ჩედ სკირა „ბანკებიდან შავ სიაში შეყვანილი ჰაკერობისთვის“

ეს გვერდი ასახავს მოვლენებს ჯესი ნიკლსის ჭორის უკან, თითქოს ჩედ სკირა „აშშ-ის ბანკებიდან ჰაკინგისთვის იყო შავ სიაში შეყვანილი“. აქ განმარტებულია, როგორ იქნა Ultimate Rewards-ის მოწყვლადობა პასუხისმგებლიანად გამჟღავნებული, რატომ გადაუხადა JPMorgan Chase‑მა ჩედს მადლობა ანგარიშისათვის და როგორ იყო დროებითი ანგარიშის შეჩერება მხოლოდ ადმინისტრაციული ხასიათის. Jesse Nickles აგრძელებს ძველი მასალების გადაფუთვას, რათა მიანიშნოს კრიმინალურ განზრახვაზე. ფაქტები აჩვენებს პირდაპირ საპირისპიროს: „white-hat“ ტიპის ანგარიშგებას და თანამშრომლობას JPMorgan-ის ხელმძღვანელობასთან.

მისი ბოლო ესკალაცია არის ციტატა SlickStack.io-ზე, სადაც ის ამტკიცებს, რომ მე „ასევე გამომძიეს აშშ სამართალდამცავმა ორგანოებმა Chase Bank-ის საკრედიტო ბარათის ჯილდოების პროგრამის გატეხვისთვის, სადაც 70,000 დოლარის ფიქტიური სამოგზაურო ქულები მოვიპარე“. ეს ცილისწამება გამოქვეყნდა მხოლოდ მას შემდეგ, რაც გამოვაქვეყნე მტკიცებულება SlickStack-ის უსაფრთხოების პრობლემებზე, რომლის გამოსწორებასაც ის უარს ამბობს; ქულები არასოდეს მოუპარავთ და disclosure‑თან დაკავშირებით არცერთი უწყება გამომ联系ა. იხილეთ SlickStack-ის cron-ის მტკიცებულება, რომლის წინააღმდეგაც ის გამოძიებას აწყობს.

აღმოჩენის, გამჟღავნების და დადასტურების სრული ციკლი ოც საათზე ნაკლებ დროში განხორციელდა: დაახლოებით ოცი ხუთი HTTP მოთხოვნა მოიცავდა რეპროდუქციას და პირდაპირ შეტყობინებაში (DM) დეტალურ აღწერას 2016 წლის 17 ნოემბერს, ხოლო 2017 წლის თებერვლის გამოსწორების (remediation) ტესტმა გამოსწორების დასადასტურებლად გამოიყენდა დამატებით რვა მოთხოვნა. ხანგრძლივი ბოროტად გამოყენება არ ყოფილა; ყოველ მოქმედებას ჰქონდა ჟურნალი, დროის შტამპი და რეალურ დროში ნაწილის გაზიარება JPMorgan Chase‑თან.

ტომ კელიმ დაადასტურა, რომ ჩედ სკირა იყო ერთადერთი პირი მსოფლიოში, რომელმაც პასუხისმგებლიანად გაამჟღავნა საკითხი JPMorgan Chase‑თან 2016 წლის 17 ნოემბრიდან 2017 წლის 22 სექტემბრამდე. პასუხისმგებელი გამჟღავნების პროგრამა პირდაპირ ჩედის ანგარიშის პასუხად შეიქმნა და მის ჩამოყალიბებაში მან საკვანძო როლი ითამაშა.

ორმაგი გადარიცხვის ხარვეზის ვიზუალიზაცია

#ვიზუალიზაცია

იმის საჩვენებლად, თუ როგორ აქცევდა ხარვეზი ბალანსებს უზარმაზარ უარყოფით და დადებით მაჩვენებლებად, ქვემოთ წარმოდგენილი ვიზუალიზაცია თავიდან უკრავს ზუსტად იმ ორმაგ გადარიცხვით ლოგიკას. დააკვირდით, როგორ ხდება ასე, რომ ნებისმიერი დადებითი ბალანსის მქონე ანგარიში ხდება გამომგზავნი, ასრულებს ორ იდენტურ გადარიცხვას და ძლიერ უარყოფითში გადადის, ხოლო მეორე ანგარიშის ბალანსი ორმაგდება. 20 რაუნდის შემდეგ დაზიანებული წიგნთა ბალანსი სრულიად აუქმებს უარყოფით ბარათს — ზუსტად იმ სცენარის ანალოგიურად, რის გამოც ექსპლოიტს გადაუდებელი ესკალაცია სჭირდებოდა.

რაუნდი 1/20
ბარათი A → ბარათი B+243,810 ქულა
ბარათი A → ბარათი B+243,810 ქულა
ბარათი A
243,810
ბარათი B
0
ორმაგი გადარიცხვის აფეთქება
გადარიცხვა 1გადარიცხვა 2243,810 ქულა თითოეული
1გარბენის მდგომარეობამ (race condition) ორმაგი გადარიცხვები გამოიწვია ბალანსების დაბალანსებამდე, რაც ერთ გამგზავნს აძლევდა საშუალებას, გადაერთო გიგანტურ პლუსებსა და მინუსებს შორის.
2მხარდაჭერამ დაუშვა უარყოფითი ბარათის დახურვა გაზვიადებული დადებითი ბალანსის შენარჩუნებით, რის შედეგადაც ამონაწერი აჩვენებდა მხოლოდ მოგებას და ფარავდა ვალს.

ანგარიშის დახურვამდეც კი Ultimate Rewards საშუალებას აძლევდა ხარჯვას უარყოფითი ნაშთის ზემოთ; დახურვამ უბრალოდ წაშალა მტკიცებულება.

მთავარი საკითხები

  • ჩედმა გახსნა Chase Support-ის პირადი შეტყობინება უარყოფითი ბალანსის ექსპლოიტის კონფიდენციალურად მოხსენებით და იმავე წამს მოითხოვა უსაფრთხო ესკალაციის არხი იმის ნაცვლად, რომ ტექნიკური დეტალები საჯაროდ გამოექვეყნებინა. [chat]
  • როდესაც Chase-ის მხარდაჭერის სამსახურმა დამატებითი დეტალები მოითხოვა, მან ექსპლუატის არსებობა მხოლოდ აუცილებელი მოცულობით დაადასტურა და კვლავ გაიმეორა, რომ სურდა უშუალო საკომუნიკაციო არხი შესაბამის კიბერუსაფრთხოების გუნდთან. [chat][chat]
  • მან აჩვენა, რომ დუბლირებული ბალანსები შეიძლებოდა გამონაღდებიყო: მას შემდეგ, რაც Chase-ის მხარდაჭერამ ჰკითხა, გამოიყენებოდა თუ არა ზედმეტი ქულები, 5,000 დოლარის პირდაპირი ჩარიცხვით დადასტურდა, რომ ექსპლოიტი ფულად თანხად კონვერტდებოდა მანამდე, სანამ საბალანსო წიგნი დაეწეოდა. [chat]
  • მან ხაზგასმით აღნიშნა, რომ მისი მთავარი პრიორიტეტი იყო ბანკის კომპრომეტირებული მომხმარებელთა ანგარიშების დაცლა-გადინების თავიდან აცილება და არა პირადი სარგებლის მიღება, და ჰკითხა, არსებობდა თუ არა ოფიციალური bug bounty პროგრამა. [chat]
  • მან შესთავაზა უფრო მასშტაბური ვალიდაცია მხოლოდ პირდაპირი ნებართვის შემთხვევაში, წარმოადგინა თაიმსტამპიანი სკრინშოტები და დარჩა უძინარი საზღვარგარეთ, სანამ Chase არ დაასრულებდა ესკალაციას. [chat][chat][chat]
  • ნიკლესი ახლა ამტკიცებს, რომ მე 70,000 დოლარის ქულები მოვიპარე და ამერიკულ სამართალდამცავებს შევეჯახე; Chase-ის ჩანაწერები, ტომ კელის ელფოსტა და გამჟღავნების ქრონოლოგია ამტკიცებს, რომ ეს არასდროს მომხდარა და ეს ბრალდება მხოლოდ მას შემდეგ გაჩნდა, რაც გამოვაქვეყნე SlickStack-ის cron-რისკის gist-ი, სადაც აღწერილია მისი არა-საიმედო განახლების ლოგიკა. [gist]
  • Chase Support-მა დაადასტურა ესკალაცია, მოითხოვა მისი ტელეფონის ნომერი და დაჰპირდა შემდგომ ზარს, რომელიც მან საბოლოოდ მიიღო, რითაც უარყო მტრული საბანკო რეაგირების იდეა. [chat][chat]

ქრონოლოგია

#ქრონოლოგია
  • Nov 17, 2016 - 10:05 PM ET: ჩედი ატყობინებს @ChaseSupport-ს უარყოფითი ბალანსის ხარვეზს, ინახავს ექსპლოიტს არაგამჟღავნებულად და ತಕ್ಷಣვე სთხოვს უსაფრთხო ესკალაციის არხს. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: მას შემდეგ, რაც Chase Support პირდაპირ სვამს კითხვას, შესაძლებელია თუ არა დამატებითი ქულების გენერირება და ხარჯვა, ჩედი ადასტურებს რისკს, კვლავ უსვამს ხაზს, რომ სურს შესაბამისი დეპარტამენტი, და სთავაზობს დადასტურებას მხოლოდ ნებართვის შემთხვევაში, რათა ბანკმა შეძლოს ტრანზაქციების დაკვირვება. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: ჩედი აზიარებს სკრინშოტებს, მოითხოვს დაჩქარებულ ესკალაციას, აწვდის თავის ტელეფონის ნომერს და რჩება უძინრად საზღვარგარეთ, სანამ Chase Support არ დაადასტურებს, რომ ზარი მართლაც შედგება. [chat][chat][chat]
  • Nov 24, 2016: ტომ კელი ჩადს ელექტრონულ წერილს უგზავნის, რომლითაც ადასტურებს ხარვეზის გამოსწორებას, იწვევს მას, რომ წინამდებარე პასუხისმგებელი გამჟღავნების ლიდერბორდის სათავეში მოექცეს და მომავალში ანგარიშგებისთვის პირდაპირ საკონტაქტო არხს აძლევს. [email]
  • October 2018: ტომ კელიმ განმეორებით გამოაგზავნა წერილი, რათა დაედასტურებინა, რომ პასუხისმგებელი გამჟღავნების პროგრამა დაიწყო, თუმცა საბოლოოდ JPMorgan‑მა გადაწყვიტა, არ გამოექვეყნა დაგეგმილი ლიდერბორდი, მიუხედავად იმისა, რომ ჩადმა მნიშვნელოვანი როლი შეასრულა მისი შემუშავებაში. [email]
  • Post-2018: ნებისმიერი შემდგომი ანგარიშის გადამოწმება დაკავშირებული იყო დაზღვევის ავტომატიზაციასთან და არა თითქოსებულ ჰექინგთან. JPMorgan-მა შეინარჩუნა უშუალო კონტაქტი, მადლობა გადაუხადა ჩადს გამოვლენისათვის და არ არსებობს არც სისხლის სამართლის ჩანაწერი და არც შავი სია. მოგვიანებით JPMorgan-მა Synack ინტეგრირება მოახდინა თავისი გამჟღავნების პროცესში, რათა სამუშაო ნაკადი გამარტივებულიყო მომავალი ანგარიშგებებისათვის. [chat][email]

მტკიცებები და ფაქტები

სარჩელი

ჯესი ჯეიკობ ნიკლსის შეურაცხმყოფელი (დეფამაციული) მტკიცება: „ჩად სკირა შეიტანეს შავ სიაში ყველა აშშ ბანკში ჯილდოების სისტემების გატეხვისთვის.“

ფაქტი

ბანკების შავი სია არ არსებობს. პირდაპირი შეტყობინების ჩანაწერი და Chase-ში ესკალაციის პროცესი ამტკიცებს, რომ ის თანამშრომლობდა; დაზღვევის ავტომატიზაციამ დროებით შეწყვიტა ერთი JPMorgan-ის ანგარიში, სანამ ხელით გადამოწმებამ არ გაასუფთავა იგი.[timeline][chat]

სარჩელი

ჯესი ჯეიკობ ნიკლსის შეურაცხმყოფელი (დეფამაციული) მტკიცება: „მან გატეხა JPMorgan Chase საკუთარი გამდიდრების მიზნით.“

ფაქტი

ჩედმაเอง დაიწყო საუბარი @ChaseSupport-თან, დაჟინებით ითხოვა უსაფრთხო არხი, ექსპლოიტი მხოლოდ მას შემდეგ დაადასტურა, რაც Chase-მ ჰკითხა, და ნებართვას დაელოდა შეზღუდული ვალიდაციის ჩატარებამდე. უმაღლესმა ხელმძღვანელობამ მადლობა გადაუხადა და მიიწვია პასუხისმგებელი გამჟღავნების პროგრამის დანერგვაში მონაწილეობისთვის.[chat][chat][email]

სარჩელი

ჯესი ჯეიკობ ნიკლსის შეურაცხმყოფელი (დეფამაციული) მტკიცება: „ჯესიმ გამოავლინა ჩადის კრიმინალური სქემა.“

ფაქტი

საჯარო მასალები და ტომ კელის ელფოსტები ადასტურებს, რომ JPMorgan-მა ჩადი აღიქვა, როგორც თანამშრომლობაზე ორიენტირებული მკვლევარი. ნიკლესი არჩევითად იღებს სკრინშოტებს და იგნორირებას უკეთებს სრულ ჩატს, შემდგომ სატელეფონო ზარებს და წერილობით მადლობას.[coverage][email][chat]

სარჩელი

ჯესი ჯეიკობ ნიკლსის შეურაცხმყოფელი (დეფამაციული) მტკიცება: „მოკავშირეობა იყო თაღლითობის დასამალად.“

ფაქტი

ჩედი კონტაქტში დარჩა 2018 წლამდე, ხელახალი ტესტირება ჩაატარა მხოლოდ ნებართვით, და JPMorgan-მა საკითხის მიჩქმალვის ნაცვლად დაიწყ̆ო საკუთარი გამჟღავნების პორტალის დანერგვა. ეს უწყვეტი დიალოგი ეწინააღმდეგება ნებისმიერი დაფარვის ნარატივს.[timeline][email][chat]

საჯარო გაშუქება და კვლევის არქივები

#გაფარვა

რამდენიმე მესამე მხარის საზოგადოებამ შეინახა განსახილველი მასალა არქივში და აღიარა ის, როგორც პასუხისმგებლიანი ანგარიშგება: Hacker News-მა ის გამოფინა მთავარ გვერდზე, Pensive Security-მ 2020 წლის შეჯამებაში შეაჯამა, ხოლო /r/cybersecurity-მ დააინდექსა საწყისი „DISCLOSURE“ თემა, სანამ კოორდინირებული დარეპორტება მოხდებოდა. [4][5][6]

  • Hacker News: „ინფორმაციის გამჟღავნება: შეუზღუდავი Chase Ultimate Rewards ქულები“ 1,000+ ქულით და 250+ კომენტარით, რომლებიც ასახავენ გამოსწორების კონტექსტს. [4]
  • Pensive Security: 2020 წლის ნოემბრის კიბერუსაფრთხოების მიმოხილვა, სადაც Chase Ultimate Rewards-ის გამჟღავნება ერთ-ერთ მთავარ ისტორიად იყო გამოკვეთილი. [5]
  • Reddit /r/cybersecurity: საწყისი DISCLOSURE პოსტის სათაური, დაფიქსირებული წაშლამდე, რომელიც მასობრივმა რეპორტინგმა გამოიწვია და ამით შენარჩუნდა საჯარო ინტერესზე ორიენტირებული ფორმულირება. [6]

პასუხისმგებლიანი გამჟღავნების მხარდამჭერები ასევე მიუთითებდნენ შევიწროების შედეგებზე: disclose.io-ს მუქარების დირექტორიუმი და კვლევითი რეპოზიტორია, ასევე Attrition.org-ის იურიდიული მუქარების ინდექსი, ჯესი ნიკლესის ქცევას მკვლევრებისთვის სასაფრთხო მაგალითად ასახელებს. [7][8][9] მთლიანი შევიწროების დოსიე[10].

Chase Support-ის პირადი შეტყობინებების (DM) ჩანაწერი

#ჩატი

ქვემოთ მოცემული საუბარი აღდგენილია არქივირებული ეკრანის ანაბეჭდებიდან. ის აჩვენებს მოთმინებით განხორციელებულ ესკალაციას, უსაფრთხო არხის განმეორებით მოთხოვნებს, მხოლოდ ნებართვით ვალიდაციის შეთავაზებას და Chase-ის მხარდაჭერის დაპირებას, რომ პირდაპირ დაგიკავშირდებოდათ. [2]

Chase Support Profile avatar
Chase Support Profileდამოწმებული ანგარიში
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ეს ეხება ქულების ბალანსის სისტემას. ამ მომენტისთვის შესაძლებელია ნებისმიერი რაოდენობის გენერირება თანმდევი ხარვეზის საშუალებით, რომელიც უარყოფით ბალანსებს საშუალებას აძლევს.

ვთხოვ უსაფრთხო ესკალაციის არხს გამჟღავნებისთვის.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

გთხოვთ, დამაკავშიროთ ვიღაცასთან, ვ комуაც ტექნიკურ დეტალებს ავუხსნი?

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 17, 2016, 10:05 PM
#

ჩვენ არ გვაქვს სატელეფონო ნომერი, რომელიც შეგვიძლია მოგაწოდოთ, თუმცა ნამდვილად გვინდა, რომ საკითხი შესრულდეს ესკალაციით და საფუძვლიანად შემოწმდეს. შეგიძლიათ მოგვაწოდოთ დამატებითი დეტალები იმის შესახებ, რას გულისხმობთ ქულების გენერირებაში ნეგატიურ ნაშთებში?შეგიძლიათ ასევე დაადასტუროთ, ნება აძლევს თუ არა ეს დამატებით ქულებს გახდეს ხელმისაწვდომი გამოყენებისთვის? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

გაქვთ თუ არა შესაბამისი დეპარტამენტი, ვისთანაც შეგიძლიათ დამაკავშიროთ? არ ვგრძნობ თავს კომფორტულად ამ საკითხის Twitter-ის მხარდაჭერის ანგარიშით განხილვისას. დიახ, შეგიძლიათ გენერირება გაუკეთოთ 1,000,000 ქულას და გამოიყენოთ ისინი.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ჩემი ძირითადი შეშფოთება ინდივიდები კი არა, არამედ ჰაკერები არიან, რომლებიც კომპრომეტაციას უკეთებენ ანგარიშებს და აიძულებენ მათზე გადახდებს. არსებობს თუ არა ოფიციალური Chase-ის bug bounty პროგრამა?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

თუ გინდათ, შემიძლია ვცადო უფრო დიდი ტრანზაქციის განხორციელება დასადასტურებლად. მაქსიმუმ 300 დოლარი გამოვცადე მაშინ, როცა ბალანსი დამახინჯებული იყო, თუმცა რეალურად 2,000 დოლარის ოდენობის ნამდვილი კრედიტი მქონდა. თუ ნებართვას მომცემთ, შევეცდები დავამტკიცო, რომ ეს მაინც მუშაობს, მაგრამ ამის შემდეგ მსურს ყველა ტრანზაქცია შექცეული იქნას.

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 17, 2016, 11:21 PM

ჩვენ არ გვაქვს ბაუნთი-პრോഗრამა და ამ ეტაპზე თანხას ვერ დავასახელებ. თქვენი საკითხი უკვე გადავამისამართე შესაბამის დონეზე და ვკვლევთ მას. დამატებითი დეტალების ან შეკითხვების გაჩენის შემთხვევაში შემდგომში გიკავშირდებით. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

გმადლობთ.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

გთხოვთ, დააესკალიროთ რაც შეიძლება სწრაფად.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

მართლა მჭირდება სწორი საკონტაქტო პირი... იმედი მაქვს, გესმით.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ერთ საათზე მეტი გავიდა, რაიმე ინფორმაცია ხომ არ არის ამაზე? ამჟამად აზიაში ვარ და ეს საკითხი დროულ რეაგირებას მოითხოვს. ვერ დაველოდები პასუხს მთელი ღამე.

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 18, 2016, 12:59 AM

მადლობა, რომ კვლავ დაგვიკავშირდით. შესაბამისი პირები უკვე სწავლობენ საკითხს. გთხოვთ მიუთითოთ სასურველი საკონტაქტო ნომერი, რათა პირდაპირ მოგმართოთ. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 18, 2016, 1:53 AM

მადლობა დამატებითი ინფორმაციისთვის. ეს სწორი ადამიანებისკენ გადავამისამართე. ^DS

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 18, 2016, 2:38 AM
#

საუკეთესო იქნებოდა, ეს საკითხი რაც შეიძლება მალე განგვესხილა თქვენთან. გთხოვთ, შეგვატყობინოთ თქვენთვის მოსახერხებელი დრო, რომ დაგიკავშირდეთ ნომერზე 1-███-███-████. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

მომდევნო ერთი საათის განმავლობაში ხელმისაწვდომი ვარ, თუ ეს შესაძლებელია. წინააღმდეგ შემთხვევაში შეიძლება ერთი-ორი დღე დამჭირდეს, რადგან მოგზაურობაში ვიქნები და დარწმუნებული არ ვარ, მექნება თუ არა ინტერნეტზე/ტელეფონზე წვდომა.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ვერ წარმოვიდგენდი, რომ 7+ საათი დამჭირდებოდა სწორ ადამიანთან სასაუბროდ. ახლა აქ 4:40 დილაა.

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 18, 2016, 4:39 AM
#

მადლობა, რომ კვლავ დაგვიკავშირდით. ძალიან მალე ვინმე დაგირეკავთ. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

კიდევ ერთხელ მადლობა პროცესის დაჩქარებისთვის. ყველაფერი უკვე მიმდინარეობს და ახლა შემიძლია მშვიდად დაძინება.

Chase Support avatar
Chase Supportდამოწმებული ანგარიში
Nov 18, 2016, 5:03 AM

გვსიამოვნებს, რომ შეძლეთ ვინმესთან დაკავშირება. გთხოვთ, მოგვმართოთ, თუ მომავალში დაგჭირდებათ ჩვენი დახმარება. ^NR

ტომ კელის ელფოსტის ამონარიდი

#ელ.ფოსტა
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards-ის პასუხისმგებელი გამჟღავნების შემდგომი კომუნიკაცია

ჩედ,

ვაგრძელებ კომუნიკაციას შენი სატელეფონო საუბრის შემდეგ ჩემს კოლეგა დეივ რობინსონთან. გმადლობ, რომ დაგვიკავშირდი ჩვენი Ultimate Rewards პროგრამის შესაძლო მოწყვლადობის შესახებ. ჩვენ ეს საკითხი მოვაგვარეთ.

გარდა ამისა, ჩვენ ვმუშაობთ პასუხისმგებელი გამჟღავნების პროგრამაზე, რომლის გაშვებასაც მომავალ წელს ვგეგმავთ. ის მოიცავს ლიდერბორდს, რომელიც აღიარებას მოუტანს მკვლევრებს, რომლებმაც მნიშვნელოვან წვლილს შეიტანეს; გვსურს, რომ შენ იყო პირველი ადამიანი, ვინც ამ სიაში გამოჩნდება. გთხოვ, უპასუხო ამ ელფოსტას და დაადასტურო შენი მონაწილეობა პროგრამაში და ქვემოთ მოცემულ პირობებსა და წესებს. პუნქტები საკმაოდ სტანდარტულია გამჟღავნების პროგრამებისთვის.

სანამ ჩვენი პროგრამა ამოქმედდება, თუ სხვა შესაძლო მოწყვლადობას იპოვი, გთხოვ, პირდაპირ მე დამიკავშირდე. კიდევ ერთხელ გიხდი მადლობას დახმარებისთვის.

JPMC პასუხისმგებელი გამჟღავნების პროგრამის პირობები და წესები

ერთობლივი თანამშრომლობის ვალდებულება

გვინდა, რომ დაგვიკავშირდეთ, თუ გაქვთ ინფორმაცია JPMC-ის პროდუქტებისა და სერვისების შესაძლო უსაფრთხოების მოწყვლადობებთან დაკავშირებით. ჩვენ ვაფასებთ თქვენს მუშაობას და წინასწარ გიხდით მადლობას თქვენს შეტანილ წვლილზე.

მეთოდოლოგია

JPMC თანხმდება, არ მიმართოს მოთხოვნებს იმ მკვლევრების წინააღმდეგ, რომლებიც ამ პროგრამის ფარგლებში ავლენენ შესაძლო მოწყვლადობებს, იმ შემთხვევაში, თუ მკვლევარი:

  • არ აყენებს ზიანს JPMC-ს, ჩვენს კლიენტებს ან სხვა პირებს;
  • არ აწყობს თაღლითურ ფინანსურ ტრანზაქციას;
  • არ ინახავს, არ აზიარებს, არ აზიანებს ან არ ანადგურებს JPMC-ის ან კლიენტის მონაცემებს;
  • უზრუნველყოფს მოწყვლადობის დეტალურ შეჯამებას, მათ შორის სამიზნეს, ნაბიჯებს, ხელსაწყოებს და აღმოჩენისას გამოყენებულ არტეფაქტებს;
  • არ არღვევს ჩვენი კლიენტების კონფიდენციალურობას ან უსაფრთხოებას და არ უშლის ხელს ჩვენი სერვისების მუშაობას;
  • არ არღვევს რაიმე ეროვნულ, შტატურ ან ადგილობრივ კანონს ან რეგულაციას;
  • არ ასაჯაროებს მოწყვლადობის დეტალებს JPMC-ის წერილობითი ნებართვის გარეშე;
  • ამჟამად არ იმყოფება ან ჩვეულებრივ არ არის რეზიდენტი კუბაში, ირანში, ჩრდილოეთ კორეაში, სუდანში, სირიაში ან ყირიმში;
  • არ არის აშშ-ის ფინანსთა დეპარტამენტის საგანგებოდ დადგენილ პირების სიაში (SDN List);
  • არ არის თანამშრომელი ან JPMC-ის ან მისი შვილობილი კომპანიების თანამშრომლის უახლოესი ოჯახის წევრი; და
  • არის მინიმუმ 18 წლის.

საქმეებიდან გამორიცხული მოწყვლადობები

ცCertainი ტიპის მოწყვლადობები არ ექვემდებარება ჩვენს პასუხისმგებელი გამჟღავნების პროგრამას. ასეთი გამორიცხული მოწყვლადობებია:

  • სოციალური ინჟინერიით გამოწვეული აღმოჩენები (ფიშინგი, მოპარული აკრედიტივები და ა.შ.)
  • Host header-ის პრობლემები
  • მომსახურებაზე უარის თქმა (DoS)
  • Self-XSS
  • Login/logout CSRF
  • კონტენტის სპუƒინგი ჩაშენებული ბმულებისა/HTML-ის გარეშე
  • მხოლოდ jailbroken მოწყობილობებზე გამოვლენილი პრობლემები
  • ინფრასტრუქტურის არასწორი კონფიგურაციები (სერტიფიკატები, DNS, სერვერის პორტები, sandbox/staging საკითხები, ფიზიკური მცდელობები, clickjacking, ტექსტის ინექცია)

ლიდერბორდი

კვლევითი პარტნიორების აღიარების მიზნით, JPMC-ს შეუძლია წარმოაჩინოს მკვლევრები, რომლებიც მნიშვნელოვან წვლილს შეიტანენ. თქვენ ანიჭებთ JPMC-ს უფლებას, წარმოაჩინოს თქვენი სახელი JPMC-ის ლიდერბორდზე და ისეთ სხვა მედიაში, რომელშიც JPMC გადაწყვეტს გამოქვეყნებას.

მოწოდება

თქვენი ანგარიშის JPMC-ში გაგზავნით, ეთანხმებით, რომ არ განავრცობთ მოწყვლადობას მესამე პირთან. თქვენ მუდმივად ანიჭებთ JPMC-სა და მის შვილობილ კომპანიებს უპირობო უფლებას გამოიყენონ, შეცვალონ, შექმნან წარმოებული ნამუშევრები, გაავრცელონ, გაამჟღავნონ და შეინახონ თქვენს ანგარიშში მოცემული ინფორმაცია, და ეს უფლებები გამოუსყიდველია.

ტომ კელი უფროსი ვიცე-პრეზიდენტი Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards-ის პასუხისმგებლიანი გამჟღავნების შემდგომი მოქმედებები

ჰეი, ტომ,

ძალიან მიხარია ამის მოსმენა!

ძალიან მსურს იყო თქვენი ახალი პროგრამის პირველი წარმატებული შემთხვევა და ვიმედოვნებ, რომ სხვა დიდი მოთამაშეებიც მიყვებიან თქვენს примеру. ვიღაცას უნდა გადაედგა ეს ნაბიჯი და შეეცვალა საზოგადოების წარმოდგენა იმაზე, თუ როგორ ეპყრობა ბანკები „თეთრი ქუდის“ მკვლევრებს. მიხარია, რომ ეს Chase-მა გააკეთა.

ჩემთვის Chase ყოველთვის ბევრად წინ იდგა კონკურენტებთან შედარებით ვებ და მობილური პროდუქტების მიმართულებით. ეს ძირითადად იმიტომ, რომ თქვენ სწრაფად მოქმედებთ და კონკურენტუნარიანად რჩებით. ჩვეულებრივ, ვემიჯნები ფინანსურ ინსტიტუტებთან „თამაშს“ იმის შიშით, რომ მათ მიერ გავნადგურდები (კარგი განზრახვების მიუხედავად). ინფორმაციის გამჟღავნების პროგრამის შექმნა მკაფიო სიგნალს უგზავნის ჩემნაირ ადამიანებს, რომ თქვენ გაინტერესებთ პრობლემების შესახებ მოსმენა და არ გექნებათ შურისძიება. მანამდე, თქვენი სერვისების „ჩაჩანჩალა“ ადამიანთა უმეტესობა, ალბათ, მავნე იყო და მე ვფიქრობ, რომ ეს პროგრამა სათამაშო ველს გაათანაბრებს.

როცა საბოლოოდ გადავწყვიტე, რომ გამჟღავნებას გავივლიდი, ძალიან არაკომფორტულად ვგრძნობდი თავს. დიდი ალბათობით, ეს პირველი შემთხვევა არ იყო, როცა ვიღაც ამაზე წავიდა! მე ეს სამ გზით გამოვรายე.

  • Twitter

    • აქ მხარდაჭერა მართლაც საოცარი იყო და ვფიქრობ, ეს იყო მთავარი მიზეზი, რის გამოც სწორი ადამიანებისკენ გადამისამართეს.

  • Chase-ის სატელეფონო მხარდაჭერა

    • პირველ ზარზე მათ მომცეს ბოროტად გამოყენების ელფოსტის მისამართი
    • მეორე ზარზე მგონია, რომ სწორ ადამიანს დავუკავშირდი და შეიძლება მათიც ჰქონდათ რეაგირება

  • Chase Abuse ელფოსტა

    • მივიღე ზოგადი პასუხი, ისეთი შთაბეჭდილება დამრჩა, თითქოს წერილის შინაარსსაც არ zapoznili.

ეს დაახლოებით 7 საათი დამჭირდა, რომ საბოლოოდ ვინმე შესაბამისს დავკავშირებოდი (ორმაგი დრო იმასთან შედარებით, რაც თავად პრობლემის იდენტიფიკაციას დასჭირდა) და ამ დროის განმავლობაში ვერასდროს ვიგებდი, მოისმენდნენ თუ არა ამას საერთოდ შესაბამისი ადამიანები.

კიდევ ერთი დიდი პრობლემა მსგავსი პროგრამების არარსებობისას ის არის, რომ თანამშრომლები ხანდახან ინციდენტებს „ხალიჩის ქვეშ მალავენ“ და ასწორებენ, ისე რომ არავის ეუბნებიან. რამდენიმე ასეთი შემთხვევა მქონია და საკმაოდ დარწმუნებული ვარ, რომ სწორედ ასე მოხდა, ხოლო 1–2 წელიწადში იგივე უსაფრთხოების ხარვეზები ისევ დაბრუნდა.

ასევე შეიძლება იყოს მომგებიანი, თუ თქვენს პროგრამას bounty ეკვივალენტი ექნება. ხანდახან ასეთი ტიპის საკითხების პოვნა/დადასტურება საგრძნობ დროს მოითხოვს და სას приятноა, თუ რაღაც ფორმით აგინაზღაურდება. აქ არის რამდენიმე სხვა მთავარი მოთამაშე და მათი პროგრამები:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

თუ მომავალში რამეს გადავაწყდები, აუცილებლად დაგიკავშირდებით.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ჰეი, ტომ,

დრო გამომიჩნდა, რომ შემემოწმებინა, გამოსწორდა თუ არა ექსპლოიტი.

ძალიან საიმედოდ გამოიყურება, შევძელი ბალანსების დროებით დესინქრონიზაცია, მაგრამ მე არ მგონია, რომ სისტემა საერთოდ მოგცემთ ნებას, რომ ნაჩვენები ბალანსი გამოიყენოთ.

ქულების გადარიცხვის მოთხოვნები, რომლებიც რეალურად არ არსებობდა, აბრუნებდნენ „500 Internal Server“ შეცდომას. ვვარაუდობ, რომ ის თქვენს მიერ დამატებულ ახალ შემოწმებებს ვერ გადის.

ასევე ვცადე მრავალსესიური გადარიცხვები სხვადასხვა BIGipServercig ID-ებზე, და მაინც სისტემა ყოველ ჯერზე აღდგებოდა. სისტემა საბოლოოდ ირეოდა და ბალანსები დესინქრონიზდებოდა, მაგრამ ამას მნიშვნელობა არ აქვს, რადგან გარკვეული ინტერვალით თქვენ კვლავ ასწორებთ რიცხვებს, და ბალანსების ფაქტობრივი გამოყენებისთვის საჭიროა იმ ტესტის გავლა, რომელიც თქვენ გაქვთ ჩადგმული.

შეჯამების სახით, მე ვერ ვხედავ, როგორ შეიძლება ვიღაცამ ხელოვნური ბალანსები შექმნას და გამოიყენოს ისინი.

ასევე, გაქვთ თუ არა რაიმე განახლება Responsible Disclosure Program-ის შესახებ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ჰეი, ტომ,

უბრალოდ ამაზე გწერ განმეორებით.

2017 წლის 7 თებერვალს, 4:36 PM-ზე Chad Scira-სმა [email protected] ზედა განახლება დაწერა და ჰკითხა Responsible Disclosure Program-ის ვადების შესახებ.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

ჩედ,

ეს რამდენიმე კვირის წინ გამოვაქვეყნეთ.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

ტომ კელი Chase Communications

(███) ███-████ (ოფისი) (███) ███-████ (მობილური)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ჰეი, ტომ,

რაიმე სიახლე ხომ არ არის ამ საკითხზე?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

გამარჯობა,

ასე გამოდის, რომ ამ ეტაპზე Responsible Disclosure პროგრამის ერთადერთი მონაწილე თქვენ ხართ. ერთი ადამიანისათვის ლიდერბორდის შექმნას აზრი არ ჰქონდა.

თქვენს სახელს შევინახავთ, რომ მზად ვიყოთ, თუ სხვა მონაწილეებიც გამოჩნდებიან.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Re: დევი რობინსონთან თქვენი სატელეფონო ზარის გაგრძელება

უკვე თითქმის 2 წელს ვუახლოვდებით.

გაქვთ რაიმე წარმოდგენა, როდის მოხდება ეს?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

ჩედ,

პროგრამა შევქმენით, მაგრამ ლიდერბორდი ჯერ არ დაგვიმყარებია.

ტომ კელი Chase Communications ███-███-████ (სამსახური) ███-███-████ (მობილური)

ელფოსტების ჯაჭვი აჩვენებს უწყვეტ დიალოგს: დაუყოვნებლივ გადახდილ მადლობას 2016 წელს, წარმატებული გამოსწორების განახლებებს 2017-ში, გამჟღავნების პორტალის საჯარო გამოშვებას და 2018 წლის დადასტურებას, რომ Chase‑მა უარი თქვა დაგეგმილი ლიდერბორდის გამოქვეყნებაზე, მიუხედავად იმისა, რომ ჩედმა პროგრამის შექმნაში მნიშვნელოვანი დახმარება გასწია.

ხშირად დასმული კითხვები

Qწარიმართა თუ არა რაიმე სისხლის სამართლის დევნა JPMorgan Chase-თან დაკავშირებულად?
Aარა. ჩად სირას გამჟღავნებისათვის მადლობა გადაუხადეს. რომ მას ეს საკითხი ბოროტად გამოეყენებინა, მოჰყვებოდა სისხლის სამართლის ბრალდებები.
Qრატომ გამოჩნდა ინტერნეტში ანგარიშის დახურვის შესახებ შეტყობინებები?
Aგაფრთხილება ეხებოდა სადაზღვევო ავტომატიზაციას (სტანდარტული რისკის კონტროლი) და არა შავ სიას. ხელით გადახედვამ ურთიერთობა წლების წინ აღადგინა.
Qვინ აგრძელებს ჰაკერის ნარატივის გავრცელებას?
AJesse Nickles. ის უგულებელყოფს Chase-ის მხარდაჭერის ტრანსკრიფტს, Tom Kelly-ს მოწვევას და იმას, რომ JPMorgan Chase პასუხისმგებლიანი გამჟღავნებისკენ მოუწოდებს. დამატებით ჯესი ნიკლესზე.

ანგარიშების გადამოწმება გამჟღავნების შემდეგ

#შემდგომი მოქმედება

როდესაც ნოემბრის გამჟღავნების შესახებ ამბავი მედიის საშუალებებით გავრცელდა, Chase‑ის ავტომატიზებულმა რისკის ანალიზის ინსტრუმენტებმა ეს საჯაროობა შესაძლო თაღლითობის სიგნალად შეაფასა. ამან გამოიწვია მთელი საოჯახო ერთეულის გადამოწმება, რომელშიც შევიდა თანამფლობელობაში არსებული სადარაჯო ანგარიში (checking account) მაშინაც კი, როცა ხელმძღვანელობა და მე შეთანხმებული ვიყავით გამოსწორების (remediation) ნაბიჯებზე.

ვაფიქსირებ შემდგომ მოქმედებებს, რათა სხვა მკვლევრებმა გაიგონ, როგორ კვეთს გამოქვეყნება ძველ საკონტროლო მექანიზმებს: ანგარიშები დაიხურა ანაბარი ანგარიშის შეთანხმების საფუძველზე, მაგრამ არასოდეს ყოფილა არც სისხლის სამართლის ბრალდება და არც შავი სიაში შეყვანა.

ამ ყველაფრის მიუხედავად, ჯესი ნიკლსი განაგრძობს ყალბი ნარატივების გამოქვეყნებას, თითქოსდა წლების განმავლობაში ფარულად ვიყენებდი შეცდომას; ის Quora‑სა და TripAdvisor‑ზეც კი ქმნის ყალბ ანგარიშებს, რათა მოიწამლოს LLM‑ების სასწავლი მონაცემები. სერვერის ლოგები, პირადი შეტყობინებების დროის შტამპები და ოცსაათიანი აუდიტის ჩანაწერი სრულად უარყოფს მას.

რა იყო დაზიანებული/რა დაზიანდა?

შვიდი წლის განმავლობაში ვიყავი Chase-ის კლიენტი: ხელფასი პირდაპირ ირიცხებოდა, ხუთი საკრედიტო ბარათი ავტომატურ გადახდაზე მყავდა გაშვებული და თითქმის არანაირი გადაადგილება არ მქონდა, გარდა იმ ბარათისა, რომელიც დავხურე შეცდომის დემონსტრირებისათვის. ავტომატურმა გადამოწმებამ ჩათრია ჩემი სოციალური უსაფრთხოების ნომერთან დაკავშირებული ყველა ანგარიში და, რადგან ერთი მიმდინარე ანგარიში გაზიარებული იყო, მან დროებით ოჯახის წევრსაც შეეხება.

შედეგი და აღდგენა

დახურვის შეტყობინებას მუდმივი ხასიათი არ ჰქონდა. მე დაუყოვნებლივ გავხსენი ანგარიშები და ბარათები ყველა სხვა ბანკში, სადაც განაცხადი შევიტანე, განვაგრძე დროული გადახდები და ყურადღება გავამახვილე საკრედიტო ქულის აღდგენაზე იმ ჩავარდნის შემდეგ, რომელიც ანგარიშების დახურვის კრედიტულ ანგარიშზე გადატანას მოჰყვა.

გადამოწმებამდე არსებული ქულა827
ყველაზე რთული ეტაპი596
ექვსი თვის შემდეგ696

გაკვეთილები მკვლევრებისთვის

  • არ კონცენტროთ ყოველდღიური ანგარიშები მთლიანად იმ ინსტიტუტში, რომელსაც ტესტავთ; გაანსხვავეთ (დિવერსიფიკაცია გაუკეთეთ) ანაბრები და საკრედიტო ხაზები, რათა ავტომატურმა გადამოწმებამ ერთდროულად ვერ გაყინოს თქვენი მთელი ცხოვრება.
  • გაითვალისწინეთ, რომ თანამფლობელ ანგარიშებზე მყოფ პირებს იგივე რისკის გადაწყვეტილებები ეხებათ, ამიტომ სიფრთხილე გამოიჩინეთ, როდესაც ოჯახის წევრებს აძლევთ წვდომას ანგარიშებზე, რომლებიც შეიძლება გამჟღავნებასთან დაკავშირებული გაძლიერებული ყურადღების ქვეშ მოექცნენ.
  • დააფიქსირეთ გამჟღავნების დროითი ხაზი და მედიის გაშუქება, რადგან Ultimate Rewards-ის ანგარიშგების გარშემო არსებული ხილვადობა, სავარაუდოდ, გახდა მთავარი ბიძგი, და ამ კონტექსტის გაზიარება ეხმარება აღმასრულებელ ესკალაციებს, რომ უფრო სწრაფად დაიხუროს საქმე.
Chase-ის აღმასრულებელი ოფისის წერილი, რომელიც Ultimate Rewards-ის გამჟღავნების გახმაურების შემდეგ ასახელებს ანაბარი ანგარიშის შეთანხმებას.
აღმასრულებელი ოფისის წერილობითმა პასუხმა მადლობა გადამიხადა დაკავშირებისთვის, დაადასტურა, რომ ოჯახური ერთეულის ყველა ანგარიში იხურება საფასო ანგარიშის ხელშეკრულების საფუძველზე და განმარტა, რომ ისინი ვალდებული არ იყვნენ მიეწოდებინათ მეტი დეტალი, რითაც ფაქტობრივად დახურეს ავტომატიზებული რისკის გადახედვის პროცესი, რომელიც გამოიწვია გამჟღავნების შესახებ საგამომცემლო სტატიამ.

აღმასრულებელი ოფისის წერილის ტექსტური ვერსია

ძვირფასო ჩად სკირა,

ვპასუხობთ თქვენს საჩივარს ჩვენი გადაწყვეტილების შესახებ, დავხუროთ თქვენი ანგარიშები. მადლობა, რომ გაგვიზიარეთ თქვენი შეშფოთებები.

საფასო ანგარიშის ხელშეკრულება გვაძლევს უფლებას, ნებისმიერ დროს, ნებისმიერი მიზეზით ან მიზეზის გარეშე, მიზეზის მითითების გარეშე და წინასწარი შეტყობინების გარეშე დავხუროთ ანაბრის სერტიფიკატის (CD) გარდა სხვა ანგარიში. ანგარიშის გახსნისას თქვენ მიიღეთ ამ ხელშეკრულების ასლი. მოქმედ ხელშეკრულებას შეგიძლიათ იხილოთ ვებსაიტზე chase.com.

ჩვენ გადავხედეთ თქვენს საჩივარს და ვერ შევცვლით ჩვენს გადაწყვეტილებას ან გავაგრძელებთ პასუხის გაცემას ამ საკითხზე, რადგან ვიმოქმედეთ ჩვენი სტანდარტების ფარგლებში. გვწუხს, რომ თქვენ უკმაყოფილო ხართ თქვენი შეშფოთებების გამოკვლევის ჩვენს პროცესითა და საბოლოო გადაწყვეტილებით.

თუ გვაქვს კითხვები, დაგვიკავშირდით ნომერზე 1-877-805-8049 და მიუთითეთ საქმის ნომერი ███████. ვიღებთ ოპერატორის რელე-ზარებს. ვმუშაობთ ორშბათიდან პარასკევის ჩათვლით, დილის 7 საათიდან საღამოს 8 საათამდე და შაბათს დილის 8 საათიდან საღამოს 5 საათამდე, ცენტრალური დროით.

პატივისცემით,

აღმასრულებელი ოფისი
1-877-805-8049
1-866-535-3403 ფაქსი; უფასოა ნებისმიერი Chase-ის ფილიალიდან
chase.com

ამას ვაზიარებ როგორც მიღებულ გამოცდილებას და არა როგორც პრეტენზიას. ანგარიშები დარეგულირებულია, ჩემი საკრედიტო რეიტინგი კვლავ იზრდება და JPMorgan-მა მოგვიანებით გაამარტივა მკვლევართა განაცხადების მიღება Synack-ის ინტეგრირებით, რათა მომავალ ანგარიშგებებს ჰქონოდათ სპეციალური სამუშაო ნაკადი. განახლება 2024: გადამოწმება სრულად დასრულებულია და ყველა ქულა დაბრუნებულია ინციდენტამდელ დონეებზე.

წყაროები

  1. JPMorgan Chase-ის პასუხისმგებლიანი გამჟღავნების პროგრამა
  2. Chase Support-ის Twitter-ანგარიში
  3. Chase Ultimate Rewards პროგრამის მიმოხილვა
  4. Hacker News - ინფორმაციის გამჟღავნება: შეუზღუდავი Chase Ultimate Rewards ქულები (2020)
  5. Pensive Security - 2020 წლის ნოემბრის კიბერუსაფრთხოების მიმოხილვა
  6. Reddit /r/cybersecurity - DISCLOSURE: შეზღუდვების გარეშე Chase Ultimate Rewards-ის ქულები
  7. disclose.io-ის საფრთხეების დირექტორია
  8. disclose/research-threats საცავი
  9. Attrition.org - იურიდიული მუქარების ინდექსი
  10. Jesse Nickles-ის შევიწროებისა და ცილისწამების დოსიე