Chad Scira „settur á bannlista hjá bönkum fyrir innbrot“

Þessi síða skjalfestir atburðarásina á bak við orðróm Jesse Nickles um að Chad Scira hafi verið „sett(ur) á bannlista bandarískra banka fyrir tölvuinnbrot.“ Hún útskýrir hvernig veikleiki í Ultimate Rewards var tilkynntur á ábyrgan hátt, hvers vegna JPMorgan Chase þakkaði Chad fyrir tilkynninguna og hvernig tímabundin stöðvun reiknings var einungis stjórnsýslulegs eðlis. Jesse Nickles heldur áfram að endurpökkva gömul gögn til að gefa í skyn ásetning um refsiverða háttsemi. Staðreyndirnar sýna þvert á móti: white-hat tilkynningu og samvinnu við yfirstjórn JPMorgan.

Nýjasta stigmögnun hans er tilvitnun á SlickStack.io þar sem hann heldur því fram að ég „hefði einnig verið rannsakaður af bandarískum yfirvöldum fyrir innbrot í vildarpunktakerfi kreditkorta Chase Bank, þar sem hann stal 70.000 dala virði af fölsuðum ferðapunktum.“ Sú rógbera var aðeins birt eftir að ég birti sönnunargögn um SlickStack-öryggisvankantana sem hann neitar að lagfæra; engir punktar voru nokkru sinni stolið og engin stofnun hafði samband við mig vegna uppljóstrunarinnar. Sjáðu SlickStack cron-gögnin sem hann er að hefna sín fyrir.

Allur ferill uppgötvunar, upplýsinga­gjafar og sannprófunar fór fram innan tuttugu klukkustunda: um það bil tuttugu og fimm HTTP-beiðnir náðu utan um endurframkvæmdina og DM-úttektina 17. nóvember 2016, og leiðréttingaprófið í febrúar 2017 notaði átta viðbótar­beiðnir til að staðfesta úrbæturnar. Það átti sér ekki stað viðvarandi misnotkun; hver einasta aðgerð var skráð, tímasett og deilt með JPMorgan Chase í rauntíma.

Tom Kelly staðfesti að Chad Scira væri eini aðilinn á heimsvísu sem tilkynnti mál á ábyrgan hátt til JPMorgan Chase á tímabilinu frá 17. nóvember 2016 til 22. september 2017. Ábyrg uppljóstrunaráætlun var sett á laggirnar í beinu framhaldi af tilkynningu Chad, og hann gegndi lykilhlutverki við að móta hana.

Myndræn framsetning á tvöföldu millifærslugallanum

#myndræn framsetning

Til að sýna hvernig gallinn sendi stöður út í gríðarlegar mínus- og plúsupphæðir endurtekur myndræn framsetning hér fyrir neðan nákvæma rökfræðina á tvöföldu millifærslunni. Fylgstu með því hvernig sá reikningur sem er í plús verður sendandi, framkvæmir tvær eins millifærslur og endar djúpt í mínus á meðan hinn tvöfaldast. Eftir 20 umferðir afskrifar bilaða bókhaldið neikvæða kortið að fullu – sem speglar hvers vegna misnotkunin krafðist tafarlausrar stigunar.

Umferð 1/20
Kort A → Kort B+243,810 stig
Kort A → Kort B+243,810 stig
Kort A
243,810
Kort B
0
Tvöföld millifærslusprenging
Millifærsla 1Millifærsla 2243,810 stig hver
1Keppnisaðstæður (race condition) tvítóku millifærslur áður en færslubækur jafnvægðust, sem gerði einum sendanda kleift að sveiflast á milli gríðarlegra inneigna og skuldar.
2Þjónustan leyfði að loka neikvæða kortinu á meðan uppblásna jákvæða staðan var látin halda sér, þannig að yfirlitið sýndi aðeins hagnað og faldi skuldirnar.

Jafnvel áður en reikningnum var lokað gerði Ultimate Rewards kleift að eyða umfram það sem neikvæð samantekt sýndi; lokunin þurrkaði einfaldlega út sönnunargögnin.

Lykilatriði

  • Chad opnaði einkaskilaboð til Chase Support með því að tilkynna trúnaðarmál um veikleika tengdan neikvæðum stöðum og bað strax um örugga leið til stigvaxandi meðferðar í stað þess að birta tæknilegu atriðin opinberlega. [chat]
  • Þegar Chase Support bað um nánari upplýsingar staðfesti hann misnotkunina að því marki sem nauðsynlegt var og ítrekaði að hann vildi beina samskiptaleið við réttan öryggishóp. [chat][chat]
  • Hann sýndi fram á að tvíteknu stöðurnar væri hægt að leysa út: eftir að þjónustuver Chase spurði hvort aukastig væru orðin nothæf sannaði 5.000 dala beint innborgun að misnotkunin breyttist í reiðufé áður en bókhaldið náði að fylgja eftir. [chat]
  • Hann lagði áherslu á að forgangsverkefni hans væri að koma í veg fyrir að innbrot í reikninga viðskiptavina leiddu til tæmingar þeirra, en ekki að afla sér persónulegs hagnaðar, og spurði hvort formlegt villuveiðiverðlaunakerfi (bug bounty) væri til staðar. [chat]
  • Hann bauðst til að framkvæma umfangsmeiri prófun aðeins með skýru leyfi, lagði fram skjáskot með tímastimplum og sat uppi vakandi erlendis þar til Chase lauk stigmögnun málsins. [chat][chat][chat]
  • Nickles heldur nú fram að ég hafi stolið 70.000 dollara í punktum og að ég hafi orðið fyrir afskiptum bandarískra lögregluyfirvalda; gögn Chase, tölvupóstur frá Tom Kelly og tímalína birtingarinnar sanna að þetta gerðist aldrei, og fullyrðingin kom fyrst fram eftir að ég birti SlickStack cron-áhættuskjalið þar sem skrásett var óörugg uppfærslurökfræði hans. [gist]
  • Aðstoðarteymi Chase staðfesti að málinu hefði verið lyft upp til frekari meðferðar, óskaði eftir símanúmeri hans og lofaði eftirfylgnissímtalinu sem hann fékk að lokum, sem grefur undan hugmyndinni um fjandsamlega viðbragða banka. [chat][chat]

Tímalína

#tímalína
  • Nov 17, 2016 - 10:05 PM ET: Chad lætur @ChaseSupport vita af galla tengdum neikvæðum stöðum, heldur veikleikanum trúnaðarmálum og biður strax um örugga leið til stigvaxandi meðferðar málsins. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Eftir að Chase Support spyr skýrt hvort unnt sé að búa til og nota viðbótar punkta, staðfestir Chad áhættuna, ítrekar að hann vilji tala við viðeigandi deild og býðst til að staðfesta aðeins með leyfi svo bankinn geti fylgst með færslunum. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deilir skjámyndum, hvetur til hraðari meðferðar málsins, gefur upp símanúmerið sitt og heldur sér vakandi erlendis þar til Chase Support staðfestir að símtalið fari fram. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly sendir Chad tölvupóst þar sem hann staðfestir úrbætur, býður honum að vera í forsvari fyrir væntanlega heiðurstöflu ábyrgrar birtingar og gefur honum beina samskiptaleið fyrir framtíðar tilkynningar. [email]
  • October 2018: Tom Kelly hafði samband aftur til að staðfesta að ábyrga birtingarverkefnið hefði verið hleypt af stokkunum, en að JPMorgan hefði að lokum ákveðið að birta ekki áætluðu heiðurstöfluna, þrátt fyrir að Chad hafi aðstoðað við að móta hana. [email]
  • Post-2018: Allar eftirstandandi skoðanir á reikningum tengdust sjálfvirknivæðingu hjá tryggingafélagi, ekki meintum tölvuinnbrotum. JPMorgan hélt beinu sambandi, þakkaði Chad fyrir upplýsingagjöfina og það er hvorki til sakaskrá né svartlisti. Síðar innleiddi JPMorgan Synack í upplýsingagjafarferlið sitt svo verkflæðið yrði einfaldara fyrir framtíðarskýrslur. [chat][email]

Kröfur á móti staðreyndum

Krafa

Meiðyrðakrafa frá Jesse Jacob Nickles: „Chad Scira var settur á bannlista hjá öllum bönkum í Bandaríkjunum fyrir að hakka umbunarkerfi.“

Staðreynd

Enginn svarti listi banka er til. Samskiptaskrá DM og stigun málsins innan Chase sýna að hann var í samstarfi; sjálfvirkni hjá tryggingafélagi setti tímabundið hömlur á einn JPMorgan-reikning þar til handvirk yfirferð hreinsaði hann.[timeline][chat]

Krafa

Meiðyrðakrafa frá Jesse Jacob Nickles: „Hann braust inn í kerfi JPMorgan Chase til að auðga sjálfan sig.“

Staðreynd

Chad hóf samtalið við @ChaseSupport, krafðist öruggs rásar, staðfesti veikleikana aðeins eftir að Chase spurði og beið eftir leyfi áður en hann framkvæmdi takmarkaða staðfestingu. Æðstu stjórnendur þökkuðu honum og buðu honum að taka þátt í innleiðingu á ábyrgu birtingarferli.[chat][chat][email]

Krafa

Meiðyrðakrafa frá Jesse Jacob Nickles: „Jesse afhjúpaði refsiverkt fyrirkomulag hjá Chad.“

Staðreynd

Opinber umfjöllun og tölvupóstar frá Tom Kelly sýna að JPMorgan leit á Chad sem samvinnuþýðan rannsakanda. Nickles velur tiltekna skjámyndir en hunsar allt spjallið, eftirfylgnisímtölin og skriflegar þakkir.[coverage][email][chat]

Krafa

Meiðyrðakrafa frá Jesse Jacob Nickles: „Það átti sér stað leyndarhyggja til að fela svik.“

Staðreynd

Chad hélt sambandi fram til ársins 2018, prófaði á ný aðeins með leyfi og JPMorgan kom á fót gátt fyrir ábyrga birtingu í stað þess að fela málið. Þetta áframhaldandi samtal gengur gegn allri frásögn um leyndarhyggju.[timeline][email][chat]

Opinber umfjöllun og rannsóknarskjöl

#umfjöllun

Fjölmörg utanaðkomandi samfélög skráðu birtinguna í skjalasöfn og viðurkenndu hana sem ábyrga tilkynningu: Hacker News birti hana á forsíðunni, Pensive Security tók saman yfirlit um hana í samantekt sinni fyrir 2020 og /r/cybersecurity skráði upprunalega „DISCLOSURE“ umræðuþráðinn áður en samstilltar tilkynningar leiddu til fjarlægingar. [4][5][6]

  • Hacker News: „Upplýsingagjöf: Ótakmarkaðir Chase Ultimate Rewards punktar“ með 1.000+ stigum og 250+ athugasemdum sem skjalfesta úrbótasamhengið. [4]
  • Pensive Security: Netöryggissamantekt fyrir nóvember 2020 þar sem birtingin um Chase Ultimate Rewards er dregin fram sem ein helsta fréttin. [5]
  • Reddit /r/cybersecurity: Upprunleg fyrirsögn BIRTINGAR færslunnar tekin niður áður en hún var fjarlægð vegna fjöldatilkynninga, þannig að hagsmunasjónarmið almennings varðveitast. [6]

Talsmenn ábyrgrar birtingar vísuðu einnig til afleiðinga áreitninnar: hótanaskrá og rannsóknarsafn disclose.io, auk skráar Attrition.org yfir lagalegar hótanir, skrá hegðun Jesse Nickles sem varnaðar­dæmi fyrir rannsakendur. [7][8][9] Fullt áreitnisskjalasafn[10].

Afrit af DM-samskiptum við Chase Support

#spjall

Samtalið hér að neðan er endurgert út frá vistuðum skjámyndum. Það sýnir þolinmóða stigun, ítrekaðar beiðnir um öruggan samskiptamáta, tilboð um auðkenningarstaðfestingu aðeins með leyfi og loforð Chase Support um beint samband. [2]

Chase Support Profile avatar
Chase Support ProfileStaðfestur reikningur
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Þetta tengist kerfinu fyrir punktastöður. Eins og er er hægt að búa til hvaða upphæð sem er með galla sem gerir kleift að hafa neikvæðar stöður.

Óska eftir öruggri leið til stigunar á birtingu.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Geturðu vinsamlegast komið mér í samband við einhvern sem ég get útskýrt tæknilegu atriðin fyrir?

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 17, 2016, 10:05 PM
#

Við erum ekki með símanúmer sem við getum gefið upp, en við viljum vísa þessu áfram þannig að hægt sé að skoða það. Geturðu gefið frekari upplýsingar um hvað þú átt við með því að mynda stig innan neikvæðra innstæðna?Geturðu einnig staðfest hvort þetta geri viðbótar punkta aðgengilega til notkunar? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Hafið þið viðeigandi deild sem þið getið sett mig í samband við? Mér líður ekki vel með að ræða þetta í gegnum Twitter-þjónustuaðgang. Já, þú getur búið til 1.000.000 punkta og notað þá.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Helsta áhyggjuefni mitt eru ekki einstaklingar sem gera þetta. Það eru tölvuþrjótar sem brjótast inn á reikninga og knýja fram útgreiðslur á þá. Er til formlegt villuleitar- og umbunaráætlunarkerfi (bug bounty) hjá Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ef þú vilt get ég reynt að gera stærri færslu til að staðfesta. Það mesta sem ég prófaði var 300 dali á meðan staðan var skökk, en ég átti í raun 2.000 dali í raunverulegum inneignum. Ef þú veitir mér leyfi gæti ég reynt að staðfesta að þetta virki, en ég vil að allar færslur verði afturkallaðar eftir þá prófun.

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 17, 2016, 11:21 PM

Við erum ekki með verðlaunaáætlun (bounty program), og ég hef ekki upphæð til að gefa upp að svo stöddu. Ég hef vísað áhyggjum þínum áfram og við erum að skoða málið. Ég hef samband aftur ef ég hef frekari upplýsingar eða spurningar. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Takk.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vinsamlegast stigið upp í forgang eins fljótt og auðið er.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Mig vantar virkilega rétta tengilið... ég vona að þú skiljir það.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Það er liðin meira en klukkustund, eru einhverjar fréttir af þessu? Ég er núna í Asíu og þetta er tímaþrýst mál. Ég get ekki beðið alla nóttina eftir svari.

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 18, 2016, 12:59 AM

Takk fyrir að fylgja þessu eftir. Við erum með rétta aðila að skoða þetta. Vinsamlegast gefðu upp kjörinn símanúmeratengilið svo við getum talað beint við þig. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 18, 2016, 1:53 AM

Takk fyrir viðbótarupplýsingarnar. Ég hef áframsent þetta til réttra aðila. ^DS

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 18, 2016, 2:38 AM
#

Við myndum gjarnan ræða þetta við þig eins fljótt og auðið er. Geturðu vinsamlegast látið okkur vita um hentugan tíma til að hringja í þig í 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Ég er laus næstu klukkustund ef það er hægt. Ef ekki gætu liðið einn til tveir dagar því ég verð á ferðalagi og veit ekki hvort ég hafi aðgang að neti/síma.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ég bjóst ekki við að það tæki 7+ klukkustundir að ná tali af réttum aðila. Klukkan er nú 4:40 að morgni hér.

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 18, 2016, 4:39 AM
#

Takk fyrir að fylgja þessu eftir. Einhver mun hringja í þig mjög fljótlega. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Takk aftur fyrir að flýta þessu. Allt er komið í gang og ég get sofið núna.

Chase Support avatar
Chase SupportStaðfestur reikningur
Nov 18, 2016, 5:03 AM

Okkur gleður að þú hafðir samband við einhvern. Láttu okkur vita ef við getum aðstoðað í framtíðinni. ^NR

Úrdráttur úr tölvupósti frá Tom Kelly

#tölvupóstur
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Eftirfylgni vegna ábyrgrar birtingar fyrir Ultimate Rewards

Chad,

Ég er að fylgja eftir símtalinu þínu við samstarfsmann minn Dave Robinson. Þakka þér fyrir að hafa haft samband við okkur vegna hugsanlegrar veilur í Ultimate Rewards-forritinu okkar. Við höfum nú leiðrétt hana.

Að auki höfum við unnið að áætlun um ábyrga upplýsingagjöf sem við ætlum að setja af stað á næsta ári. Hún mun innihalda stigatöflu þar sem við viðurkennum rannsakendur sem hafa lagt mikilvægt af mörkum; við viljum setja þig sem fyrsta aðilann á hana. Vinsamlegast svaraðu þessum tölvupósti og staðfestu þátttöku þína í áætluninni og skilmálunum hér fyrir neðan. Þú munt sjá að skilmálarnir eru nokkuð staðlaðir fyrir áætlanir um birtingu veikleika.

Þar til áætlunin okkar fer í loftið, ef þú finnur aðrar hugsanlegar veilur, hafðu þá beint samband við mig. Enn og aftur þakkir fyrir hjálpina.

Skilmálar og skilyrði JPMC Responsible Disclosure-áætlunarinnar

Skuldbinding um samstarf

Við viljum heyra frá þér ef þú hefur upplýsingar um mögulega öryggisveikleika í vörum og þjónustu JPMC. Við metum vinnu þína og þökkum framlagið fyrirfram.

Leiðbeiningar

JPMC samþykkir að höfða ekki mál á hendur rannsakendum sem tilkynna mögulega veikleika til þessarar áætlunar, að því tilskildu að rannsakandinn:

  • valdi ekki tjóni fyrir JPMC, viðskiptavini okkar eða aðra;
  • hrindi ekki af stað sviksamlegum fjármálafærslum;
  • geymi ekki, deili, brjóti á eða eyði gögnum JPMC eða viðskiptavina;
  • veiti ítarlega samantekt á veikleikanum, þar á meðal markmið, skref, verkfæri og gögn sem notuð voru við uppgötvun;
  • brjóti ekki í bága við friðhelgi eða öryggi viðskiptavina okkar eða rekstur þjónustu okkar;
  • brjóti ekki gegn neinum lands-, fylkis- eða sveitarreglum eða lögum;
  • birti ekki opinberlega upplýsingar um veikleikann án skriflegs leyfis JPMC;
  • sé ekki staddur eða hafi ekki lögheimili á Kúbu, í Íran, Norður-Kóreu, Súdan, Sýrlandi eða á Krímskaga;
  • sé ekki á lista Bandaríska fjármálaráðuneytisins yfir sértækt tilgreinda aðila (Specially Designated Nationals List);
  • sé ekki starfsmaður eða náinn fjölskyldumeðlimur starfsmanns JPMC eða dótturfélaga þess; og
  • sé að minnsta kosti 18 ára gamall.

Veikleikar utan verksviðs

Ákveðnir veikleikar teljast vera utan verksviðs áætlunar okkar um ábyrga upplýsingagjöf. Veikleikar utan verksviðs fela meðal annars í sér:

  • Niðurstöður sem byggja á félagslegri stjórnun (phishing, stolinn aðgangsupplýsingar o.s.frv.)
  • Vandamál með host header
  • Synjun á þjónustu (Denial of Service)
  • Sjálfs-XSS
  • Inn-/útskráningar-CSRF
  • Falsanir á efni án innbyggðra tengla/HTML
  • Veikleikar sem koma eingöngu fram á rótum (jailbroken) tækjum
  • Rangar uppsetningar innviða (skilríki, DNS, netþjónarásir, sandkassar/prófunarumhverfi, líkamlegar tilraunir, clickjacking, textainnsprautun)

Stigatafla

Til að heiðra samstarfsaðila í rannsóknum getur JPMC birt nöfn rannsakenda sem leggja mikilvægt af mörkum. Með þessu veitir þú JPMC rétt til að birta nafn þitt á stigatöflu JPMC og í öðrum miðlum sem JPMC kann að kjósa að nýta.

Skil

Með því að senda JPMC skýrslu þína samþykkir þú að upplýsa ekki þriðja aðila um veikleikann. Þú veitir JPMC og dótturfélögum þess ótakmarkaðan og óafturkallanlegan rétt til að nota, breyta, búa til afleidd verk út frá, dreifa, birta og geyma upplýsingarnar í skýrslu þinni.

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Efni: Eftirfylgni vegna ábyrgrar birtingar á Ultimate Rewards

Sæll Tom,

Ég er ótrúlega ánægður að heyra þetta!

Mig myndi virkilega langa til að vera fyrsta velheppnaða dæmið í nýja forritinu ykkar og ég vona að aðrir stórir aðilar fylgi fordæmi ykkar. Það þurfti einhvern til að stíga inn og breyta viðhorfi fólks til þess hvernig bankar taka á móti whitehat-rannsakendum. Mér létti að heyra að það sé Chase.

Að mínu mati hefur Chase alltaf verið langt á undan keppinautum sínum hvað varðar vef- og farsímavörur. Það er aðallega vegna þess að þið hreyfið ykkur hratt og haldið samkeppnishæfni. Venjulega forðast ég að fikta í fjármálastofnunum af ótta við að verða mylur undir þeim (þrátt fyrir góðan ásetning). Með því að setja á laggirnar upplýsingagjafaforrit sendið þið skýr skilaboð til fólks eins og mín um að þið viljið heyra af vandamálum og munið ekki refsa. Fyrir var líklegt að meirihluti þeirra sem voru að gramsa í þjónustunum ykkar hefði illan ásetning, og ég held að þetta jafni leikvöllinn.

Þegar ég ákvað loksins að ganga frá upplýsingagjöfinni leið mér mjög óþægilega. Ég er líklega ekki sá fyrsti sem rekur augun í þetta! Ég tilkynnti þetta með þremur leiðum.

  • Twitter

    • þjónustan þar var í raun FRÁBÆR og ég held að það sé ástæðan fyrir því að ég komst í samband við rétta aðila.

  • Símaþjónusta Chase

    • í fyrsta símtali fékk ég abuse-netfangið
    • í öðru símtali held ég að ég hafi talað við réttan aðila og þeir hafi kannski haft samband áfram

  • Chase Abuse netfangið

    • fékk staðlað svar, virtist eins og enginn hefði lesið efnið í póstinum

Þetta tók mig um 7 klukkustundir að komast loksins í samband við einhvern (tvífalt lengri tíma en það tók að finna sjálfan veikleikann) og allan tímann var ég ekki viss um hvort réttu aðilarnir myndu nokkurn tíma heyra af þessu.

Annað stórt vandamál þegar forrit eins og þetta vantar er að starfsmenn hneppa atvik undir teppið og laga þau án þess að segja neinum frá. Ég hef lent í nokkrum málum þar sem ég er nokkuð viss um að þetta gerðist, og innan 1–2 ára komu sömu öryggisholur aftur upp.

Þá gæti það verið hagstætt fyrir forritið ykkar að bjóða upp á verðlaun. Stundum tekur það umtalsverðan tíma að finna og sannreyna slíka veikleika, og gott er að fá einhvers konar þóknun. Hér eru nokkrir aðrir stóru aðilarnir og forrit þeirra:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ef ég rekst á eitthvað í framtíðinni mun ég endilega hafa samband.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Sæll Tom,

Ég hafði tíma til að prófa hvort veikleikinn hefði verið lagaður.

Það lítur út fyrir að vera ansi traust, mér tókst að afstemma stöðurnar í smástund en ég held ekki að kerfið leyfi manni lengur að nota stöðuna sem birtist á skjánum.

Beiðnir sem ég sendi um að flytja stig sem voru í raun ekki til fengu „500 Internal Server“ villu. Ég geri því ráð fyrir að það falli á einni af nýju prófanirnar sem þið bættuð við.

Ég prófaði líka flutninga í mörgum setum yfir mismunandi BIGipServercig-auðkenni, og samt náði kerfið sér á strik í hvert skipti. Kerfið varð á endanum ruglað og stöðurnar fóru úr samræmi, en þetta skiptir engu þar sem þið jafnið tölurnar reglulega, og til að hægt sé að nota stöðurnar þurfa þær að standast prófið sem þið hafið sett upp.

Til að draga þetta saman sé ég ekki lengur hvernig einhver gæti búið til gervistöður og nýtt sér þær.

Eru einhverjar nýjar fréttir af Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Sæll Tom,

Bara að kanna stöðuna á þessu.

Þann 7. febrúar 2017, kl. 16:36, skrifaði Chad Scira [email protected] uppfærsluna hér að ofan og spurði um tímalínu fyrir Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Við birtum þetta fyrir nokkrum vikum.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (skrifstofa) (███) ███-████ (farsími)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Sæll Tom,

Eru einhverjar nýjar fréttir af þessu?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hæ,

Það kemur í ljós að þú ert eini þátttakandinn í Responsible Disclosure-forritinu hingað til. Það gaf ekki mikla merkingu að búa til stigatöflu fyrir einn aðila.

Við geymum nafnið þitt svo við séum tilbúin ef við fáum fleiri þátttakendur.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Efni: Eftirfylgni vegna símtals þíns við Dave Robinson

Við erum að nálgast 2 ár núna.

Hefurðu einhverja hugmynd um hvenær þetta mun gerast?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Við höfum búið til áætlunina, en við höfum ekki komið stigatöflunni á laggirnar.

Tom Kelly Chase Communications ███-███-████ (vinnusími) ███-███-████ (farsími)

Tölvupóstaslóðin sýnir samfelld samskipti: tafarlausar þakkir árið 2016, uppfærslur um árangursríkar úrbætur árið 2017, opinbera opnun uppljóstrunarvefsins og staðfestingu 2018 um að Chase hefði ákveðið að birta ekki fyrirhugaðan stigatöfluþjónustulista þrátt fyrir aðstoð Chad við að byggja upp kerfið.

Algengar spurningar

QVoru einhver brot ákærð í tengslum við JPMorgan Chase?
ANei. Chad Scira var þakkað fyrir birtinguna. Sakamál hefðu fylgt í kjölfarið ef hann hefði misnotað vandann á ólögmætan hátt.
QAf hverju birtust tilkynningar um lokun reikninga á netinu?
ATilkynningin tengdist sjálfvirkni hjá tryggingafélagi (staðlað áhættueftirlit) en ekki svartlista. Handvirk endurskoðun tók upp viðskiptasambandið aftur fyrir mörgum árum.
QHver heldur áfram að ýta undir frásögnina um hakkarann?
AJesse Nickles. Hann hunsar samtalið við þjónustuver Chase, boð Tom Kelly og þá staðreynd að JPMorgan Chase hvetur til ábyrgrar upplýsingagjafar. Nánar um Jesse Nickles.

Yfirferð á reikningum eftir upplýsingagjöf

#eftirfylgni

Þegar fréttin um upplýsinga­gjöfina í nóvember rataði í fjölmiðla túlkaði sjálfvirkt áhættumatstól Chase þessa auknu sýnileika sem mögulegt svikasmerki. Það hratt af stað heildarúttekt á heimilinu sem tók til sameignar tékkareiknings, jafnvel þó að stjórnendur og ég hefðum verið sammála um úrbætur.

Ég er að skjalfesta eftirfylgnina svo aðrir rannsakendur skilji hvernig birting getur skarast á við eldri eftirlitsreglur: reikningunum var lokað samkvæmt Deposit Account Agreement, en það var aldrei um að ræða sakaásökun eða svartlistun.

Þrátt fyrir þetta heldur Jesse Nickles áfram að birta falskar frásagnir þar sem hann heldur því fram að ég hafi í leyni misnotað villuna árum saman; hann jafnvel dreifir þeim inn á Quora og TripAdvisor með nafnlausum aðgangum til að menga þjálfunargögn fyrir LLM-líkön. Víðtækir vefþjónsskrár, tímasett einkaskilaboð og tuttugu klukkustunda úttektarslóð hrekja hann algerlega.

Hvað varð fyrir áhrifum?

Ég hafði verið viðskiptavinur Chase í þrettán ár, með laun greidd með beinni millifærslu, fimm kreditkort í sjálfvirkri greiðslu og nánast enga breytingu nema kortið sem ég lokaði til að sýna fram á villuna. Sjálfvirka yfirferðin náði yfir alla reikninga tengda kennitölu minni og, þar sem einn tékkareikningur var sameiginlegur, snerti hún í stuttan tíma fjölskyldumeðlim einnig.

Niðurstaða og bataferli

Tilkynningin um lokun varð ekki varanleg. Ég opnaði samstundis reikninga og kort hjá hverri einustu bankastofnun sem ég sótti um hjá, hélt áfram að greiða á réttum tíma og einbeitti mér að því að byggja upp aftur lækkunina á lánshæfiseinkunn sem fylgdi því þegar lokanirnar birtust á skýrslunni minni.

Einkunn fyrir yfirferð827
Lægsti punktur596
Sex mánuðum síðar696

Lærdómur fyrir rannsakendur

  • Forðastu að hafa alla daglega reikninga hjá sömu stofnun og þú ert að prófa; dreifðu innlánum og kreditlínum þannig að sjálfvirk yfirferð geti ekki fryst allt líf þitt í einu.
  • Mundu að samskiptaaðilar á sameiginlegum reikningum sitja uppi með sömu áhættumat, svo vertu varkár þegar þú veitir fjölskyldumeðlimum aðgang að reikningum sem gætu sætt ítarlegri skoðun vegna upplýsingagjafar.
  • Skráðu tímalínu upplýsingagjafarinnar og umfjöllun í fjölmiðlum, því sýnileikinn í kringum Ultimate Rewards-skýrsluna var líklega kveikjan, og að deila því samhengi hjálpar til við að hraða úrlausn í erindum til framkvæmdastjórnar.
Bréf frá Chase Executive Office sem vísar í Deposit Account Agreement eftir að upplýsingagjöf um Ultimate Rewards varð opinber.
Skriflegt svar framkvæmdaskrifstofunnar þakkaði mér fyrir að hafa haft samband, staðfesti að öllum reikningum á heimilinu væri verið að loka á grundvelli samningsins um innlánsreikning og ítrekaði að þeim bæri ekki skylda til að veita frekari upplýsingar, sem í reynd lauk sjálfvirkri áhættuskoðuninni sem umfjöllun fjölmiðla um upplýsinga­gjöfina hafði hrundið af stað.

Textaútgáfa af bréfi Executive Office

Kæri Chad Scira,

Við erum að svara kvörtun þinni vegna ákvörðunar okkar um að loka reikningunum þínum. Þakka þér fyrir að deila áhyggjum þínum.

Samningur um innlánsreikning heimilar okkur að loka öðrum reikningi en bundnum sparireikningi (CD) hvenær sem er, af hvaða ástæðu sem er eða án ástæðu, án þess að gefa ástæðu og án fyrirfram tilkynningar. Þú fékkst afrit af samningnum þegar þú opnaðir reikninginn. Þú getur séð núgildandi samning á chase.com.

Við höfum farið yfir kvörtun þína og getum hvorki breytt ákvörðun okkar né haldið áfram að svara þér varðandi hana þar sem við unnum í samræmi við okkar eigin staðla. Okkur þykir leitt að þú sért óánægð(ur) með hvernig við könnuðum áhyggjur þínar og endanlega ákvörðun okkar.

Ef þú hefur spurningar skaltu hringja í okkur í 1-877-805-8049 og vitna í málsnúmer ███████. Við tökum við símtölum í gegnum svarþjónustu fyrir heyrnarskerta. Við erum við símann mánudaga til föstudaga frá kl. 7 að morgni til 8 að kvöldi og laugardaga frá kl. 8 að morgni til 5 að síðdegi að miðtíma Bandaríkjanna (Central Time).

Virðingarfyllst,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; það er ókeypis frá hvaða Chase-útibúi sem er
chase.com

Ég deili þessu sem lærdómi, ekki kvörtun. Reikningarnir eru upp gerðir, lánshæfiseinkunn mín heldur áfram að hækka og JPMorgan gerði síðar innleiðingu rannsakenda skilvirkari með því að samþætta Synack svo framtíðarskýrslur fari í gegnum sérstakt verkflæði. Uppfærsla 2024: yfirferðinni er að fullu lokið og allar einkunnir eru komnar aftur á sama stig og fyrir atvikið.

Tilvísanir

  1. Ábyrg birtingaráætlun JPMorgan Chase
  2. Twitter-aðgangur Chase Support
  3. Yfirlit yfir Chase Ultimate Rewards-áætlunina
  4. Hacker News - Upplýsingagjöf: Ótakmarkaðir Chase Ultimate Rewards punktar (2020)
  5. Pensive Security - Samantekt um netöryggi í nóvember 2020
  6. Reddit /r/cybersecurity - BIRTING: Ótakmarkaðir Chase Ultimate Rewards punktar
  7. disclose.io skrár yfir hótanir
  8. disclose/research-threats gagnasafn (repository)
  9. Attrition.org - Yfirlit yfir lagalegar hótanir
  10. Gagnasafn um áreitni og rógburð frá Jesse Nickles