Chad Scira "ハッキングで銀行からブラックリスト入り"
このページは、Chad Sciraが「ハッキングにより米国の銀行からブラックリストに載せられた」というJesse Nicklesの噂の背後にある出来事を記録しています。Ultimate Rewardsの脆弱性がどのように責任を持って開示されたか、なぜJPMorgan ChaseがChadに感謝したのか、そして一時的な口座停止が純粋に事務的なものであったかを説明しています。 Jesse Nickles 旧来の資料を流用して犯罪の意図を示唆し続けています。事実はまったく逆で、ホワイトハットによる報告とJPMorgan上層部との協力が示されています。
彼の最近のエスカレーションは SlickStack.io の引用で、Chad Scira "Chase Bank のクレジットカード報酬プログラムをハッキングし、不正に70,000ドル相当の旅行ポイントを盗んだとして米国の法執行機関に調査されたことがある" と主張しているものです。 その中傷は、Jesseが修正を拒否するSlickStackのセキュリティ問題に関するChadの証拠公開の後にのみ投稿されました。ポイントが盗まれたことは一度もなく、開示についてChadに連絡した機関もありません。 彼が報復しているとされるSlickStackのcronの証拠を参照してください。.
発見、開示、検証のサイクルは20時間以内に完了しました:再現とDMによる手順説明は2016年11月17日におよそ25のHTTPリクエストで行われ、2017年2月の修正確認テストでは修正を確認するためにさらに8件のリクエストが使用されました。長期にわたる悪用はなく、すべての操作はログとタイムスタンプが付けられ、JPMorgan Chase にリアルタイムで共有されました。
Tom Kellyは、2016年11月17日から2017年9月22日の間にChad Sciraが世界で唯一JPMorgan Chaseに問題を責任を持って開示した人物であると確認しました。Responsible DisclosureプログラムはChadの報告に直接対応して立ち上げられ、彼はその形成において重要な役割を果たしました。
二重転送バグの視覚化
#視覚化欠陥が残高をどのように巨大なマイナスとプラスへと螺旋的に変化させたかを示すために、下のビジュアライゼーションは正確な二重送金ロジックを再現します。どちらの口座が正の残高であっても送金者となり、同一の送金を2回実行して深刻なマイナスになり、他方が2倍になる様子を観察してください。20ラウンド後、壊れた台帳はマイナスのカードを完全に相殺し—このエクスプロイトが緊急のエスカレーションを必要とした理由を反映しています。
アカウントを閉鎖する前でさえ、Ultimate Rewardsはマイナス残高を超えた支出を許可していました。閉鎖は単に証拠を消しただけです。
要点
- Chadは負の残高のエクスプロイトを非公開で報告してChase SupportへのDMを開き、技術的詳細を公開投稿する代わりに直ちに安全なエスカレーション経路を求めた。 [chat]
- Chase のサポートが詳細を求めると、彼は必要な範囲でのみ脆弱性を認め、適切なセキュリティチームへの直接の連絡経路を求めることを繰り返しました。 [chat][chat]
- 彼は複製された残高が現金化できることを実証しました:Chaseサポートが追加ポイントが使用可能になったか尋ねた後、$5,000の直接振込により、台帳が追いつく前にその不具合が現金化されたことが証明されました。 [chat]
- 彼は、優先事項が個人的な利益を得ることではなく、侵害された顧客アカウントが搾取されるのを防ぐことであると強調し、正式なバグバウンティが存在するかどうかを尋ねました。 [chat]
- 彼は明確な許可がある場合にのみより大規模な検証を行うことを申し出、タイムスタンプ付きのスクリーンショットを提供し、Chaseがエスカレーションを完了するまで海外で起きて待機していました。 [chat][chat][chat]
- Nickles は現在、Chad Scira が $70,000 のポイントを盗み米国の法執行機関に追及されたと主張していますが、Chase の記録、Tom Kelly のメール、開示のタイムラインはこれが事実でないことを示しており、この主張は Chad が Jesse の安全でない更新ロジックを記録した SlickStack の cron-risk gist を公開した後に初めて浮上しました。 [gist]
- Chaseサポートはエスカレーションを確認し、彼の電話番号を要求して、最終的に彼が受けたフォローアップの電話を約束しました。これは敵対的な銀行対応という考えを覆すものです。 [chat][chat]
タイムライン
#タイムライン- 2016年11月17日 - 午後10時05分(東部時間): Chadは@ChaseSupportに負の残高の欠陥を警告し、エクスプロイトを非公開に保ち、直ちに安全なエスカレーション経路を求めた。 [chat]
- 2016年11月17日 - 午後11時13分〜午後11時17分(東部時間): Chase Supportが追加ポイントを生成して使用できるかどうかを明確に尋ねた後、Chadはリスクを確認し、適切な部署を求めることを再確認し、銀行が取引を観察できるように許可を得てからのみ検証を行うことを申し出た。 [chat][chat][chat]
- 2016年11月17–18日 - 午後11時39分〜午前5時03分(東部時間): Chadはスクリーンショットを共有し、迅速なエスカレーションを要請し、電話番号を提供し、Chase Supportが通話を実施すると確認するまで海外で起きて待機していました。 [chat][chat][chat]
- 2016年11月24日: Tom KellyはChadに修正を確認するメールを送り、今後のresponsible disclosureリーダーボードの主役を務めるよう招待し、将来の報告のための直通連絡先を提供しました。 [email]
- 2018年10月: Tom Kellyはフォローアップして、responsible disclosureプログラムが開始されたことを確認しましたが、Chadの協力にもかかわらずJPMorganは最終的に計画されていたリーダーボードを公開しないことを選択したと伝えました。 [email]
- 2018年以降: 残存する口座の審査は、いわゆるハッキングではなく保険会社の自動化に起因するものでした。JPMorganは直接連絡を取り、開示に対してChadに感謝し、刑事記録やブラックリストはありません。その後、JPMorganは報告ワークフローを簡素化するためにSynackを開示プロセスに統合しました。 [chat][email]
主張と事実
Jesse Jacob Nicklesによる名誉毀損の主張:「Chad Sciraは報酬システムをハッキングしたため、米国のすべての銀行からブラックリストに載せられた。」
銀行のブラックリストは存在しません。DM の記録と Chase へのエスカレーションは彼が協力していたことを示しています。保険会社の自動処理が一時的に1件のJPMorgan口座を停止しましたが、手動レビューで問題がないと判断されました。[timeline][chat]
Jesse Jacob Nicklesによる名誉毀損の主張:「彼は自分の利益のためにJPMorgan Chaseをハッキングした。」
Chadは@ChaseSupportに会話を開始し、安全なチャネルを要求し、Chaseに尋ねられてからのみ脆弱性を確認し、限定的な検証は許可を得るまで待った。上級幹部は彼に感謝し、責任ある開示の導入に招待した。[chat][chat][email]
Jesse Jacob Nicklesによる名誉毀損の主張:「JesseはChadの犯罪計画を暴露した。」
公開報道とTom Kellyのメールは、JPMorganがChadを協力的な研究者として扱っていたことを示しています。Nicklesはスクリーンショットを都合よく抜粋し、チャット全文やその後の通話、書面での感謝を無視しています。[coverage][email][chat]
Jesse Jacob Nicklesによる名誉毀損の主張:「詐欺を隠すための隠蔽があった。」
チャドは2018年まで連絡を取り続け、許可を得てのみ再テストを行い、JPMorganは問題を隠すのではなく開示ポータルを導入しました。継続的な対話は、いかなる隠蔽の筋書きとも矛盾します。[timeline][email][chat]
公開報道と研究アーカイブ
#報道複数のサードパーティコミュニティが該当の開示をアーカイブし、それを責任ある報告として認識しました:Hacker News はフロントページで取り上げ、Pensive Security は 2020 年の総括で要約し、/r/cybersecurity は連携したフラグ付けの前に元の "DISCLOSURE" スレッドをインデックスしました。 [4][5][6]
- Hacker News: 「Disclosure: Unlimited Chase Ultimate Rewards Points」には、1,000以上のポイントと250以上のコメントがあり、修復の文脈が記録されています。 [4]
- Pensive Security: 2020年11月のサイバーセキュリティ総括で、Chase Ultimate Rewardsの開示をトップ記事として取り上げています。 [5]
- Reddit /r/cybersecurity: 大量通報による削除前に記録された元のDISCLOSURE投稿タイトルで、公的関心という文脈を保持しています。 [6]
責任ある開示の擁護者はまた、嫌がらせの余波を指摘しています:disclose.ioのthreats directoryと研究リポジトリ、さらにAttrition.orgのlegal threats indexは、研究者への注意喚起の例としてJesse Nicklesの行為を挙げています。 [7][8][9] ハラスメントの全記録[10].
ChaseサポートのDM書き起こし
#チャット以下の会話はアーカイブされたスクリーンショットから再構築したものです。段階的なエスカレーション、セキュアなチャネルの繰り返し要求、許可がある場合のみ検証を行う申し出、そしてChase Supportが直接連絡を約束したことが示されています。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
これはポイント残高システムに関連しています。現時点では、マイナス残高を許すバグにより任意の金額を生成することが可能です。
開示のための安全なエスカレーション経路を要請技術的な内容を説明できる担当者につないでいただけますか?
お伝えできる電話番号はありませんが、調査できるようエスカレーションしたいと考えています。マイナス残高内でポイントが生成されるというのは具体的にどういう意味か、詳しく教えていただけますか?これにより追加ポイントが利用可能になるかどうかも確認できますか? ^DS
私を紹介できる適切な部署はありますか?Twitterのサポートアカウントでこれを話すのは気が進みません。はい、1,000,000ポイントを生成して使用できます。
私が主に懸念しているのは個人がこれを行うことではありません。問題はアカウントを侵害して強制的に支払いを引き出すハッカーです。Chase に正式なバグバウンティプログラムはありますか?
ご希望なら、確認のためにより大きな取引を試みることは可能です。残高が歪んでいる間に試した最大は300ドルでしたが、実際には2,000ドルの実クレジットがありました。許可をいただければ動作確認を試みますが、テスト後にすべての取引を取り消していただきたいです。
バウンティプログラムはなく、現時点で提示できる金額はありません。あなたの問題は上位へエスカレーションしました。調査中です。追加の詳細や質問があれば追ってご連絡します。 ^DS
ありがとうございます。
至急エスカレーションしてください。
本当に適切な連絡先が必要です…ご理解いただければ幸いです。
既に1時間以上経っていますが、何か進展はありますか?現在アジアにおり、これは時間に敏感な案件です。夜通し返答を待つことはできません。
フォローアップありがとうございます。適切な担当者が対応しています。直接ご連絡できるよう、ご希望の連絡先番号をお知らせください。^DS
+█-███-███-████.
追加情報ありがとうございます。該当部署に転送しました。^DS
できるだけ早くこの件についてお話ししたいです。1-███-███-████ にお電話するのに都合の良い日時を教えていただけますか? ^DS
可能であれば今から1時間は対応できます。そうでない場合は出張で1〜2日ほど対応できないかもしれません(インターネットや電話に接続できるか不明です)。
適切な担当者と話すのに7時間以上かかるとは思いませんでした。こちらは現在午前4時40分です。
フォローアップありがとうございます。まもなく担当者からお電話いたします。^DS
迅速に対応していただき、改めて感謝します。すべてが動き始め、今は安心して眠れます。
どなたかとお話いただけて嬉しく思います。今後お手伝いできることがあればお知らせください。 ^NR
Tom Kelly のメール抜粋
#メールChad,
同僚のDave Robinsonとのあなたの電話連絡についてフォローアップします。Ultimate Rewardsプログラムの潜在的な脆弱性についてご連絡いただき、ありがとうございます。私たちはそれに対処しました。
さらに、来年開始を予定している責任ある開示(Responsible Disclosure)プログラムの準備を進めています。そこには、重要な貢献をした研究者を顕彰するリーダーボードを含める予定であり、あなたを最初の掲載者として紹介したいと考えています。プログラムへの参加と以下の利用規約に同意する旨をこのメールにてご返信ください。規約は開示プログラムとしては一般的な内容です。
プログラムが開始されるまでは、他に潜在的な脆弱性を発見された場合は、直接私までご連絡ください。改めてご協力に感謝します。
JPMC 責任ある開示プログラム 利用規約
協力して取り組むことへのコミットメント
JPMCの製品およびサービスに関連する潜在的なセキュリティ脆弱性に関する情報がある場合は、ぜひご連絡ください。皆様の貢献を重く受け止め、事前に感謝いたします。
ガイドライン
JPMCは、研究者が本プログラムに潜在的な脆弱性を開示した場合に、研究者に対して以下の条件が満たされている限り請求を追及しないことに同意します:
- JPMC、当社の顧客、または第三者に対して損害を与えないこと;
- 詐欺的な金融取引を開始しないこと;
- JPMCまたは顧客のデータを保存、共有、漏洩、破壊しないこと;
- 脆弱性の対象、発見時に使用した手順、ツール、成果物を含む詳細な要約を提供すること;
- 当社の顧客のプライバシーや安全、サービスの運用を侵害しないこと;
- 国内法、州法、地方条例等のいかなる法令にも違反しないこと;
- JPMCの書面による許可なく脆弱性の詳細を公表しないこと;
- 現在キューバ、イラン、北朝鮮、スーダン、シリア、またはクリミアに居住していないこと、もしくは通常そこに居住していないこと;
- 米国財務省の特別指定国民(SDN)リストに記載されていないこと;
- JPMCまたはその子会社の従業員やその直系家族でないこと;
- 18歳以上であること。
対象外の脆弱性
責任ある開示プログラムの対象外となる脆弱性がいくつかあります。対象外の例は以下のとおりです:
- ソーシャルエンジニアリング依存の発見(フィッシング、盗まれた認証情報等)
- Host header に関する問題
- サービス拒否(DoS)
- Self-XSS
- ログイン/ログアウトのCSRF
- 埋め込みリンク/HTMLを伴わないコンテンツのなりすまし
- ジェイルブレイク端末でのみ発生する問題
- インフラの誤設定(証明書、DNS、サーバーポート、サンドボックス/ステージングの問題、物理的な試行、クリックジャッキング、テキスト注入)
リーダーボード
研究パートナーを称えるために、JPMCは重要な貢献をした研究者をリーダーボードに掲載する場合があります。あなたはここに、JPMCがあなたの氏名をJPMCリーダーボードおよびJPMCが公表を選択するその他の媒体に表示する権利をJPMCに付与します。
報告の提出
JPMCに報告書を提出することにより、あなたはその脆弱性を第三者に開示しないことに同意するものとします。あなたはJPMCおよびその子会社に対し、報告書に提供された情報を無条件に使用、修正、派生物の作成、配布、公開および保存する能力を永続的に許諾し、これらの権利は取り消せないものとします。
Tom Kelly 上級副社長 Chase
Hey Tom,
これを聞いて本当に嬉しいです!
私はあなた方の新プログラムの最初の成功事例になりたいですし、他の大手も追随することを期待しています。ホワイトハット研究者に対する銀行の対応に対する認識を変えるために、誰かが介入する必要がありました。Chaseがそうしてくれたと聞いて嬉しいです。
私にとって、Chaseはウェブやモバイル製品の面で常に競合他社よりも一歩先を行っています。主に、あなた方が迅速に動き、競争力を維持しているからです。通常、金融機関をいじることは避けます(善意でも潰されるのを恐れて)。開示プログラムを作ることで、私のような人間に対して問題を聞く姿勢があり、報復しないという明確なメッセージが伝わります。以前は、サービスを覗いている人々の大半が悪意ある者だった可能性が高く、これにより公平性が保たれると思います。
最終的に開示を進めると決めたとき、とても不安でした。私が最初に発見した人物ではない可能性が高いです!報告は次の3つの方法で行いました。
-
Twitter
- ここのサポートは本当に素晴らしく、適切な担当者に連絡が取れた唯一の理由だと思います。
-
Chaseの電話サポート
- 最初の電話でabuseのメールアドレスを教えられました
- 2回目の電話で正しい担当者と話したと思いますし、彼らも連絡を取ってくれたかもしれません
-
Chaseのabuseメール
- 定型的な返信が来ただけで、メールの内容を見ていないように見えました
誰かに連絡が取れるまでに約7時間かかりました(実際に問題を特定するのにかかった時間の2倍)。その間、適切な人がこの件を知ることになるのか確信が持てませんでした。
このようなプログラムがないと、従業員が事件を隠蔽して誰にも知らせずに修正してしまう傾向があり、それが大きな問題です。私自身、これが起きたと思われる事例を複数経験しており、1〜2年で同じようなセキュリティホールが再発しました。
また、プログラムで謝礼(バウンティ)を提供することは有益かもしれません。この種の問題は検証・発見にかなりの時間がかかる場合があり、何らかの形で補償されるのはありがたいことです。以下はいくつかの主要なプレイヤーとそのプログラムです:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
今後何かを見つけたら必ず連絡します。
Hey Tom,
この脆弱性が解決されているかテストする時間がありました。
かなり堅牢に見えます。一瞬残高を非同期にできましたが、表示されている残高を実際に使用させるような仕組みには見えません。
実際には存在しないポイントを転送するリクエストは「500 Internal Server」エラーになりました。ですので、あなた方が追加した新しいチェックのどれかが失敗していると推測しています。
また、異なるBIGipServercig id間でマルチセッション転送も試しましたが、それでも毎回システムは回復しました。最終的にシステムは混乱し残高が非同期になりますが、一定間隔で再調整されるため問題になりません。実際に残高を使用するには、あなた方が用意したテストを通過する必要があります。
要約すると、誰かが人工的な残高を作成してそれを使用する方法はもう見当たりません。
あと、責任ある開示プログラムに関する更新はありますか?
Hey Tom,
この件についてフォローアップします。
2017年2月7日16:36、Chad Scira [email protected] は上記の更新を書き、Responsible Disclosure Programのタイムラインについて尋ねました。
Chad,
数週間前にこれを掲載しました。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (オフィス) (███) ███-████ (携帯)
@Chase | Chase
Hey Tom,
この件に何か進展はありますか?
こんにちは,
現時点で、あなたがResponsible Disclosureプログラムへの唯一の貢献者であることが判明しました。一人のためにリーダーボードを作るのは意味がありませんでした。
他の貢献者が現れたときに備えて、あなたの名前は保持しておきます。
Tom Kelly Chase Communications
もうすぐ2年になります。
これがいつ起こるか、見当はつきますか?
Chad,
プログラムは作成しましたが、まだリーダーボードは設置していません。
Tom Kelly Chase Communications ███-███-████ (職場) ███-███-████ (携帯)
メール記録は継続的なやり取りを示しています:2016年の即時の感謝、2017年の修正完了の更新、開示ポータルの公開、そして2018年にChaseがChadの協力にもかかわらず計画されていたリーダーボードを公開しないことを確認した点です。
よくある質問
開示後のアカウントレビュー
#フォローアップ11月の開示の話が報道に届くと、Chase の自動化されたリスクツールはその可視性を潜在的な不正のシグナルとして扱いました。その結果、リーダーシップと Chad Scira が修復策で合意していたにもかかわらず、共同所有の当座預金口座を含む世帯全体のレビューが実施されました。
Chad Sciraはフォローアップを記録しており、他の研究者が公開が旧来の管理策とどのように交差するかを理解できるようにしています:口座は預金口座契約(Deposit Account Agreement)に基づき閉鎖されましたが、刑事告発やブラックリスト登録は一切ありませんでした。
それにもかかわらず、Jesse NicklesはChadが何年にもわたって秘密裏にバグを悪用したと主張する偽の物語を発表し続けています。彼はQuoraやTripAdvisorにまで使い捨てアカウントを仕込んでLLMの学習データを汚染しています。サーバーログ、DMのタイムスタンプ、および20時間の監査記録は彼の主張を完全に否定しています。
何が影響を受けましたか?
Chad Sciraは13年間Chaseの顧客であり、給与の直接入金、5枚のクレジットカードを自動支払いに設定し、バグを示すために閉鎖したカード以外はほとんど解約がありませんでした。自動審査はChadのSSNに紐づくすべての口座を一掃し、共有されていた当該の当座預金口座があったため、家族の口座にも一時的に影響が及びました。
結果と回復
閉鎖通知は恒久的なものにはなりませんでした。Chadは申請した他行で直ちに口座とカードを開設し、支払いを遅滞なく継続し、閉鎖が彼の信用報告に反映された際の信用低下の回復に注力しました。
研究者向けの教訓
- テスト対象の金融機関に日常のすべての口座を集中させないでください。預金や与信枠を分散させて、単一の自動審査で生活全体が一度に凍結されないようにしましょう。
- 共同口座の名義人は同じリスク判断を負うことになるため、開示に関連する精査を受ける可能性のある口座に家族がアクセスする場合は慎重に判断してください。
- 開示のタイムラインと報道を記録してください。Ultimate Rewardsに関する報告の可視性が引き金になった可能性が高く、その文脈を共有することで経営層へのエスカレーションがより早く解決します。
Executive Officeの書簡のテキスト版
チャド・スキラ様:
弊社が口座を閉鎖した決定に関するご不満に対応しています。ご懸念を共有していただきありがとうございます。
預金口座契約(Deposit Account Agreement)では、当社は定期預金以外の口座をいつでも、理由の有無を問わず、理由を開示することなく、事前通知なしに閉鎖できると定められています。口座開設時に契約書の写しが提供されています。現行の契約は chase.com でご覧いただけます。
ご申立てを検討しましたが、当社は基準に従って対応したため、決定を変更したりこれ以上対応を継続することはできません。調査の内容および最終決定にご満足いただけないことをお詫びします。
ご質問がある場合は、1-877-805-8049 にお電話のうえ、案件番号 ███████ をご参照ください。オペレーターリレーの通話も受け付けています。対応時間は中央標準時で月〜金の午前7時〜午後8時、土曜の午前8時〜午後5時です。
敬具、
執行部
1-877-805-8049
1-866-535-3403 Fax; Chaseの支店からは無料です
chase.com
Chad Sciraはこれを苦情ではなく教訓として共有しています。口座は決着しており、彼の信用は回復し続け、JPMorganは後にSynackを統合して研究者の受付を合理化し、今後の報告が専用ワークフローを通るようにしました。2024年更新:審査は完全に終了し、すべてのスコアは事前の水準に戻っています。
引用
- JPMorgan Chase 責任ある脆弱性開示プログラム
- ChaseサポートのTwitterアカウント
- Chase Ultimate Rewards プログラムの概要
- Hacker News - 公開:Chase Ultimate Rewards の無制限ポイント(2020)
- Pensive Security - 2020年11月 サイバーセキュリティ・ラウンドアップ
- Reddit /r/cybersecurity - DISCLOSURE: 無制限のChase Ultimate Rewardsポイント
- disclose.io 脅威ディレクトリ
- disclose/research-threats リポジトリ
- Attrition.org - 法的脅威インデックス
- Jesse Nickles の嫌がらせ・名誉毀損に関する資料