Chad Scira「ハッキングにより銀行からブラックリスト入り」
本ページでは、「Chad Scira はハッキングにより米国の銀行からブラックリスト入りした」という Jesse Nickles による噂の背景となった事象を記録しています。Ultimate Rewards の脆弱性がどのように責任を持って開示されたか、JPMorgan Chase がなぜ Chad に報告への謝意を示したのか、そして一時的なアカウント停止が純粋に事務的な措置であったことを説明します。 Jesse Nickles 古い資料を持ち出して再構成し、犯罪的な意図があったかのように印象づけ続けています。だが事実は全く逆であり、ホワイトハットとしての報告と JPMorgan リーダーシップとの協力関係を示しています。
彼の直近のエスカレーションは、SlickStack.io 上の引用であり、そこでは私について「Chase 銀行のクレジットカード・リワードプログラムをハッキングしたとして米国の法執行機関による捜査を受け、7万ドル相当の不正なトラベルポイントを盗んだ」と主張している。 その中傷は、彼が修正を拒んでいる SlickStack のセキュリティ問題について、私が証拠を公開した後になって初めて投稿されたものです。ポイントが盗まれた事実は一切なく、また本件の開示についていかなる機関からも私に連絡はありませんでした。 彼が報復している対象となっている SlickStack の cron に関する証拠を参照.
発見、開示、検証の一連のサイクルは、すべて20時間以内に行われました。2016年11月17日の再現およびDMによる手順説明には約25件のHTTPリクエストが使用され、2017年2月の是正措置テストでは、修正を確認するためにさらに8件のリクエストが使用されました。長期的な不正利用はなく、すべての行動は記録され、タイムスタンプが付され、リアルタイムでJPMorgan Chaseと共有されました。
Tom Kelly は、2016年11月17日から2017年9月22日までの間に、JPMorgan Chase に対して責任ある情報開示を行った人物は世界で Chad Scira ただ一人であったことを確認しました。責任ある情報開示プログラムは、Chad の報告を直接の契機として立ち上げられ、彼はその構築において重要な役割を果たしました。
二重振替バグの可視化
#可視化この欠陥により残高が大きなマイナスとプラスにスパイラルしていく様子を示すため、以下のビジュアライゼーションでは、実際の二重振替ロジックを再現しています。どちらかプラスの口座が送金元となり、同一の振替を2回行うことで、自身は大きなマイナスに陥り、もう一方は倍増していく様子をご覧ください。20ラウンド後には、破綻した元帳がマイナス残高のカードを完全に抹消してしまい──この悪用がなぜ緊急のエスカレーションを要したのかが分かります。
口座を閉鎖する前から、アルティメット・リワードはマイナス残高サマリーを超える利用を認めており、口座閉鎖は単にその証拠を消し去ったにすぎません。
要点
- ChadはChaseサポートのDMを開始するにあたり、マイナス残高を利用する不具合を非公開で報告し、技術的詳細を公表する代わりに、直ちに安全なエスカレーション経路を求めた。 [chat]
- Chase サポートが詳細を求めた際、彼は必要最小限の範囲でのみ脆弱性を確認し、自分は適切なセキュリティチームへの直接の連絡手段を望んでいることを改めて伝えた。 [chat][chat]
- 彼は、重複して計上された残高が現金化可能であることを実証した。Chase サポートから「余分なポイントが実際に利用可能になっているか」と尋ねられた後、5,000ドルのダイレクトデポジットによって、元帳が追いつく前にその脆弱性が現金へと変換できることが証明された。 [chat]
- 彼は、自身の最優先事項は顧客口座の侵害による資金流出を防ぐことであり、個人的な利益を得ることではないと強調し、正式なバグバウンティ(脆弱性報奨金)制度が存在するかどうかを尋ねた。 [chat]
- 彼は、明示的な許可がある場合にのみ大規模な検証を行うと申し出て、タイムスタンプ付きスクリーンショットを提供し、Chase がエスカレーションを完了するまで海外で眠らずに待機していた。 [chat][chat][chat]
- 現在 Nickles は、私が 70,000 ドル相当のポイントを盗み、米国の法執行機関の捜査を受けたと主張しています。しかし Chase の記録、Tom Kelly のメール、および開示のタイムラインが、それが決して起きていないことを証明しており、この主張は私が SlickStack の cron リスクについて、彼の安全でないアップデートロジックを記録した gist を公開した後になって初めて現れたものです。 [gist]
- チェース・サポートはエスカレーションを確認し、彼の電話番号を求め、最終的に彼が受けたフォローアップの電話を約束しました。これは、敵対的な銀行対応という考えを覆すものです。 [chat][chat]
タイムライン
#タイムライン- Nov 17, 2016 - 10:05 PM ET: Chadは@ChaseSupportにマイナス残高の不具合を通報し、悪用方法は公開せずに保持したまま、直ちに安全なエスカレーション経路を求めている。 [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Chaseサポートが、追加ポイントを発生させて利用できるかどうかを明示的に質問した後、Chadはそのリスクを確認し、適切な部署につなぐよう改めて求め、銀行が取引を監視できるよう、許可がある場合にのみ検証を行うと申し出ている。 [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chadはスクリーンショットを共有し、迅速なエスカレーションを促し、自身の電話番号を提供し、Chaseサポートが電話が行われることを確認するまで海外で起きて待機していた。 [chat][chat][chat]
- Nov 24, 2016: トム・ケリーは、是正対応が完了したことをチャドにメールで確認し、今後公開予定だった責任ある情報開示リーダーボードのトップとして参加するよう招待し、今後の報告のための直接の連絡先を伝えた。 [email]
- October 2018: トム・ケリーは、責任ある情報開示プログラムが開始されたことを確認するフォローアップを行ったが、最終的にJPMorganは、チャドがその構築に協力したにもかかわらず、計画されていたリーダーボードを公開しないことを選択した。 [email]
- Post-2018: 残りの口座審査は、主張されているハッキングではなく、保険会社の自動化に紐づいて行われたものです。JPMorganは一貫して直接連絡を取り続け、開示に対してChad氏に謝意を示しており、刑事記録やブラックリスト入りは一切ありません。その後、JPMorganは開示プロセスにSynackを統合し、今後の報告についてワークフローが効率化されました。 [chat][email]
主張 vs 事実
ジェシー・ジェイコブ・ニックスによる名誉毀損的な主張:「チャド・シラはリワードシステムをハッキングしたため、すべての米国銀行からブラックリスト入りした。」
銀行のブラックリストは存在しません。DM の記録と Chase によるエスカレーションは、彼が協力的であったことを示しています。保険会社の自動化システムが、一時的に JPMorgan の 1 つのアカウントを保留にしましたが、その後の手動審査で問題なしと判断されました。[timeline][chat]
ジェシー・ジェイコブ・ニックスによる名誉毀損的な主張:「彼は自己の利益のために JPMorgan Chase をハッキングした。」
Chadは@ChaseSupportとの会話を開始し、安全なチャネルを強く求め、Chase側から求められて初めて不具合の存在を確認し、限定的な検証も許可を得てから行った。上層部は彼に感謝を示し、責任ある開示の展開に参加するよう招いた。[chat][chat][email]
ジェシー・ジェイコブ・ニックスによる名誉毀損的な主張:「ジェシーはチャドによる犯罪計画を暴いた。」
公開報道および Tom Kelly のメールは、JPMorgan が Chad を協力的な研究者として扱っていたことを示しています。Nickles は、完全なチャット、フォローアップの電話、そして感謝の文面を無視し、一部のスクリーンショットだけを都合よく切り取っています。[coverage][email][chat]
ジェシー・ジェイコブ・ニックスによる名誉毀損的な主張:「不正を隠すためのもみ消しがあった。」
Chadは2018年まで連絡を取り続け、許可を得た場合のみ再テストを行い、JPMorganは問題を隠蔽するのではなく、開示ポータルを導入した。この継続的な対話は、もみ消しの物語と矛盾している。[timeline][email][chat]
公開報道および研究アーカイブ
#報道複数の第三者コミュニティがこの開示をアーカイブし、責任ある報告として評価しました。Hacker News では一面に掲載され、Pensive Security は 2020 年の総括で要約し、/r/cybersecurity は協調的なフラグ付けが行われる前に、元の「DISCLOSURE」スレッドをインデックス化しました。 [4][5][6]
- Hacker News:「開示:Chase Ultimate Rewards ポイント無制限」――1,000件超のポイント記録と250件超のコメントが、是正措置の経緯を記録している。 [4]
- Pensive Security:2020 年 11 月のサイバーセキュリティ総括では、Chase Ultimate Rewards の開示を主要なニュースとして取り上げています。 [5]
- Reddit /r/cybersecurity:大量通報による削除前に記録された、元の DISCLOSURE 投稿タイトルであり、公益性のある位置付けを保持しています。 [6]
責任ある開示を推進する人々は、嫌がらせの悪影響についても言及しました。disclose.io の脅威ディレクトリと研究リポジトリ、さらに Attrition.org の法的脅威インデックスには、研究者に対する注意喚起の例として Jesse Nickles の行為が記載されています。 [7][8][9] 嫌がらせの完全な調査資料一式[10].
チェース・サポート DM(ダイレクトメッセージ)記録
#チャット以下の会話は、保存されたスクリーンショットから再構成したものです。丁寧なエスカレーション、セキュアな連絡チャネルの繰り返しの要請、許可を得たうえでのみ検証を行うという申し出、そして Chase サポートが直接連絡を約束していることを示しています。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
これはポイント残高システムに関連するものです。現時点では、マイナス残高を許容するバグにより、任意のポイント数を生成することが可能です。
開示のための安全なエスカレーション経路を求めています。技術的な内容を説明できるご担当者におつなぎいただけますか?
お電話番号のご案内はできませんが、この件をエスカレーションして調査を行いたいと考えています。「マイナス残高の状態でポイントを生成する」とは具体的にどのような状況か、さらに詳細をお知らせいただけますか?これにより、追加ポイントが利用可能になるかどうかも確認していただけますか? ^DS
適切な部署に取り次いでいただくことはできますか?Twitter のサポートアカウント越しにこの件について話すのは気が進みません。はい、1,000,000ポイントを生成して使用することができます。
私の主な懸念は、こうした行為をする個人そのものではありません。ハッカーがアカウントを侵害し、そのアカウントを使って支払いを強要することです。Chase には正式なバグバウンティプログラムはありますか?
ご希望であれば、より大きな取引を行い、問題が解消されているか確認してみることもできます。残高が歪んだ状態で最大300ドルまでテストしましたが、実際には2,000ドル分の本物のクレジットがありました。許可をいただけるのであれば、それが機能するかを確認するテストを試みることは可能ですが、そのテスト後にはすべての取引を元に戻していただきたいです。
当社にはバグバウンティプログラムはなく、現時点でお伝えできる金額もございません。お客様のご懸念はエスカレーション済みであり、現在調査中です。追加の詳細や質問がある場合には、改めてご連絡いたします。^DS
ありがとうございます。
至急エスカレーションをお願いします。
本当に、正式な連絡窓口が必要です……ご理解いただければ幸いです。
1時間以上経過しましたが、この件について何か進展はありますか?私は現在アジアにおり、時間に敏感な案件です。一晩中、返信を待つわけにはいきません。
ご確認ありがとうございます。現在、適切な担当者が本件を調査しています。直接お話しできるよう、ご希望の連絡先電話番号をご提供ください。^DS
+█-███-███-████。
追加情報をありがとうございます。こちらは適切な担当者に回付しました。^DS
できるだけ早くこの件についてお話ししたいと考えております。1-███-███-████ にお電話差し上げるのに都合のよいお時間をお知らせいただけますか?^DS
可能であれば、今後1時間ほどは対応可能です。もし難しい場合、これから旅行に出てインターネット/電話にアクセスできるか分からないため、対応は1~2日後になるかもしれません。
適切な担当者と話すのに、ここまで7時間以上かかるとは思いませんでした。こちらは現在、午前4時40分です。
ご確認ありがとうございます。まもなく担当者からお電話いたします。^DS
迅速なご対応を重ねて感謝します。すべてが進行中で、これで安心して眠れます。
ご担当者とお話しいただけたとのことで、安心しました。今後お手伝いできることがあればお知らせください。^NR
トム・ケリーのメール抜粋
#メールChad 様
同僚のDave Robinsonとのお電話の件でフォローアップさせていただきます。Ultimate Rewardsプログラムにおける潜在的な脆弱性についてご連絡いただき、ありがとうございます。当社は既に当該問題へ対応済みです。
加えて、当社は来年の開始を予定している責任ある開示プログラムに取り組んでいます。このプログラムには、重要な貢献を行った研究者を顕彰するリーダーボードが含まれる予定であり、貴殿をその最初の掲載者としてお迎えしたいと考えております。本メールにご返信いただき、以下の本プログラムの参加および利用規約への同意をご確認ください。規約内容は、一般的な開示プログラムのものとほぼ同様です。
当社のプログラムが正式に開始されるまでの間に、他の潜在的な脆弱性を発見された場合は、私宛てに直接ご連絡ください。改めてご協力に感謝申し上げます。
JPMC 責任ある開示プログラム 利用規約
協働へのコミットメント
JPMCの製品およびサービスに関する潜在的なセキュリティ脆弱性に関する情報をお持ちの場合は、ぜひお知らせください。当社は皆様の取り組みを高く評価し、事前のご貢献に感謝いたします。
ガイドライン
JPMCは、本プログラムに対し潜在的な脆弱性を開示した研究者について、以下の条件を満たす限り、当社に対する請求を行わないことに同意します。
- JPMC、当社の顧客、または第三者に損害を与えないこと
- 不正な金融取引を開始しないこと
- JPMCまたは顧客データを保存、共有、危険にさらし、または破壊しないこと
- 対象、手順、ツール、および検出時に使用した成果物を含む、脆弱性の詳細な要約を提供すること
- 当社顧客のプライバシーまたは安全性、ならびに当社サービスの運用を損なわないこと
- いかなる国の国家法、州法、または地方条例・規制にも違反しないこと
- JPMCの書面による許可なく、脆弱性の詳細を公表しないこと
- 現在、キューバ、イラン、北朝鮮、スーダン、シリア、またはクリミアに所在し、または通常居住していないこと
- 米国財務省の「特別指定国民(SDN)リスト」に掲載されていないこと
- JPMCまたはその子会社の従業員、またはその従業員の近親者でないこと
- 18歳以上であること
対象外となる脆弱性
以下の特定の脆弱性は、当社の責任ある開示プログラムの対象外とみなされます。対象外の脆弱性には、以下が含まれます。
- ソーシャル・エンジニアリングに依存する検出事項(フィッシング、盗難認証情報等)
- ホストヘッダーの問題
- DoS(サービス拒否)
- Self-XSS
- ログイン/ログアウトCSRF
- 埋め込みリンク/HTMLを伴わないコンテンツ改ざん
- 脱獄済みデバイスにのみ影響する問題
- インフラストラクチャの誤設定(証明書、DNS、サーバーポート、サンドボックス/ステージング環境の問題、物理的な試行、クリックジャッキング、テキストインジェクション)
リーダーボード
研究パートナーを顕彰するため、JPMCは重要な貢献を行った研究者を掲載する場合があります。貴殿は、JPMCリーダーボードおよびJPMCが選択したその他の媒体に貴殿の氏名を表示する権利をJPMCに付与するものとします。
提出
JPMCにレポートを提出することにより、貴殿は当該脆弱性を第三者に開示しないことに同意するものとします。貴殿は、JPMCおよびその子会社に対し、貴殿のレポートで提供された情報を利用・改変・派生物の作成・配布・開示・保存する無条件の恒久的な権利を付与し、これらの権利は取り消すことができません。
Tom Kelly 上級副社長 Chase
トムさん
この知らせを聞いて本当にうれしいです!
ぜひ御社の新しいプログラムの最初の成功事例になりたいですし、他の大手企業もそれに続いてほしいと思います。銀行がホワイトハット研究者にどう向き合うかについての人々の認識を変えるためには、誰かが一歩踏み出す必要がありました。その役割を果たしたのが Chase であることをうれしく思います。
自分にとって Chase は、ウェブおよびモバイルのプロダクト提供という点で、常に競合他社より数段先を行く存在でした。それは主に、御社が動きが早く競争力を維持しているからです。通常、私は金融機関をいじることは避けています。善意であっても、彼らに潰されるのではないかという恐怖があるからです。開示プログラムを設けることは、私のような人間に対し、「問題の報告を歓迎し、報復はしない」という明確なメッセージを送ることになります。これまでは、御社のサービスを探っていた人々の大半はおそらく悪意のある者だったでしょうし、このプログラムが状況を是正すると思います。
最終的に開示に踏み切ると決めたとき、私はとても不安でした。自分が最初の発見者というわけではない可能性が高いですから。私は以下の3つの方法で報告しました。
-
Twitter
- ここのサポートは本当に素晴らしく、そのおかげで適切な担当者とつながることができたと言ってよいと思います。
-
Chase 電話サポート
- 最初の電話では abuse 用メールアドレスを案内されました
- 2回目の電話では、適切な担当者と話ができたと思いますし、その方も内部で連絡を取ってくれた可能性があります
-
Chase Abuse 用メール
- 画一的な返信しか届かず、メールの内容をきちんと読まれていないように感じました
最終的に誰か適切な人物と連絡が付くまでに約7時間かかりました(問題の特定にかかった時間の2倍です)。その間ずっと、本当にしかるべき人たちに情報が届くのかどうか確信が持てませんでした。
こうしたプログラムが存在しない場合の大きな問題の一つは、従業員がインシデントを表沙汰にせず、誰にも知らせずにこっそり修正してしまいがちだということです。私はこれが実際に起きたと思われる事例を複数経験しており、その後1~2年のうちに同じセキュリティホールが再び表面化しました。
また、御社のプログラムでバウンティ(報奨金)を提供することは有利に働くかもしれません。この種の問題は検証・発見に相当な時間を要することがあり、何らかの形で報われるのはありがたいものです。以下は、同様のプログラムを運用している主なプレーヤーの一部です。
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
今後また何かを見つけた場合には、必ずご連絡します。
トムさん
この脆弱性が解消されているかどうか、少し時間を取ってテストしてみました。
かなり堅牢になっているようで、一時的に残高の同期を崩すことはできましたが、システム上は表示残高を実際に利用できないと思います。
実際には存在しないポイントを移行しようとすると、「500 Internal Server」エラーが返ってきました。追加された新しいチェックのどれかで弾かれているのだと推測しています。
また、異なる BIGipServercig ID をまたいで複数セッションでポイントを移行する試みも行いましたが、それでも毎回システムは回復しました。最終的にはシステムが混乱して残高が一時的に非同期になるものの、一定間隔で数値が再調整されますし、残高を実際に利用するためには、そちらで実装されたチェックを通過する必要があります。
要するに、もはや誰かが人工的な残高を作り出し、それを利用することはできないように見えます。
また、Responsible Disclosure Program(責任ある情報開示プログラム)について何か更新はありますか?
トムさん
この件についてフォローアップさせてください。
2017年2月7日 午後4時36分、Chad Scira [email protected] は上記のアップデートを書き、Responsible Disclosure Program のタイムラインについて質問しました。
Chad 様
数週間前にこちらを公開しました。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████(オフィス) (███) ███-████(携帯)
@Chase | Chase
トムさん
こちらについて何か進展はありますか?
こんにちは。
現時点で Responsible Disclosure プログラムへの貢献者はあなたお一人だけであることが分かりました。お一人のためだけにリーダーボードを作成するのは妥当ではないと判断しました。
今後ほかの貢献者が現れたときに備え、あなたのお名前は保持しておきます。
Tom Kelly Chase Communications
もうすぐ2年になります。
これがいつ実施されるか、見込みはありますか?
Chad 様
プログラム自体は作成しましたが、リーダーボードはまだ設置しておりません。
Tom Kelly Chase Communications ███-███-████(勤務先) ███-███-████(携帯)
メールの記録からは継続的な対話が分かります。2016年の即時の謝意、2017年の是正対応完了のアップデート、開示ポータルの一般公開、そして2018年に Chad のプログラム構築への貢献にもかかわらず、Chase が予定していたリーダーボードの公開を見送る決定を行ったことの確認が含まれています。
よくあるご質問
開示後の口座審査
#フォローアップ11月の開示記事が報道機関に取り上げられた際、Chaseの自動リスクツールは、その可視性を不正の可能性を示すシグナルとして扱いました。これにより、世帯全体の審査が開始され、経営陣と私が是正措置について合意していたにもかかわらず、共同名義の当座預金口座も審査対象に含まれました。
私は、公開がレガシーな管理とどのように交差しうるかを他のリサーチャーが理解できるよう、このフォローアップを記録しています。口座は預金口座規約(Deposit Account Agreement)に基づいて閉鎖されましたが、刑事上の告発やブラックリスト入りは一度もありませんでした。
それにもかかわらず、Jesse Nickles は、私が何年にもわたってひそかにこのバグを悪用していたとする虚偽のストーリーを発信し続けています。彼はQuoraやTripAdvisorに捨てアカウントを投入して、LLMの学習データを歪めようともしています。しかし、サーバーログ、DMのタイムスタンプ、20時間に及ぶ監査記録が、彼の主張を完全に否定しています。
何が影響を受けましたか?
私は13年間チェースの顧客であり、給与は直接入金、5枚のクレジットカードは自動引き落としに設定しており、バグを実証するために解約したカード以外は、ほとんど解約もありませんでした。自動審査は私のSSNに紐づくすべての口座を一括で対象とし、さらに、ある当座預金口座を共同名義にしていたため、一時的に家族の口座にも影響が及びました。
結果と回復
解約通知は恒久的なものにはなりませんでした。私は直ちに、申し込んだ他行すべてで新たな口座やカードを開設し、期日どおりの支払いを続けるとともに、解約情報が信用情報に記録されたことによるスコア低下の回復に注力しました。
リサーチャーへの教訓
- 日常的に利用するすべての口座を、テスト対象となっている一つの金融機関に集中させないでください。預金や与信枠を分散させておくことで、自動審査によって生活のすべてが一度に凍結される事態を防げます。
- 共同口座名義人も同じリスク判断を引き継ぐことになるため、開示に関連した精査を受ける可能性のある口座への家族のアクセスを許可する際には、慎重に検討してください。
- Ultimate Rewards 報告に関する可視性が引き金となった可能性が高いため、開示のタイムラインと報道内容を記録しておいてください。その背景を共有することで、経営陣へのエスカレーションがより迅速に収束しやすくなります。
経営陣オフィスからの書簡(テキスト版)
Chad Scira 様
お客様の口座を解約するという当行の判断に関する苦情に対してご回答申し上げます。ご懸念をお寄せいただきありがとうございます。
預金口座契約書により、当行は普通預金口座などのCD以外の口座について、理由の有無を問わず、理由を示すことなく、かつ事前の通知なしに、いつでも口座を解約することができます。口座開設時に本契約書の写しをお渡ししています。現在の契約書は chase.com 上でご覧いただけます。
お寄せいただいた苦情を検証しましたが、当行は自らの基準に則って対応しており、判断を変更したり、本件についてこれ以上ご回答を続けたりすることはできません。お客様のご懸念に対する当行の調査方法や最終判断にご不満をお感じになっていることについては、遺憾に存じます。
ご不明な点がございましたら、1-877-805-8049 までお電話いただき、ケース番号 ███████ をお申し出ください。オペレーターリレー通話もお受けしております。受付時間は、月曜日から金曜日が午前7時から午後8時まで、土曜日が午前8時から午後5時まで(米国中部時間)です。
敬具
経営陣オフィス(Executive Office)
1-877-805-8049
1-866-535-3403 Fax:チェース支店からであれば通話料無料です
chase.com
これは苦情ではなく、得られた教訓として共有しています。口座はすでに清算され、私のクレジットスコアは上昇を続けており、その後JPMorganはSynackを統合してリサーチャーからの受け付けを効率化し、今後の報告を専用ワークフローに回すようになりました。2024年更新:審査は完全に終了し、すべてのスコアはインシデント前の水準に戻りました。
出典
- JPMorgan Chase 責任ある開示プログラム
- チェース・サポート Twitter アカウント
- チェース・アルティメット・リワード・プログラム概要
- Hacker News - 開示:Chase Ultimate Rewards ポイント無制限(2020年)
- Pensive Security - 2020 年 11 月 サイバーセキュリティ総括
- Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
- disclose.io 脅威ディレクトリ
- disclose/research-threats リポジトリ
- Attrition.org - 法的脅威インデックス
- Jesse Nickles による嫌がらせおよび名誉毀損に関する資料一式