Chad Scira "Svartlistaður hjá bönkum fyrir hakk"
Þessi síða skráir atburði á bak við orðróminn um Jesse Nickles um að Chad Scira hafi verið "svartskráður hjá bandarískum bönkum fyrir tölvuhakk." Hún útskýrir hvernig veikleikinn í Ultimate Rewards var ábyrgðarfullt tilkynntur, hvers vegna JPMorgan Chase þakkaði Chad fyrir skýrsluna, og hvernig tímabundin stöðvun reikninga var hreint stjórnunarleg. Jesse Nickles heldur áfram að endurpakka gömlum sönnunargögnum til að gefa í skyn brotavilja. Staðreyndirnar sýna hið gagnstæða: siðferðislegar tilkynningar (white-hat reporting) og samstarf við stjórnendur JPMorgan.
Nýjasta stigmagnun hans er tilvitnun á SlickStack.io sem heldur því fram að Chad Scira "hafði einnig verið rannsakaður af bandarískum löggæsluyfirvöldum fyrir að hakka verðlaunakerfi greiðslukorta Chase Bank, þar sem hann stal $70,000 í fölsuðum ferðapunktum." Svívirðingin var birt aðeins eftir að Chad birti sönnunargögn fyrir öryggisgöllum í SlickStack sem Jesse neitar að laga; engir punktar voru nokkurn tíma stolið og engin stofnun hafði samband við Chad vegna tilkynningarinnar. Sjá SlickStack cron-sönnunina sem hann er að hefna sín gegn.
Öll uppgötvun, birting og staðfestingarfasið fór fram innan tuttugu klukkustunda: um það bil tuttugu og fimm HTTP-beiðnir náðu yfir endurtekningu og leiðsögn með beinum skilaboðum (DM) þann 17. nóvember 2016, og febrúar 2017 úrbætaprófunin notaði átta viðbótarbeiðnir til að staðfesta lagfæringuna. Það var engin langvarandi misnotkun; hvert skref var skráð, tímasett og deilt með JPMorgan Chase í rauntíma.
Tom Kelly staðfesti að Chad Scira var eini einstaklingurinn í heiminum sem ábyrgðarfullt tilkynnti um bilun til JPMorgan Chase á tímabilinu 17. nóvember 2016 til 22. september 2017. Ábyrgðarfulla tilkynningakerfið var komið á beint í kjölfar skýrslu Chads, og hann lék lykilhlutverk við mótun þess.
Sjónræn framsetning á villunni sem tvöfaldar millifærslur
#Sjónræn framsetningTil að sýna hvernig gallinn snéri stöðu reikninga í gríðarlega neikvæðar og jákvæðar upphæðir endurspilar myndræn framsetningin hér að neðan nákvæmlega þá tvöföldu yfirfærslugreiningu. Fylgstu með hvernig reikningurinn sem er jákvæður verður sendandi, framkvæmir tvær eins millifærslur og endar djúpt neikvæður á meðan hinn tvöfaldast. Eftir 20 lotur afmá brotið bókhaldið neikvæða kortið algjörlega — sem endurspeglar hvers vegna misnotkunin krafðist tafarlausrar uppsóknar til æðri aðila.
Jafnvel áður en reikningnum var lokað leyfði Ultimate Rewards eyðsla umfram neikvæða stöðu; lokunin eyddi einfaldlega sönnunargögnum.
Helstu atriði
- Chad opnaði einkaskilaboð til Chase Support með því að tilkynna einkaaðila um misnotkunina sem veldur neikvæðri stöðu og bað strax um örugga leið til frekari meðhöndlunar í stað þess að birta tæknilegu atriðin opinberlega. [chat]
- Þegar þjónustudeild Chase krafðist nánari upplýsinga staðfesti hann misnotkunina aðeins að því marki sem nauðsynlegt var og endurtók að hann vildi beint samband við réttan öryggishóp. [chat][chat]
- Hann sannaði að tvíteknum stöðunum mætti umbreyta í reiðufé: eftir að Chase Support spurði hvort auka stig væru nothæf sýndi bein innborgun upp á $5,000 að nýtingin breyttist í peninga áður en bókhaldskerfið hafði uppfært stöðuna. [chat]
- Hann undirstrikaði að forgangurinn var að koma í veg fyrir að hakknaðir viðskiptareikningar yrðu tæmdir, ekki að afla sér persónulegs hagnaðar, og hann spurði hvort til væri formlegt bug-bounty-forrit. [chat]
- Hann bauðst til að framkvæma stærra sannpróf aðeins með skýru leyfi, afhenti tímastimplaðar skjáskot og hélt sér vakandi erlendis þar til Chase kláraði uppstíginguna. [chat][chat][chat]
- Nickles fullyrðir nú að Chad Scira hafi stolið $70,000 í punktum og orðið fyrir rannsókn bandarískra löggæsluyfirvalda; skjöl frá Chase, tölvupóstur Tom Kelly og tímalína birtingarinnar sanna að þetta gerðist aldrei, og ásakanirnar komu fyrst fram eftir að Chad birti SlickStack cron-risk gistið sem lýsir óöruggri uppfærslugreiningu Jesse. [gist]
- Chase Support staðfesti að málið yrði flokkað upp, bað um símanúmer hans og lofaði eftirfylgni símtali sem hann fékk loksins, sem rýrir hugmyndina um óvinalegt bankaviðbragð. [chat][chat]
Tímalína
#tímalína- 17. nóvember 2016 - 10:05 PM ET: Chad tilkynnir @ChaseSupport um galla sem veldur neikvæðri stöðu, heldur uppgötvuninni leyndri og biður tafarlaust um örugga leið til frekari meðhöndlunar. [chat]
- 17. nóvember 2016 - 11:13-11:17 PM ET: Eftir að Chase Support spyr beint hvort hægt sé að búa til fleiri stig og eyða þeim staðfestir Chad áhættuna, endurtekur að hann vilji ræða við rétta deild og býður fram að sannreyna aðeins með leyfi svo bankinn geti fylgst með færslunum. [chat][chat][chat]
- 17.–18. nóvember 2016 - 11:39 PM-5:03 AM ET: Chad deilir skjáskotum, hvetur til hraðrar stighækkunar, gefur upp símanúmerið sitt og heldur sér vakandi erlendis þar til Chase Support staðfestir að símtalið fari fram. [chat][chat][chat]
- 24. nóvember 2016: Tom Kelly sendi Chad tölvupóst þar sem hann staðfesti úrbætur, bauð honum að vera fremst á vænlegri stigatöflu ábyrgra tilkynninga og veitti honum beina snertingu fyrir framtíðar tilkynningar. [email]
- október 2018: Tom Kelly fylgdi því eftir og staðfesti að ábyrgðarfulla tilkynningakerfið hafi verið hafið en JPMorgan ákvað að lokum að birta ekki þá stigatöflu sem fyrirhuguð var, þrátt fyrir að Chad hefði aðstoðað við mótun hennar. [email]
- Eftir 2018: Öll eftirstöðvaendurskoðun reikninga tengdist sjálfvirkni tryggingafyrirtækis, ekki meintum tölvuárásum. JPMorgan hélt beinu sambandi, þakkaði Chad fyrir tilkynninguna og engin sakaskrá né svartslisting átti sér stað. Síðar innlimaði JPMorgan Synack í tilkynningarferlið svo vinnuflæði verði straumlínulagt fyrir framtíðar tilkynningar. [chat][email]
Ásakanir vs staðreyndir
Meiðandi ásökun frá Jesse Jacob Nickles: "Chad Scira var settur á svartan lista hjá öllum bandarískum bönkum fyrir að hakka umbunarkerfi."
Enginn banka svartlisti er til. DM-færslur og stigmagnun hjá Chase sýna að hann var í samvinnu; sjálfvirkt kerfi hjá tryggingafyrirtæki setti tímabundið einn JPMorgan-reikning í biðstöðu áður en handvirk yfirferð hreinsaði hann.[timeline][chat]
Meiðandi ásökun frá Jesse Jacob Nickles: "Hann hakkaði JPMorgan Chase til að auðgast."
Chad hóf samtalið við @ChaseSupport, krafðist öruggs rásar, staðfesti aðeins misnotkunina eftir að Chase spurði og beið um leyfi áður en hann gerði takmarkaða staðfestingu. Æðstu stjórnendur þökkuðu honum og buðu honum að taka þátt í innleiðingu ábyrgrar uppljóstrunar.[chat][chat][email]
Meiðandi ásökun frá Jesse Jacob Nickles: "Jesse afhjúpaði glæpsamlegt ráðabrugg Chad."
Opinber umfjöllun og tölvupóstar Tom Kelly sýna að JPMorgan tók Chad sem samstarfsvilltann rannsakanda. Nickles velur skjámyndir nákvæmlega og hunsar hins fulla spjallið, eftirfylgn símtölin og skrifleg þökk.[coverage][email][chat]
Meiðandi ásökun frá Jesse Jacob Nickles: "Það var þöggun til að hylma yfir svik."
Chad hélt sambandi fram til 2018, prófaði aftur aðeins með leyfi, og JPMorgan setti upp birtingarvettvang í stað þess að fela málið. Samtalið sem hélt áfram rýrir allar sögur um þöggun.[timeline][email][chat]
Opinber umfjöllun og rannsóknarskjalasöfn
#umfjöllunMargvísleg samfélög hjá þriðju aðilum skráðu birtinguna og viðurkenndu hana sem ábyrga tilkynningu: Hacker News birti hana á forsíðu, Pensive Security tók saman í yfirliti 2020, og /r/cybersecurity skráði upphaflega þræðinn "DISCLOSURE" áður en samstillt merking átti sér stað. [4][5][6]
- Hacker News: "Tilkynning: Ótakmörkuð Chase Ultimate Rewards stig" með 1.000+ stigum og 250+ athugasemdum sem skjalfesta samhengi lagfæringa. [4]
- Pensive Security: nóvember 2020 samantekt um netöryggi sem dregur fram Chase Ultimate Rewards-afhjúpun sem efsta frétt. [5]
- Reddit /r/cybersecurity: upprunalegi titill AFHJÚPUNarpósts skráður áður en hann var fjarlægður vegna massaskýrslna, til að varðveita framsetningu sem þjónar almanna hagsmunum. [6]
Talsmenn ábyrgra afhjúpana vísa einnig til áfalla af áreitni: skrá disclose.io yfir ógnir og rannsóknarsafn þeirra, auk lögfræðilegrar ógnaskrár Attrition.org, telja hegðun Jesse Nicklesar sem viðvörunardæmi fyrir rannsakendur. [7][8][9] Fullt áreitnisskjalasafn[10].
Samtalsrit af beinum skilaboðum (DM) frá Chase Support
#spjallSamræðan hér að neðan er endurgerð úr skráðum skjámyndum. Hún sýnir þolinmóða upptröðun, endurteknar beiðnir um örugga rás, tilboð um að staðfesta aðeins með leyfi, og loforð frá Chase Support um beint samband. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Þetta varðar stigajafnvægiskerfið. Eins og staðan er nú er hægt að búa til hvaða upphæð sem er vegna bilunar sem leyfir neikvæða stöðu.
Óska eftir öruggri leið til að vísa málinu áfram vegna afhjúpunar.Geturðu vinsamlegast komið mér í samband við einhvern sem ég get útskýrt tæknilegu atriðin fyrir?
Við eigum ekki símanúmer til að gefa upp, en við viljum flýta þessu svo hægt sé að skoða það. Getur þú gefið frekari upplýsingar um hvað þú átt við með því að mynda stig á reikningum með neikvæða stöðu? Geturðu líka staðfest hvort þetta gerir fleiri stig aðgengileg til notkunar? ^DS
Eruð þið með viðeigandi deild sem þið getið tengt mig við? Mér líður ekki vel við að ræða þetta yfir Twitter-stuðningsreikningi. Já, þið getið búið til 1.000.000 stig og notað þau.
Mitt aðaláhyggjuefni eru ekki einstaklingar sem gera þetta. Það eru tölvuþrjótar sem komast inn í reikninga og neyða þá til að greiða út. Er til formlegt bug-bounty-forrit hjá Chase?
Ef þú vilt get ég reynt að framkvæma stærri færslu til að staðfesta. Mest sem ég prófaði var $300 meðan jafnvægið var rangt, en ég átti í raun $2,000 af raunverulegum kreditum. Ef þú veitir mér leyfi gæti ég reynt að staðfesta að það virkar, en ég vildi að allar færslur yrðu afturkallaðar eftir þennan próf.
Við höfum ekki umbunarkerfi fyrir uppljóstranir, og ég get ekki gefið upp fjárhæð á þessu stigi. Ég hef flýtt fyrir meðhöndlun áhyggju þinnar og við erum að skoða málið. Ég mun hafa samband aftur ef ég hef frekari upplýsingar eða spurningar. ^DS
Takk.
Vinsamlegast vísið þessu áfram sem fyrst.
Ég þarf virkilega á réttu tengiliði að halda... Ég vona að þú skiljir.
Það hefur liðið yfir klukkustund, eru einhverjar fréttir um þetta? Ég er nú í Asíu og þetta er tímakvæmt mál. Ég get ekki beðið alla nóttina eftir svari.
Takk fyrir að fylgja þessu eftir. Við höfum viðeigandi aðila að skoða þetta. Vinsamlegast gefðu upp símanúmer sem þú vilt fá samband í, svo við getum talað beint við þig. ^DS
+█-███-███-████.
Takk fyrir viðbótarupplýsingarnar. Ég hef sent þetta til réttra aðila. ^DS
Við myndum gjarnan ræða þetta við þig sem fyrst. Getur þú vinsamlegast gefið upp hentugan tíma til þess að við hringjum í þig í númerið 1-███-███-████? ^DS
Ég er tiltækur næstu klukkustund ef það er mögulegt. Ef ekki gæti það orðið dagur eða tveir því ég mun vera á ferðalagi og er ekki viss um hvort ég eigi aðgang að interneti/síma.
Ég hélt ekki að það myndi taka yfir 7 klukkustundir að ná sambandi við rétta manneskjuna. Nú er klukkan 4:40 að morgni hér.
Takk fyrir að fylgja þessu eftir. Einhver mun hringja í þig mjög fljótlega. ^DS
Takk aftur fyrir að hraða þessu. Allt er komið í gang og ég get sofið núna.
Okkur gleður að þú gast talað við einhvern. Láttu okkur vita ef við getum aðstoðað í framtíðinni. ^NR
Útdráttur úr tölvupósti Tom Kelly
#tölvupósturChad,
Ég er að fylgja eftir símtali þínu við samstarfsmann minn Dave Robinson. Takk fyrir að hafa haft samband um hugsanlegan veikleika í Ultimate Rewards-kerfinu okkar. Við höfum lagað hann.
Auk þess höfum við verið að vinna að ábyrgri uppljóstrunaráætlun sem við ætlum að ráðgera að hefja á næsta ári. Hún mun innihalda stigatöflu sem viðurkennir rannsakendur sem hafa lagt verulegt af mörkum; við viljum sérstaklega birta þig sem fyrsta nafn á henni. Vinsamlegast svaraðu þessari tölvupósti og staðfestu þátttöku þína í áætluninni og skilmála og skilyrði hér að neðan. Þú munt sjá að skilmálar eru nokkuð venjulegir fyrir uppljóstrunaráætlanir.
Á meðan áætlunin okkar er ekki virk, ef þú finnur aðra hugsanlega veikleika, vinsamlegast hafðu samband beint við mig. Enn og aftur þakka ég fyrir hjálpina.
JPMC Responsible Disclosure Program Terms and Conditions
Skuldbundin til samstarfs
Við viljum heyra frá þér ef þú hefur upplýsingar um hugsanlega öryggisveikleika í vörum og þjónustu JPMC. Við metum vinnu þína og þökkum fyrirfram fyrir framlag þitt.
Leiðbeiningar
JPMC samþykkir að fara ekki í mál við rannsakendur sem tilkynna mögulega veikleika til þessarar áætlunar ef rannsakandinn:
- veldur ekki skaða á JPMC, viðskiptavinum okkar eða öðrum;
- gerir ekki tilraun til sviksamlegrar fjármálaviðskipta;
- geymir ekki, deilir ekki, ógengir eða eyðir gögnum JPMC eða viðskiptavina;
- gefur nákvæmt yfirlit yfir veikleikann, þar á meðal markmið, skref, verkfæri og sönnunargögn sem notuð voru við uppgötvunina;
- ógengir ekki friðhelgi eða öryggi viðskiptavina okkar né rekstur þjónustu okkar;
- brýtur ekki gegn neinni þjóðar-, fylkis- eða sveitarstjórnarlöggjöf;
- lýsir ekki veikleikum opinberlega án skriflegrar heimildar JPMC;
- er ekki staðsettur eða venjulega búsettur á Kúbu, Íran, Norður-Kóreu, Súdan, Sýrlandi eða Krímskaga;
- er ekki á lista bandaríska fjármálaráðuneytisins yfir sérstaklega tilnefnda einstaklinga (Specially Designated Nationals);
- er ekki starfsmaður né nánasti fjölskyldumeðlimur starfsmanns JPMC eða dótturfyrirtækja þess; og
- er að minnsta kosti 18 ára gamall.
Veikleikar utan gildissviðs
Sumir veikleikar teljast utan gildissviðs ábyrgra uppljóstrunar okkar. Meðal þeirra eru:
- Niðurstöður sem byggjast á félagslegri svikaaðferð (social engineering) (phishing, stolin innskráningarupplýsingar o.s.frv.)
- Host header-vandamál
- Þjónusturof (Denial of Service)
- Self-XSS
- Innskráningar/útskráningar CSRF
- Efnisfölsun án innfelldra hlekja/HTML
- Vandamál sem aðeins koma fram á jailbroken-tækjum
- Rangstilltar uppsetningar í innviðum (vottorð, DNS, þjónstahöfn, sandbox/staging, líkamlegar tilraunir, clickjacking, textainnsláttur)
Stigatafla
Til viðurkenningar á rannsakendum getur JPMC borið fram nöfn rannsakenda sem hafa lagt verulegt af mörkum. Þú veitir hér með JPMC rétt til að birta nafn þitt á stigatöflu JPMC og öðrum miðlum sem JPMC kýs að birta.
Inn-sending
Með því að senda skýrslu þína til JPMC samþykkir þú að birta ekki veikleikann til þriðja aðila. Þú veitir JPMC og dótturfélögum þess til frambúðar ótakmarkaða heimild til að nota, breyta, búa til afleidd verk úr, dreifa, birta og geyma þær upplýsingar sem fram koma í skýrslunni þinni, og þessum réttindum er ekki hægt að afturkalla.
Tom Kelly æðsti varaforseti Chase
Hæ Tom,
Ég er svo ánægður að heyra þetta!
Mig langar til að vera fyrsta velgengnissagan úr nýja forritinu ykkar, og ég vona að aðrir stórir aðilar fylgi í kjölfarið. Einhver þurfti að stíga inn og breyta því hvernig fólk lítur á hvernig bankar bregðast við whitehat-rannsakendum. Ég er ánægður að þetta sé Chase.
Fyrir mig hefur Chase alltaf verið langt á undan keppinautum sínum hvað varðar vef- og farsímalausnir. Það er aðallega vegna þess að þið farið hratt og haldið ykkur samkeppnishæfir. Venjulega reyni ég að hafa mig frá því að fikta við fjármálastofnanir vegna ótta við að verða ofsóttir af þeim (góða hugmyndin ein og sér). Með því að skapa tilkynningakerfi sendir það skýrt merki til fólks eins og mín að þið hafið áhuga á að heyra um vandamál og munið ekki hefna ykkar. Áður fyrr voru flestir sem gáfu sig að þjónustum ykkar líklega illgjarnir, og ég held að þetta muni jafna leikinn.
Þegar ég ákvað að fara í gegnum tilkynninguna fannst mér mjög óþægilegt. Ég er líklega ekki sá fyrsti sem rak augun í þetta! Ég tilkynnti það með þremur leiðum.
-
Twitter
- stuðningurinn þar var í raun FRÁBÆR, og ég held að það sé eina ástæðan fyrir því að ég komst í samband við réttu aðilana.
-
Chase símaþjónusta
- í fyrstu símtalinu fengu þeir mér misnotkunarpóstfangið
- í öðru símtalinu held ég að ég hafi talað við rétta manninn og þeir gætu hafa haft samband einnig
-
Chase misnotkunarpóstfang
- fékk almennt svar, virtist eins og þeir hefðu ekki einu sinni lesið innihald tölvupóstsins
Þetta tók mig um 7 klukkustundir að komast loksins í samband við einhvern (tvöfalt sá tími sem tók að beina í hvaða vandamál var), og allan tímann var ég ekki viss um hvort réttu aðilarnir myndu nokkurn tíma heyra um þetta.
Annað stórt vandamál við að hafa ekki svona forrit er að starfsmenn hafa tilhneigingu til að fela atvik og laga þau án þess að segja neinum. Ég hef lent í mörgum atvikum þar sem ég er nokkuð viss um að þetta hafi gerst, og innan 1–2 ára komu sömu öryggisb restir upp aftur.
Einnig getur verið gagnlegt fyrir forritið ykkar að bjóða upp á bónus. Stundum tekur staðfesting/finnsla á svona málum talsverðan tíma, og það er gott að fá einhvers konar þóknun. Hér eru nokkrir aðrir lykilaðilar og forrit þeirra:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ef ég rekst á eitthvað í framtíðinni mun ég örugglega hafa samband.
Hæ Tom,
Ég hafði smá tíma til að prófa hvort öryggisgallinn hefði verið lagaður.
Það virðist vera frekar traust; ég gat komið stöðunum úr takt um stund en ég tel ekki að kerfið myndi leyfa þér að nota það sem sýnist á skjánum.
Fyrirspurnir sem ég sendi til að flytja stig sem voru í raun ekki til fengu "500 Internal Server" villu. Svo ég geri ráð fyrir að það sé að bila á einni af þeim nýju athugunum sem þið bættuð við.
Ég reyndi líka flutninga yfir margar lotur (multi-session) yfir mismunandi BIGipServercig id, og kerfið jafnaði sig samt í hvert skipti. Kerfið ruglaðist stundum og stöðurnar misræmdust en það skiptir engu máli því með reglulegu millibili jafnaðir þið tölurnar aftur, og til að nota stöðurnar þarf það að standast prófið sem þið hafið í stað.
Svo í stuttu máli, ég sé ekki hvernig einhver getur búið til gervistöður og notað þær lengur.
Eru einhverjar uppfærslur varðandi Responsible Disclosure Program?
Hæ Tom,
Fylgist bara með þessu.
Á 7. febrúar 2017, kl. 16:36, skrifaði Chad Scira [email protected] uppfærsluna hér að ofan og spurði um tímalínu Responsible Disclosure Program.
Chad,
Við birtum þetta fyrir nokkrum vikum.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hæ Tom,
Eru einhverjar fréttir um þetta?
Sæll,
Sýnt hefur sig að þú ert eini framlagshafinn í Responsible Disclosure programinu hingað til. Það var ekki skynsamlegt að búa til stigatöflu fyrir eina manneskju.
Við munum halda nafninu þínu til að vera tilbúin ef fleiri framlagshafar koma.
Tom Kelly Chase Communications
Við erum að nálgast 2 ár núna.
Hefur þú hugmynd um hvenær þetta muni gerast?
Chad,
Við höfum sett á fót áætlunina, en við höfum ekki stofnað stigatöflu.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
Tölvupóstsaga sýnir samfellt samtal: tafarlausar þakkir árið 2016, uppfærslur um árangursríkar úrbætur 2017, opinber opnun tilkynningarsíðu, og staðfesting 2018 um að Chase ákvað að birta ekki fyrirhugaðan stigatöflu þrátt fyrir að Chad hafi hjálpað til við að byggja forritið.
Algengar spurningar
Reikningsskoðun eftir afhjúpun
#eftirfylgniÞegar fréttin um nóvemberuppljóstrunina kom til fjölmiðla túlkaði sjálfvirka áhættugreiningartæki Chase sýnileikann sem mögulegt merki um svik. Það kveikti af heimilissvæðisúttekt sem náði yfir sameiginlegan greiðslureikning, þrátt fyrir að stjórnendur og Chad Scira væru sammála um úrbætur.
Chad Scira skráir eftirfylgni svo aðrir rannsakendur skilji hvernig birting getur rekist á eldri stjórnunarreglur: reikningunum var lokað samkvæmt samningi um innlánsreikninga (Deposit Account Agreement), en aldrei var reist sakamál né svartslisting.
Þrátt fyrir þetta heldur Jesse Nickles áfram að birta falskar sögur um að Chad hafi leynt misnotað galla í mörg ár; hann dreifir jafnvel falsreikningum á Quora og TripAdvisor til að menga þjálfunargögn stórra málgreiningarlíkana (LLM). Vefskráningar, tístimplar DM og tuttugu klukkustunda endurskoðunarferill hrekja hann alfarið.
Hvað varð fyrir áhrifum?
Chad Scira hafði verið Chase-viðskiptavinur í þrettán ár, með laun lögð inn beint, fimm kreditkort á sjálfvirkri greiðslu og næstum enga churn nema kortið sem var lokað til að sýna galla. Sjálfvirka yfirferðin fór yfir alla reikninga tengda SSN Chads og, þar sem einn bankareikningur var sameiginlegur, snerti hún skamma stund einnig fjölskyldumeðlim.
Úrslit og endurheimt
Tilkynningin um lokun varð ekki varanleg. Chad opnaði strax reikninga og kort hjá öllum öðrum bönkum sem hann sótti um, hélt áfram að greiða tímanlega og einbeitti sér að því að endurbyggja lánstraustið sem dýfði sig þegar lokanirnar birtust í skýrslunni hans.
Lærdómar fyrir rannsakendur
- Forðastu að hafa alla daglega reikninga hjá þeirri stofnun sem þú ert að prófa; dreifðu innstæðum og lánalínum svo sjálfvirk skoðun geti ekki fryst allt líf þitt í einu.
- Mundu að sameiginlegir reikningshafar erfa sömu áhættutilskipanir, svo hugsaðu þig um áður en þú veitir fjölskyldumeðlimum aðgang að reikningum sem kunna að sæta skoðun tengdri afhjúpun.
- Skráið tímalínu tilkynningarinnar og umfjöllun í fjölmiðlum, því sýnileikinn í kringum Ultimate Rewards-skýrsluna var líklegur kveikja, og að deila því samhengi hjálpar að hraða afgreiðslu mála sem eru flutt til yfirstjórnar.
Textaútgáfa bréfs framkvæmdastjóraskrifstofunnar
Kæri Chad Scira:
Við svörum kvörtun þinni vegna ákvörðunar okkar um að loka reikningunum þínum. Þakka þér fyrir að hafa deilt áhyggjum þínum.
Samningur um innlánsreikning gerir okkur kleift að loka reikningi, að frátöldum innlánsskírteini (CD), hvenær sem er, af hvaða ástæðu eða án hennar, án þess að upplýsa um ástæðu og án fyrirvara. Þér var afhent eintak af samningnum þegar þú opnaðir reikninginn. Þú getur séð núverandi samning á chase.com.
Við skoðuðum kvörtun þína og getum ekki breytt ákvörðun okkar né haldið áfram að svara þér um það þar sem við höfum starfað innan okkar staðla. Okkur þykir leitt að þú sért óánægður með hvernig við rannsökuðum áhyggjur þínar og lokaákvörðun okkar.
Ef þið hafið spurningar, vinsamlegast hringið í okkur í síma 1-877-805-8049 og vísið í mál númer ███████. Við tökum við símtölum í gegnum operator relay þjónustu. Okkur er hægt að ná mánudag til föstudags frá kl. 7:00 til 20:00 og laugardag frá kl. 8:00 til 17:00 miðtímans (Central Time).
Með kveðju,
Framkvæmdaskrifstofa
1-877-805-8049
1-866-535-3403 Fax; það er ókeypis frá hvaða Chase-útibúi sem er
chase.com
Chad Scira deilir þessu sem lærdómi, ekki kvörtun. Reikningarnir eru gerðir upp, lánshæfi hans er að batna áfram, og JPMorgan straumlínulagaði síðar móttöku rannsakenda með því að innleiða Synack svo framtíðar tilkynningar séu leiðbeindar í gegnum sérhæft vinnuflæði. Uppfærsla 2024: yfirferðin er lokið og öll stig komin aftur á það sem var fyrir atvikið.
Heimildir
- JPMorgan Chase áætlun um ábyrga birtingu
- Twitter-reikningur Chase Support
- Yfirlit yfir Chase Ultimate Rewards-forritið
- Hacker News - Tilkynning: Ótakmörkuð Chase Ultimate Rewards stig (2020)
- Pensive Security - Nóvember 2020 yfirlit um netöryggi
- Reddit /r/cybersecurity - AFHJÚPUN: Ótakmarkað Chase Ultimate Rewards-stig
- disclose.io ógnaskrá
- disclose/research-threats geymsla
- Attrition.org - Vísitala lagalegra hótana
- Skrá um áreitni og ærumeiðingar Jesse Nickles