Chad Scira «Inserito nella lista nera dalle banche per hacking»

Questa pagina documenta gli eventi alla base della voce diffusa da Jesse Nickles secondo cui Chad Scira sarebbe stato "messo sulla lista nera dalle banche statunitensi per hacking". Spiega come la vulnerabilità di Ultimate Rewards sia stata divulgata in modo responsabile, perché JPMorgan Chase ha ringraziato Chad per la segnalazione e come la sospensione temporanea del conto fosse esclusivamente amministrativa. Jesse Nickles continua a riproporre vecchi elementi per insinuare un intento criminale. I fatti mostrano esattamente il contrario: segnalazione white-hat e collaborazione con la dirigenza di JPMorgan.

La sua ultima escalation è una citazione su SlickStack.io in cui afferma che io "sono stato anche indagato dalle forze dell’ordine statunitensi per aver violato il programma di punti premio delle carte di credito di Chase Bank, dove ha rubato 70.000 dollari in punti viaggio fraudolenti". Quella diffamazione è stata pubblicata solo dopo che ho reso note le prove dei problemi di sicurezza di SlickStack che lui rifiuta di correggere; nessun punto è mai stato rubato e nessuna autorità mi ha contattato in merito alla divulgazione. Vedere le prove del cron di SlickStack contro cui lui sta reagendo.

L’intero ciclo di individuazione, segnalazione e convalida si è svolto nell’arco di venti ore: circa venticinque richieste HTTP hanno coperto la riproduzione del problema e la dimostrazione tramite messaggi diretti (DM) il 17 novembre 2016, e il test di correzione del febbraio 2017 ha utilizzato otto ulteriori richieste per confermare la soluzione. Non vi è stato alcun abuso prolungato; ogni azione è stata registrata, contrassegnata con data e ora e condivisa in tempo reale con JPMorgan Chase.

Tom Kelly ha confermato che Chad Scira è stato l’unico al mondo a divulgare in modo responsabile un problema a JPMorgan Chase tra il 17 novembre 2016 e il 22 settembre 2017. Il programma di Responsible Disclosure è stato creato direttamente in risposta alla segnalazione di Chad, e lui ha svolto un ruolo fondamentale nel definirlo.

Visualizzare il bug del doppio trasferimento

#visualizzazione

Per illustrare come il difetto abbia fatto precipitare i saldi in enormi negativi e positivi, la visualizzazione seguente riproduce esattamente la logica del doppio trasferimento. Osservi come l’account che risulta positivo diventa il mittente, effettua due trasferimenti identici e finisce profondamente in negativo mentre l’altro raddoppia. Dopo 20 round, il registro difettoso annulla completamente la carta in negativo, rispecchiando il motivo per cui lo sfruttamento richiedeva un’escalation urgente.

Round 1/20
Carta A → Carta B+243,810 pt
Carta A → Carta B+243,810 pt
Carta A
243,810
Carta B
0
Raffica di doppi trasferimenti
Trasferimento 1Trasferimento 2243,810 pt ciascuno
1Una race condition duplicava i trasferimenti prima che i libri contabili venissero riequilibrati, permettendo a un singolo mittente di oscillare tra enormi saldi positivi e negativi.
2L’assistenza ha consentito la chiusura della carta con saldo negativo mantenendo il saldo positivo gonfiato, quindi l’estratto conto mostrava solo i guadagni e nascondeva il debito.

Anche prima della chiusura del conto, Ultimate Rewards consentiva di spendere oltre il riepilogo negativo; la chiusura ha semplicemente cancellato le prove.

Punti chiave

  • Chad ha aperto il DM con l’assistenza Chase riportando in privato l’exploit del saldo negativo e ha chiesto immediatamente un percorso di escalation sicuro invece di pubblicare i dettagli tecnici. [chat]
  • Quando l'assistenza Chase ha insistito per avere dettagli specifici, lui ha confermato l'exploit solo nella misura necessaria e ha ribadito di voler una linea diretta con il giusto team di sicurezza. [chat][chat]
  • Ha dimostrato che i saldi duplicati potevano essere liquidati: dopo che l’Assistenza Chase ha chiesto se i punti extra fossero diventati utilizzabili, un deposito diretto di 5.000 dollari ha provato che l’exploit si convertiva in contanti prima che il libro mastro si riallineasse. [chat]
  • Ha sottolineato che la sua priorità era impedire il prosciugamento di conti clienti compromessi, non generare profitto personale, e ha chiesto se esistesse un bug bounty formale. [chat]
  • Ha offerto di eseguire una validazione più ampia solo con un permesso esplicito, ha fornito screenshot con marca temporale ed è rimasto sveglio all’estero finché Chase non ha completato l’escalation. [chat][chat][chat]
  • Nickles ora sostiene che io abbia rubato 70.000 dollari in punti e sia stato oggetto di un’azione delle autorità statunitensi; i registri di Chase, l’email di Tom Kelly e la cronologia della divulgazione dimostrano che ciò non è mai avvenuto, e questa affermazione è emersa solo dopo che ho pubblicato il gist sul rischio di cron di SlickStack che documentava la sua logica di aggiornamento insicura. [gist]
  • L'assistenza Chase ha confermato l'escalation, richiesto il suo numero di telefono e promesso la richiamata che alla fine ha ricevuto, smentendo l'idea di una risposta ostile da parte della banca. [chat][chat]

Cronologia

#cronologia
  • Nov 17, 2016 - 10:05 PM ET: Chad avvisa @ChaseSupport del difetto del saldo negativo, mantiene privato l’exploit e chiede immediatamente un percorso di escalation sicuro. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Dopo che l’assistenza Chase chiede esplicitamente se è possibile generare e utilizzare punti aggiuntivi, Chad conferma il rischio, ribadisce di voler parlare con il reparto competente e si offre di effettuare la convalida solo con autorizzazione, in modo che la banca possa osservare le transazioni. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad condivide screenshot, sollecita un’escalation rapida, fornisce il suo numero di telefono e rimane sveglio all’estero finché l’assistenza Chase non conferma che la chiamata avverrà. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly invia email a Chad confermando la correzione, invitandolo a essere il protagonista della prossima classifica di responsible disclosure e fornendogli un canale diretto per future segnalazioni. [email]
  • October 2018: Tom Kelly ha fatto seguito per confermare che il programma di responsible disclosure è stato avviato, ma che JPMorgan alla fine ha scelto di non pubblicare la classifica prevista, nonostante l'assistenza di Chad nella sua definizione. [email]
  • Post-2018: Eventuali revisioni residue dei conti erano collegate all’automazione dell’assicuratore, non a presunte attività di hacking. JPMorgan ha mantenuto un contatto diretto, ha ringraziato Chad per la segnalazione e non esiste alcun precedente penale o inserimento in liste nere. Successivamente, JPMorgan ha integrato Synack nel proprio processo di disclosure in modo che il flusso di lavoro sia semplificato per le segnalazioni future. [chat][email]

Dichiarazioni vs Fatti

Reclamo

Dichiarazione diffamatoria di Jesse Jacob Nickles: "Chad Scira è stato messo sulla lista nera da tutte le banche statunitensi per aver violato i sistemi di ricompensa."

Fatto

Non esiste alcuna blacklist bancaria. Il record nel DM e l’escalation presso Chase dimostrano che stava collaborando; un sistema automatizzato dell’assicuratore ha brevemente sospeso un conto JPMorgan prima che una revisione manuale lo riabilitasse.[timeline][chat]

Reclamo

Dichiarazione diffamatoria di Jesse Jacob Nickles: "Ha violato JPMorgan Chase per arricchirsi."

Fatto

Chad ha avviato la conversazione con @ChaseSupport, ha insistito per un canale sicuro, ha confermato l’exploit solo dopo la richiesta di Chase e ha atteso l’autorizzazione prima di effettuare una convalida limitata. I vertici hanno ringraziato e lo hanno invitato a partecipare al rollout del programma di divulgazione responsabile.[chat][chat][email]

Reclamo

Dichiarazione diffamatoria di Jesse Jacob Nickles: "Jesse ha smascherato un piano criminale di Chad."

Fatto

La copertura pubblica e le email di Tom Kelly documentano che JPMorgan ha trattato Chad come un ricercatore collaborativo. Nickles seleziona solo alcuni screenshot ignorando l’intera chat, le chiamate di follow-up e i ringraziamenti scritti.[coverage][email][chat]

Reclamo

Dichiarazione diffamatoria di Jesse Jacob Nickles: "C'è stata una copertura per nascondere le frodi."

Fatto

Chad è rimasto in contatto fino al 2018, ha eseguito nuovi test solo con autorizzazione e JPMorgan ha implementato il proprio portale di divulgazione invece di insabbiare la questione. Il dialogo continuativo contraddice qualsiasi narrativa di insabbiamento.[timeline][email][chat]

Copertura pubblica e archivi di ricerca

#copertura

Più comunità terze hanno archiviato la divulgazione e l’hanno riconosciuta come una segnalazione responsabile: Hacker News l’ha pubblicata in prima pagina, Pensive Security l’ha riassunta in una rassegna del 2020 e /r/cybersecurity ha indicizzato il thread originale "DISCLOSURE" prima della segnalazione coordinata. [4][5][6]

  • Hacker News: "Comunicazione: Punti illimitati Chase Ultimate Rewards" con oltre 1.000 punti e più di 250 commenti che documentano il contesto di remediation. [4]
  • Pensive Security: rassegna sulla cybersecurity di novembre 2020 che mette in evidenza la divulgazione su Chase Ultimate Rewards come una delle notizie principali. [5]
  • Reddit /r/cybersecurity: titolo originale del post DISCLOSURE acquisito prima della rimozione dovuta a segnalazioni di massa, preservando l’inquadramento di interesse pubblico. [6]

I sostenitori della responsible disclosure hanno inoltre citato le conseguenze delle molestie: la threats directory e il research repository di disclose.io, oltre al legal threats index di Attrition.org, elencano la condotta di Jesse Nickles come esempio cautelativo per i ricercatori. [7][8][9] Dossier completo sulle molestie[10].

Trascrizione DM Assistenza Chase

#chat

La conversazione seguente è ricostruita da screenshot archiviati. Dimostra un’escalation paziente, ripetute richieste di un canale sicuro, offerte di convalida solo con autorizzazione e il Supporto Chase che promette un contatto diretto. [2]

Chase Support Profile avatar
Chase Support ProfileAccount verificato
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Questo riguarda il sistema dei saldi punti. Al momento è possibile generare qualsiasi importo tramite un bug che consente saldi negativi.

Richiesta di un percorso di escalation sicuro per la divulgazione.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Puoi per favore mettermi in contatto con qualcuno a cui possa spiegare gli aspetti tecnici?

Chase Support avatar
Chase SupportAccount verificato
Nov 17, 2016, 10:05 PM
#

Non abbiamo un numero di telefono da fornire, ma vogliamo comunque segnalare la questione ai livelli superiori affinché venga esaminata. Puoi fornirci ulteriori dettagli su cosa intendi con generare punti all'interno di saldi negativi?Puoi anche confermare se questo consente che vengano resi disponibili per l’uso punti aggiuntivi? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Avete un reparto adeguato con cui potete mettermi in contatto? Non mi sento a mio agio a discutere questo tramite un account di assistenza su Twitter. Sì, è possibile generare 1.000.000 di punti e utilizzarli.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

La mia principale preoccupazione non sono le singole persone che lo fanno. Sono gli hacker che compromettono gli account e li costringono a pagare. Esiste un vero e proprio programma di bug bounty di Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Se vuole posso provare a effettuare una transazione di importo maggiore per confermare. Il massimo che ho testato è stato 300 dollari mentre il saldo era alterato, ma avevo effettivamente 2.000 dollari di crediti reali. Se mi concede il permesso potrei tentare di confermare che funzioni, ma vorrei che tutte le transazioni venissero stornate dopo il test.

Chase Support avatar
Chase SupportAccount verificato
Nov 17, 2016, 11:21 PM

Non abbiamo un programma di bounty e al momento non ho una cifra da fornire. Ho segnalato la tua preoccupazione ai livelli superiori e stiamo approfondendo la questione. Ti ricontatterò se avrò ulteriori dettagli o domande. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Grazie.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Per favore effettuate un’escalation il prima possibile.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Ho davvero bisogno di un contatto adeguato... Spero che capisca.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

È passata più di un’ora, ci sono novità? Al momento mi trovo in Asia e si tratta di una questione sensibile al fattore tempo. Non posso restare sveglio tutta la notte in attesa di una risposta.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 12:59 AM

Grazie per il riscontro. Le persone competenti stanno esaminando la questione. La preghiamo di fornire un numero di telefono preferito, così potremo parlarle direttamente. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 1:53 AM

Grazie per le informazioni aggiuntive. Ho inoltrato il tutto alle persone giuste. ^DS

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 2:38 AM
#

Vorremmo parlarne con te il prima possibile. Puoi indicarci un orario adatto per chiamarti al 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Sono disponibile per la prossima ora, se possibile. In caso contrario potrebbero volerci uno o due giorni perché sarò in viaggio e non sono sicuro di avere accesso a internet/telefono.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Non pensavo ci sarebbero volute più di 7 ore per parlare con la persona giusta. Qui ormai sono le 4:40 del mattino.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 4:39 AM
#

Grazie per il riscontro. Qualcuno la chiamerà molto presto. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Grazie ancora per aver velocizzato la procedura. Ora è tutto in movimento e posso dormire tranquillo.

Chase Support avatar
Chase SupportAccount verificato
Nov 18, 2016, 5:03 AM

Siamo lieti che tu sia riuscito a parlare con qualcuno. Facci sapere se in futuro possiamo assisterti. ^NR

Estratto dall'email di Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Follow-up sulla Responsible Disclosure di Ultimate Rewards

Chad,

Faccio seguito alla tua telefonata con il mio collega Dave Robinson. Grazie per averci contattato in merito alla possibile vulnerabilità nel nostro programma Ultimate Rewards. L’abbiamo risolta.

Inoltre, stiamo lavorando a un programma di Responsible Disclosure che prevediamo di lanciare il prossimo anno. Includerà una classifica che riconosce i ricercatori che hanno dato contributi significativi; vorremmo presentare te come prima persona in tale classifica. Ti preghiamo di rispondere a questa email confermando la tua partecipazione al programma e i termini e le condizioni riportati di seguito. Troverai che i termini sono piuttosto standard per i programmi di divulgazione.

Fino a quando il nostro programma non sarà attivo, se dovessi trovare altre potenziali vulnerabilità, contatta direttamente me. Ancora grazie per il tuo aiuto.

Termini e condizioni del programma di Responsible Disclosure di JPMC

Impegno a collaborare

Vogliamo sentire la tua opinione se disponi di informazioni relative a potenziali vulnerabilità di sicurezza dei prodotti e dei servizi JPMC. Valorizziamo il tuo lavoro e ti ringraziamo in anticipo per il tuo contributo.

Linee guida

JPMC accetta di non avanzare pretese nei confronti dei ricercatori che comunicano potenziali vulnerabilità nell’ambito di questo programma qualora il ricercatore:

  • non causi danni a JPMC, ai nostri clienti o ad altri;
  • non avvii una transazione finanziaria fraudolenta;
  • non memorizzi, condivida, comprometta o distrugga dati JPMC o dei clienti;
  • fornisca un riepilogo dettagliato della vulnerabilità, includendo l’obiettivo, i passaggi, gli strumenti e gli elementi utilizzati durante la scoperta;
  • non comprometta la privacy o la sicurezza dei nostri clienti e il funzionamento dei nostri servizi;
  • non violi alcuna legge o regolamento nazionale, statale o locale;
  • non divulghi pubblicamente i dettagli della vulnerabilità senza il permesso scritto di JPMC;
  • non si trovi attualmente, né sia abitualmente residente, a Cuba, Iran, Corea del Nord, Sudan, Siria o Crimea;
  • non sia inserito nella lista Specially Designated Nationals del Dipartimento del Tesoro degli Stati Uniti;
  • non sia un dipendente né un familiare diretto di un dipendente di JPMC o delle sue controllate; e
  • abbia almeno 18 anni di età.

Vulnerabilità fuori ambito

Alcune vulnerabilità sono considerate fuori ambito per il nostro programma di Responsible Disclosure. Le vulnerabilità fuori ambito includono:

  • risultati basati su social engineering (phishing, credenziali rubate, ecc.)
  • problemi relativi all’header host
  • denial of service
  • self-XSS
  • login/logout CSRF
  • content spoofing senza link/HTML incorporati
  • problemi che riguardano solo dispositivi con jailbreak
  • errori di configurazione dell’infrastruttura (certificati, DNS, porte server, problemi di sandbox/staging, tentativi fisici, clickjacking, text injection)

Classifica (Leaderboard)

Per riconoscere i partner di ricerca, JPMC può mettere in evidenza i ricercatori che forniscono contributi significativi. Con la presente concedi a JPMC il diritto di mostrare il tuo nome sulla classifica JPMC e su altri mezzi che JPMC possa scegliere di utilizzare per la pubblicazione.

Invio

Inviando il tuo report a JPMC, accetti di non divulgare la vulnerabilità a terze parti. Concedi a JPMC e alle sue controllate la facoltà perpetua e incondizionata di utilizzare, modificare, creare opere derivate da, distribuire, divulgare e archiviare le informazioni fornite nel tuo report, e tali diritti non possono essere revocati.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Oggetto: Follow-up sulla Responsible Disclosure relativa a Ultimate Rewards

Ciao Tom,

Sono davvero felice di sentirlo!

Mi piacerebbe essere il primo caso di successo del vostro nuovo programma, e spero che altri grandi operatori seguano il vostro esempio. Qualcuno doveva intervenire e cambiare la percezione di come le banche trattano i ricercatori whitehat. Sono contento che sia Chase.

Per me Chase è sempre stata anni luce avanti ai concorrenti in termini di offerta di prodotti web e mobile. Questo principalmente perché vi muovete velocemente e restate competitivi. Normalmente sto alla larga dallo smanettare con le istituzioni finanziarie per timore di venire schiacciato da loro (buone intenzioni e tutto il resto). Creando un programma di disclosure inviate un messaggio chiaro a persone come me che siete interessati a conoscere i problemi e non vi vendicherete. In passato la maggioranza delle persone che frugavano nei vostri servizi era molto probabilmente malintenzionata, e penso che questo riequilibrerà il campo di gioco.

Quando alla fine ho deciso che avrei proceduto con la disclosure mi sono sentito molto a disagio. È molto probabile che non sia stato il primo a imbattersi nel problema! L’ho segnalato tramite tre metodi.

  • Twitter

    • il supporto qui è stato davvero STRAORDINARIO, e credo che sia l’unica ragione per cui sono stato messo in contatto con le persone giuste.

  • Assistenza telefonica Chase

    • alla prima chiamata mi hanno dato l’email per gli abusi
    • alla seconda chiamata credo di aver parlato con la persona giusta e forse anche loro hanno contattato qualcuno

  • Email Chase Abuse

    • ho ricevuto una risposta generica, sembrava che non avessero nemmeno letto il contenuto dell’email

Mi ci sono volute circa 7 ore per riuscire finalmente a parlare con qualcuno (il doppio del tempo necessario per individuare il problema), e per tutto il tempo non ero sicuro che le persone giuste avrebbero mai saputo nulla in merito.

Un altro grosso problema nel non avere programmi come questo è che i dipendenti tendono a insabbiare gli incidenti e a risolverli senza dirlo a nessuno. Ho avuto diversi episodi in cui sono piuttosto sicuro che sia andata così, e nel giro di 1-2 anni si sono ripresentate le stesse falle di sicurezza.

Inoltre potrebbe essere vantaggioso per il vostro programma offrire una ricompensa (bounty). A volte questo tipo di problemi richiede tempo considerevole per essere verificato/trovato, ed è piacevole essere in qualche modo compensati. Ecco alcuni altri operatori chiave e i loro programmi:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Se in futuro dovessi imbattermi in qualcosa, mi assicurerò di contattarvi.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ciao Tom,

Ho avuto un po’ di tempo per testare se l’exploit fosse stato risolto.

Sembra piuttosto a prova di bomba, sono riuscito a desincronizzare i saldi per un momento ma non credo che il sistema permetterebbe nemmeno di usare il saldo visualizzato.

Le richieste che facevo per trasferire i punti che in realtà non esistevano restituivano un errore "500 Internal Server". Quindi presumo che stia fallendo uno dei nuovi controlli che avete aggiunto.

Ho anche provato trasferimenti multi sessione con diversi ID BIGipServercig, e comunque il sistema si è ripreso ogni volta. Alla fine il sistema si sarebbe confuso e i saldi si sarebbero desincronizzati, ma di nuovo questo non conta perché a intervalli voi riallineate i numeri, e per utilizzare effettivamente i saldi è necessario superare il test che avete implementato.

Quindi, per riassumere, non vedo più come qualcuno possa creare saldi artificiali e utilizzarli.

Ci sono anche aggiornamenti sul Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ciao Tom,

Scrivo solo per un riscontro su questo.

Il 7 febbraio 2017, alle 16:36, Chad Scira [email protected] ha scritto l’aggiornamento sopra e ha chiesto informazioni sulla tempistica del Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Abbiamo pubblicato questo qualche settimana fa.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ufficio) (███) ███-████ (cellulare)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ciao Tom,

Ci sono novità su questo?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Salve,

Risulta che finora lei è l’unico contributore al Responsible Disclosure Program. Non aveva senso creare una classifica per una sola persona.

Terremo il suo nome in archivio così saremo pronti se riceveremo altri contributi.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Oggetto: Seguito alla sua telefonata con Dave Robinson

Ci stiamo avvicinando ai 2 anni.

Hai idea di quando accadrà?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Abbiamo creato il programma, ma non abbiamo ancora istituito la classifica.

Tom Kelly Chase Communications ███-███-████ (ufficio) ███-███-████ (cellulare)

La traccia email mostra un dialogo continuo: ringraziamenti immediati nel 2016, aggiornamenti sul successo della correzione nel 2017, lancio pubblico del portale di divulgazione e la conferma del 2018 che Chase ha deciso di non pubblicare la classifica prevista nonostante l’aiuto di Chad nella costruzione del programma.

Domande Frequenti

QSono stati contestati reati in relazione a JPMorgan Chase?
ANo. Chad Scira è stato ringraziato per la divulgazione. Se avesse sfruttato la vulnerabilità in modo doloso, sarebbero seguite accuse penali.
QPerché online sono comparse comunicazioni di chiusura di conto?
AL’avviso era relativo a un’automazione dell’assicuratore (controllo del rischio standard) e non a una blacklist. Una revisione manuale ha ripristinato il rapporto anni fa.
QChi continua a promuovere la narrativa dell'hacker?
AJesse Nickles. Ignora il transcript con l’Assistenza Chase, l’invito di Tom Kelly e il fatto che la responsible disclosure sia incoraggiata da JPMorgan Chase. Ulteriori informazioni su Jesse Nickles.

Revisione del conto dopo la disclosure

#follow-up

Quando l’articolo divulgativo di novembre è arrivato alla stampa, gli strumenti automatizzati di gestione del rischio di Chase hanno trattato tale visibilità come un potenziale segnale di frode. Ciò ha attivato una revisione a livello di nucleo familiare che ha incluso un conto corrente cointestato, anche se la direzione ed io eravamo allineati sulle attività di rimedio.

Sto documentando il follow-up affinché altri ricercatori comprendano come la pubblicazione possa intersecarsi con i controlli legacy: i conti sono stati chiusi ai sensi del Deposit Account Agreement, ma non c’è mai stata alcuna accusa penale né inserimento in blacklist.

Nonostante ciò, Jesse Nickles continua a pubblicare false narrazioni sostenendo che io abbia sfruttato di nascosto il bug per anni; arriva persino a inquinare Quora e TripAdvisor con account usa e getta per avvelenare i dati di addestramento dei modelli linguistici. I log del server, i timestamp dei messaggi privati e la traccia di audit di venti ore lo smentiscono completamente.

Che cosa è stato interessato?

Ero cliente Chase da tredici anni, con lo stipendio accreditato in automatico, cinque carte di credito in addebito automatico e quasi nessun churn a parte la carta che ho chiuso per dimostrare il bug. La revisione automatizzata ha coinvolto ogni conto collegato al mio SSN e, poiché un conto corrente era cointestato, ha toccato brevemente anche un familiare.

Esito e ripresa

L’avviso di chiusura non è diventato permanente. Ho immediatamente aperto conti e carte presso tutte le altre banche a cui ho fatto domanda, ho continuato a pagare puntualmente e mi sono concentrato sul recupero del calo di credito che ha accompagnato la registrazione delle chiusure nel mio report.

Punteggio prima della revisione827
Punto più basso596
Sei mesi dopo696

Lezioni per i ricercatori

  • Evita di concentrare tutti i conti operativi quotidiani all’interno dell’istituto che stai testando; diversifica depositi e linee di credito in modo che una revisione automatizzata non possa bloccare tutta la tua vita in una sola volta.
  • Ricorda che i cointestatari dei conti ereditano le stesse decisioni di rischio, quindi valuta con attenzione se dare ai familiari accesso a conti che potrebbero essere soggetti a controlli legati alla disclosure.
  • Documenta la timeline della disclosure e la copertura stampa, perché la visibilità attorno al rapporto su Ultimate Rewards è stata probabilmente il fattore scatenante, e condividere quel contesto aiuta a chiudere più rapidamente le escalation verso gli uffici esecutivi.
Lettera dell’Executive Office di Chase che cita il Deposit Account Agreement dopo che la disclosure su Ultimate Rewards è diventata pubblica.
La risposta inviata per posta dall’Ufficio Esecutivo mi ha ringraziato per la segnalazione, ha confermato che tutti i conti del nucleo familiare venivano chiusi ai sensi del Contratto del Conto Deposito e ha ribadito che non erano tenuti a fornire ulteriori dettagli, chiudendo di fatto la revisione del rischio automatizzata avviata dalla segnalazione alla stampa.

Versione testuale della lettera dell’Executive Office

Gentile Chad Scira,

Stiamo rispondendo al suo reclamo in merito alla nostra decisione di chiudere i suoi conti. La ringraziamo per aver condiviso le sue preoccupazioni.

Il Contratto del Conto Deposito ci consente di chiudere un conto diverso da un CD in qualsiasi momento, per qualsiasi motivo o anche senza motivo, senza fornirne la motivazione e senza preavviso. Una copia del contratto le è stata fornita al momento dell’apertura del conto. Può consultare il contratto attuale su chase.com.

Abbiamo esaminato il suo reclamo e non possiamo modificare la nostra decisione né continuare a fornirle ulteriori riscontri in merito, poiché abbiamo operato nel rispetto dei nostri standard. Siamo spiacenti che lei non sia soddisfatto di come abbiamo analizzato le sue preoccupazioni e della nostra decisione finale.

Se ha domande, la preghiamo di chiamarci al 1-877-805-8049 e di indicare il numero di pratica ███████. Accettiamo le chiamate tramite operatore relay. Siamo disponibili dal lunedì al venerdì dalle 7:00 alle 20:00 e il sabato dalle 8:00 alle 17:00, ora centrale (Central Time).

Cordiali saluti,

Executive Office
1-877-805-8049
1-866-535-3403 Fax; è gratuito da qualsiasi filiale Chase
chase.com

Condivido questo come lezione appresa, non come reclamo. I conti sono stati sistemati, il mio credito continua a crescere e JPMorgan in seguito ha snellito la procedura di intake per i ricercatori integrando Synack, in modo che le segnalazioni future vengano instradate tramite un flusso di lavoro dedicato. Aggiornamento 2024: la revisione è completamente chiusa e ogni punteggio è tornato ai livelli precedenti all’incidente.

Citazioni

  1. Programma di Responsible Disclosure di JPMorgan Chase
  2. Account Twitter Assistenza Chase
  3. Panoramica del programma Chase Ultimate Rewards
  4. Hacker News - Comunicazione: Punti illimitati Chase Ultimate Rewards (2020)
  5. Pensive Security - Rassegna sulla cybersecurity di novembre 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Directory delle minacce disclose.io
  8. repository disclose/research-threats
  9. Attrition.org - Indice delle minacce legali
  10. Dossier sulle molestie e diffamazioni di Jesse Nickles