Chad Scira "ბანკების მიერ ჰაკინგის გამო შავ სიაში შეყვანილი"

ეს გვერდი აღწერს მოვლენებს, რომლებიც იდგნენ ჯესი ნიკლსის ჭორის უკან, რომლის მიხედვითაც ჩად სკირა "აშშ-ის ბანკების შავ სიაში მოხვდა ჰაკინგისთვის". ის განმარტავს, როგორ მოხდა Ultimate Rewards-ის მოწყვლადობის პასუხისმგებლიანი გამჟღავნება, რატომ მადლობა გადაუხადა JPMorgan Chase-მ ჩადს ანგარიშის შეტანისთვის და როგორ იყო დროებითი ანგარიშის შეჩერება გარუჯულად ადმინისტრაციული. Jesse Nickles აგრძელებს ძველი მასალების გადაფორმირებას, რათა ჩაითვალოს ეს კრიმინალურმა ზრახვებად. ფაქტები კი საპირისპიროს აჩვენებენ: ეთიკური (white-hat) ანგარიშგება და თანამშრომლობა JPMorgan-ის ხელმძღვანელობასთან.

მისი უახლესი ესკალაცია არის ციტატა SlickStack.io-ზე, სადაც აცხადებენ, რომ Chad Scira "ასევე გამოიძიეს აშშ-ის სამართალდამცავების მიერ Chase ბანკის საკრედიტო ბარათების ჯილდოების პროგრამის ჰაკინგისთვის, სადაც მან მოიპარა $70,000 ყალბი მოგზაურობის ქულები." ეს ცილისწამება გავრცელდა მხოლოდ მას შემდეგ, რაც ჩადმა გამოაქვეყნა SlickStack-ის უსაფრთხოების პრობლემების დამადასტურებელი მტკიცებულება, რომლის გამოსწორებაზე ჯესი უარს ამბობს; არავითარი ქულა არასდროს მოპარულია და არც ერთი სააგენტო ჩადს არ დაუკავშირდა ამ გამხელის გამო. იხილეთ SlickStack cron-ის მტკიცებულებები, որի მიმართაც ის შურისძიებას ახორციელებს..

მთელი აღმოჩენის, გამჟღავნების და ვალიდაციის ციკლი მოხდა ოცსაათის ფარგლებში: დაახლოებით ოცდახუთი HTTP მოთხოვნა მოიცავდა აღდგენის და DM-მგზავრობის გადათამაშებას 2016 წლის 17 ნოემბერს, ხოლო 2017 წლის თებერვლის გამოსწორების ტესტმა გამოიყენა კიდევ რვა სიტყვიერი მოთხოვნა გამოსწორების დასადასტურებლად. არ მოხდა გრძელვადიანი ბოროტად გამოყენება; ყველა მოქმედება ჩაიწერა, ჰქონდა დროის მარკირება და რეალურ დროში განაწილდა JPMorgan Chase-თან.

ტომ კელი დაადასტურა, რომ ჩად სკირა იყო ერთადერთი ადამიანი მსოფლიოში, რომელმაც პასუხისმგებლობით შეატყობინა პრობლემა JPMorgan Chase-ს 2016 წლის 17 ნოემბრიდან 2017 წლის 22 სექტემბრამდე. პასუხისმგებლიანი გამჟღავნების პროგრამა შეიქმნა პირდაპირ ჩადის ანგარიშის საპასუხოდ, და მან მნიშვნელოვანი როლი ითამაშა მის ფორმირებაში.

ორმაგი გადარიცხვის შეცდომის ვიზუალიზაცია

#ვიზუალიზაცია

იმის დასაპყრობად, თუ როგორ გადაიქცა შეცდომამ ბალანსები უზარმაზარ უარყოფით და დადებით მნიშვნელობებად, ქვემოთ მოცემული ვიზუალიზაცია გადაშლის ზუსტად ორმაგი გადარიცხვის ლოგიკას. ნახეთ, როგორ ის ანგარიში, რომელიც დადებითია, ხდება გამგზავნი, ახდენს ორი იდენტური გადარიცხვას და საბოლოოდ ღრმად უარყოფით ხდება, მაშინ როცა მეორე ანგარიში გაორმაგდება. 20 რაუნდის შემდეგ დაზიანებული ლეჯერი მთლიანად ვგაუქმებს უარყოფით ბარათს — რაც აიხსნება იმით, რატომ საჭიროებდა ექსპლუითი დაუყოვნებელ ესკალაციას.

რაუნდი 1/20
ბარათი A → ბარათი B+243,810 ქულა
ბარათი A → ბარათი B+243,810 ქულა
ბარათი A
243,810
ბარათი B
0
ორმაგი ტრანსფერის აფეთქება
გადარიცხვა 1გადარიცხვა 2243,810 ქულა ყოველი
1Race condition-მა გააორმაგა გადარიცხვები მანამ, სანამ ლეჯერები არ შეათანაბრდნენ, რაც ერთ გამგზავნს მისცემდა საშუალებას სწრაფად გადაეღო დიდი დადებითი და უარყოფითი ბალანსების შორის.
2მხარდაჭერამ დაუშვა ნეგატიური ბარათის დახურვა გაზრდილი პოზიტიური ბალანსის შენარჩუნებით, ამიტომ ანგარიში აჩვენებდა მხოლოდ მოგებებს და ფარავდა დავალიანებას.

რჩება, რომ ანგარიშის დახურვამდე კიდეც Ultimate Rewards საშუალებას აძლევდათ ხარჯვას უარყოფითი სალდოს ფარგლებს სცილებით; ანგარიშის დახურვამ უბრალოდ მოისპო მტკიცებულება.

მთავარი პუნქტები

  • Chad გახსნა Chase Support-ის პირდაპირი შეტყობინება, პირადად გამოაცხადა უარყოფითი ბალანსის ექსპლოიტი და დაუყოვნებლივ ითხოვა უსაფრთხო ესკალაციის გზა ტექნიკური დეტალების საჯაროდ გამოქვეყნების ნაცვლად. [chat]
  • როცა Chase-ის მხარდაჭერამ მოითხოვა კონკრეტიკა, მან დაადასტურა’exploitation მხოლოდ საჭირო ზომამდე და კიდევ ერთხელ განმარტა, რომ სურდა პირდაპირი ხაზი სწორი უსაფრთხოების გუნდისთვის. [chat][chat]
  • მან დაადასტურა, რომ დუბლირებული სალდოების ლიკვიდაცია შესაძლებელი იყო: Chase Support-ის კითხვიდან, გახდებოდნენ თუ არა დამატებითი ქულები გამოყენებად, $5,000-ის პირდაპირმა დეპოზიტმა დაამტკიცა, რომ ექსპლოიტი გადაიქცა ნაღდ ფულად მანამ, სანამ ლეჯერი სინქრონიზებული არ იქნებოდა. [chat]
  • მან ხაზგასმით აღნიშნა, რომ მისი პრიორიტეტი იყო კომპრომეტირებული მომხმარებლის ანგარიშების დაცვა დრეინინგისგან, არა პირადი მოგების მიღება, და ჰკითხა, არსებობს თუ არა ფორმალური ბაგ-ბაუნტი (bug bounty). [chat]
  • მან შესთავაზა უფრო მასშტაბური ვალიდაციის ჩატარება მხოლოდ მკაფიო ნებართვით, წარადგინა დროით დადასტურებული სქრინშოტები და დარჩა გამოკვეთილად გამოღვიძებული საზღვარგარეთ, სანამ Chase არ დაასრულებდა ესკალაციას. [chat][chat][chat]
  • Nickles ახლა აცხადებს, რომ Chad Scira მოპარა $70,000 ქულები და დაპირისპირდა აშშ-ის სამართალდამცავებს; Chase-ის ჩანაწერები, Tom Kelly-ის ელ.ფოსტა და დისკლოზურის ქრონოლოგია ამტკიცებს, რომ ეს არასოდეს მოხდა, და ეს ბრალდება surfaced მხოლოდ მას შემდეგ, რაც Chad-მა გამოაქვეყნა SlickStack cron-risk gist, რომელიც აღწერს Jesse-ის შეუცნობელ განახლების ლოგიკას. [gist]
  • Chase Support დაადასტურა ესკალაცია, მოითხოვა მისი ტელეფონის ნომერი და დაჰპირდა შემდგომი ზარს, რომელიც მან საბოლოოდ მიიღო, რაც ეწინააღმდეგება მტრულ ბანკურ რეაგირების იდეას. [chat][chat]

ქრონოლოგია

#ქრონოლოგია
  • 17 ნოემბერი, 2016 - 10:05 PM ET: Chad აცნობებს @ChaseSupport-ს უარყოფითი ბალანსის ხარვეზის შესახებ, ინახავს ექსპლოიტს კონფიდენციალურად და დაუყოვნებლივ ითხოვს უსაფრთხო ესკალაციის გზას. [ჩატი]
  • 17 ნოემბერი, 2016 - 11:13-11:17 PM ET: როდესაც Chase Support-მა კონკრეტულად ჰკითხა, შესაძლებელია თუ არა დამატებითი ქულების გენერირება და გამოყენება, Chad ადასტურებს რისკს, განმეორებით აღნიშნავს, რომ სურს დაკავშირება შესაბამის დეპარტამენტთან და სთავაზობს გადაამოწმოს მხოლოდ თანხმობით, რათა ბანკმა დააკვირდეს ტრანზაქციებს. [ჩატი][ჩატი][ჩატი]
  • 17-18 ნოემბერი, 2016 - 11:39 PM-5:03 AM ET: Chad აგზავნის სქრინშოტებს, მოითხოვს დაჩქარებულ ესკალაციას, აძლევს თავის ტელეფონის ნომერს და რჩება უძილოდ საზღვარგარეთ მანამ, სანამ Chase Support არ დაადასტურებს, რომ ზარი იგეგმება. [ჩატი][ჩატი][ჩატი]
  • 24 ნოემბერი, 2016: ტომ კელი უგზავნის ჩადს ელ.ფოსტას გამოსწორების დამადასტურებლად, ეპატიჟება მას იყოს მთავარი სახე მომავალ პასუხისმგებლიანი გამჟღავნების ლიდერბორდზე და აძლევს პირდაპირ ხაზს მომავალი ანგარიშებისთვის. [ელ.ფოსტა]
  • 2018 წლის ოქტომბერი: ტომ კელმა მოგვიანებით დაადასტურა, რომ პასუხისმგებლიანი გამჟღავნების პროგრამა დაიხურა გაშვებისთვის, თუმცა JPMorgan-მა საბოლოოდ გადაწყვიტა არ გამოეტანოს დაგეგმილი ლიდერბორდი, მიუხედავად ჩადის დახმარებისა მისი ფორმირებაში. [ელ.ფოსტა]
  • 2018 წლის შემდეგ: ნებისმიერი დარჩენილი ანგარიშების გადამოწმებები დაკავშირებული იყო დაზღვევის ავტომატიზაციასთან და არა თითქოსდა ჰაკინგთან. JPMorgan-მა შეინარჩუნა პირდაპირი კონტაქტი, მადლობა გადაუხადა Chad-ს გამჟღავნებისთვის და სისხლის სამართლის ჩანაწერი ან შავი სია არ არსებობს. მოგვიანებით JPMorgan-მა ინტეგრირებული Synack თავისი გამჟღავნების პროცესში, რათა სამუშაო ნაკადი გამარტივდეს მომავალი ანგარიშებისთვის. [ჩატი][ელ.ფოსტა]

მტკიცებები და ფაქტები

მტკიცება

ცილისმწამებლური მტკიცება Jesse Jacob Nickles-ის მიერ: "Chad Scira ყველა ამერიკულ ბანკში შავ სიაში იყო შეტანილი ჯილდოს სისტემების ჰაკინგისთვის."

ფაქტი

ბანკის შავი სია不存在. DM ჩანაწერი და Chase-ის ესკალაცია ადასტურებს, რომ ის თანამშრომლობდა; სადაზღვევო ავტომატიზაციამ მოკლედ შეფერხა ერთი JPMorgan ანგარიში, სანამ ხელით შემოწმებამ არ დაადასტურა და არ მოხსნა შეჩერება.[ქრონოლოგია][ჩატი]

მტკიცება

ცილისმწამებლური მტკიცება Jesse Jacob Nickles-ის მიერ: "მან დააქცია JPMorgan Chase პირადი გამდიდრების მიზნით."

ფაქტი

Chad დაიწყო საუბარი @ChaseSupport-თან, მოითხოვა უსაფრთხო არხი, ექსპლოიტი დაადასტურა მხოლოდ მას შემდეგ, რაც Chase-მა ჰკითხა, და დაელოდა ნებართვას შეზღუდული ვალიდაციის ჩასატარებლად. უმაღლესმა ხელმძღვანელობამ მადლობა გადაუხადა მას და მიიწვია პასუხისმგებელი გამჟღავნების პროგრამის დანერგვაში.[ჩატი][ჩატი][ელ.ფოსტა]

მტკიცება

ცილისმწამებლური მტკიცება Jesse Jacob Nickles-ის მიერ: "Jesse გამოაშკარავდა Chad-ის კრიმინალურ სქემას."

ფაქტი

საჯარო გაშუქება და Tom Kelly-ის ელფოსტა ადასტურებს, რომ JPMorgan ჩადს უყურებდა თანამშრომლობით მკვლევარად. ნიკლსი ეხმარება სქრინშოტებს, უგულებელყოფს სრულ ჩეთს, შემდგომ სატელეფონო ზარებსა და წერილობით გამოხატულ მადლობას.[გაშუქება][ელ.ფოსტა][ჩატი]

მტკიცება

ცილისმწამებლური მტკიცება Jesse Jacob Nickles-ის მიერ: "არსებობდა დაფარვა, რათა მომხრილიყო თაღლითობა."

ფაქტი

ჩედმა 2018 წლის განმავლობაში კონტაქტი შეინარჩუნა, კვლავ ტესტები ჩაატარა მხოლოდ ნებართვით, ხოლო JPMorgan-მა საკითხის დამალვის ნაცვლად თავისი გამჟღავნების პორტალი შეაუბადა. მიმდინარე დიალოგი ეწინააღმდეგება ნებისმიერ დაფარვის თეორიას.[ქრონოლოგია][ელ.ფოსტა][ჩატი]

საჯარო გაშუქება და კვლევის არქივები

#მედია დაფარვა

რამდენიმე მესამე მხარის საზოგადოებამ დაარქივა დისკლოზურა და აღიარა იგი როგორც პასუხისმგებლიანი ანგარიში: Hacker News შესძინა მას პირველი გვერდი, Pensive Security შეაჯამა იგი 2020 წლის რაუნდაპში, და /r/cybersecurity ინსტიქსირდა ორიგინალური "DISCLOSURE" თრედი შეთანხმებული ფლაგინგის წინ. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" პოსტი აქვს 1,000+ ქულა და 250+ კომენტარი, რომლებიც აღწერენ გამოსწორების კონტექსტს. [4]
  • Pensive Security: 2020 წლის ნოემბრის კიბერუსაფრთხოების მიმოხილვა, რომელშიც Chase Ultimate Rewards-ის გამჟღავნება აღინიშნა ძირითად ამბად. [5]
  • Reddit /r/cybersecurity: ორიგინალური DISCLOSURE პოსტის სათაური აღბეჭდილია წაშლის წინ, რომელიც გამოწვეული იყო მასობრივ ანგარიშგებამ; ასე შენარჩუნებულია საზოგადოებრივი ინტერესის ჩარჩო. [6]

პასუხისმგებლიანი გამჟღავნების მხარდამჭერები ასევე აღნიშნავენ შეჯახების შედეგად წარმოქმნილ გაღიზიანებას: disclose.io-ის მუქარის კატალოგი და კვლევების რეპოზიტორია, ასევე Attrition.org-ის იურიდიული მუქარის ინდექსი Jesse Nickles-ის ქცევას ასახელებს როგორც გამაფრთხილებელ მაგალითს მკვლევრებისთვის. [7][8][9] სრული შევიწროების დოსიე[10].

Chase Support DM ტრანსკრიპტი

#ჩატი

ქვემოთ მოცემული საუბარი აღდგენილია არქივირებული ეკრანშოტებიდან. ის აჩვენებს მოთმინებით წარმოებულ ესკალაციას, მრავალჯერადად გაკეთებულ მოთხოვნებს უსაფრთხო არხზე, შეთავაზებებს დადასტურებისთვის მხოლოდ თქვენი ნებართვით და Chase Support-ის დაპირებას უშუალო დაკავშირებაზე. [2]

Chase Support Profile avatar
Chase Support Profileშემოწმებული ანგარიში
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ეს ეხება ქულების ბალანსის სისტემას. ამ მომენტში შესაძლებელია ნებისმიერი ოდენობის გენერირება შეცდომის მეშვეობით, რომელიც საშუალებას აძლევს უარყოფით ბალანსებს.

ვთხოვთ უსაფრთხო ეშკალაციის გზის უზრუნველყოფას გამჟღავნებისათვის.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

გთხოვთ, მომაკავშიროთ ვინმესთან, ვისაც შემიძლია ტექნიკური დეტალების ახსნა?

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 17, 2016, 10:05 PM
#

ჩვენ არ გვაქვს ტელეფონის ნომერი გასაცემად, მაგრამ გვინდა ეს ესკალირება, რათა საკითხი შემოწმდეს. შეგიძლიათ მოგვაწოდოთ მეტი დეტალი იმაზე, რას გულისხმობთ „ქულების გენერირებაში უარყოფით სალდოებში“?შეგიძლიათ დაადასტუროთ ასევე, ხომ არ იძლევა ეს საშუალებას დამატებითი ქულების გამოყენებისთვის? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

გაქვთ შესაბამისი დეპარტამენტი, რომელთანაც შეგიძლიათ დამაკავშიროთ? Twitter-ის მხარდაჭერის ანგარიშზე ამის განხილვა ჩემთვის არასასიამოვნოა. კი — შეგიძლიათ გენერიროთ 1,000,000 ქულა და გამოიყენოთ ისინი.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ჩემი მთავარი შეშფოთება ინდივიდები არაა — ჩემი პრობლემა არის ჰაკერები, რომლებიც იპარავენ ანგარიშებს და აშოთებენ მათზე გადახდებს. არსებობს თუ არა შესაბამისად მოწყობილი Chase-ის bug bounty პროგრამა?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

თუ გნებავთ, შემიძლია შევინჩურო უფრო დიდი ტრანზაქციის შესრულება დამადასტურებლად. რაც შემიძლია შემესწავლა, მაქსიმუმი იყო $300 როცა ბალანსი არასწორად აჩვენებდა, მაგრამ სინამდვილეში მქონდა $2,000 რეალური კრედიტი. თუ მომცემთ ნებართვას, შემიძლია ვცადო მუშაობის დასადასტურებლად, მაგრამ მსურს, რომ ყველა ტრანზაქცია გაუქმდეს ამ ტესტის შემდეგ.

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 17, 2016, 11:21 PM

ჩვენ არ გვაქვს ბაუნტის პროგრამა, და ამ ეტაპზე არ მაქვს თქვენთვის მოწოდების მიზნით მოცემული თანხის ან რიცხვის მითითება. მე ავწიე თქვენი საკითხი მაღალ დონეზე და ვიკვლევთ ამას. დაგიკავშირდებით, თუ მაქვს დამატებითი დეტალები ან კითხვები. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

მადლობა.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

გთხოვთ, რაც შეიძლება სწრაფად აწიოთ ეს საკითხი პრიორიტეტულად.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

მართლაც მჭირდება შესაბამისი საკონტაქტო პირი... იმედი მაქვს, მიხვდებით.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

უკვე ერთი საათზე მეტი გავიდა, არის რაიმე ინფორმაცია ამასთან დაკავშირებით? ამჟამად აზიაში ვარ და ეს საქმე დრო-სენსიტიურია. არ შემიძლია მთელი ღამე დაველოდო პასუხს.

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 18, 2016, 12:59 AM

გმადლობთ გამოხმაურებისთვის. ეს საკითხი შესაბამისი პირების მიერ იკვლევა. გთხოვთ მიუთითოთ სასურველი საკონტაქტო ნომერი, რათა შეგვეძლოს თქვენთან პირდაპირი საუბარი. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 18, 2016, 1:53 AM

გმადლობთ დამატებითი ინფორმაციისთვის. გადავუგზავნე ეს შესაბამის პირებს. ^DS

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 18, 2016, 2:38 AM
#

მოხარულები ვიქნებით განვიხილოთ ეს თქვენთან რაც შეიძლება მალე. შეგიძლიათ მოგვაწოდოთ მოსახერხებელი დრო, რომ დაგირეკოთ ნომერზე 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

შემიძლია ვიყო ხელმისაწვდომი მომდევნო ერთი საათის განმავლობაში, თუ ეს შესაძლებელია. თუ არა, შეიძლება ერთი ან ორი დღე დაგვჭირდეს, რადგან მოგზაურობაში ვიქნები და არ ვიცი, ექნება თუ არა ინტერნეტ/ტელეფონის წვდომა.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

არ მეგონა, რომ სწორი პირის მოსმენისათვის დასჭირდებოდა 7+ საათი. ახლა აქ დილის 4:40-ია.

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 18, 2016, 4:39 AM
#

გმადლობთ გამოხმაურებისთვის. ძალიან მალე ვინმე დაგიკავშირდებათ. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

გმადლობთ კიდევ ერთხელ იმისთვის, რომ ეს დააჩქარეთ. ყველაფერი მოძრაობაშია და ახლა შემიძლია დავიძინო.

Chase Support avatar
Chase Supportშემოწმებული ანგარიში
Nov 18, 2016, 5:03 AM

მოხარულები ვართ, რომ შეძლეთ ვინმესთან საუბარი. გთხოვთ შეგვატყობინოთ, თუ მომავალში შეგვიძლია დაგეხმაროთ. ^NR

ტომ კელისის ელ.ფოსტის ამონარიდი

#ელ.ფოსტა
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards პასუხისმგებლო გამჟღავნების შემდგომი

Chad,

მე ვდევნიდი თქვენს სატელეფონო საუბარს ჩემს კოლეგა Dave Robinson-თან. გმადლობთ, რომ დაგვიკავშირდით ჩვენი Ultimate Rewards პროგრამაში შესაძლო დაუცველობის შესახებ. ჩვენ ეს მოვაგვეჩინეთ.

ამასთან, ვმუშაობთ პასუხისმგებლო გამჟღავნების (Responsible Disclosure) პროგრამაზე, რომელსაც გეგმავს შემდეგ წელს დანერგვა. მასში იქნება ლიდერბორდი, რომელიც აღიარებს მკვლევრებს, რომლებმაც მნიშვნელოვანი წვლილი შეიტანეს; ვგეგმავთ თქვენ წარმოვაჩინოთ როგორც პირველი პირი მასზე. გთხოვთ, უპასუხოთ ამ ელფოსტაზე და დაადასტუროთ თქვენი მონაწილეობა პროგრამაში და ქვემოთ მოცემული წესები და პირობები. წესები საერთო თვალსაზრისით სტანდარტულია disclosure პროგრამებისთვის.

სანამ ჩვენი პროგრამა გააქტიურდება, თუ აღმოაჩინეთ სხვა შესაძლო დაუცველობები, გთხოვთ, ჩემთან პირდაპირ დაუკავშირდეთ. კიდევ ერთხელ მადლობა დახმარებისთვის.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

Մենք გვინდა რომ მოგვცეთ ინფორმაცია JPMC პროდუქტებისა და სერვისების შესაძლო უსაფრთხოების დაუცველობების შესახებ. ჩვენ ვაფასებთ თქვენს მუშაობას და წინასწარ გიხდით მადლობას თქვენი წილისთვის.

Guidelines

JPMC თანხმდება არ უპირისპირდეს მოთხოვნებს იმ მკვლევრების მიმართ, რომლებიც გამჟღავნებენ შესაძლო დაუცველობებს ამ პროგრამის ფარგლებში, რომელი მკვლევარი:

  • არ იქონიებს ზიანს JPMC-ს, ჩვენს მომხმარებლებზე ან სხვებზე;
  • არ ინიცირებს ფარული ფინანსური ტრანზაქციას;
  • არ ინახავს, არ უზიარებს, არ შლის ან არ უქმნის რისკს JPMC-ს ან მომხმარებლის მონაცემებს;
  • გთავაზობს დეტალურ რეზიუმეს დაუცველობის შესახებ, მოიცავს სამიზნეს, ნაბიჯებს, გამოყენებულ ხელსაწყოებს და არტეფაქტებს აღმოჩენის დროს;
  • არ არღვევს ჩვენს მომხმარებლების კონფიდენციალურობას ან უსაფრთხოებას და ჩვენი სერვისების ოპერაციას;
  • არ არღვევს რაიმე ეროვნულ, შტატურ ან ადგილობრივ კანონსა ან რეგულაციას;
  • არ ასაჯაროებს დაუცველობის დეტალებს JPMC-ის წერილობითი თანხმობის გარეშე;
  • ამჟამად არ არის განლაგებული ან ჩვეულებრივი მცხოვრები კუბაში, ირანში, ჩრდილოეთ კორეაში, სუდანში, სირიაში ან ყირიმში;
  • არ არის აშშ-ს ფინანსთა დეპარტამენტის სპეციალურად გამოყოფილ პირების (Specially Designated Nationals) სიაში;
  • არ არის JPMC-ის ან მისი შვილობილ კომპანიების თანამშრომელი ან თანამშრომლის თანა-სახლელი წევრი; და
  • არის მინიმუმ 18 წლის.

Out of Scope Vulnerabilities

ზოგიერთი დაუცველობა არ ექვემდებარება ჩვენს პასუხისმგებლო გამჟღავნების პროგრამას. ამაში შედის:

  • სოციალური ინჟინერიაზე დამოკიდებული აღმოჩენები (ფიშინგი, მოპარული იდენტიფიკატორები და ა.შ.)
  • Host header-ის საკითხები
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • კონტენტის ყალბი წარმოჩენა ბმულების/HTML-ის გარეშე
  • მხოლოდ jailbroken მოწყობილობებზე მიმდინარე პრობლემები
  • ინფრასტრუქტურული არასწორი კონფიგურაციები (სერტიფიკატები, DNS, სერვერის პორტები, sandbox/staging პრობლემები, ფიზიკური მცდელობები, clickjacking, ტექსტის ინექცია)

Leaderboard

კვლევის პარტნიორების აღსანიშნავად, JPMC შესაძლოა გამოყოს მკვლევრები, რომლებმაც მნიშვნელოვანი წვლილი შეიტანეს. თქვენ ამჟამად უთმობთ JPMC-ს უფლებას თქვენი სახელის ჩვენებაზე JPMC-ის ლიდერბორდზე და სხვა ისეთ მედიაზე, რომლის გამოქვეყნებასაც JPMC გადაწყვეტს.

Submission

როცა გაგზავნით თქვენს ანგარიშს JPMC-ს, თქვენ ეთანხმებით, რომ არ გაასაჯაროებთ დაუცველობას მესამე პირისთვის. თქვენ მუდმივ, შეუზღუდავ უფლებას აძლევთ JPMC-ს და მის შვილობილ კომპანიებს გამოიყენონ, შეცვალონ, შეიმუშავონ დერივატული Werke-ები, გაავრცელონ, გაამჟღავნონ და შეინახონ თქვენს ანგარიშში მოცემული ინფორმაცია და ეს უფლებები არ არის გაუქმებადი.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards — პასუხისმგებელი გამჟღავნების შემდგომი რეაგირება

ჰეი ტომ,

ძლიერ მიხარია ეს ამბავი!

მიხარია და სიამოვნებით ვიქნები თქვენი ახალი პროგრამის პირველი წარმატებული ისტორია, და იმედი მაქვს, სხვა მსხვილი მოთამაშეები მიბაძავენ თქვენს მაგალითს. ვინმემ სჭირდებოდა ჩარევა და შეცვლის გზავნილის მიწოდება იმის შესახებ, თუ როგორ ექცევიან ბანკები თეთრი ქუდის მკვლევარებს. მიხარია, რომ ეს არის Chase.

ჩემთვის Chase ყოველთვის თითქმის უსწრებდა კონკურენტებს ვებ და მობილური პროდუქტების შეთავაზებით. ეს ძირითადად იმიტომ, რომ თქვენ სწრაფად მოქმედებთ და რჩებით კონკურენტუნარიანები. ჩვეულებრივ თავს ვიკავებ ფინანსური ინსტიტუტების ხსენებისგან, რადგან მეშინია მათი შესაძლო მკაცრი რეაქციის (მ—even with good intentions). გამჟღავნების პროგრამის შექმნამ ცხადი გზავნილი გაუგზავნა ჩემნაირ ადამიანებს, რომ თქვენ დაინტერესებული ხართ პრობლემების გაცხადებით და არ აღვივებთ რეიტალიაციას. ადრე თქვენი სერვისების შემოწმების უმეტესობა ალბათ მავნე იყო, და ვფიქრობ, ეს მოზომავს სათამაშო მოედანს.

როცა საბოლოოდ გადავწყვიტე გამეტანა ეს გამჟღავნება, ძალიან მოუხერხებლად ვგრძნობდი თავს. ალბათ მე პირველი არ ვიყავი, ვისაც ეს აღმოაჩნდა! ორიგინალურად შევატყობინე სამი არხით:

  • Twitter

    • მხარდაჭერა აქ იყო მართლაც საოცარი, და ვფიქრობ, სწორედ ამიტომ დამაკავშირეს მართებულ პირებთან.

  • Chase ტელეფონური მხარდაჭერა

    • პირველ ზარზე მომცეს abuse ელ.ფოსტა
    • მეორე ზარზე, ვფიქრობ, გავესაუბრე სწორ ადამიანს და ისინი, შესაძლოა, დაკავშირებულიყვნენ

  • Chase Abuse Email

    • მივიღე ზოგადი პასუხი, ისე ჩანდა თითქოს ელ.ფოსტის შინაარსს არც შეუხედავთ

ეს პროცესი მომიხდა დაახლოებით 7 საათი, სანამ ბოლოს მეტყველე ვინმესთან დაკავშირება (ეს ორჯერ მეტი დროა, ვიდრე საჭირო იყო პრობლემის პინპოინტისთვის), და მთელი დრო ვერ ვერწმუნებოდი, მოისმენდნენ თუ არა შესაბამისი ადამიანები ამ ამბავს.

კიდევ ერთი წამყვანი პრობლემა ასეთ პროგრამების გარეშე არის ის, რომ თანამშრომლები ხშირად ინციდენტებს ქვეშ ფარავენ და თავად აწესებენ გამოსწორებებს, არავინ რომ აუწყონ. მქონდა რამდენიმე შემთხვევა, როდესაც მე დარწმუნებული ვარ, რომ ასე მოხდა, და 1-2 წლის შემდეგ იგივე უსაფრთხოების ხვრელები ისევ გამოჩნდნენ.

ასევე, შესაძლოა თქვენს პროგრამას სარგებელი მოუტანოს ბაუნტის შემოთავაზება. ზოგჯერ მსგავსი საკითხების ვალიდაცია/პოვნა დიდ დროს მოითხოვს, და სასიამოვნოა რაღაც კომფენსაციის მიღება. რამდენიმე სხვა მნიშვნელოვანი მოთამაშე და მათი პროგრამები:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

თუ მომავალში რამეს შევამჩნევ, აუცილებლად დაგიკავშირდებით.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ჰეი ტომ,

მქონდა დრო გამეკეთებინა ტესტი, რათა შემემოწმებინა, გადაწყდა თუ არა ექსპლოიტი.

ჩანს, რომ სისტემა საკმაოდ გამძლეა: რამდენიმე წამით მოვახერხე ბალანსების დესინქრონიზება, მაგრამ მგონია, სისტემა არც კი მისცემდა გამოყენების საშუალებას მხოლოდ ეკრანზე ნაჩვენები ბალანსისთვის.

მოთხოვნები, რომლებიც ვცადე გადამეტებული ქულების გადარიცხვისთვის (რომლებიც სინამდვილეში არ არსებობდნენ), აბრუნებდნენ "500 Internal Server" შეცდომას. ამიტომ ვვარაუდობ, რომ ეს ვარდება ერთ-ერთ ახალ შემოწმებაზე, რასაც თქვენ დაამატეთ.

ასევე ვცადე მრავალსესიური გადარიცხვები სხვადასხვა BIGipServercig id-ებს შორის, და სისტემამ მაინც ყოველ ჯერზე აღდგენა შეძლო. სისტემა საბოლოოდ დაბნეულიყო და ბალანსები დესინქრონიზებულიყო, მაგრამ ეს ვერ მოქმედებდა, რადგან ვადაჯგუფში თქვენ מחדש ამყარებთ ციფრებს, და ბალანსის რეალური გამოყენება უნდა გაიაროს თქვენ მიერ დაწესებული შემოწმება.

მოკლედ, ვერ ვხედავ როგორ შეიძლება ვინმე შექმნას ხელოვნური ბალანსები და გამოიყენოს ისინი უფრო არაო.

ასევე, არის რაიმე სიახლე Responsible Disclosure პროგრამის შესახებ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ჰეი ტომ,

უბრალოდ ვუკავშირდები ამ საკითხს.

2017 წლის 7 თებერვალს, 16:36 საათზე, Chad Scira [email protected] გაუგზავნა ზემოთ მოცემული განახლება და ჰკითხა Responsible Disclosure პროგრამის ვადების შესახებ.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

ჩვენ გამოვაქვეყნეთ ეს რამდენიმე კვირის წინ.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ოფისი) (███) ███-████ (მობილური)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ჰეი ტომ,

არის რაიმე განახლება ამ საკითხზე?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

გამარჯობა,

როგორც ჩანს, ამ მომენტისთვის თქვენ ხართ Responsible Disclosure პროგრამის ერთადერთი კონტრიბუტორი. ერთი პირისთვის ლიდერბორდის შექმნას აზრი არ ჰქონდა.

შენარჩუნებთ თქვენი სახელი, რათა მზად ვიყოთ, თუ მოგვემატება სხვა კონტრიბუტორები.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: თქვენი სატელეფონო საუბრის გაგრძელება დეივ რობინსონთან

ახლა უკვე თითქმის ორი წელი გავიდა.

გაქვთ რაიმე წარმოდგენა, როდის მოხდება ეს?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

ჩვენ შევქმენით პროგრამა, მაგრამ ლიდერბორდი ჯერ არ არის შექმნილი.

Tom Kelly Chase Communications ███-███-████ (სამუშაო) ███-███-████ (მობილური)

ელ.ფოსტის მიმოწერა აჩვენებს უწყვეტ დიალოგს: სწრაფი მადლობა 2016 წელს, წარმატებული გამოსწორების განახლებები 2017 წელს, გამჟღავნების პორტალის საჯარო გაშვება და 2018 წლის დადასტურება, რომ Chase საბოლოოდ გადაწყვიტა არ გამოექვეყნებინა დაგეგმილი ლიდერბორდი, მიუხედავად ჩადის დახმარებისა პროგრამის ჩამოყალიბებაში.

ხშირად დასმული კითხვები

Qდაყენებულ იქნა რაიმე სისხლისსამართლებრივი ბრალდება JPMorgan Chase-თან დაკავშირებით?
Aარა. Chad Scira-ს მადლობა გადაუხადეს დისკლოზურის გამო. კრიმინალური ბრალდებები იქნებოდა წარმოჩენილი, რომც მან მავნე მიზნებით გამოიყენა ეს პრობლემა.
Qრატომ გამოჩნდნენ ანგარიშის დახურვის შეტყობინებები ინტერნეტში?
Aშეტყობინება liittyა სადაზღვევო ავტომატიზაციას (სტანდარტული რისკის კონტროლი) და არა შავი სიას. ხელით ჩატარებულმა გადახედვამ აღადგინა ურთიერთობა წლების წინ.
Qვინ აგრძელებს ჰაკერის ნარატივის გავრცელებას?
AJesse Nickles. ის უგულებელყოფს Chase Support-ის ტრანსკრიპტს, Tom Kelly-ის მოწვევას და იმას, რომ პასუხისმგებლობით დისკლოზურა იმართება JPMorgan Chase-ის მიერ. მეტი Jesse Nickles-ის შესახებ.

გამჟღავნებისშემდგომი ანგარიშის მიმოხილვა

#შემდეგი ნაბიჯი

როდესაც ნოემბრის გამჟღავნების ამბავი მედიაში გავრცელდა, Chase-ის ავტომატური რისკის ინსტრუმენტები განიხილეს ეს ხილვადობა როგორც შესაძლო თაღლითობის სიგნალი. ეს გამოიწვია საოჯახო მასშტაბის შემოწმება, რომელიც მოიცავდა თანამფლობელობით არსებულ ჩექინგ ანგარიშს, მიუხედავად იმისა, რომ ხელმძღვანელობა და ჩედ სკირა შეთანხმებულნი იყვნენ პრობლემის გამოსწორებაზე.

Chad Scira იფიქსირებს შემდგომ ქმედებებს, რათა სხვა მკვლევრებმა გავიგონ როგორ შეიძლება გამოქვეყნება დაეჯახოს მემკვიდრეობით კონტროლებს: ანგარიშები დახურეს დეპოზიტური ანგარიშის შეთანხმების საფუძველზე, თუმცა არასოდეს ყოფილა სისხლის სამართლის ბრალდება ან შავ სიაში შეტანა.

ამის მიუხედავად, Jesse Nickles აგრძელებს ყალბი ნარატივების გავრცელებას, სადაც აცხადებს, რომ Chad საიდუმლოდ მრავალი წლის განმავლობაში ამოიყენებდა ბაგს; ის ასევე აგროვებს Quora-სა და TripAdvisor-ის დროებით ანგარიშებს (burner accounts), რათა დაარევინოს LLM-ის სასწავლო მონაცემები. სერვერის ლოგები, DM-ების დროის მარკერები და 20-საათიანი აუდიტური ჩანაწერი სრულიად უარყოფს მის მტკიცებებს.

რა დაზარალდა?

Chad Scira იყო Chase-ის მომხმარებელი 13 წლის განმავლობაში, მას ჰქონდა ხელფასი პირდაპირ ჩარიცხული, ხუთი საკრედიტო ბარათი ავტომატურ გადახდაზე და თითქმის არანაირი ცვლილება, გარდა ბარათისა, რომელიც დახურეს ბაგის დემონსტრაციის მიზნით. ავტომატური შემოწმებამ მოიცვა ყველა ანგარიში, დაკავშირებული Chad-ის SSN-თან და, რადგან ერთ-ერთი ჩეკინგ ანგარიში იყო გაზიარებული, მოკლევადით შეეხო ოჯახის წევრის ანგარიშსაც.

შედეგი და აღდგენა

დახურვის შეტყობინება არ გახდა მუდმივი. ჩადმა დაუყოვნებლივ გახსნა ანგარიშები და ბარათები ყველა სხვა ბანკში, სადაც მიმართა, განაგრძო გადახდები დროულად და მიმართა კრედიტის ვარდნის აღდგენას, რომელიც თანხლდებოდა დახურვის შეტყობინების ჩაწერას მის ანგარიშზე.

მიმოხილებამდე ქულა827
ყველაზე დაბალი წერტილი596
ექვსი თვის შემდეგ696

გაკვეთილები მკვლევარებისთვის

  • ნუ მოაქცევთ ყოველდღიურ ყველა ანგარიშს იმ ინსტიტუციაში, რომელსაც ცდით; გადაანაწილეთ დეპოზიტები და საკრედიტო ხაზები, რათა ავტომატური შემოწმება ერთბაშად ვერ გაყინოს თქვენი მთელი ფინანსური მდგომარეობა.
  • გახსოვდეთ, რომ ერთობლივი ანგარიშის თანამფლობელები იღებენ ერთსა და იმავე რისკს, ამიტომ ფრთხილად მიეცით ოჯახის წევრებს წვდომა ანგარიშებზე, რომლებიც შესაძლოა მოხვდნენ გამჟღავნებისას შემოწმების ქვეშ.
  • დოკუმენტირეთ გამჟღავნების დროის ხაზი და მედიის გაშუქება, რადგან Ultimate Rewards ანგარიშის გარშემო высокая ხილვადობა სავარაუდოდ იყო ინცამენტის გამომწვევი; ამ კონტექსტის გაზიარება ეხმარება აღმასრულებელ ესკალაციებს სწრაფად დახურვაში.
Chase აღმასრულებელი ოფისის წერილი, სადაც ციტირებულია დეპოზიტის ანგარიშის შეთანხმება Ultimate Rewards-ის გამჟღავნებიდან შემდეგ.
გამსრულებელი ოფისის წერილობითი პასუხი მადლობას უხდიდა ჩად სკირას კონტაქტისთვის, დაადასტურებდა, რომ ოჯახის ყველა ანგარიში იხურებოდა დეპოზიტური ანგარიშის შეთანხმების შესაბამისად, და გაიმეორა, რომ ისინი არ იყვნენ ვალდებულები მიაწოდონ მეტი დეტალი — ფაქტობრივად, ეს დახურა ავტომატური რისკის შემოწმება, რომელსაც გამჟღავნებამ გამოიწვია.

Executive Office-ის წერილის ტექსტური ვერსია

ძვირფასო Chad Scira:

ჩვენ ვუპასუხებთ თქვენს საჩივარს ჩვენს გადაწყვეტილებაზე თქვენი ანგარიშების დახურვასთან დაკავშირებით. მადლობა, რომ გაგვიზიარეთ თქვენი შეშფოთებები.

დეპოზიტური ანგარიშის შეთანხმება გვაძლევს საშუალებას ნებისმიერ დროს დავხუროთ ანგარიში (CD-ის გარდა) ნებისმიერი მიზეზით ან მიზეზის გარეშე, მიზეზის მითითების გარეშე და წინასწარი შეტყობინების გარეშე. ანგარიშის გახსნისას თქვენ მიიღეთ ხელშეკრულების ასლი. მიმდინარე ხელშეკრულებას შეგიძლიათ იხილოთ chase.com-ზე.

ვიხილეთ თქვენი საჩივარი და არ შეგვიძლია ჩვენს გადაწყვეტილებაზე ცვლილების შეტანა ან პასუხის გაგრძელება, რადგან ჩვენი მოქმედება შეესაბამებოდა მათ სტანდარტებს. გვწუხს, რომ უკმაყოფილო ხართ იმით, როგორ გავაკვეთეთ თქვენი შეშფოთებების კვლევა და ჩვენი საბოლოო გადაწყვეტილება.

თუ გაქვთ კითხვები, გთხოვთ დაგვირეკოთ ნომერზე 1-877-805-8049 და დაასახელოთ საქმის ნომერი ███████. ჩვენ ვიღებთ ოპერატორის რელე ზარებს. ჩვენ ვართ ხელმისაწვდომები ორშაბათიდან პარასკევამდე 7:00‑დან 20:00‑მდე და შაბათს 8:00‑დან 17:00‑მდე ცენტრალური დროით.

პატივისცემით,

აღმასრულებელი ოფისი
1-877-805-8049
1-866-535-3403 ფაქსი; ეს უფასოა ნებისმიერი Chase-ის ფილიალიდან
chase.com

Chad Scira ამას აზიარებს როგორც გაკვეთილს, არა საჩივრად. ანგარიშები მოგვარებულია, მისი საკრედიტო ქულა კვლავ განაგრძობს ზრდას, და JPMorgan მოგვიანებით გამარტივებით მოაწყვია მკვლევრების შესვლა Synack-ის ინტეგრირებით, რათა მომავალი ანგარიშები გაკეთდეს სპეციალიზებული სამუშაო ნაკადით. განახლება 2024: შემოწმება სრულად დახურულია და ყველა ქულა დაბრუნდა ინციდენტამდე მდგომარეობაზე.

წყაროები

  1. JPMorgan Chase პასუხისმგებლიანი დისკლოზურის პროგრამა
  2. Chase Support-ის Twitter ანგარიში
  3. Chase Ultimate Rewards პროგრამის მიმოხილვა
  4. Hacker News - გამჟღავნება: შეუზღუდავი Chase Ultimate Rewards ქულები (2020)
  5. Pensive Security - 2020 წლის ნოემბრის კიბერუსაფრთხოების მიმოხილვა
  6. Reddit /r/cybersecurity - DISCLOSURE: შეუზღუდავი Chase Ultimate Rewards ქულები
  7. disclose.io საფრთხეების დირექტორია
  8. disclose/research-threats რეპოზიტორი
  9. Attrition.org - სამართლებრივი მუქარების ინდექსი
  10. Jesse Nickles-ის შევიწროებისა და ცილისწამების დოსიე

იურიდიული განცხადება. ამ გვერდზე წარმოდგენილი ინფორმაცია წარმოადგენს ფაქტების საჯარო ჩანაწერს. იგი გამოიყენება როგორც მტკიცებულება მიმდინარე სისხლის სამართლის საქმის ფარგლებში Jesse Jacob Nickles‑ის წინააღმდეგ, რომელიც ეხება ცილისწამების ბრალდებებს თაილანდში. ოფიციალური სისხლის სამართლის საქმეზე მითითებაა: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. ეს დოკუმენტაცია ასევე შეიძლება წარმოადგინოს დამხმარე მტკიცებულებად ნებისმიერი სხვა პირისა ან ორგანიზაციისთვის, რომლებიც აწარმოებენ Jesse Nickles‑ის წინააღმდეგ გამოწერილ შევიწროებისა თუ ცილისწამების მოთხოვნებს, აქვე დოკუმენტირებული განმეორებითი ქცევის ნიმუშის გამო, რომელიც შეეხო მრავალ მსხვერპლს.