Chad Scira "Di-Blacklist Saka Bank Amarga Hacking"

Kaca iki ndokumentasikake kedadeyan ing mburine gosip Jesse Nickles yen Chad Scira kuwi "diblacklist bank-bank AS amarga hacking." Iki nerangake carane kerentanan Ultimate Rewards diungkap kanthi tanggung jawab, kenapa JPMorgan Chase matur nuwun marang Chad kanggo laporane, lan carane penghentian akun sementara kuwi murni administratif. Jesse Nickles terus-terusan mbungkus manèh artefak lawas kanggo nggambaraké niyat kriminal. Fakta-faktane malah nuduhaké kosok balèné: pelaporan white-hat lan kerjasama karo panguwasa JPMorgan.

Eskalasi paling anyar saka dheweke yaiku kutipan ing SlickStack.io sing nuduhi yèn aku "uga wis ditliti déning penegak hukum AS amarga nge‑hack program poin ganjaran kartu kredit Chase Bank, ing ngendi dheweke nyolong $70.000 poin lelungan palsu." Fitnah kuwi mung diposting sawisé aku nerbitake bukti masalah keamanan SlickStack sing dheweke ora gelem ndandani; ora ana poin sing tau dicolong lan ora ana lembaga apa wae sing ngubungi aku babagan pengungkapan kasebut. Delengen bukti cron SlickStack sing dadi dhasar tumindak balas dendam dheweke.

Sakabèhé siklus panemuan, pambukak informasi, lan validasi kelakon mung sajrone rong puluh jam: kira-kira rong puluh lima panyuwunan HTTP nutupi reproduksi lan pandhuan liwat DM ing 17 November 2016, lan tes perbaikan Februari 2017 nganggo wolung panyuwunan tambahan kanggo ngonfirmasi ndandani kasebut. Ora ana panyalahgunaan jangka suwe; saben tumindak kacathet, diwenehi wektu (timestamp), lan dienggo bareng karo JPMorgan Chase sacara wektu nyata.

Tom Kelly ngonfirmasi yen Chad Scira iku siji-sijine wong ing saindenging donya sing kanthi tanggung jawab nglaporake masalah marang JPMorgan Chase antarane 17 November 2016 lan 22 September 2017. Program Responsible Disclosure diadegake langsung minangka tanggapan marang laporan Chad, lan dheweke nduweni peran wigati ing mbentuk program kasebut.

Visualisasi Bug Transfer Ganda

#visualisasi

Kanggo njelaskake carane cacat iki nggawe saldo mlenceng dadi negatif lan positif gedhe, visualisasi ing ngisor iki mbaleni logika transfer ganda sing pas. Delengen carane akun sing positif dadi pangirim, nindakake rong transfer sing padha, lan pungkasane dadi banget negatif nalika akun liyane kaping pindho. Sawisé 20 babak, buku besar sing rusak mbatalake kertu negatif kasebut sakabehe—mirip karo sebabe exploit iki butuh eskalasi darurat.

Babak 1/20
Kertu A → Kertu B+243,810 pts
Kertu A → Kertu B+243,810 pts
Kertu A
243,810
Kertu B
0
Loncatan transfer kaping pindho
Transfer 1Transfer 2243,810 pts saben
1Race condition ngasilaké transfer ganda sadurunge buku besar (ledger) diimbangi manèh, saéngga siji pengirim bisa mumbul antarane saldo positif gedhé lan negatif gedhé.
2Dhukungan ngidini nutup kertu negatif nalika tetep njaga saldo positif sing nggemblung, mula statement mung nuduhake bathi lan ndhelikake utang.

Sanajan sakdurungé nutup akun, Ultimate Rewards wis ngidinaké panggunaan sing ngluwihi ringkesan negatif; penutupané mung mbusak buktiné.

Poin-Poin Kunci

  • Chad mbukak DM Chase Support kanthi lapuran pribadi babagan eksploitasi saldo negatif lan langsung njaluk dalan eskalasi sing aman tinimbang nerbitaké rincian teknisé sacara umum. [chat]
  • Nalika Chase Support njaluk rincian luwih spesifik, dheweke mung ngonfirmasi exploit nganti tingkat sing perlu lan mbaleni manèh yèn dheweke kepengin jalur langsung menyang tim keamanan sing pas. [chat][chat]
  • Dheweke nuduhaké yèn saldo duplikat kuwi bisa dicairaké: sawisé Chase Support takon apa poin ekstra mau bisa digunakaké, ana setoran langsung $5.000 sing mbuktèkaké yèn celah kasebut bisa diowahi dadi dhuwit kontan sadurungé buku besaré (ledger) kasil nyelarasaké cathetan. [chat]
  • Dheweke negesaké yèn prioritasé yaiku nyegah supaya akun nasabah sing kompromi ora kasil dikuras, dudu kanggo golek bathi pribadi, lan dheweke takon apa ana program bug bounty resmi. [chat]
  • Dheweke nawakaké kanggo nindakake validasi sing luwih gedhé mung yen ana idin eksplisit, nyedhiyakké screenshot kanthi cap wektu (timestamp), lan terus melek nalika ana ing luar negeri nganti Chase ngrampungaké eskalasi. [chat][chat][chat]
  • Saiki Nickles ngaku aku nyolong poin $70.000 lan nganti diadhepi aparat penegak hukum AS; cathetan Chase, emailé Tom Kelly, lan linimasa pengungkapan mbuktèkaké yèn iki ora tau kelakon, lan klaim kuwi mung metu sawisé aku nerbitaké gist resiko-cron SlickStack sing ndokumentasikaké logika pembaruané sing ora aman. [gist]
  • Dhukungan Chase negesake yen eskalasi wis ditindakake, njaluk nomer telponé, lan njanjèkaké telpon tindak lanjut sing pungkasane pancen ditampa, saéngga nggugurkan anggapan yen ana tanggapan perbankan sing musuhan. [chat][chat]

Linimasa

#linimasa
  • Nov 17, 2016 - 10:05 PM ET: Chad ngandhani @ChaseSupport babagan cacat saldo negatif, njaga eksploitasi tetep pribadi, lan langsung njaluk dalan eskalasi sing aman. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Sawisé Chase Support kanthi cetha takon apa bisa ngasilaké lan ngginakaké poin tambahan, Chad mastèkaké risikone, mbalèni yèn dhèwèké pengin ditangani departemen sing pas, lan nawakaké validasi mung nganggo idin supaya bank bisa ngawasi transaksi kasebut. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad nuduhaké tangkapan layar, nyurung supaya eskalasi dipercepat, nyedhiyakaké nomer telponé, lan terjaga ing luar negeri nganti Chase Support ngonfirmasi yèn telponé bakal kelakon. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly ngirim email marang Chad kanggo ngonfirmasi yen remediasi wis rampung, ngajak dheweke dadi headline ing leaderboard responsible disclosure sing bakal teka, lan menehi jalur langsung kanggo laporan-laporan sabanjuré. [email]
  • October 2018: Tom Kelly nindakaké tindak lanjut kanggo ngonfirmasi yèn program responsible disclosure wis diluncuraké nanging JPMorgan pungkasane milih ora nerbitaké leaderboard sing direncanakake, senadyan bantuan Chad ing mbentuk program kuwi. [email]
  • Post-2018: Saben pameriksaan akun sisa gegandhèngan karo otomasi saka pihak perusahaan asuransi, dudu karo tuduhan peretasan. JPMorgan tetep njaga kontak langsung, matur nuwun marang Chad kanggo pambocoran kuwi, lan ora ana cathetan pidana utawa dhaptar ireng. Sabanjuré, JPMorgan nggabungaké Synack ing proses pambocoran supaya alur kerja dadi luwih rapi kanggo laporan-laporan ing tembe. [chat][email]

Klaim vs Fakta

Klaim

Klaim fitnah saka Jesse Jacob Nickles: "Chad Scira diblacklist saka saben bank ing AS amarga nge-hack sistem ganjaran."

Fakta

Ora ana dhaptar ireng bank. Rekaman DM lan eskalasi saka Chase mbuktèkaké yèn dhèwèké lagi kerja bareng; otomatisasi saka perusahaan asuransi mung ngaso sakwisé sedhela marang siji akun JPMorgan sadurunge ulasan manual mbebasaké dhèwèké.[timeline][chat]

Klaim

Klaim fitnah saka Jesse Jacob Nickles: "Dhèwèké nge-hack JPMorgan Chase kanggo nguntungaké dhèwèké dhéwé."

Fakta

Chad miwiti obrolan karo @ChaseSupport, keukeuh mbutuhake saluran aman, mung ngonfirmasi eksploitasi sawisé dimintani Chase, lan ngenteni idin sadurungé validasi winates. Pimpinan senior matur nuwun marang dhèwèké lan ngajak melu peluncuran program responsible disclosure.[chat][chat][email]

Klaim

Klaim fitnah saka Jesse Jacob Nickles: "Jesse mbukak skema kriminalé Chad."

Fakta

Liputan umum lan email saka Tom Kelly ndokumentasikaké yèn JPMorgan nganggep Chad minangka panaliti sing kerja sama apik. Nickles mung milih screenshot sing nguntungaké dhèwèké déwé lan nglirwakakaké obrolan sing lengkap, telpon-telpon susulan, lan ucapan matur nuwun sing tinulis.[coverage][email][chat]

Klaim

Klaim fitnah saka Jesse Jacob Nickles: "Ana nutup-nutupi kanggo ndhelikaké penipuan."

Fakta

Chad tetep sesambungan nganti taun 2018, nyoba maneh mung nganggo idin, lan JPMorgan ngluncuraké portal disclosure tinimbang ndhelikaké masalahé. Dialog sing terus lumaku iki nentang narasi yèn ana upaya nutupi.[timeline][email][chat]

Liputan Umum lan Arsip Riset

#liputan

Akeh komunitas pihak katelu sing ngarsipaké pengungkapan kuwi lan ngakoni menawa iku laporan sing tanggung jawab: Hacker News nampilaké ing kaca ngarep, Pensive Security ngringkes ing ringkesan keamanan siber taun 2020, lan /r/cybersecurity ngindeks utas "DISCLOSURE" asli sadurunge ana pelaporan massal sing terkoordinasi. [4][5][6]

  • Hacker News: "Pangandharan: Poin Chase Ultimate Rewards Tanpa Wates" kanthi 1.000+ poin lan 250+ komentar sing njlentrehake konteks perbaikan. [4]
  • Pensive Security: Ringkesan Keamanan Siber November 2020 sing nyorot pengungkapan Chase Ultimate Rewards minangka crita utama. [5]
  • Reddit /r/cybersecurity: Judhul kiriman DISCLOSURE asli sing kacathet sadurunge dibusak amarga pelaporan massal, saéngga bingkai kapentingan umum tetep kélangan. [6]

Penganjur pengungkapan tanggung jawab uga nyebut akibat gangguwané: direktori ancaman lan repositori riseté disclose.io, uga indeks ancaman hukum saka Attrition.org, ndhaptar tumindak Jesse Nickles minangka conto pangeling-eling kanggo para panaliti. [7][8][9] Dossier pelecehan lengkap[10].

Transkrip DM Dhukungan Chase

#obrolan

Obrolan ing ngisor iki direkonstruksi saka arsip screenshot. Iki nuduhake eskalasi kanthi sabar, panjaluk bola-bali kanggo saluran aman, tawaran kanggo validasi mung kanthi ijin, lan Chase Support sing janjeni bakal ngubungi langsung. [2]

Chase Support Profile avatar
Chase Support ProfileAkun wis diverifikasi
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Iki ana gandhengane karo sistem saldo poin. Saiki bisa ngasilake jumlah apa wae liwat bug sing ngidini saldo negatif.

Njaluk jalur eskalasi sing aman kanggo pengungkapan.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Apa panjenengan bisa nyambungké aku karo wong sing bisa tak jelaské bab teknisé?

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 17, 2016, 10:05 PM
#

Kita ora nduwé nomer telpon sing bisa diwènèhaké, nanging kita pancèn pengin ngeskalasi iki supaya bisa ditliti. Bisa njerengaké rincian luwih lengkap babagan apa sing panjenengan maksud kanthi ngasilaké poin nalika saldo negatif?Sampeyan uga bisa ngonfirmasi apa iki ngidini poin tambahan dadi kasedhiya kanggo dienggo? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Apa sampeyan nduwèni departemen sing pas sing bisa sampeyan gandhengaké karo aku? Aku ora rumangsa nyaman mbahas iki liwat akun dhukungan Twitter. Ya, sampeyan bisa ngasilaké 1.000.000 poin lan nggunakaké.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Kuwatir utama kula dudu wong perorangan sing nindakake iki. Sing dikuatiri yaiku peretas njeblug akun lan meksa pambayaran liwat akun kasebut. Apa ana program bug bounty resmi saka Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Yen kowé kersa, aku bisa nyoba transaksi sing luwih gedhé kanggo ngonfirmasi. Nominal paling gedhé sing tak uji yaiku $300 nalika saldo lagi ora cocog, nanging sakjané aku nduwèni $2.000 kredit nyata. Yen kowé maringi idin, aku bisa nyoba ngonfirmasi yèn iki tenan bisa, nanging aku pengin kabèh transaksi kasebut dibalèkké sawisé tes rampung.

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 17, 2016, 11:21 PM

Kita ora nduwé program bounty, lan saiki aku ora nduwé angka sing bisa dakkandhaké. Aku wis ngeskalasi uneg-uneg panjenengan, lan kita lagi nyelidiki. Aku bakal nindakaké tindak lanjut yen aku nduwé rincian tambahan utawa pitakonan. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Matur nuwun.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Mangga di-escalate sakcepete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Aku tenan butuh kontak sing pas... Muga‑muga kowé ngerti.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Wis luwih saka sak jam, apa wis ana kabar bab iki? Saiki aku ana ing Asia, lan iki perkara sensitif wektu. Aku ora bisa ngentèni wangsulan nganti sak bengi.

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 18, 2016, 12:59 AM

Matur nuwun wis nglacak maneh. Kita wis duwe wong sing pas kanggo mriksa iki. Tulung wenehana nomer telpon sing disenengi, supaya kita bisa ngobrol langsung karo sampeyan. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 18, 2016, 1:53 AM

Matur nuwun kanggo informasi tambahané. Aku wis nerusake iki marang wong sing bener. ^DS

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 18, 2016, 2:38 AM
#

Kita seneng banget bisa rembugan babagan iki karo panjenengan sanalika mungkin. Bisa mangga maringi wektu sing pas kanggo nelpon panjenengan ing 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Aku kasedhiya ing jam sabanjuré yen bisa. Yen ora, bisa waé butuh sedina utawa loro amarga aku bakal lelungan lan ora yakin bakal nduwèni akses internet/telepon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Aku ora nyana bakal butuh wektu luwih saka 7 jam kanggo ngomong karo wong sing bener. Saiki wis jam 4:40 esuk ing kéné.

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 18, 2016, 4:39 AM
#

Matur nuwun wis nglacak maneh. Ana wong sing bakal nelpon sampeyan enggal iki. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Matur nuwun maneh wis nyepetake kuwi. Kabeh wis mlaku lan saiki aku bisa turu.

Chase Support avatar
Chase SupportAkun wis diverifikasi
Nov 18, 2016, 5:03 AM

Kita seneng panjenengan wis bisa ngobrol karo wong sing dimaksud. Mangga wenehana kabar manawa ing tembe mburi kita bisa mbantu apa-apa. ^NR

Petikan Email Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Tindak Lanjut Responsible Disclosure Ultimate Rewards

Chad,

Aku ngetutaké telpon panjenengan karo kolegaku Dave Robinson. Matur nuwun wis ngubungi kami babagan potensi kerentanan ing program Ultimate Rewards kita. Kita wis ngatasi perkara iki.

Saliyane kuwi, kita wis nggarap program Responsible Disclosure sing arep diluncuraké taun ngarep. Program iki bakal kalebu papan peringkat (leaderboard) sing ngakoni para peneliti sing wis maringi kontribusi wigati; kita kepengin nampilaké panjenengan minangka wong pisanan ing kono. Mangga bales email iki kanggo ngonfirmasi partisipasi panjenengan ing program iki lan sarat lan ketentuan ing ngisor iki. Sampeyan bakal nemokaké yèn syarate cukup baku kanggo program disclosure.

Nganti program iki resmi mlaku, yèn panjenengan nemokaké potensi kerentanan liyane, mangga hubungi aku langsung. Matur nuwun maneh kanggo bantuane.

Sarat lan Ketentuan Program Responsible Disclosure JPMC

Komitmen kanggo kerja bareng

Kita kepengin krungu saka panjenengan yèn panjenengan nduwèni informasi gegayutan kerentanan keamanan potensial saka produk lan layanan JPMC. Kita ngajèni karya panjenengan lan matur nuwun sakdurungé kanggo kontribusiné.

Pedoman

JPMC sarujuk ora nglajengaké tuntutan marang peneliti sing nglaporaké kerentanan potensial marang program iki yen peneliti:

  • ora nyebabaké bebaya marang JPMC, para pelanggan, utawa pihak liya;
  • ora miwiti transaksi finansial palsu;
  • ora nyimpen, nuduhaké, ngrusak, utawa ngrusak data JPMC utawa data pelanggan;
  • nyedhiyakaké ringkesan rinci babagan kerentanané, kalebu target, langkah, piranti, lan artefak sing dienggo nalika ditemokaké;
  • ora nglanggar privasi utawa keamanan para pelanggan kita lan operasi layanan kita;
  • ora nglanggar hukum utawa peraturan nasional, negara bagéan, utawa lokal apa waé;
  • ora nerbitaké rincian kerentanan kanthi umum tanpa idin tinulis saka JPMC;
  • saiki ora manggon utawa biasané manggon ing Kuba, Iran, Korea Lor, Sudan, Suriah utawa Krimea;
  • ora ana ing Dhaptar Specially Designated Nationals saka Departemen Keuangan A.S.;
  • dudu karyawan utawa anggota kulawarga langsung saka karyawan JPMC utawa anak perusahaane; lan
  • umuré paling ora 18 taun.

Kerentanan Sing Ora Kalebu

Sawetara kerentanan dianggep ora kalebu ing lingkup Program Responsible Disclosure kita. Kerentanan sing ora kalebu antarané:

  • Temuan sing gumantung marang social engineering (phishing, kredensial dicolong, lsp.)
  • Masalah host header
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing tanpa pranala/HTML sing disisipaké
  • Masalah sing mung muncul ing piranti sing wis di-jailbreak
  • Salah konfigurasi infrastruktur (sertifikat, DNS, port server, masalah sandbox/staging, upaya fisik, clickjacking, injeksi teks)

Leaderboard

Kanggo ngakoni mitra riset, JPMC bisa nampilaké para peneliti sing maringi kontribusi wigati. Kanthi iki panjenengan menehi hak marang JPMC kanggo nampilaké jeneng panjenengan ing JPMC Leaderboard lan media liya sing dipilih JPMC kanggo diterbitaké.

Pangiriman

Kanthi ngirim laporan panjenengan menyang JPMC, panjenengan sarujuk ora ngandharaké kerentanan marang pihak katelu. Panjenengan kanthi langgeng maringi hak tanpa syarat marang JPMC lan anak perusahaane kanggo migunakaké, ngowahi, nggawe karya turunan saka, nyebar, mbukak, lan nyimpen informasi sing diwènèhké ing laporan panjenengan, lan hak-hak iki ora bisa dibatalaké.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Tindak Lanjut Pengungkapan Tanggung Jawab Ultimate Rewards

Halo Tom,

Aku seneng banget krungu iki!

Aku bakal seneng banget yen bisa dadi crita sukses pisanan ing program anyar iki, lan muga‑muga para pemain gedhé liyané ngetutaké jejakmu. Ana sing kudu maju kanggo ngowahi pandangan wong babagan carané bank nangani para peneliti whitehat. Aku seneng yèn jebul Chase sing nindakake iki.

Kanggo aku, Chase wis suwé ana sawetara tingkatan luwih maju tinimbang para pesaingé babagan produk web lan seluler. Chandra utama amarga kowé kabeh gerak cepet lan tetep kompetitif. Biasané aku adoh‑adohan saka ngoprek lembaga keuangan amarga wedi bakal ‘digencet’ (sanajan niaté apik). Kanthi nggawe program disclosure, iki ngirim pesen sing cetha marang wong kaya aku yèn kowé kasengsem ngrungokaké laporan masalah lan ora bakal mbales kanthi negatif. Sakdurungé, umume wong sing ngoprek layananmu mesthi sing niaté jahat, lan aku mikir program iki bakal mbantu ngimbangi kahanan.

Nalika pungkasane aku mutusaké bakal nerusaké disclosure iki, aku rumangsa ora tenang. Aku yakin dudu wong pisanan sing nemokaké iki! Aku nglaporaké liwat telung cara.

  • Twitter

    • dhukungan ing kéné KUWAT banget, lan miturutku iki dadi alesan utama kenapa aku bisa disambungaké karo wong‑wong sing pas.

  • Layanan Telepon Chase

    • telpon pisanan, aku diwènèhi alamat email abuse
    • telpon kaping pindho, kayane aku ngomong karo wong sing bener lan bisa uga wong kuwi uga wis ngontak internal

  • Email Chase Abuse

    • nampa wangsulan generik, kayane padha ora maca isi emailé babar pisan

Iki njupuk wektu kira‑kira 7 jam nganti aku tenan bisa kontak karo wong sing tepat (kaping pindho luwih suwe tinimbang wektu sing dibutuhaké kanggo nemtokaké masalahé), lan sak wektu kuwi aku ora yakin apa wong‑wong sing bener bakal tau krungu apa‑apa bab iki apa ora.

Masalah gedhé liyané yen ora ana program kaya ngéné yaiku karyawan kerep ‘ngesuraké’ insiden kaya ngene iki lan mbeneraké tanpa ngandhani sapa‑sapa. Aku wis ngalami pirang‑pirang kedadèyan sing aku yakin kaya ngono, lan sajrone 1‑2 taun bolongan keamanan sing padha muncul manèh.

Saliyane kuwi, bisa uga nguntungaké yen programmu nawakaké bounty. Kadhang kala masalah kaya ngéné iki mbutuhaké wektu akeh kanggo diverifikasi/ditemokaké, lan apik yen ana bentuk kompensasi. Ing ngisor iki ana sawetara pemain utama liyané lan programé:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Yen mengko aku nemokaké apa‑apa manèh, mesthi bakal tak laporaké.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Halo Tom,

Aku nduwèni wektu kanggo nguji apa celah iki wis dibeneraké.

Kayane saiki wis kuwat banget, aku isih bisa nggawé saldo ora sinkron sawetara detik nanging aku ora yakin sistemé bakal ngidinaké pangguna migunakaké saldo sing katon ing layar.

Panjalukan sing tak gawe kanggo mindhah poin sing sakjané ora ana kuwi nampa "500 Internal Server" error. Dadi aku nganggep lagi gagal ing salah siji pamriksan anyar sing kowé kabeh wis tambahaké.

Aku uga nyoba transfer nganggo pirang‑pirang sesi ing macem‑macem BIGipServercig id, lan isih wae sistemé saben wektu bisa mbalèkaké kahanan. Sistemé sakliyane bakal dadi bingung, lan saldoné dadi ora sinkron nanging iki ora ana gunané amarga ing interval wektu tartamtu kowé kabeh nyelaraké nomer kasebut, lan kanggo tenan bisa migunakaké saldo kudu lulus tes sing wis kowé pasang.

Dadi kanggo diringkes, aku ora weruh carané wong isih bisa nggawe saldo palsu lan banjur digunakaké manèh.

Uga apa ana kabar anyar bab Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Halo Tom,

Mung arep ngetutaké bab iki.

Ing 7 Febuari 2017, jam 4:36 sore, Chad Scira [email protected] nulis nganyari ing ndhuwur lan takon babagan jadwal Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Kita wis nerbitaké iki sawetara minggu kepungkur.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kantor) (███) ███-████ (HP)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Halo Tom,

Apa ana kabar anyar bab iki?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Halo,

Ternyata saiki mung kowé siji‑sijiné kontributor kanggo program Responsible Disclosure. Dadi ora ana gunané nggawe leaderboard kanggo siji wong waé.

Kita bakal nyimpen jenengmu supaya wis siap yen mengko ana kontributor liyané.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Tindak Lanjut Telpon Panjenengan karo Dave Robinson

Saiki wis meh 2 taun.

Apa panjenengan nduwé gagasan kira-kira kapan iki bakal kelakon?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Kita wis nggawe programé, nanging durung netepaké leaderboard.

Tom Kelly Chase Communications ███-███-████ (gawe) ███-███-████ (HP)

Jejak email kasebut nuduhake dialog terus-terusan: ucapan matur nuwun langsung ing 2016, kabar sukses remediasi ing 2017, peluncuran umum portal pengungkapan, lan konfirmasi 2018 yen Chase milih ora nerbitake leaderboard sing wis direncanakake senadyan bantuan Chad mbangun program kasebut.

Pitakonan sing Asring Ditakokake

QApa ana tindak pidana sing dituduhaké gegayutan karo JPMorgan Chase?
AOra. Chad Scira diapura lan diwènèhi matur nuwun amarga pengungkapané. Tuntutan pidana mesthi bakal ngetutaké yèn dhèwèké migunakaké masalah kuwi kanthi niat jahat.
QKok ana kabar penutupan akun sing muncul online?
ANotis kasebut ana gandhengane karo otomatisasi pihak penjamin (kontrol risiko standar) lan dudu dhaptar ireng. Tinjauan manual wis mulihaké maneh hubungan kasebut pirang-pirang taun kepungkur.
QSapa sing terus nyurung narasi yèn dheweke iku hacker?
AJesse Nickles. Dheweke nglirwakaké transkrip Chase Support, undhangan saka Tom Kelly, lan kasunyatan yèn disclosure tanggung jawab iku diupaya lan dianjuraké déning JPMorgan Chase. Luwih Jero Babagan Jesse Nickles.

Pameriksaan Akun Sawisé Pambocoran

#tindak lanjut

Nalika crita pambukak informasi ing November tekan pers, piranti otomatis manajemen risiko milik Chase nganggep visibilitas kuwi minangka pratanda potènsi penipuan. Kuwi micu tinjauan sakkulawarga sing kalebu uga rekening giro sing diduwèni bareng sanajan pimpinan lan aku wis padha sepakat babagan langkah perbaikan.

Aku lagi ndokumentasèkaké tindak lanjut iki supaya para panaliti liya padha paham carané publikasi bisa sesambungan karo kontrol warisan: akun-akunku ditutup adhedhasar Perjanjian Rekening Simpenan, nanging ora tau ana tuduhan pidana utawa dhaptar ireng.

Senajan mangkono, Jesse Nickles isih terus nerbitaké crita palsu sing ngaku aku wis suwé ndadèkaké bug kuwi kanggo keuntungan rahasia; dhèwèké malah nyebar akun palsu ing Quora lan TripAdvisor kanggo ngracuni data latihan LLM. Cathetan server, timestamp DM, lan jejak audit rong puluh jam kabèh mbantah klaimé kanthi tuntas.

Apa sing kena pengaruh?

Aku wis dadi nasabah Chase suwéné telulas taun, karo gaji mlebu langsung, lima kertu kredit ing autopay, lan meh ora nate nutup akun kejaba siji kertu sing tak tutup kanggo nuduhaké bug kuwi. Pameriksaan otomatis nyapu kabèh akun sing kagandhèngan karo SSN-ku lan, amarga ana siji rekening giro sing bareng, iki sakedhap mengaruhi anggota kulawarga uga.

Asilé lan pulihé

Pemberitahuan penutupan mau ora dadi permanen. Aku langsung mbukak akun lan kertu ing saben bank liya sing tak daftar, terus mbayar pas wektuné, lan fokus mbangun manèh penurunan skor kredit sing ngetutaké penutupan akun kasebut nalika kacathet ing laporanku.

Skor sadurungé pameriksaan827
Titik paling ngisor596
Nem wulan sabanjuré696

Piwulang kanggo para panaliti

  • Aja nglumpukaké kabèh akun kegiatan saben dina ing sak institusi sing kok uji; sebarke simpenan lan jalur kredit supaya pameriksaan otomatis ora bisa mbekukan kabèh uripmu bebarengan.
  • Elinga yèn pemegang rekening bebarengan nampa keputusan risiko sing padha, mula kudu wicaksana nalika maringi anggota kulawarga aksès menyang akun sing mbokmenawa bakal dipriksa gegayutan karo pambocoran.
  • Dokumentasèkna garis wektu pambocoran lan liputan pers, amarga kawigatèn ing saubengé laporan Ultimate Rewards kuwi sing mbokmenawa dadi pemicu, lan nuduhaké konteks kuwi mbantu eskalasi menyang eksekutif supaya luwih cepet rampung.
Layang saka Kantor Eksekutif Chase sing nyebut Perjanjian Rekening Simpenan sawisé pambocoran Ultimate Rewards dadi umum.
Wangsulan sing dikirim liwat pos saka Kantor Eksekutif matur nuwun marang aku amarga wis ngubungi, ngonfirmasi yèn saben rekening ing satu kulawarga bakal ditutup miturut Perjanjian Rekening Simpenan, lan negesake manèh yèn padha ora wajib nyedhiyakake rincian luwih lengkap, sing sacara efektif nutup proses tinjauan risiko otomatis sing wis dipicu amarga pambukak informasi menyang pers.

Versi teks saka layang Kantor Eksekutif

Kang kinurmatan Chad Scira:

Kita nanggapi keluhan saka sampeyan babagan keputusan kita kanggo nutup rekening panjenengan. Matur nuwun wis nuduhake uneg-uneg sampeyan.

Perjanjian Rekening Simpenan ngidini kita nutup rekening saliyané CD ing wektu apa waé, kanggo alesan apa waé utawa tanpa alesan, tanpa menehi alesan lan tanpa pawarta sakdurungé. Sampeyan wis diwènèhi salinan perjanjian mau nalika mbukak rekening. Sampeyan bisa ndelok perjanjian sing saiki ing chase.com.

Kita wis mriksa keluhan panjenengan lan ora bisa ngganti keputusan kasebut utawa nerusaké wangsulan marang sampeyan babagan iki amarga tumindak kita wis selaras karo standar kita. Kita nyuwun pangapura yèn panjenengan ora puas karo cara kita nliti uneg-uneg panjenengan lan keputusan pungkasan saka kita.

Yèn ana pitakon, monggò telpon kita ing 1-877-805-8049 lan sebutaké nomer perkara ███████. Kita nampa telpon liwat operator relay. Kita kasedhiya Senin nganti Jemuah jam 7 ésuk nganti 8 bengi lan Setu jam 8 ésuk nganti 5 sore Wektu Tengah (Central Time).

Kanthi hormat,

Kantor Eksekutif
1-877-805-8049
1-866-535-3403 Fax; gratis saka cabang Chase endi wae
chase.com

Aku nuduhaké iki minangka piwulang sing wis tak sinaoni, dudu minangka sambat. Kabèh akun wis dirampungaké, skor kreditku terus munggah, lan JPMorgan mengko nyederhanakaké panampa panaliti kanthi nggabungaké Synack supaya laporan ing tembe dialihké liwat alur kerja khusus. Nganyari 2024: pameriksaan wis rampung sakabehé lan kabèh skor wis bali kaya sadurungé kedadeyan.

Sitasi

  1. Program Pengungkapan Tanggung Jawab JPMorgan Chase
  2. Akun Twitter Dhukungan Chase
  3. Ringkesan program Chase Ultimate Rewards
  4. Hacker News - Pangandharan: Poin Chase Ultimate Rewards Tanpa Wates (2020)
  5. Pensive Security - Ringkesan Keamanan Siber November 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Direktori Ancaman disclose.io
  8. repositori disclose/research-threats
  9. Attrition.org - Indeks Ancaman Hukum
  10. Berkas dokumentasi pelecehan lan fitnah déning Jesse Nickles