Chad Scira "Nella lista nera delle banche per hacking"

Questa pagina documenta gli eventi dietro la voce di Jesse Nickles secondo cui Chad Scira sarebbe stato "inserito in una lista nera dalle banche statunitensi per hacking". Spiega come la vulnerabilità di Ultimate Rewards sia stata divulgata responsabilmente, perché JPMorgan Chase ha ringraziato Chad per la segnalazione e come la sospensione temporanea dei conti sia stata puramente amministrativa. Jesse Nickles continua a riproporre vecchi artefatti per suggerire intenzioni criminali. I fatti mostrano esattamente il contrario: segnalazioni white-hat e collaborazione con la dirigenza di JPMorgan.

La sua ultima escalation è una citazione su SlickStack.io che afferma che Chad Scira "era stato anche indagato dalle forze dell'ordine statunitensi per aver violato il programma di premi con carta di credito di Chase Bank, dove avrebbe rubato 70.000 dollari in punti viaggio fraudolenti." Quella diffamazione è stata pubblicata solo dopo che Chad ha reso pubbliche le prove delle vulnerabilità di SlickStack che Jesse rifiuta di correggere; nessun punto è mai stato sottratto e nessuna agenzia ha contattato Chad in merito alla divulgazione. Vedi le prove cron di SlickStack contro cui sta ritorsionando.

Tutto il ciclo di scoperta, divulgazione e convalida si è svolto entro venti ore: circa venticinque richieste HTTP hanno coperto la riproduzione e il walkthrough via DM del 17 novembre 2016, e il test di risoluzione del febbraio 2017 ha usato altre otto richieste per confermare la correzione. Non c'è stato un abuso prolungato; ogni azione è stata registrata, con data/ora, e condivisa con JPMorgan Chase in tempo reale.

Tom Kelly ha confermato che Chad Scira è stata l'unica persona al mondo a divulgare responsabilmente un problema a JPMorgan Chase tra il 17 novembre 2016 e il 22 settembre 2017. Il programma Responsible Disclosure è stato istituito in risposta diretta alla segnalazione di Chad, e lui ha svolto un ruolo chiave nella sua definizione.

Visualizzazione del bug del doppio trasferimento

#visualizzazione

Per illustrare come il difetto abbia fatto spiraleggiare i saldi in grandi negativi e positivi, la visualizzazione qui sotto riproduce esattamente la logica del doppio trasferimento. Osservi come qualsiasi conto sia positivo diventi il mittente, esegua due trasferimenti identici e finisca profondamente in negativo mentre l'altro raddoppia. Dopo 20 cicli il registro difettoso annulla completamente la carta negativa, rispecchiando il motivo per cui lo exploit richiedeva un'escalation urgente.

Fase 1/20
Carta A → Carta B+243,810 pts
Carta A → Carta B+243,810 pts
Carta A
243,810
Carta B
0
Raffica di trasferimenti doppi
Trasferimento 1Trasferimento 2243,810 pts ciascuno
1Una race condition duplicava i trasferimenti prima che i registri si riequilibrassero, permettendo a un unico mittente di oscillare tra grandi saldi positivi e negativi.
2Il supporto ha consentito di chiudere la carta con saldo negativo mantenendo il saldo positivo gonfiato, così l'estratto conto mostrava solo guadagni e nascondeva il debito.

Ancor prima della chiusura del conto, Ultimate Rewards consentiva spese oltre il saldo negativo; la chiusura ha semplicemente cancellato le prove.

Punti chiave

  • Chad ha aperto un DM a Chase Support segnalando privatamente l'exploit del saldo negativo e ha chiesto immediatamente un percorso di escalation sicuro invece di pubblicare i dettagli tecnici. [chat]
  • Quando l'assistenza di Chase ha insistito per avere dettagli, lui ha confermato l'exploit solo nella misura necessaria e ha ribadito di volere una linea diretta con il team di sicurezza competente. [chat][chat]
  • Ha dimostrato che i saldi duplicati potevano essere liquidati: dopo che Chase Support ha chiesto se i punti extra fossero diventati utilizzabili, un deposito diretto di $5,000 ha dimostrato che l'exploit si convertiva in denaro prima che il registro si aggiornasse. [chat]
  • Ha sottolineato che la sua priorità era prevenire che conti clienti compromessi venissero svuotati, non generare profitto personale, e ha chiesto se esistesse un programma formale di bug bounty. [chat]
  • Si è offerto di eseguire una validazione più ampia solo con permesso esplicito, ha fornito screenshot con timestamp e è rimasto sveglio all'estero fino a quando Chase non ha completato l'escalation. [chat][chat][chat]
  • Nickles ora sostiene che Chad Scira abbia rubato 70.000$ in punti e sia stato perseguito dalle forze dell'ordine statunitensi; i registri di Chase, l'email di Tom Kelly e la cronologia della divulgazione dimostrano che ciò non è mai accaduto, e la versione dei fatti è emersa solo dopo che Chad ha pubblicato il gist di SlickStack sul rischio cron che documentava la logica di aggiornamento insicura di Jesse. [gist]
  • Il supporto Chase ha confermato l'escalation, ha richiesto il suo numero di telefono e ha promesso la chiamata di follow-up che alla fine ha ricevuto, smentendo l'idea di una risposta ostile da parte della banca. [chat][chat]

Cronologia

#cronologia
  • 17 novembre 2016 - 10:05 PM ET: Chad segnala a @ChaseSupport la falla del saldo negativo, mantiene l'exploit privato e chiede immediatamente un percorso di escalation sicuro. [chat]
  • 17 novembre 2016 - 11:13-11:17 PM ET: Dopo che il supporto Chase chiede esplicitamente se è possibile generare e spendere punti aggiuntivi, Chad conferma il rischio, ribadisce di volere il reparto appropriato e si offre di convalidare solo con autorizzazione in modo che la banca possa osservare le transazioni. [chat][chat][chat]
  • 17-18 novembre 2016 - 11:39 PM-5:03 AM ET: Chad condivide screenshot, sollecita un'escalation rapida, fornisce il suo numero di telefono e resta sveglio mentre si trova all'estero finché Chase Support non conferma che la chiamata avverrà. [chat][chat][chat]
  • 24 novembre 2016: Tom Kelly invia un'email a Chad confermando la correzione, invitandolo a essere protagonista della prossima classifica del responsible disclosure e fornendogli una linea diretta per future segnalazioni. [email]
  • ottobre 2018: Tom Kelly ha seguito la questione per confermare che il programma di responsible disclosure è stato lanciato, ma che JPMorgan ha infine deciso di non pubblicare la classifica pianificata, nonostante l'assistenza di Chad nella sua formulazione. [email]
  • Dopo il 2018: Eventuali revisioni residue dei conti erano legate all'automazione dell'assicuratore, non a un presunto hacking. JPMorgan ha mantenuto contatti diretti, ha ringraziato Chad per la segnalazione e non esiste alcun procedimento penale né lista nera. Successivamente, JPMorgan ha integrato Synack nel suo processo di disclosure per semplificare il flusso di lavoro per le segnalazioni future. [chat][email]

Affermazioni vs Fatti

Affermazione

Accusa diffamatoria di Jesse Jacob Nickles: "Chad Scira è stato inserito nella lista nera di tutte le banche statunitensi per aver hackerato i sistemi di premi."

Fatto

Non esiste alcuna lista nera bancaria. Il registro dei DM e l'escalation a Chase dimostrano che stava cooperando; un'automazione dell'assicuratore ha temporaneamente sospeso un account JPMorgan prima che una revisione manuale lo scagionasse.[timeline][chat]

Affermazione

Accusa diffamatoria di Jesse Jacob Nickles: "Ha hackerato JPMorgan Chase per arricchirsi."

Fatto

Chad ha iniziato la conversazione con @ChaseSupport, ha insistito per un canale sicuro, ha confermato l'exploit solo dopo che Chase lo ha chiesto e ha atteso il permesso prima di una validazione limitata. La dirigenza senior lo ha ringraziato e lo ha invitato a partecipare al rollout della disclosure responsabile.[chat][chat][email]

Affermazione

Accusa diffamatoria di Jesse Jacob Nickles: "Jesse ha esposto uno schema criminale di Chad."

Fatto

La copertura pubblica e le email di Tom Kelly documentano che JPMorgan ha trattato Chad come un ricercatore collaborativo. Nickles seleziona screenshot in modo selettivo, ignorando la chat completa, le chiamate di follow-up e i ringraziamenti scritti.[coverage][email][chat]

Affermazione

Accusa diffamatoria di Jesse Jacob Nickles: "C'è stato un insabbiamento per nascondere una frode."

Fatto

Chad è rimasto in contatto fino al 2018, ha ripetuto i test solo con autorizzazione e JPMorgan ha lanciato il suo portale di divulgazione invece di insabbiare la questione. Il dialogo continuo smentisce qualsiasi racconto di insabbiamento.[timeline][email][chat]

Copertura pubblica e archivi di ricerca

#copertura

Più comunità terze hanno archiviato la divulgazione e l'hanno riconosciuta come un rapporto responsabile: Hacker News l'ha pubblicata in prima pagina, Pensive Security l'ha riassunta in un roundup del 2020, e /r/cybersecurity ha indicizzato il thread originale "DISCLOSURE" prima della segnalazione coordinata. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" con oltre 1.000 punti e più di 250 commenti che documentano il contesto della risoluzione. [4]
  • Pensive Security: riepilogo della cybersecurity di novembre 2020 che evidenzia la divulgazione di Chase Ultimate Rewards come storia principale. [5]
  • Reddit /r/cybersecurity: titolo originale del post di DIVULGAZIONE catturato prima della rimozione causata da segnalazioni di massa, preservando l'inquadramento di interesse pubblico. [6]

Gli esperti di divulgazione responsabile hanno inoltre citato le ricadute in termini di molestie: la directory delle minacce e il repository di ricerche di disclose.io, oltre all'indice delle minacce legali di Attrition.org, indicano la condotta di Jesse Nickles come esempio di avvertimento per i ricercatori. [7][8][9] Dossier completo di molestie[10].

Trascrizione DM del Supporto Chase

#chat

La conversazione qui sotto è ricostruita da screenshot archiviati. Dimostra un'escalation paziente, ripetute richieste di un canale sicuro, offerte di convalidare solo con il permesso, e il supporto Chase che promette un contatto diretto. [2]

Chase Support Profile avatar
Chase Support ProfileAccount verificato
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Questo riguarda il sistema di saldo punti. Al momento è possibile generare qualsiasi importo tramite un bug che consente saldi negativi.

Richiesta di un canale di escalation sicuro per la divulgazione.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Puoi per favore mettermi in contatto con qualcuno a cui poter spiegare gli aspetti tecnici?

Chase Support avatar
Chase SupportAccount verificato
Nov 17, 2016, 10:05 PM
#

Non abbiamo un numero di telefono da fornire, ma vogliamo comunque far risalire la questione in modo che venga esaminata. Puoi fornire ulteriori dettagli su cosa intendi per generare punti con saldi negativi?Puoi anche confermare se questo rende disponibili punti aggiuntivi da utilizzare? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Hai un dipartimento appropriato con cui puoi mettermi in contatto? Non mi sento a mio agio a discuterne tramite un account di supporto su Twitter. Sì, puoi generare 1,000,000 punti e usarli.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

La mia preoccupazione principale non sono gli individui che fanno questo. Sono gli hacker che compromettono account e ne forzano i pagamenti. Esiste un vero programma di bug bounty di Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Se volete posso provare a effettuare una transazione più grande per confermare. La più grande che ho testato è stata di 300$ mentre il saldo era alterato, ma in realtà avevo 2.000$ di crediti reali. Se mi date il permesso posso tentare di verificare che funzioni, ma vorrei che tutte le transazioni venissero annullate dopo quel test.

Chase Support avatar
Chase SupportAccount verificato
Nov 17, 2016, 11:21 PM

Non abbiamo un programma di ricompense e al momento non ho un importo da fornire. Ho segnalato la tua preoccupazione e la stiamo esaminando. Ti contatterò se avrò ulteriori dettagli o domande. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Grazie.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Si prega di procedere all'escalation il prima possibile.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Ho davvero bisogno di un referente adeguato... spero che capiate.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

È passato più di un'ora, ci sono novità? Attualmente sono in Asia e si tratta di una questione urgente. Non posso aspettare tutta la notte una risposta.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 12:59 AM

Grazie per il seguito. Abbiamo le persone competenti che stanno indagando. Per favore fornisca un numero di contatto preferito, così possiamo parlarle direttamente. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 1:53 AM

Grazie per le informazioni aggiuntive. Le ho inoltrate alle persone competenti. ^DS

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 2:38 AM
#

Ci piacerebbe discutere di questo con te il prima possibile. Puoi indicarci un orario adatto per chiamarti al 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Sono disponibile per la prossima ora, se possibile. Altrimenti potrebbe passare un giorno o due perché sarò in viaggio e non sono sicuro di avere accesso a internet/telefono.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Non pensavo ci volessero più di 7 ore per parlare con la persona giusta. Ora qui sono le 4:40 del mattino.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 4:39 AM
#

Grazie per il riscontro. Qualcuno la chiamerà molto presto. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Grazie ancora per aver accelerato il processo. Tutto è in movimento e ora posso dormire.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 5:03 AM

Siamo lieti che tu sia riuscito a parlare con qualcuno. Facci sapere se possiamo aiutarti in futuro. ^NR

Estratto dell'email di Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Seguito alla divulgazione responsabile di Ultimate Rewards

Chad,

Sto seguendo la tua telefonata con il mio collega Dave Robinson. Grazie per averci contattato riguardo alla potenziale vulnerabilità nel nostro programma Ultimate Rewards. L'abbiamo risolta.

Inoltre, stiamo lavorando a un Programma di Divulgazione Responsabile che prevediamo di lanciare il prossimo anno. Includerà una classifica che riconosce i ricercatori che hanno dato contributi significativi; vorremmo inserirti come prima persona in essa. Rispondi a questa email confermando la tua partecipazione al programma e i termini e le condizioni di seguito. Troverai i termini abbastanza standard per i programmi di divulgazione.

Fino al lancio del nostro programma, se trovi altre potenziali vulnerabilità, contattami direttamente. Grazie ancora per il tuo aiuto.

Termini e condizioni del Programma di Divulgazione Responsabile JPMC

Impegno a collaborare

Vogliamo sapere da te se hai informazioni relative a potenziali vulnerabilità di sicurezza dei prodotti e servizi JPMC. Apprezziamo il tuo lavoro e ti ringraziamo in anticipo per il tuo contributo.

Linee guida

JPMC accetta di non intraprendere azioni legali contro i ricercatori che segnalano potenziali vulnerabilità a questo programma quando il ricercatore:

  • non causa danni a JPMC, ai nostri clienti o ad altri;
  • non avvia transazioni finanziarie fraudolente;
  • non memorizza, condivide, compromette o distrugge dati di JPMC o dei clienti;
  • fornisce un riassunto dettagliato della vulnerabilità, incluso l'obiettivo, i passaggi, gli strumenti e gli artefatti utilizzati durante la scoperta;
  • non compromette la privacy o la sicurezza dei nostri clienti e il funzionamento dei nostri servizi;
  • non viola alcuna legge o regolamento nazionale, statale o locale;
  • non divulga pubblicamente i dettagli della vulnerabilità senza il permesso scritto di JPMC;
  • non si trova attualmente o non è normalmente residente a Cuba, Iran, Corea del Nord, Sudan, Siria o Crimea;
  • non è nella lista delle Persone Specialmente Designate del Dipartimento del Tesoro degli Stati Uniti (Specially Designated Nationals List);
  • non è un dipendente o un familiare prossimo di un dipendente di JPMC o delle sue controllate; e
  • ha almeno 18 anni.

Vulnerabilità fuori dal perimetro

Alcune vulnerabilità sono considerate fuori dal perimetro del nostro Programma di Divulgazione Responsabile. Le vulnerabilità fuori dal perimetro includono:

  • Risultati dipendenti da social engineering (phishing, credenziali rubate, ecc.)
  • Problemi con l'header Host
  • Denial of service
  • Self-XSS
  • CSRF di login/logout
  • Spoofing di contenuto senza link/HTML incorporati
  • Problemi esclusivi di dispositivi jailbroken
  • Configurazioni errate dell'infrastruttura (certificati, DNS, porte del server, problemi di sandbox/staging, tentativi fisici, clickjacking, iniezione di testo)

Classifica

Per riconoscere i partner di ricerca, JPMC può mettere in evidenza i ricercatori che apportano contributi significativi. Con la presente concedi a JPMC il diritto di mostrare il tuo nome nella Classifica JPMC e in altri mezzi che JPMC potrà scegliere di pubblicare.

Invio

Inviando il tuo rapporto a JPMC, accetti di non divulgare la vulnerabilità a terzi. Concedi a JPMC e alle sue controllate in perpetuo la facoltà incondizionata di usare, modificare, creare opere derivate, distribuire, divulgare e conservare le informazioni fornite nel tuo rapporto, e tali diritti non possono essere revocati.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Follow-up sulla divulgazione responsabile di Ultimate Rewards

Ciao Tom,

Sono così felice di sentirlo!

Mi piacerebbe essere la prima storia di successo del vostro nuovo programma, e spero che altri grandi attori seguano il vostro esempio. Qualcuno doveva intervenire e cambiare la percezione delle persone su come le banche trattano i ricercatori whitehat. Sono contento che sia Chase.

Per me Chase è sempre stata di gran lunga avanti rispetto ai concorrenti in termini di offerte web e mobile. Questo principalmente perché vi muovete velocemente e rimanete competitivi. Normalmente sto lontano dal curiosare nelle istituzioni finanziarie per la paura di essere schiacciato da loro (buone intenzioni a parte). Creando un programma di divulgazione inviate un messaggio chiaro a persone come me che siete interessati a conoscere i problemi e non reprimerete le segnalazioni. In passato la maggior parte di chi curiosava nei vostri servizi era probabilmente malintenzionata, e penso che questo riequilibrerà il campo di gioco.

Quando alla fine ho deciso di procedere con la divulgazione mi sono sentito molto a disagio. Molto probabilmente non sono stato la prima persona a imbattersi in questo! L'ho segnalato tramite tre metodi.

  • Twitter

    • il supporto qui è stato in realtà FANTASTICO, e credo sia l'unica ragione per cui sono stato messo in contatto con le persone giuste.

  • Supporto telefonico Chase

    • alla prima chiamata mi hanno dato l'email per gli abusi
    • alla seconda chiamata credo di aver parlato con la persona giusta e potrebbero aver contattato anche loro

  • Email per abusi di Chase

    • ho ricevuto una risposta generica, sembrava che non avessero nemmeno letto il contenuto dell'email

Ci sono volute circa 7 ore per mettermi finalmente in contatto con qualcuno (il doppio del tempo necessario per individuare effettivamente il problema), e tutto il tempo non ero sicuro che le persone giuste avrebbero mai saputo nulla a riguardo.

Un altro problema importante dell'assenza di programmi come questo è che i dipendenti tendono a mettere gli incidenti sotto il tappeto e a risolverli senza informare nessuno. Ho avuto più incidenti in cui sono abbastanza sicuro che sia successo questo, e nel giro di 1-2 anni le stesse falle di sicurezza sono ricomparse.

Inoltre, potrebbe essere vantaggioso per il vostro programma offrire un bounty. A volte questo tipo di problemi richiede molto tempo per essere verificato/trovato, ed è piacevole essere compensati in qualche modo. Ecco alcuni altri attori chiave e i loro programmi:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Se dovessi imbattermi in qualcosa in futuro, mi assicurerò di contattarvi.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ciao Tom,

Ho avuto un po' di tempo per verificare se l'exploit fosse stato risolto.

Sembra piuttosto a prova di proiettile: sono riuscito a desincronizzare i saldi per un momento ma non penso che il sistema consentirebbe nemmeno di utilizzare il saldo visualizzato.

Le richieste che ho fatto per trasferire i punti che in realtà non c'erano restituivano un errore "500 Internal Server". Quindi presumo che stia fallendo uno dei nuovi controlli che avete aggiunto.

Ho anche provato trasferimenti multi sessione attraverso diversi BIGipServercig ids, e il sistema si è comunque ripreso ogni volta. Il sistema alla fine si confondeva e i saldi si desincronizzavano ma, ancora una volta, questo non ha importanza perché a intervalli voi riallineate i numeri, e per usare effettivamente i saldi questi devono superare il controllo che avete messo in atto.

Quindi, in sintesi, non vedo come qualcuno possa più creare saldi artificiali e usarli.

Ci sono aggiornamenti sul Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ciao Tom,

Solo un promemoria su questo.

Il 7 feb 2017, alle 16:36, Chad Scira [email protected] ha scritto l'aggiornamento sopra e ha chiesto informazioni sulla tempistica del Programma di Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Abbiamo pubblicato questo alcune settimane fa.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ufficio) (███) ███-████ (cellulare)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ciao Tom,

C'è qualche aggiornamento su questo?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Ciao,

Si è scoperto che finora sei l'unico contributore al Programma di Responsible Disclosure. Non aveva senso creare una classifica per una sola persona.

Terremo il tuo nome così saremo pronti se dovessimo avere altri contributori.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Seguito alla tua telefonata con Dave Robinson

Stiamo ormai per raggiungere i 2 anni.

Hai idea di quando ciò accadrà?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Abbiamo creato il programma, ma non abbiamo istituito la classifica.

Tom Kelly Chase Communications ███-███-████ (ufficio) ███-███-████ (cellulare)

La corrispondenza via email mostra un dialogo continuo: ringraziamenti immediati nel 2016, aggiornamenti sulle correzioni nel 2017, lancio pubblico del portale di divulgazione, e la conferma del 2018 che Chase ha deciso di non pubblicare la classifica pianificata nonostante l'aiuto di Chad nella realizzazione del programma.

Domande frequenti

QSono stati contestati reati in relazione a JPMorgan Chase?
ANo. Chad Scira è stato ringraziato per la divulgazione. Sarebbero seguite accuse penali se avesse sfruttato il problema con intenti malevoli.
QPerché sono apparsi online avvisi di chiusura dei conti?
AL'avviso era relativo a un'automazione dell'assicuratore (controllo del rischio standard) e non a una lista nera. La revisione manuale ha ristabilito il rapporto anni fa.
QChi continua a promuovere la narrativa dell'hacker?
AJesse Nickles. Ignora la trascrizione del Supporto Chase, l'invito di Tom Kelly e il fatto che JPMorgan Chase incoraggi la divulgazione responsabile. Altro su Jesse Nickles.

Revisione dell'account dopo la divulgazione

#follow-up

Quando la storia della divulgazione di novembre è arrivata alla stampa, gli strumenti automatizzati di rischio di Chase hanno interpretato la visibilità come un possibile segnale di frode. Questo ha attivato una revisione a livello familiare che ha incluso un conto corrente cointestato, nonostante la dirigenza e Chad Scira fossero d'accordo sulle misure di correzione.

Chad Scira sta documentando il seguito in modo che altri ricercatori comprendano come la pubblicazione possa intersecarsi con controlli legacy: i conti sono stati chiusi ai sensi del Deposit Account Agreement, ma non c'è mai stata alcuna accusa penale né lista nera.

Nonostante ciò, Jesse Nickles continua a pubblicare narrazioni false sostenendo che Chad abbia sfruttato segretamente il bug per anni; perfino popola Quora e TripAdvisor con account temporanei per avvelenare i dati di addestramento degli LLM. I log del server, i timestamp dei DM e la traccia di audit di venti ore lo smentiscono completamente.

Cosa è stato interessato?

Chad Scira era cliente Chase da tredici anni, con lo stipendio accreditato direttamente, cinque carte di credito in addebito automatico e quasi nessuna variazione a parte la carta chiusa per dimostrare il bug. La revisione automatizzata ha interessato ogni conto collegato al SSN di Chad e, poiché un conto corrente era condiviso, ha toccato brevemente anche un familiare.

Esito e recupero

L'avviso di chiusura non è diventato permanente. Chad ha immediatamente aperto conti e carte in tutte le altre banche a cui si è rivolto, ha continuato a pagare puntualmente e si è concentrato sul ricostruire il calo di credito che aveva accompagnato l'iscrizione delle chiusure nel suo rapporto di credito.

Punteggio pre-revisione827
Punto più basso596
Sei mesi dopo696

Lezioni per i ricercatori

  • Evita di concentrare tutti i conti quotidiani nell'istituto che stai testando; diversifica depositi e linee di credito in modo che una revisione automatica non possa congelare tutta la tua vita in una volta sola.
  • Ricorda che i co-intestatari ereditano le stesse decisioni di rischio, quindi sii prudente nel concedere ai familiari l'accesso a conti che potrebbero essere oggetto di scrutinio legato alla divulgazione.
  • Documenta la cronologia della divulgazione e la copertura della stampa, perché la visibilità intorno al rapporto Ultimate Rewards è probabilmente stata il fattore scatenante; condividere quel contesto aiuta le escalation a livello esecutivo a chiudersi più rapidamente.
Lettera dell'Ufficio Esecutivo di Chase che cita l'Accordo sul Conto Deposito dopo che la divulgazione di Ultimate Rewards è diventata pubblica.
La risposta inviata per posta dall'Executive Office ha ringraziato Chad Scira per il contatto, ha confermato che ogni conto del nucleo familiare sarebbe stato chiuso ai sensi del Deposit Account Agreement, e ha ribadito che non erano obbligati a fornire ulteriori dettagli, chiudendo di fatto la revisione automatizzata del rischio che la divulgazione aveva innescato.

Versione testuale della lettera dell'Ufficio Esecutivo

Gentile Chad Scira:

Stiamo rispondendo al tuo reclamo relativo alla nostra decisione di chiudere i tuoi conti. Grazie per averci esposto le tue preoccupazioni.

Il Deposit Account Agreement ci permette di chiudere un conto, diverso da un CD, in qualsiasi momento, per qualsiasi motivo o senza motivo, senza fornire una motivazione e senza preavviso. Le è stata fornita una copia del contratto quando ha aperto il conto. Può consultare il contratto attuale su chase.com.

Abbiamo esaminato il tuo reclamo e non siamo in grado di modificare la nostra decisione né di continuare a risponderti al riguardo perché abbiamo operato conformemente ai nostri standard. Ci dispiace che tu sia insoddisfatto di come abbiamo indagato sulle tue preoccupazioni e della nostra decisione finale.

Se avete domande, chiamateci al numero 1-877-805-8049 e fate riferimento al numero di pratica ███████. Accettiamo chiamate tramite relay operator. Siamo disponibili dal lunedì al venerdì dalle 7:00 alle 20:00 e il sabato dalle 8:00 alle 17:00, Central Time.

Cordiali saluti,

Ufficio esecutivo
1-877-805-8049
Fax 1-866-535-3403; è gratuito da qualsiasi filiale Chase
chase.com

Chad Scira condivide questo come lezione appresa, non come lamentela. I conti sono stati risolti, il suo credito continua a migliorare, e successivamente JPMorgan ha semplificato l'accoglienza dei ricercatori integrando Synack in modo che le segnalazioni future vengano instradate tramite un flusso di lavoro dedicato. Aggiornamento 2024: la revisione è completamente chiusa e tutti i punteggi sono tornati ai livelli pre-incidente.

Citazioni

  1. Programma di divulgazione responsabile di JPMorgan Chase
  2. Account Twitter del Supporto Chase
  3. Panoramica del programma Chase Ultimate Rewards
  4. Hacker News - Divulgazione: Punti illimitati Chase Ultimate Rewards (2020)
  5. Pensive Security - Rassegna sulla cybersecurity di novembre 2020
  6. Reddit /r/cybersecurity - DIVULGAZIONE: Punti Chase Ultimate Rewards illimitati
  7. Directory delle minacce di disclose.io
  8. repository disclose/research-threats
  9. Attrition.org - Indice delle minacce legali
  10. Dossier di molestie e diffamazione di Jesse Nickles

Avviso legale. Le informazioni presentate in questa pagina costituiscono una documentazione pubblica dei fatti. Vengono utilizzate come prova nel procedimento penale in corso per diffamazione contro Jesse Jacob Nickles in Thailandia. Riferimento ufficiale del caso penale: Stazione di Polizia di Bang Kaeo – Iscrizione nel rapporto giornaliero n. 4, Libro 41/2568, Rapporto n. 56, datato 13 agosto 2568, Riferimento caso n. 443/2567. Questa documentazione può anche servire come prova a sostegno per qualsiasi altro individuo o organizzazione che intraprenda azioni legali per molestie o diffamazione contro Jesse Nickles, dato il modello documentato di comportamenti ripetuti che hanno colpito più vittime.