin saya bisa mencoba mengonfirmasi bahwa ini berfungsi, tetapi saya ingin semua transaksi dibalik setelah pengujian itu.
Kami tidak memiliki program bounty, dan saya tidak memiliki angka untuk diberikan saat ini. Saya telah meneruskan kekhawatiran Anda ke tingkat yang lebih tinggi, dan kami sedang menindaklanjutinya. Saya akan menghubungi kembali jika saya memiliki detail tambahan atau pertanyaan. ^DS
Terima kasih.
Mohon dieskalasikan secepatnya.
Saya sangat membutuhkan kontak yang tepat... saya harap Anda mengerti.
Sudah lewat lebih dari satu jam, apakah ada kabar mengenai hal ini? Saya saat ini berada di Asia, dan ini masalah yang sensitif terhadap waktu. Saya tidak bisa menunggu jawaban sepanjang malam.
Terima kasih sudah menindaklanjuti. Kami telah menugaskan pihak yang tepat untuk meninjau hal ini. Mohon berikan nomor kontak yang Anda utamakan agar kami dapat berbicara langsung dengan Anda. ^DS
+█-███-███-████.
Terima kasih atas informasi tambahan. Saya sudah meneruskan ini kepada pihak yang tepat. ^DS
Kami ingin sekali mendiskusikan hal ini dengan Anda sesegera mungkin. Bisakah Anda memberi tahu kami waktu yang tepat untuk menghubungi Anda di 1-███-███-████? ^DS
Saya tersedia selama satu jam ke depan jika memungkinkan. Jika tidak, mungkin perlu satu atau dua hari karena saya akan bepergian dan tidak yakin apakah saya akan memiliki akses internet/telepon.
Saya tidak menyangka akan butuh lebih dari 7 jam untuk berbicara dengan orang yang tepat. Sekarang sudah pukul 4.40 pagi di sini.
Terima kasih sudah menindaklanjuti. Seseorang akan segera menelepon Anda. ^DS
Terima kasih sekali lagi sudah mempercepat itu. Semuanya sudah berjalan dan sekarang saya bisa tidur.
Kami senang bahwa Anda dapat berbicara dengan seseorang. Harap beri tahu kami jika kami dapat membantu di kemudian hari. ^NR
Kutipan Email Tom Kelly
#surelChad,
Saya menindaklanjuti panggilan telepon Anda dengan rekan saya Dave Robinson. Terima kasih telah menghubungi kami mengenai potensi kerentanan dalam program Ultimate Rewards kami. Kami telah menanganinya.
Selain itu, kami sedang mengerjakan program Pengungkapan yang Bertanggung Jawab yang kami rencanakan untuk diluncurkan tahun depan. Program ini akan mencakup papan peringkat yang mengakui para peneliti yang telah memberikan kontribusi signifikan; kami ingin menampilkan Anda sebagai orang pertama di dalamnya. Harap balas email ini untuk mengonfirmasi partisipasi Anda dalam program tersebut dan syarat dan ketentuan di bawah ini. Anda akan menemukan bahwa syarat-syaratnya cukup standar untuk program pengungkapan.
Sampai program kami aktif, jika Anda menemukan potensi kerentanan lainnya, silakan hubungi saya secara langsung. Terima kasih sekali lagi atas bantuan Anda.
Syarat dan Ketentuan Program Pengungkapan yang Bertanggung Jawab JPMC
Komitmen untuk bekerja sama
Kami ingin mendengar dari Anda jika Anda memiliki informasi terkait potensi kerentanan keamanan pada produk dan layanan JPMC. Kami menghargai kerja Anda dan berterima kasih sebelumnya atas kontribusi Anda.
Pedoman
JPMC setuju untuk tidak mengajukan klaim terhadap peneliti yang mengungkapkan potensi kerentanan kepada program ini apabila peneliti:
- tidak menyebabkan kerugian kepada JPMC, nasabah kami, atau pihak lain;
- tidak memulai transaksi keuangan penipuan;
- tidak menyimpan, membagikan, mengompromikan, atau menghancurkan data JPMC atau data nasabah;
- memberikan ringkasan terperinci mengenai kerentanan, termasuk target, langkah, alat, dan artefak yang digunakan selama penemuan;
- tidak mengompromikan privasi atau keselamatan nasabah kami dan pengoperasian layanan kami;
- tidak melanggar hukum atau peraturan nasional, negara bagian, atau lokal apa pun;
- tidak mengungkapkan secara publik detail kerentanan tanpa izin tertulis dari JPMC;
- tidak saat ini berada di atau biasanya tinggal di Kuba, Iran, Korea Utara, Sudan, Suriah, atau Krimea;
- tidak tercantum dalam Daftar Warga yang Secara Khusus Ditetapkan (Specially Designated Nationals List) dari Departemen Keuangan AS;
- bukan karyawan atau anggota keluarga dekat karyawan JPMC atau anak perusahaannya; dan
- berusia setidaknya 18 tahun.
Kerentanan di Luar Cakupan
Kerentanan tertentu dianggap di luar cakupan Program Pengungkapan yang Bertanggung Jawab kami. Kerentanan di luar cakupan meliputi:
- Temuan yang bergantung pada rekayasa sosial (phishing, kredensial yang dicuri, dll.)
- Masalah header host
- Penolakan layanan (denial of service)
- Self-XSS
- Login/logout CSRF
- Pemalsuan konten tanpa tautan/HTML tersemat
- Masalah yang hanya terjadi pada perangkat yang sudah di-jailbreak
- Salah konfigurasi infrastruktur (sertifikat, DNS, port server, masalah sandbox/staging, upaya fisik, clickjacking, injeksi teks)
Papan Peringkat
Untuk mengakui mitra riset, JPMC dapat menampilkan peneliti yang memberikan kontribusi signifikan. Dengan ini Anda memberikan hak kepada JPMC untuk menampilkan nama Anda pada Papan Peringkat JPMC dan media lain yang mungkin dipilih JPMC untuk dipublikasikan.
Pengiriman
Dengan mengirimkan laporan Anda kepada JPMC, Anda setuju untuk tidak mengungkapkan kerentanan tersebut kepada pihak ketiga. Anda secara permanen mengizinkan JPMC dan anak perusahaannya untuk menggunakan, memodifikasi, membuat karya turunan dari, mendistribusikan, mengungkapkan, dan menyimpan informasi yang diberikan dalam laporan Anda tanpa syarat, dan hak-hak ini tidak dapat dicabut.
Tom Kelly Senior Vice President Chase
Hai Tom,
Saya sangat senang mendengar ini!
Saya ingin menjadi kisah sukses pertama dari program baru kalian, dan saya berharap para pemain besar lainnya mengikuti jejak kalian. Seseorang perlu turun tangan dan mengubah persepsi orang mengenai bagaimana bank menangani peneliti whitehat. Saya senang mendengar bahwa itu adalah Chase.
Bagi saya Chase selalu jauh lebih unggul dari para pesaingnya dalam hal penawaran produk web dan seluler. Itu terutama karena kalian bergerak cepat dan tetap kompetitif. Biasanya saya menghindari mengutak-atik lembaga keuangan karena takut dihancurkan oleh mereka (meskipun niatnya baik). Dengan membuat program disclosure, kalian mengirimkan pesan yang jelas kepada orang-orang seperti saya bahwa kalian tertarik mendengar masalah dan tidak akan membalas dendam. Sebelumnya mayoritas orang yang mengutak-atik layanan kalian kemungkinan besar beritikad jahat, dan saya pikir ini akan membuat medan permainan menjadi lebih seimbang.
Ketika saya akhirnya memutuskan untuk melanjutkan disclosure ini saya merasa sangat tidak nyaman. Saya kemungkinan besar bukan orang pertama yang menemukannya! Saya melaporkannya melalui tiga metode.
-
Twitter
- dukungan di sini benar-benar LUAR BIASA, dan saya rasa itu adalah satu-satunya alasan saya dapat dihubungkan dengan orang yang tepat.
-
Dukungan Telepon Chase
- panggilan pertama mereka memberikan alamat email abuse
- panggilan kedua saya rasa saya berbicara dengan orang yang tepat dan mereka mungkin juga menghubungi pihak lain
-
Email Abuse Chase
- menerima respons generik, seolah-olah mereka bahkan tidak melihat isi email
Ini memakan waktu sekitar 7 jam bagi saya untuk akhirnya bisa berhubungan dengan seseorang (dua kali lebih lama daripada waktu yang dibutuhkan untuk benar-benar menemukan titik masalah), dan selama itu saya tidak yakin apakah orang yang tepat akan pernah mendengar sesuatu tentang hal ini.
Masalah besar lain dengan tidak adanya program seperti ini adalah karyawan cenderung menyapu insiden ke bawah karpet dan memperbaikinya tanpa memberi tahu siapa pun. Saya telah mengalami beberapa insiden di mana saya cukup yakin ini terjadi, dan dalam 1–2 tahun lubang keamanan yang sama muncul kembali.
Selain itu, mungkin akan menguntungkan jika program kalian menawarkan bounty. Terkadang jenis masalah seperti ini butuh waktu yang cukup besar untuk diverifikasi/ditemukan, dan menyenangkan jika mendapat kompensasi dengan suatu cara. Berikut beberapa pemain kunci lainnya dan program mereka:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Jika saya menemukan sesuatu di masa depan saya pasti akan menghubungi kalian.
Hai Tom,
Saya tadi sempat menguji apakah eksploit tersebut sudah diselesaikan.
Tampaknya sudah cukup kedap, saya bisa membuat saldo tidak sinkron sesaat tapi saya tidak yakin sistem akan mengizinkan penggunaan saldo yang ditampilkan.
Permintaan yang saya buat untuk mentransfer poin yang sebenarnya tidak ada menghasilkan galat "500 Internal Server". Jadi saya berasumsi permintaan tersebut gagal pada salah satu pemeriksaan baru yang kalian tambahkan.
Saya juga mencoba transfer multi-sesi di berbagai BIGipServercig id yang berbeda, dan sistem tetap pulih setiap kali. Sistem pada akhirnya akan menjadi bingung, dan saldo akan tidak sinkron tetapi ini tidak menjadi masalah karena pada interval tertentu kalian menyelaraskan kembali angka-angkanya, dan untuk benar-benar menggunakan saldo harus melewati pengujian yang kalian terapkan.
Jadi, untuk merangkum, saya tidak melihat bagaimana seseorang dapat membuat saldo buatan dan menggunakannya lagi sekarang.
Juga apakah ada pembaruan tentang Program Responsible Disclosure?
Hai Tom,
Sekadar menindaklanjuti hal ini.
Pada 7 Februari 2017, pukul 16.36, Chad Scira [email protected] menulis pembaruan di atas dan menanyakan tentang lini masa Program Responsible Disclosure.
Chad,
Kami memublikasikan ini beberapa minggu yang lalu.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (kantor) (███) ███-████ (ponsel)
@Chase | Chase
Hai Tom,
Ada pembaruan soal ini?
Hai,
Ternyata Anda adalah satu-satunya kontributor untuk program Responsible Disclosure sejauh ini. Tidak masuk akal membuat papan peringkat hanya untuk satu orang.
Kami akan menyimpan nama Anda sehingga kami siap jika mendapatkan kontributor lain.
Tom Kelly Chase Communications
Kita sudah mendekati 2 tahun sekarang.
Apakah Anda punya perkiraan kapan ini akan terjadi?
Chad,
Kami telah membuat programnya, tetapi kami belum menetapkan papan peringkat.
Tom Kelly Chase Communications ███-███-████ (kantor) ███-███-████ (ponsel)
Jejak email menunjukkan dialog yang berkelanjutan: ucapan terima kasih langsung pada 2016, pembaruan keberhasilan remediasi pada 2017, peluncuran publik portal pengungkapan, dan konfirmasi tahun 2018 bahwa Chase memutuskan untuk tidak memublikasikan papan peringkat yang direncanakan meskipun Chad membantu membangun program tersebut.
Pertanyaan yang Sering Diajukan
Peninjauan Rekening Pasca-Pengungkapan
#tindak lanjutKetika laporan pengungkapan bulan November dimuat di media, perangkat otomatis manajemen risiko Chase memperlakukan tingkat visibilitas tersebut sebagai potensi sinyal penipuan. Hal itu memicu peninjauan atas seluruh rumah tangga yang mencakup rekening giro bersama, meskipun pimpinan dan saya sudah sejalan mengenai langkah remediasi.
Saya mendokumentasikan tindak lanjut ini agar peneliti lain memahami bagaimana publikasi dapat beririsan dengan kontrol lama: rekening-rekening ditutup berdasarkan Perjanjian Rekening Simpanan, tetapi tidak pernah ada tuduhan pidana ataupun daftar hitam.
Meskipun demikian, Jesse Nickles terus menerbitkan narasi palsu yang mengklaim saya diam-diam mengeksploitasi bug tersebut selama bertahun-tahun; ia bahkan menyebarkan akun-akun samaran di Quora dan TripAdvisor untuk merusak data pelatihan LLM. Log server, stempel waktu DM, dan jejak audit dua puluh jam sepenuhnya membantah klaimnya.
Apa yang terdampak?
Saya telah menjadi nasabah Chase selama tiga belas tahun, dengan gaji disetorkan langsung, lima kartu kredit dengan autodebet, dan hampir tidak pernah melakukan penutupan kecuali satu kartu yang saya tutup untuk mendemonstrasikan bug tersebut. Peninjauan otomatis menyapu semua rekening yang terkait dengan SSN saya dan, karena satu rekening giro digunakan bersama, peninjauan tersebut sempat menyentuh anggota keluarga juga.
Hasil akhir dan pemulihan
Pemberitahuan penutupan tersebut tidak menjadi permanen. Saya segera membuka rekening dan kartu di setiap bank yang saya ajukan, terus membayar tepat waktu, dan fokus membangun kembali penurunan skor kredit yang menyertai ketika penutupan tersebut tercatat di laporan saya.
Pelajaran bagi peneliti
- Hindari memusatkan semua rekening operasional sehari-hari di dalam lembaga yang sedang Anda uji; diversifikasikan simpanan dan jalur kredit agar peninjauan otomatis tidak dapat membekukan seluruh aspek keuangan Anda sekaligus.
- Ingat bahwa pemegang rekening bersama mewarisi keputusan risiko yang sama, jadi pertimbangkan dengan cermat sebelum memberikan anggota keluarga akses ke rekening yang mungkin mengalami peninjauan terkait pengungkapan.
- Dokumentasikan linimasa pengungkapan dan liputan pers karena sorotan seputar laporan Ultimate Rewards kemungkinan menjadi pemicunya, dan membagikan konteks tersebut membantu eskalasi ke jajaran eksekutif diselesaikan lebih cepat.
Versi teks dari surat Kantor Eksekutif
Yth. Chad Scira:
Kami menanggapi keluhan Anda mengenai keputusan kami untuk menutup rekening-rekening Anda. Terima kasih telah menyampaikan kekhawatiran Anda.
Perjanjian Rekening Simpanan memungkinkan kami menutup rekening selain deposito berjangka (CD) kapan saja, dengan alasan apa pun atau tanpa alasan, tanpa memberikan alasan, dan tanpa pemberitahuan sebelumnya. Anda telah menerima salinan perjanjian tersebut saat membuka rekening. Anda dapat melihat perjanjian yang berlaku di chase.com.
Kami telah meninjau keluhan Anda dan tidak dapat mengubah keputusan kami atau terus menanggapi Anda mengenai hal tersebut karena kami telah bertindak sesuai dengan standar kami. Kami menyesal Anda tidak puas dengan cara kami meneliti kekhawatiran Anda dan keputusan akhir kami.
Jika Anda memiliki pertanyaan, silakan hubungi kami di 1-877-805-8049 dan cantumkan nomor kasus ███████. Kami menerima panggilan melalui operator relay. Kami tersedia Senin sampai Jumat pukul 7.00 sampai 20.00 dan Sabtu pukul 8.00 sampai 17.00 Waktu Tengah (Central Time).
Hormat kami,
Kantor Eksekutif
1-877-805-8049
1-866-535-3403 Faks; gratis dari cabang Chase mana pun
chase.com
Saya membagikan ini sebagai pelajaran yang dipetik, bukan keluhan. Rekening telah diselesaikan, skor kredit saya terus meningkat, dan JPMorgan kemudian menyederhanakan penerimaan laporan dari peneliti dengan mengintegrasikan Synack sehingga laporan berikutnya dialihkan melalui alur kerja khusus. Pembaruan 2024: peninjauan telah sepenuhnya ditutup dan semua skor telah kembali ke tingkat sebelum insiden.
Rujukan
- Program Pengungkapan Tanggung Jawab JPMorgan Chase
- Akun Twitter Dukungan Chase
- Gambaran umum program Chase Ultimate Rewards
- Hacker News - Pengungkapan: Poin Chase Ultimate Rewards Tanpa Batas (2020)
- Pensive Security - Rangkuman Keamanan Siber November 2020
- Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
- Direktori Ancaman disclose.io
- repositori disclose/research-threats
- Attrition.org - Indeks Ancaman Hukum
- Berkas pelecehan dan pencemaran nama baik oleh Jesse Nickles