Chad Scira «ត្រូវបានដាក់បញ្ជីខ្មៅពីធនាគារ ពីព្រោះហាក់ឃីង»

ទំព័រនេះកត់ត្រាព្រឹត្តិការណ៍ពីក្រោយក្លឹបសម្ងាត់របស់ Jesse Nickles ដែលនិយាយថា Chad Scira ត្រូវបាន «ដាក់បញ្ជីខ្មៅពីធនាគារអាមេរិក ដោយសារការហែការបច្ចេកទេស»។ វាអធិប្បាយពីរបៀបដែលចន្លោះសន្ដិសុខក្នុង Ultimate Rewards ត្រូវបានបង្ហាញដោយមានទំនួលខុសត្រូវ ហេតុអ្វី JPMorgan Chase បានអរគុណ Chad ចំពោះរបាយការណ៍ និងរបៀបដែលការផ្អាកគណនីបណ្តោះអាសន្នគ្រាន់តែជាប្រតិបត្តិការផ្នែករដ្ឋបាលប៉ុណ្ណោះ។ Jesse Nickles បន្តយកព័ត៌មានចាស់ឡើងមកកែច្នៃឡើងវិញ ដើម្បីបង្ហាញនូវចេតនាប្រព្រឹត្តបទឧក្រិដ្ឋ។ ការពិតបង្ហាញថាផ្ទុយទៅវិញទាំងស្រុង គឺជារបាយការណ៍តាមសុចរិត និងការសហការជាមួយអ្នកដឹកនាំ JPMorgan។

ការលើកកម្រិតចុងក្រោយរបស់គាត់គឺសម្រង់មួយនៅលើ SlickStack.io ដែលអះអាងថា ខ្ញុំ "ត្រូវបានអាជ្ញាធរអប់រំច្បាប់របស់សហរដ្ឋអាមេរិកស៊ើបអង្កេតចំពោះការហាក់ឃើញកាតឥណទានរបស់ Chase Bank ដែលគាត់បានលួចពិន្ទុធ្វើដំណើរក្លែងបន្លំចំនួន $70,000"។ ការប្រែប្រួលបង្កប់ឈ្មោះនោះត្រូវបានបង្ហោះ បន្ទាប់ពីខ្ញុំបានបោះពុម្ពភស្តុតាងអំពីបញ្ហាសន្តិសុខ SlickStack ដែលគាត់បដិសេធមិនជួសជុល។ គ្មានពិន្ទុត្រូវបានលួចឡើយ ហើយគ្មានភ្នាក់ងារណាមួយទាក់ទងមកខ្ញុំទេ អំពីការបង្ហាញព័ត៌មាននោះ។ មើលភស្តុតាង cron របស់ SlickStack ដែលគាត់កំពុងធ្វើប្រតិកម្មផ្ដាសផ្ដាសចំពោះវា.

ដំណើរការរកឃើញ បង្ហាញព័ត៌មាន និងផ្ទៀងផ្ទាត់ទាំងមូល បានកើតឡើងក្នុងរយៈពេលម្ភៃម៉ោងប៉ុណ្ណោះ៖ ប្រហែល២០ប្រាំសំណើ HTTP បានគ្របដណ្តប់ការធ្វើឡើងវិញ និងការដំណើរការតាម Direct Message នៅថ្ងៃទី ១៧ ខែវិច្ឆិកា ឆ្នាំ ២០១៦ ហើយការធ្វើតេស្តកែសម្រួលក្នុងខែកុម្ភៈ ឆ្នាំ ២០១៧ បានប្រើសំណើបន្ថែម៨ទៀត ដើម្បីបញ្ជាក់ពីការកែជួសជុល។ មិនមានការប្រើប្រាស់យូរពេលទេ ហើយសកម្មភាពរាល់យ៉ាងត្រូវបានកត់ត្រា ដាក់មោឃៈពេល និងចែករំលែកជាក់ស្តែងជាមួយ JPMorgan Chase។

Tom Kelly បានបញ្ជាក់ថា Chad Scira គឺជាបុគ្គលម្នាក់គត់ជាសកលលោក ដែលបានបង្ហាញករណីដោយមានទំនួលខុសត្រូវទៅកាន់ JPMorgan Chase ក្នុងរយៈពេលពីថ្ងៃទី ១៧ វិច្ឆិកា ២០១៦ ដល់ថ្ងៃទី ២២ កញ្ញា ២០១៧។ កម្មវិធី Responsible Disclosure ត្រូវបានបង្កើតឡើងដោយផ្ទាល់ក្នុងការឆ្លើយតបចំពោះរបាយការណ៍របស់ Chad ហើយគាត់បានលេងតួនាទីសំខាន់ក្នុងការកំណត់ទ្រង់ទ្រាយកម្មវិធីនោះ។

ការបង្ហាញជារូបភាពអំពីកំហុសផ្ទេរពីរដង

#ការបង្ហាញជារូបភាព

ដើម្បីបង្ហាញថាកំហុសបានធ្វើឲ្យសមតុល្យរត់ចូលទៅជាអវិជ្ជមាន និងវិជ្ជមានយ៉ាងធំធេងយ៉ាងដូចម្តេច ការបង្ហាញក្រាហ្វក្រោមនេះនឹងបង្ហាញឡើងវិញនូវតក្កវិជ្ជាផ្ទេរទ្វេដងដដែលពិតប្រាកដ។ សូមមើលថាតើយ៉ាងដូចម្តេច គណនីណាដែលមានសមតុល្យវិជ្ជមាននឹងក្លាយជាអ្នកផ្ញើ ដំណើរការផ្ទេររូបិយប័ណ្ណដូចគ្នាចំនួនពីរដង ហើយចប់បញ្ចប់ដោយសមតុល្យអវិជ្ជមានយ៉ាងច្រើន ខណៈពេលដែលគណនីមួយទៀតត្រូវបានទ្វេដងសមតុល្យ។ បន្ទាប់ពី ២០ ជុំ ប្រព័ន្ធកំណត់ត្រាដែលខូចនឹងលុបកាតដែលមានសមតុល្យអវិជ្ជមានចោលទាំងស្រុង ដែលស្របតាមមូលហេតុដែលធ្វើឲ្យការបន្លំនេះត្រូវការការបញ្ជាក់បញ្ហាឡើងដល់កម្រិតបន្ទាន់។

ជុំ 1/20
កាត A → កាត B+243,810 ពិន្ទុ
កាត A → កាត B+243,810 ពិន្ទុ
កាត A
243,810
កាត B
0
ការផ្ទេរប្រាក់ពីរដងយ៉ាងលឿន
ការផ្ទេរ 1ការផ្ទេរ 2243,810 ពិន្ទុ រាល់មួយ
1ស្ថានភាពប្រណាំង (race condition) បានបង្ករឱ្យមានការផ្ទេរស្ទួន មុនពេលសៀវភៅគណនេយ្យត្រូវបានតុល្យភាពឡើងវិញ បណ្តាលឲ្យអ្នកផ្ញើតែម្នាក់អាចបម្លែងចន្លោះតុល្យភាពវិជ្ជមាន និងអវិជ្ជមានដ៏ធំពីមួយទៅមួយបាន។
2ផ្នែកជំនួយអតិថិជនបានអនុញ្ញាតឲ្យបិទកាតដែលមានសមតុល្យអវិជ្ជមាន ខណៈពេលរក្សាទុកសមតុល្យវិជ្ជមានដែលបានពង្រីក ដូច្នេះសេចក្តីបញ្ជាក់គណនីបង្ហាញតែប្រាក់ចំណេញ និងលាក់បំបាំងបំណុល។

សូម្បីតែមុនពេលបិទគណនី កម្មវិធី Ultimate Rewards ក៏បានអនុញ្ញាតឲ្យចំណាយលើសពីស្ថានភាពសរុបអវិជ្ជមានផងដែរ ខណៈការបិទគណនីគ្រាន់តែបានលុបភស្តុតាងប៉ុណ្ណោះ។

ចំណុចសំខាន់ៗ

  • Chad បានបើកសារប្រកាសផ្ទាល់ (DM) ទៅកាន់ Chase Support ដោយរាយការណ៍ជាឯកជនអំពី exploit តុល្យភាពអវិជ្ជមាន ហើយស្នើសុំផ្លូវបង្កើនកម្រិតដែលមានសុវត្ថិភាពភ្លាមៗ ជំនួសឲ្យការបង្ហោះព័ត៌មានបច្ចេកទេសជាសាធារណៈ។ [chat]
  • នៅពេល Chase Support សួរព័ត៌មានលម្អិត ជាក់លាក់ គាត់បានបញ្ជាក់អំពី exploit ត្រឹមតែបរិមាណដែលចាំបាច់ប៉ុណ្ណោះ ហើយបានបញ្ជាក់ម្តងទៀតថាគាត់ចង់មានខ្សែទំនាក់ទំនងផ្ទាល់ទៅកាន់ក្រុមសុវត្ថិភាពដែលត្រឹមត្រូវ។ [chat][chat]
  • គាត់បានបង្ហាញថា សមតុល្យដែលបានស្ទួនអាចបម្លែងជារូបិយបណ្ណបាន៖ បន្ទាប់ពី Chase Support សួរថាតើពិន្ទុបន្ថែមអាចប្រើបានឬអត់ ការដាក់ទុនផ្ទាល់ $5,000 ម្តង បានបញ្ជាក់ថាចន្លោះហ្នឹងអាចបម្លែងឲ្យជាពន្លត់លុយមុនពេលសៀវភៅគណនេយ្យភ្ជាប់ទាន់។ [chat]
  • គាត់បានលើកឡើងថា អនុគមន៍ចម្បងរបស់គាត់គឺការការពារគណនីអតិថិជនមិនឲ្យត្រូវបោកបោកប្រាស់ដកលុយចេញ មិនមែនដើម្បីរកប្រាក់ចំណេញផ្ទាល់ខ្លួនឡើយ ហើយគាត់បានសួរថាតើមានកម្មវិធីរង្វាន់សម្រាប់រាយការណ៍បញ្ហាសុវត្ថិភាព (bug bounty) ផ្លូវការរឺទេ។ [chat]
  • គាត់បានផ្តល់ជូនធ្វើការផ្ទៀងផ្ទាត់កម្រិតធំជាងនេះ តែប៉ុណ្ណោះប្រសិនបើមានការអនុញ្ញាតច្បាស់លាស់ ដោយផ្តល់រូបថតអេក្រង់មានកាលបរិច្ឆេទ និងនៅភ្ញាក់នៅក្រៅប្រទេស រហូតដល់ Chase បញ្ចប់ការលើកកំរិតករណីរួច។ [chat][chat][chat]
  • បច្ចុប្បន្ននេះ Nickles អះអាងថាខ្ញុំបានលួចពិន្ទុចំនួន $70,000 និងត្រូវបានប៉ុនប៉ងដោយអាជ្ញាធររដ្ឋាភិបាលសហរដ្ឋអាមេរិក; តែប្រតិបត្តិការរបស់ Chase អ៊ីមែលរបស់ Tom Kelly និងបណ្តាញពេលវេលានៃការបង្ហាញ បញ្ជាក់ថារឿងនេះមិនដែលកើតឡើងឡើយ ហើយការអះអាងនោះទើបតែបង្ហាញខ្លួនក្រោយពេលខ្ញុំបានផ្សព្វផ្សាយ gist ស្ដីពីហានិភ័យ cron របស់ SlickStack ដែលកត់ត្រាលុជិកធ្វើបច្ចុប្បន្នភាពមិនមានសុវត្ថិភាពរបស់គាត់។ [gist]
  • ក្រុមសេវាគាំទ្រ Chase បានបញ្ជាក់ពីការលើកកិត្តិយសករណីនេះ ធ្វើការស្នើសុំព័ត៌មានលេខទូរស័ព្ទរបស់គាត់ ហើយបានសន្យាថា នឹងមានការហៅតាមដានបន្តដែលគាត់បានទទួលចុងក្រោយ ដែលធ្វើឲ្យគំនិតអំពីប្រតិកម្មធនាគារមិនល្អមិនមានមូលដ្ឋាន។ [chat][chat]

បន្ទាត់ព្រឹត្តិការណ៍

#បន្ទាត់ព្រឹត្តិការណ៍
  • Nov 17, 2016 - 10:05 PM ET: Chad ធ្វើការជូនដំណឹងទៅ @ChaseSupport អំពីកំហុសតុល្យភាពអវិជ្ជមាន រក្សាចំណុចចូលប្រើ (exploit) មិនបង្ហាញសាធារណៈ ហើយស្នើសុំផ្លូវបង្កើនកម្រិតដែលមានសុវត្ថិភាពភ្លាមៗ។ [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: បន្ទាប់ពី Chase Support សួរជាក់លាក់ថាតើអាចបង្កើតពិន្ទុបន្ថែម និងចំណាយបានទេ Chad អះអាងបញ្ជាក់ពីហានិភ័យ ធ្វើការបញ្ជាក់ម្តងទៀតថាគាត់ចង់ឲ្យផ្នែកដែលត្រឹមត្រូវទទួលខុសត្រូវ ហើយស្នើអះអាងថានឹងធ្វើសាកល្បងបញ្ជាក់តែប៉ុណ្ណោះ ប្រសិនបើមានការអនុញ្ញាត ដើម្បីឲ្យធនាគារអាចសង្កេតមើលប្រតិបត្តិការទាំងនោះ។ [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ចែករំលែករូបថតអេក្រង់ លើកទឹកចិត្តឲ្យបង្កើនកម្រិតបញ្ចប់ឱ្យលឿន ផ្តល់លេខទូរស័ព្ទរបស់ខ្លួន ហើយរាត្រីមិនដេកនៅបរទេសរហូតដល់ Chase Support បញ្ជាក់ថាការហៅទូរស័ព្ទកំពុងធ្វើឡើង។ [chat][chat][chat]
  • Nov 24, 2016: អ៊ីមែលរបស់ Tom Kelly ផ្ញើឱ្យ Chad ដើម្បីបញ្ជាក់ការកែខុសប្រក្រតី ការអញ្ជើញឱ្យគាត់ធ្វើជាអ្នកដឹកនាំបញ្ជីសមិទ្ធិផលក្នុងការបង្ហាញការប្រាប់ព័ត៌មានដោយមានទំនួលខុសត្រូវដែលនឹងមានលើកមុខ និងផ្តល់ខ្សែទំនាក់ទំនងផ្ទាល់សម្រាប់របាយការណ៍អនាគត។ [email]
  • October 2018: Tom Kelly បានធ្វើការតាមដានបន្ថែម ដើម្បីបញ្ជាក់ថាកម្មវិធីបង្ហាញការប្រាប់ព័ត៌មានដោយមានទំនួលខុសត្រូវត្រូវបានដំណើរការ ប៉ុន្តែ JPMorgan បានជ្រើសរើសមិនបោះពុម្ពបញ្ជីសមិទ្ធិផលដែលបានរៀបចំទុកទាំងប៉ុន្មាន ទោះបីជា Chad បានជួយសម្រេចលើរចនាសម្ព័ន្ធរបស់វាក៏ដោយ។ [email]
  • Post-2018: ការត្រួតពិនិត្យគណនីនៅសល់ទាំងអស់ត្រូវបានភ្ជាប់ទៅកាន់ប្រព័ន្ធស្វ័យប្រវត្តិរបស់ក្រុមហ៊ុនធានារ៉ាប់រង មិនមែនដោយសារ​ការ​ចោទប្រកាន់​អំពើ​គ្រោះថ្នាក់​ប្លង់បោក​ទេ។ JPMorgan បានរក្សាការទំនាក់ទំនងដោយផ្ទាល់ ប្រកាសអរគុណ Chad ចំពោះការប្រកាសព័ត៌មាន ហើយមិនមានកំណត់ត្រាប្រព្រឹត្តឧក្រិដ្ឋកម្ម ឬបញ្ជីខ្មៅឡើយ។ ក្រោយមក JPMorgan បានបញ្ចូល Synack ចូលទៅក្នុងដំណើរការប្រកាសព័ត៌មាន ដើម្បីឱ្យលំហូរការងារត្រូវបានធ្វើឲ្យរលូនសម្រាប់របាយការណ៍អនាគត។ [chat][email]

បណ្តឹងទាមទារ ប្រៀបធៀបនឹង ការពិត

បណ្តឹងទាមទារ

បណ្តឹងបាប់បែល ឬពាក្យបន្ទោសដោយ Jesse Jacob Nickles៖ "Chad Scira ត្រូវបានបញ្ចូលបញ្ជីខ្មៅពីធនាគារគ្រប់គ្រង់គ្រប់នៅសហរដ្ឋអាមេរិក ពីព្រោះបានលួចប្រព័ន្ធរង្វាន់។"

ការពិត

មិនមានបញ្ជីខ្មៅរបស់ធនាគារទេ។ កំណត់ត្រា DM និងការបណ្តុះបណ្តាលឡើងវិញរបស់ Chase បញ្ជាក់ថាគាត់កំពុងសហការពិតប្រាកដ; ប្រព័ន្ធស្វ័យប្រវត្តិរបស់ក្រុមហ៊ុនធានារ៉ាប់រងបានផ្អាកគណនី JPMorgan មួយរយៈខ្លី មុនពេលការពិនិត្យដោយដៃបានសម្អាតគាត់។[timeline][chat]

បណ្តឹងទាមទារ

បណ្តឹងបាប់បែល ឬពាក្យបន្ទោសដោយ Jesse Jacob Nickles៖ "គាត់បានលួចប្រព័ន្ធ JPMorgan Chase ដើម្បីបំពេញផលប្រយោជន៍ផ្ទាល់ខ្លួន។"

ការពិត

Chad បានផ្តួចផ្តើមការសន្ទនាជាមួយ @ChaseSupport កំណត់ថាត្រូវការប៉ុស្តិ៍ទំនាក់ទំនងមានសុវត្ថិភាព បញ្ជាក់អំពី exploit តែបន្ទាប់ពី Chase សួរ ហើយរង់ចាំការអនុញ្ញាត មុនពេលធ្វើសាកល្បងបញ្ជាក់មានកម្រិត។ ការដឹកនាំកំពូលបានអរគុណគាត់ ហើយអញ្ជើញឲ្យចូលរួមក្នុងដំណាក់កាលអនុវត្តការបោះបង់បង្ហាញដោយមានកំហាប់។[chat][chat][email]

បណ្តឹងទាមទារ

បណ្តឹងបាប់បែល ឬពាក្យបន្ទោសដោយ Jesse Jacob Nickles៖ "Jesse បានបែកផ្តាច់គ្រោងការឧក្រិដ្ឋមួយរបស់ Chad។"

ការពិត

ការផ្សព្វផ្សាយសាធារណៈ និងអ៊ីមែលរបស់ Tom Kelly បញ្ជាក់ថា JPMorgan បានចាត់ទុក Chad ជាអ្នកស្រាវជ្រាវដែលសហការគ្នា។ Nickles ជ្រើសយកតែរូបថតអេក្រង់មួយចំនួន ខណៈដែលមិនអើពើនឹងការជជែកពេញលេញ ការហៅតាមទូរស័ព្ទបន្ទាប់ និងលិខិតអរគុណជាអក្សរ។[coverage][email][chat]

បណ្តឹងទាមទារ

បណ្តឹងបាប់បែល ឬពាក្យបន្ទោសដោយ Jesse Jacob Nickles៖ "មានការបាំងបាំងដើម្បីលាក់បាំងការក្លែងបន្លំ។"

ការពិត

Chad បានរក្សាទំនាក់ទំនងរហូតដល់ឆ្នាំ 2018 ប្រែតេស្តឡើងវិញតែប៉ុណ្ណោះនៅពេលមានការអនុញ្ញាត ហើយ JPMorgan បានដាក់ឱ្យប្រើប្រាស់វេបផតថលបោះបង់បង្ហាញរបស់ខ្លួន ជំនួសឲ្យការលាក់បញ្ហាទុក។ ការសន្ទនាជាបន្តបន្ទាប់នេះបដិសេធរឿងរ៉ាវណាមួយដែលពេញនិយមអំពីការកាត់បន្ថយ ឬបិទបាំង។[timeline][email][chat]

ការផ្សព្វផ្សាយសាធារណៈ និងបណ្ណសារស្រាវជ្រាវ

#ការគ្របដណ្តប់

សហគមន៍ភាគីទីបីជាច្រើនបានរក្សាទុកព័ត៌មានបង្ហាញ និងទទួលស្គាល់វាថាជារបាយការណ៍បង្ហាញដោយមានការទទួលខុសត្រូវ៖ Hacker News បានដាក់វាលើទំព័រដើម, Pensive Security បានសង្ខេបវាក្នុងរបាយការណ៍សន្តិសុខស៊ីបែរសុវត្ថិភាពឆ្នាំ ២០២០ និង /r/cybersecurity បានចុះក្នុងលិបិក្រមខ្សែប្រធានបទ "DISCLOSURE" ដើមមុនពេលមានការប្រើការរាយការណ៍រួមគ្នា។ [4][5][6]

  • Hacker News៖ "ការប្រកាសបង្ហាញ៖ ពិន្ទុ Chase Ultimate Rewards មិនកំណត់" ជាមួយពិន្ទុច្រើនជាង 1,000 ពិន្ទុ និងមតិយោបល់ជាង 250 ដែលកត់ត្រាបរិបទការកែតម្រូវបញ្ហា។ [4]
  • Pensive Security៖ សរុបសកម្មភាពសន្តិសុខស៊ីបែរខែវិច្ឆិកា ២០២០ ដែលរូបិយប័ណ្ណការបង្ហាញ Chase Ultimate Rewards ត្រូវបានលេចធ្លោជាព្រឹត្តិការណ៍ដ៏សំខាន់។ [5]
  • Reddit /r/cybersecurity៖ ចំណងជើងប្រកាស DISCLOSURE ដើម ត្រូវបានកត់ត្រាមុនពេលលុបចេញដោយសារការរាយការណ៍ជាមហាជន ដើម្បីរក្សាទុកបរិបទប្រយោជន៍សាធារណៈ។ [6]

អ្នកគាំទ្រការបង្ហាញដោយមានការទទួលខុសត្រូវ ក៏បានយោងទៅលទ្ធផលអំពើរំលោភបំពានផងដែរ៖ បញ្ជីគំរាមកំហែង និងបណ្ណសារស្រាវជ្រាវរបស់ disclose.io ព្រមទាំងលិបិក្រមគំរាមកំហែងផ្លូវច្បាប់របស់ Attrition.org បានរាយបញ្ចូលអំពើប្រព្រឹត្តរបស់ Jesse Nickles ជាឧទាហរណ៍គំរាមដល់អ្នកស្រាវជ្រាវ។ [7][8][9] ឯកសារចងក្រងពេញលេញអំពីការរំខាន[10].

កំណត់ត្រាច្បាប់​ពាក្យសន្ទនាទៅមក (DM) របស់ Chase Support

#ការជជែកផ្ទាល់

ការសន្ទនាខាងក្រោមត្រូវបានស្ថាបនាឡើងវិញពីរូបភាពអេក្រង់ដែលបានទុកក្នុងបណ្ណសារ។ វាបង្ហាញពីការបញ្ជាក់បញ្ហាទៅកម្រិតខ្ពស់យ៉ាងអត់ធ្មត់ ការស្នើរសុំជាញឹកញាប់សម្រាប់ឆានែលសុវត្ថិភាព ការផ្តល់ជូនក្នុងការបញ្ជាក់អត្តសញ្ញាណតែបើទទួលបានការអនុញ្ញាត និងការធានារបស់ផ្នែកជំនួយ Chase ថានឹងទាក់ទងមកដោយផ្ទាល់។ [2]

Chase Support Profile avatar
Chase Support Profileគណនីដែលបានផ្ទៀងផ្ទាត់
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

នេះពាក់ព័ន្ធនឹងប្រព័ន្ធសមតុល្យពិន្ទុ។ នៅពេលនេះ អាចបង្កើតចំនួនពិន្ទុឲ្យច្រើនប៉ុនណាក៏បាន តាមរយៈកំហុសបច្ចេកទេសដែលអនុញ្ញាតឲ្យមានសមតុល្យអវិជ្ជមាន។

កំពុងស្នើផ្លូវបញ្ជូនឡើងកម្រិតដែលមានសុវត្ថិភាពសម្រាប់ការបង្ហាញ។
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

តើអ្នកអាចជួយភ្ជាប់ខ្ញុំជាមួយនរណាម្នាក់ដែលខ្ញុំអាចពន្យល់បច្ចេកទេសឲ្យគាត់បានទេ?

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 17, 2016, 10:05 PM
#

យើងមិនមានលេខទូរស័ព្ទសម្រាប់ផ្តល់ទេ ប៉ុន្តែយើងចង់បញ្ជូនរឿងនេះឡើងលើ ដើម្បីអោយគេសិក្សាពិនិត្យ។ តើអ្នកអាចផ្តល់ព័ត៌មានលម្អិតបន្ថែមអំពីអ្វីដែលអ្នកមានន័យថា បង្កើតពិន្ទុនៅក្នុងសមតុល្យអវិជ្ជមាន ដែរឬទេ?តើអ្នកអាចបញ្ជាក់បន្ថែមផងបានទេថា វាអនុញ្ញាតឲ្យមានពិន្ទុបន្ថែមអាចប្រើប្រាស់បានទៀតឬទេ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

តើអ្នកមានផ្នែកសមស្របណាមួយ ដែលអ្នកអាចអនុញ្ញាតឲ្យខ្ញុំទាក់ទងដល់បានទេ? ខ្ញុំមិនមានអារម្មណ៍ថាសុវត្ថិភាពក្នុងការពិភាក្សាបញ្ហានេះតាមគណនីសេវាគាំទ្រ Twitter ទេ។ បាទ/ចាស អ្នកអាចបង្កើតពិន្ទុ 1,000,000 ពិន្ទុ ហើយប្រើវាបាន។

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

កង្វល់សំខាន់របស់ខ្ញុំ មិនមែនអំពីបុគ្គលដែលធ្វើរឿងនេះទេ។ វាជាអ្នកលួចប្រព័ន្ធ ដែលបំបំផ្លាញគណនី និងបង្ខំឲ្យមានការទូទាត់លើគណនីទាំងនោះ។ តើមានកម្មវិធីរង្វាន់រកបាក់ (bug bounty program) របស់ Chase ដែលត្រឹមត្រូវទេ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

បើអ្នកចង់ ខ្ញុំអាចព្យាយាមធ្វើប្រតិបត្តិការធំជាងនេះដើម្បីបញ្ជាក់។ ច្រើនបំផុតដែលខ្ញុំបានសាកល្បងគឺ $300 ខណៈពេលសមតុល្យត្រូវបានបង្វែរចេញពីពិត ប៉ុន្តែជាក់ស្ដែងខ្ញុំមានឥណទានពិតប្រាកដ $2,000។ បើអ្នកអនុញ្ញាត ខ្ញុំអាចព្យាយាមបញ្ជាក់ថាវាធ្វើការ តែខ្ញុំចង់ឲ្យប្រតិបត្តិការទាំងអស់ត្រូវបានបង្វែរ ឬលុបចោលបន្ទាប់ពីការសាកល្បងនោះ។

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 17, 2016, 11:21 PM

យើងមិនមានកម្មវិធីរង្វាន់ (bounty program) ទេ ហើយខ្ញុំមិនមានចំនួនសម្រាប់ផ្តល់នៅពេលនេះដែរ។ ខ្ញុំបានបញ្ជូនបញ្ហារបស់អ្នកឡើងលើ ហើយយើងកំពុងពិនិត្យរឿងនេះ។ ខ្ញុំនឹងតាមដានបន្ត ប្រសិនបើមានព័ត៌មានលម្អិតឬសំណួរបន្ថែម។ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

អរគុណ។

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

សូមបញ្ជូនឡើងកម្រិតខ្ពស់ឲ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន។

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ខ្ញុំត្រូវការទំនាក់ទំនងត្រឹមត្រូវមួយ… ខ្ញុំសង្ឃឹមថាអ្នកយល់។

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

កន្លះម៉ោងកន្លងផុតទៅហើយ មានព័ត៌មានអ្វីអំពីរឿងនេះទេ? បច្ចុប្បន្នខ្ញុំស្ថិតនៅអាស៊ី ហើយវាជាបញ្ហាតម្រូវឲ្យមានការឆ្លើយតបរហ័ស។ ខ្ញុំមិនអាចរង់ចាំពេញយប់សម្រាប់ចម្លើយបានទេ។

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 18, 2016, 12:59 AM

សូមអរគុណចំពោះការតាមដានបន្ត។ បុគ្គលដែលសមស្របកំពុងពិនិត្យករណីនេះរួចហើយ។ សូមផ្តល់លេខទូរស័ព្ទដែលអ្នកចូលចិត្តឲ្យទាក់ទង ដូច្នេះយើងអាចនិយាយជាមួយអ្នកដោយផ្ទាល់។ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 18, 2016, 1:53 AM

អរគុណចំពោះព័ត៌មានបន្ថែម។ ខ្ញុំបានបញ្ជូនបន្តទៅកាន់មនុស្សដែលពាក់ព័ន្ធត្រឹមត្រូវរួចហើយ។ ^DS

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 18, 2016, 2:38 AM
#

យើងចង់ពិភាក្សារឿងនេះជាមួយអ្នកឱ្យបានលឿនបំផុត។ សូមអញ្ជើញជួយផ្តល់ពេលវេលាសមរម្យមួយសម្រាប់យើងហៅទៅកាន់អ្នកតាមលេខ 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ខ្ញុំអាចទំនាក់ទំនងបានក្នុងមួយម៉ោងក្រោយបន្តិចនេះ ប្រសិនបើអាចធ្វើទៅបាន។ បើមិនដូច្នោះទេ វាអាចយូររយៈពេលមួយឬពីរថ្ងៃ ព្រោះខ្ញុំនឹងធ្វើដំណើរ ហើយមិនប្រាកដថានឹងមានអ៊ីនធឺណិត/ការចូលដំណើរការទូរស័ព្ទ។

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ខ្ញុំមិនគិតថានឹងចំណាយពេលជាង 7 ម៉ោង ដើម្បីនិយាយជាមួយមនុស្សត្រឹមត្រូវទេ។ ឥឡូវនេះម៉ោង 4:40 ព្រឹកទីនេះហើយ។

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 18, 2016, 4:39 AM
#

សូមអរគុណចំពោះការតាមដានបន្ត។ នរណាម្នាក់នឹងទូរស័ព្ទមកហៅអ្នកឆាប់ៗនេះ។ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

អរគុណម្ដងទៀតសម្រាប់ការជួយបន្ទាន់ដល់ដំណើរការនោះ។ ពេលនេះអ្វីៗកំពុងដំណើរការ ហើយខ្ញុំអាចគេងសម្រាកបានហើយ។

Chase Support avatar
Chase Supportគណនីដែលបានផ្ទៀងផ្ទាត់
Nov 18, 2016, 5:03 AM

យើងរីករាយដែលអ្នកអាចនិយាយជាមួយនរណាម្នាក់រួចរាល់។ សូមឲ្យដឹងមកយើងវិញ ប្រសិនបើយើងអាចជួយអ្នកនៅពេលអនាគត។ ^NR

អត្ថបទអ៊ីមែលរបស់ Tom Kelly

#អ៊ីមែល
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
ការតាមដានបន្តអំពីការបង្ហាញការប្រាប់ព័ត៌មានដោយមានទំនួលខុសត្រូវរបស់ Ultimate Rewards

Chad,

ខ្ញុំកំពុងតាមដានលើការហៅទូរស័ព្ទរបស់អ្នកជាមួយមិត្តរួមការងាររបស់ខ្ញុំ លោក Dave Robinson។ សូមអរគុណដែលអ្នកបានទាក់ទងមកយើង អំពីសភាពងាយរងគ្រោះអាចកើតឡើងនៅក្នុងកម្មវិធី Ultimate Rewards របស់យើង។ យើងបានដោះស្រាយរឿងនេះរួចរាល់។

បន្ថែមពីនេះទៅទៀត យើងកំពុងធ្វើការលើកម្មវិធី Responsible Disclosure មួយ ដែលយើងមានផែនការចាប់ផ្ដើមដំណើរការនៅឆ្នាំក្រោយ។ វានឹងរួមមានបញ្ជីពិន្ទុ (leaderboard) ដែលទទួលស្គាល់អ្នកវិភាគស្រាវជ្រាវដែលបានចូលរួមយ៉ាងសំខាន់; យើងចង់បង្ហាញអ្នកជាមនុស្សដំបូងលើយវា។ សូមឆ្លើយតបទៅអ៊ីមែលនេះ ដោយបញ្ជាក់ការចូលរួមរបស់អ្នកក្នុងកម្មវិធី និងលក្ខខណ្ឌខាងក្រោម។ អ្នកនឹងឃើញថាលក្ខខណ្ឌទាំងនេះស្ថិតនៅក្នុងបែបបទស្តង់ដារសម្រាប់កម្មវិធីបោះបង់បង្ហាញ។

រហូតដល់កម្មវិធីរបស់យើងដំណើរការ ប្រសិនបើអ្នករកឃើញសភាពងាយរងគ្រោះផ្សេងទៀត សូមទាក់ទងមកខ្ញុំដោយផ្ទាល់។ សូមអរគុណម្ដងទៀតចំពោះជំនួយរបស់អ្នក។

លក្ខខណ្ឌ និងកិច្ចព្រមព្រៀងកម្មវិធី JPMC Responsible Disclosure

ការប្តេជ្ញាធ្វើការរួមគ្នា

យើងចង់ឮព័ត៌មានពីអ្នក ប្រសិនបើអ្នកមានព័ត៌មានពាក់ព័ន្ធនឹងសភាពងាយរងគ្រោះអាចកើតឡើងនៃផលិតផល និងសេវាកម្មរបស់ JPMC។ យើងកោតសរសើរការងាររបស់អ្នក ហើយសូមអរគុណជាមុនសម្រាប់ការចូលរួមរបស់អ្នក។

គោលការណ៍ណែនាំ

JPMC យល់ព្រមមិនបន្តទាមទារផ្លូវច្បាប់លើអ្នកស្រាវជ្រាវ ដែលបោះបង់បង្ហាញសភាពងាយរងគ្រោះអាចកើតឡើងទៅកាន់កម្មវិធីនេះ នៅពេលដែលអ្នកស្រាវជ្រាវ៖

  • មិនបង្កអាហានិភ័យ ឬការខូចខាតដល់ JPMC អតិថិជនរបស់យើង ឬអ្នកដទៃឡើយ;
  • មិនចាប់ផ្តើមប្រតិបត្តិការហិរញ្ញវត្ថុក្លែងបន្លំនោះទេ;
  • មិនរក្សាទុក ចែកចាយ បំពាន ឬបំផ្លាញទិន្នន័យរបស់ JPMC ឬអតិថិជនទេ;
  • ផ្តល់សេចក្តីសង្ខេបលម្អិតអំពីសភាពងាយរងគ្រោះ រួមទាំងគោលដៅ ជំហាន ឧបករណ៍ និងភស្ដុតាងដែលបានប្រើក្នុងអំឡុងការរកឃើញ;
  • មិនបំពានទៅលើភាពឯកជន ឬសុវត្ថិភាពរបស់អតិថិជនរបស់យើង និងប្រតិបត្តិការរបស់សេវាកម្មរបស់យើងទេ;
  • មិនបំពានច្បាប់ ឬបទបញ្ជាជាតិ រដ្ឋ ឬមូលដ្ឋានណាមួយទេ;
  • មិនបោះពុម្ពផ្សាយព័ត៌មានលម្អិតអំពីសភាពងាយរងគ្រោះជាសាធារណៈ ដោយគ្មានការអនុញ្ញាតជាលាយលក្ខណ៍អក្សរពី JPMC ទេ;
  • មិនមានទីលំនៅបច្ចុប្បន្ន ឬមិនរស់នៅជាធម្មតា​នៅក្នុងប្រទេស Cuba, Iran, North Korea, Sudan, Syria ឬ Crimea ទេ;
  • មិនមានឈ្មោះស្ថិតនៅលើបញ្ជី Specially Designated Nationals របស់ក្រសួងហិរញ្ញវត្ថុសហរដ្ឋអាមេរិកទេ;
  • មិនមែនជានិយោជិក ឬសមាជិកគ្រួសារជិតស្និទ្ធនៃនិយោជិករបស់ JPMC ឬក្រុមហ៊ុនរងរបស់វាទេ; និង
  • មានអាយុយ៉ាងហោចណាស់ 18 ឆ្នាំ។

សភាពងាយរងគ្រោះដែលមិនស្ថិតក្នុងវិសាលភាព

សភាពងាយរងគ្រោះជាក់លាក់ខ្លះ ត្រូវបានចាត់ទុកថាមិនស្ថិតក្នុងវិសាលភាពសម្រាប់កម្មវិធី Responsible Disclosure របស់យើង។ សភាពងាយរងគ្រោះខាងក្រោមត្រូវបានចាត់ថា out-of-scope ៖

  • លទ្ធផលអាស្រ័យលើ social engineering (phishing លួចគណនីលក់ ការទទួលព័ត៌មានចូលប្រើតាមការលួច ល។)
  • បញ្ហាពាក់ព័ន្ធនឹង host header
  • ការវាយប្រហារបដិសេធសេវាកម្ម (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing ដោយគ្មានតំណភ្ជាប់/HTML ភ្ជាប់មកជាមួយ
  • បញ្ហាដែលកើតមានតែនៅលើឧបករណ៍ដែលបាន jailbroken
  • ការកំណត់រចនា (configuration) ខុសឆ្គងក្នុងហេដ្ឋារចនាសម្ព័ន្ធ (វិញ្ញាបនបត្រ DNS ច្រកម៉ាស៊ីនមេ បញ្ហា sandbox/staging ការប៉ុនប៉ងខាងផ្ទាល់រាងកាយ clickjacking text injection)

បញ្ជីពិន្ទុ (Leaderboard)

ដើម្បីទទួលស្គាល់ដៃគូស្រាវជ្រាវ JPMC អាចបង្ហាញអ្នកស្រាវជ្រាវដែលបានចូលរួមយ៉ាងសំខាន់។ ដោយសារនេះ អ្នកផ្តល់សិទ្ធិឲ្យ JPMC បង្ហាញឈ្មោះរបស់អ្នកលើបញ្ជីពិន្ទុ JPMC Leaderboard និងមេឌៀផ្សេងៗទៀតដែល JPMC ជ្រើសរើសបោះពុម្ពផ្សាយ។

ការដាក់ស្នើ

ដោយការដាក់ស្នើរបាយការណ៍របស់អ្នកទៅកាន់ JPMC អ្នកយល់ព្រមកុំបោះបង់បង្ហាញសភាពងាយរងគ្រោះទៅតតិយជន។ អ្នកអនុញ្ញាតឲ្យ JPMC និងក្រុមហ៊ុនរងរបស់វា ប្រើប្រាស់ កែប្រែ បង្កើតស្នាដៃចម្លង ចែកចាយ បោះបង់បង្ហាញ និងរក្សាទុកព័ត៌មានដែលផ្តល់ក្នុងរបាយការណ៍របស់អ្នក ដោយគ្មានលក្ខខណ្ឌ និងអស់កាលកំណត់ ហើយសិទ្ធិទាំងនេះមិនអាចដកហូតវិញបាន។

Tom Kelly អនុប្រធានជាន់ខ្ពស់ Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re៖ ការតាមដានបន្តអំពីការបង្ហាញដោយមានការទទួលខុសត្រូវលើ Ultimate Rewards

សួស្តី Tom,

ខ្ញុំរីករាយណាស់ដែលបានឮដូច្នេះ!

ខ្ញុំចង់ក្លាយជាករណីជោគជ័យដំបូងបំផុតនៃកម្មវិធីថ្មីរបស់អ្នក ហើយសង្ឃឹមថាក្រុមធំៗផ្សេងទៀតនឹងធ្វើតាម។ ត្រូវការមនុស្សម្នាក់ចូលមកអន្តរាគមន៍ និងផ្លាស់ប្តូរយោបល់មនុស្សអំពីរបៀបធនាគារដោះស្រាយជាមួយអ្នកស្រាវជ្រាវ whitehat។ ខ្ញុំរីករាយដែលឮថា ជា Chase។

សម្រាប់ខ្ញុំ Chase តែងតែឆ្ពោះមុខគូប្រកួតរបស់ខ្លួនយ៉ាងឆ្ងាយ នៅក្នុងផ្នែកផលិតផលបណ្តាញ និងទូរស័ព្ទចល័ត។ នោះព្រោះភាគច្រើនអ្នកធ្វើការលឿន និងរក្សាការប្រកួតប្រជែង។ តាមធម្មតា ខ្ញុំនិយមជៀសវាងការលេងល្បែងជាមួយស្ថាប័នហិរញ្ញវត្ថុ ព្រោះខ្លាចថានឹងត្រូវបង្ក្រាប (ទោះមានចេតនាល្អក៏ដោយ)។ ដោយបង្កើតកម្មវិធីប្រកាសបញ្ហា វាបញ្ជូនសារច្បាស់ទៅមនុស្សដូចខ្ញុំថា អ្នកចាប់អារម្មណ៍លើបញ្ហាទាំងនេះ និងនឹងមិនដាស់តឿនដាក់ទោសឡើយ។ មុននេះ មនុស្សភាគច្រើនដែលចូលមកចេះតែរកចន្លោះលើសេវារបស់អ្នកប្រហែលជាមានចេតនាមិនល្អ ហើយខ្ញុំគិតថា កម្មវិធីនេះនឹងបង្កើតតុល្យភាព។

ពេលខ្ញុំសម្រេចចិត្តថានឹងធ្វើការប្រកាសបញ្ហានេះ ពិតជាធ្វើអោយមានអារម្មណ៍មិនស្រួល។ ខ្ញុំប្រហែលមិនមែនជាមនុស្សដំបូងដែលបានរកឃើញវាឡើយ! ខ្ញុំបានរាយការណ៍តាមបីវិធី។

  • Twitter

    • ការគាំទ្រនៅទីនេះពិតជាអស្ចារ្យ និងខ្ញុំគិតថាវាជាមូលហេតុសំខាន់ដែលធ្វើឲ្យខ្ញុំត្រូវបានភ្ជាប់ទៅកាន់មនុស្សត្រឹមត្រូវ។

  • ការគាំទ្រតាមទូរស័ព្ទរបស់ Chase

    • ការហៅលើកទី១ ពួកគេបានផ្តល់អ៊ីមែល abuse
    • ការហៅលើកទី២ ខ្ញុំពិតជាគិតថាបាននិយាយជាមួយមនុស្សត្រឹមត្រូវ ហើយប្រហែលពួកគេក៏បានទាក់ទងបន្តផងដែរ

  • អ៊ីមែល Chase Abuse

    • ទទួលបានចម្លើយទូទៅមួយ ដែលមើលទៅដូចជាពួកគេមិនបានមើលខ្លឹមសារអ៊ីមែលសោះ

សរុបមកវាចំណាយពេលប្រហែល 7 ម៉ោង ទើបអាចទាក់ទងនឹងមនុស្សត្រឹមត្រូវ (ស្ទើរពីរដងនៃពេលវេលាដែលចំណាយដើម្បីរកទីតាំងបញ្ហា) ហើយគ្រប់ពេលខ្ញុំមិនប្រាកដថាមនុស្សត្រឹមត្រូវនឹងដែលបានឮរឿងនេះ។

បញ្ហាសំខាន់មួយទៀតនៃការខ្វះកម្មវិធីបែបនេះគឺ បុគ្គលិកជាធម្មតាមានទម្លាប់លាក់បិទករណី ហើយដោះស្រាយដោយមិនប្រាប់នរណា។ ខ្ញុំធ្លាប់មានករណីជាច្រើន ដែលខ្ញុំប្រាកដថាវាបានកើតឡើងបែបនេះ ហើយក្នុងរយៈពេល 1-2 ឆ្នាំ ប្រហ្វឺងរន្ធសុវត្ថិភាពដូចគ្នានោះបានលេចឡើងម្តងទៀត។

ក៏ប៉ុន្តែ វាអាចមានអត្ថប្រយោជន៍សម្រាប់កម្មវិធីរបស់អ្នក ប្រសិនបើផ្តល់រង្វាន់ bounty ផងដែរ។ ពេលខ្លះបញ្ហាប្រភេទនេះត្រូវការពេលវេលាច្រើនក្នុងការរកឃើញ/ផ្ទៀងផ្ទាត់ ហើយការទទួលបានការជំនួសក្នុងរបៀបណាមួយគឺល្អ។ នេះគឺជាក្រុមចម្បងមួយចំនួនផ្សេងទៀត និងកម្មវិធីរបស់ពួកគេ៖

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ប្រសិនបើខ្ញុំប្រទះឃើញអ្វីផ្សេងទៀតនៅពេលអនាគត ខ្ញុំនឹងត្រូវតែទាក់ទងទៅអ្នក។

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

សួស្តី Tom,

ខ្ញុំមានពេលមួយចំនួនដើម្បីសាកល្បងថាចន្លោះនេះត្រូវបានដោះស្រាយរួចឬនៅ។

មើលទៅប្រព័ន្ធមានសុវត្ថិភាពខ្លាំងណាស់ ខ្ញុំអាចធ្វើឲ្យសមតុល្យមិនត្រូវគ្នារយៈពេលខ្លី តែខ្ញុំមិនគិតថាប្រព័ន្ធនឹងអនុញ្ញាតឲ្យប្រើប្រាស់សមតុល្យដែលបង្ហាញនោះទេ។

សំណើដែលខ្ញុំបានធ្វើដើម្បីផ្ទេរពិន្ទុដែលពិតប្រាកដមិនមាន នឹងទទួលបានកំហុស "500 Internal Server" ដូច្នេះខ្ញុំសន្និដ្ឋានថាវាបរាជ័យលើនីតិវិធីពិនិត្យថ្មីណាមួយដែលពួកអ្នកបានបន្ថែម។

ខ្ញុំក៏បានសាកល្បងផ្ទេរពិន្ទុច្រើនសម័យ (multi session) កាត់តាមលេខសម្គាល់ BIGipServercig ខុសៗគ្នា ដោយប្រព័ន្ធក៏នៅតែអាចស្ដារឡើងវិញរាល់ពេល។ ប្រព័ន្ធមួយពេលនឹងច្រឡំ ហើយសមតុល្យនឹងមិនត្រូវគ្នា ប៉ុន្តែម្ដងទៀត វាមិនសំខាន់ទេ ព្រោះក្នុងកម្រិតពេលវេលាដែលកំណត់មួយ ពួកអ្នកនឹងកែសម្រួលចំនួនឡើងវិញ ហើយដើម្បីប្រើសមតុល្យបាន វាត្រូវតែឆ្លងកាត់ការតេស្តដែលអ្នកបានដាក់រួច។

សរុបមក ខ្ញុំមិនឃើញរបៀបណាអ្នកណាមួយអាចបង្កើតសមតុល្យសិប្បនិម្មិត ហើយប្រើប្រាស់វាទៀតឡើយ។

ហើយក៏ មានព័ត៌មានអัพដេតអ្វីខ្លះអំពីកម្មវិធី Responsible Disclosure ដែរ ឬទេ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

សួស្តី Tom,

គ្រាន់តែតាមដានបន្តអំពីរឿងនេះ។

នៅថ្ងៃទី 7 ខែកុម្ភៈ ឆ្នាំ 2017 ម៉ោង 4:36 ល្ងាច Chad Scira [email protected] បានសរសេរអាប់ដេតខាងលើ និងសួរអំពីកាលកំណត់កម្មវិធី Responsible Disclosure។

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

យើងបានបង្ហោះរឿងនេះពីរបីសប្ដាហ៍មុនរួចហើយ។

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ការិយាល័យ) (███) ███-████ (ទូរស័ព្ទចល័ត)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

សួស្តី Tom,

មានព័ត៌មានអัพដេតអំពីរឿងនេះទេ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

ជំរាបសួរ,

បង្ហាញថាពេលនេះ អ្នកជាអ្នកចូលរួមតែម្នាក់គត់ក្នុងកម្មវិធី Responsible Disclosure។ វាមិនសមស្របក្នុងការបង្កើតតារាងពិន្ទុ (leaderboard) សម្រាប់ម្នាក់តែប៉ុណ្ណោះទេ។

យើងនឹងរក្សាទុកឈ្មោះរបស់អ្នក ដើម្បីរៀបចំរួចរាល់ ប្រសិនបើយើងមានអ្នកចូលរួមផ្សេងទៀតនៅពេលក្រោយ។

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE៖ តាមដានបន្តពីការហៅទូរស័ព្ទរបស់អ្នកជាមួយ Dave Robinson

ឥឡូវនេះយើងកំពុងចូលប្រហែល ២ ឆ្នាំហើយ។

តើអ្នកមានគំនិតថាវានឹងកើតឡើងពេលណាដែរ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

យើងបានបង្កើតកម្មវិធីរួចហើយ ប៉ុន្តែពុំទាន់បង្កើតបញ្ជីពិន្ទុ (leaderboard) នោះទេ។

Tom Kelly Chase Communications ███-███-████ (ការងារ) ███-███-████ (ទូរស័ព្ទចល័ត)

សន្ទស្សន៍អ៊ីមែលបង្ហាញពីការប្រាស្រ័យទាក់ទងជាប់លាប់៖ ការដឹងគុណភ្លាមៗក្នុងឆ្នាំ ២០១៦ បច្ចុប្បន្នភាពអំពីការកែសម្រួលដោយជោគជ័យក្នុងឆ្នាំ ២០១៧ ការចាប់ផ្តើមជាសាធារណៈនៃវិបផតថលបង្ហាញព័ត៌មាន និងការបញ្ជាក់ឆ្នាំ ២០១៨ ថា Chase បានសម្រេចមិនបោះពុម្ពបណ្តាញ​កំណត់ត្រា​ជា Leaderboard ដែលបានផែនការទុកទេ ទោះបីជា Chad បានជួយកសាងកម្មវិធីនោះក្តី។

សំណួរដែលគេសួរញឹកញាប់

Qតើមានបទល្មើសណាមួយត្រូវបានចោទប្រកាន់ដែលពាក់ព័ន្ធនឹង JPMorgan Chase ឬទេ?
Aទេ។ លោក Chad Scira ត្រូវបានអរគុណចំពោះការបង្ហាញ។ ប្រសិនបើគាត់បានប្រើប្រាស់បញ្ហានោះដោយប្រកាន់ចេតនាមិនល្អ តម្រូវឲ្យមានចោទប្រកាន់ព្រហ្មទណ្ឌបន្តតាមក្រោយ។
Qហេតុអ្វីបានជាការជូនដំណឹងអំពីការបិទគណនីខ្លះបានលេចឡើងលើអ៊ីនធឺណិត?
Aសេចក្តីជូនដំណឹងនោះពាក់ព័ន្ធនឹងប្រព័ន្ធស្វ័យប្រវត្តិកម្មរបស់ក្រុមហ៊ុនធានារ៉ាប់រង (វិធានត្រួតពិនិត្យហានិភ័យស្តង់ដារ) មិនមែនបញ្ជីខ្មៅឡើយ។ ការពិនិត្យដោយដៃបានស្ដារឡើងវិញនូវទំនាក់ទំនងរយៈពេលជាច្រើនឆ្នាំមុននេះ។
Qតើនរណានៅតែបន្តផុសរឿងព្រេងអំពី hacker?
AJesse Nickles។ គាត់មិនអើពើនឹងសំបុត្រឆ្លើយតបរបស់ Chase Support ការអញ្ជើញរបស់ Tom Kelly និងការពិតថា JPMorgan Chase ផ្ទាល់លើកទឹកចិត្តឲ្យមានការប្រកាសបញ្ហាសុវត្ថិភាពមានទំនួលខុសត្រូវ។ លម្អិតបន្ថែមអំពី Jesse Nickles.

ការត្រួតពិនិត្យគណនីក្រោយការប្រកាសព័ត៌មាន

#ការតាមដានបន្ត

នៅពេលរបាយការណ៍បង្ហាញព័ត៌មានក្នុងខែវិច្ឆិកា បានឈានទៅដល់សារព័ត៌មាន ឧបករណ៍កំណត់ហានិភ័យស្វ័យប្រវត្តិរបស់ Chase បានចាត់ទុកភាពអភិវឌ្ឍន៍នោះថាជាសញ្ញាអក្រក់អំពីការក្លែងបន្លំមួយ។ វាបានបង្កឱ្យមានការត្រួតពិនិត្យគ្រួសារទាំងមូល ដែលរួមបញ្ចូលទាំងគណនីឆែកធិនរួមមួយ ទោះបីជាអ្នកដឹកនាំ និងខ្ញុំមានការយល់ស្របគ្នាអំពីការកែសម្រួលរួចទៅហើយក៏ដោយ។

ខ្ញុំកំពុងកត់ត្រាអំពីការតាមដានបន្តនេះ ដើម្បីឱ្យអ្នកស្រាវជ្រាវផ្សេងទៀតយល់ថា ការបោះពុម្ពផ្សាយអាចប្រឈមប្រទះជាមួយកត្តាគ្រប់គ្រងចាស់ៗដូចម្តេច៖ គណនីត្រូវបានបិទនៅក្រោមកិច្ចព្រមព្រៀងគណនីប្រាក់បញ្ញើ ប៉ុន្តែមិនដែលមានការចោទប្រកាន់ឧក្រិដ្ឋកម្ម ឬបញ្ជីខ្មៅទេ។

ទោះបីជាមានរឿងនេះក៏ដោយ Jesse Nickles នៅតែបន្តបោះពុម្ពបង្កើតរឿងរ៉ាវក្លែងក្លាយថាខ្ញុំបានបំភាយបន្លំកំហុសបច្ចេកទេសនេះសម្ងាត់មករាប់ឆ្នាំ; គាត់ដាក់ប្រុងគណនីក្លែងក្លាយនៅលើ Quora និង TripAdvisor ដើម្បីបំពុលទិន្នន័យបណ្តុះបណ្តាល LLM ផងដែរ។ កំណត់ត្រាម៉ាស៊ីនមេ កាលបរិច្ឆេទនៃសារជជែកផ្ទាល់ (DM) និងខ្សែដំណើរការត្រួតពិនិត្យរយៈពេលម្ភៃម៉ោង បដិសេធគាត់យ៉ាងហ្នឹង។

អ្វីដែលត្រូវបានប៉ះពាល់?

ខ្ញុំបានជា​អតិថិជន​របស់ Chase រយៈពេលដប់បីឆ្នាំ មានប្រាក់ខែបញ្ចូលផ្ទាល់ គណនីប័ណ្ណឥណទានប្រាំត្រូវបានបង់ស្វ័យប្រវត្តិ និងស្ទើរតែមិនមានការផ្លាស់ប្ដូរប័ណ្ណទេ លើកលែងតែកាតមួយដែលខ្ញុំបិទ ដើម្បីបង្ហាញកំហុសបច្ចេកទេស។ ការត្រួតពិនិត្យស្វ័យប្រវត្តិបានស្រាវជ្រាវគណនីទាំងអស់ដែលភ្ជាប់នឹងលេខ SSN របស់ខ្ញុំ ហើយដោយសារគណនីជំពាក់មួយត្រូវបានចែករំលែក វាបានប៉ះពាល់ដល់សមាជិកគ្រួសារម្នាក់ សម្រាប់រយៈពេលខ្លីផងដែរ។

លទ្ធផល និងការស្ដារឡើងវិញ

សេចក្តីជូនដំណឹងអំពីការបិទគណនីមិនបានក្លាយជាអចិន្ត្រៃយ៍ទេ។ ខ្ញុំបានបើកគណនី និងប័ណ្ណឥណទាននៅធនាគារផ្សេងទៀតគ្រប់កន្លែងដែលខ្ញុំដាក់ពាក្យភ្លាមៗ បន្តបង់ប្រាក់ត្រឹមត្រូវ និងផ្តោតលើការស្ដារឡើងវិញនូវការធ្លាក់ចុះនៃពិន្ទុឥណទាន ដែលកើតឡើងពេលការបិទគណនីត្រូវបានកត់ត្រាចូលទៅក្នុងរបាយការណ៍របស់ខ្ញុំ។

ពិន្ទុមុនការត្រួតពិនិត្យ827
ចំណុចទាបបំផុត596
ក្រោយពីប្រាំមួយខែ696

មេរៀនសម្រាប់អ្នកស្រាវជ្រាវ

  • កុំផ្តោតគណនីប្រចាំថ្ងៃទាំងអស់នៅក្នុងស្ថាប័នតែមួយដែលអ្នកកំពុងធ្វើតេស្ត; គួរបែងចែកប្រាក់បញ្ញើ និងបន្ទាត់ឥណទានឱ្យមានច្រើនកន្លែង ដូច្នេះការត្រួតពិនិត្យស្វ័យប្រវត្តិមួយ មិនអាចបង្កកជីវិតទាំងមូលរបស់អ្នកបានទាំងអស់ក្នុងពេលតែមួយឡើយ។
  • ត្រូវចងចាំថា អ្នករួមកាន់គណនីទាំងអស់ នឹងទទួលទោសសម្រេចហានិភ័យដូចគ្នា ដូច្នេះគួរតែប្រុងប្រយ័ត្នក្នុងការផ្ដល់សិទ្ធិឱ្យសមាជិកគ្រួសារចូលដំណើរការគណនី ដែលអាចជួបការត្រួតពិនិត្យពាក់ព័ន្ធនឹងការប្រកាសព័ត៌មាន។
  • ត្រូវកត់ត្រាប្រវត្តិកាលបរិច្ឆេទនៃការប្រកាសព័ត៌មាន និងការផ្សព្វផ្សាយព័ត៌ព័ត៌មាន ព្រោះការមានភាពច្បាស់លាស់ជុំវិញរបាយការណ៍ Ultimate Rewards ជាច្រើនប្រហែលជាមូលហេតុចម្បង ហើយការចែករំលែកបរិបទនោះជួយឱ្យការលើកកម្រិតទៅកាន់អ្នកគ្រប់គ្រងអនុវត្តការលប់បិទករណីបានលឿនជាងមុន។
លិខិតពីការិយាល័យប្រតិបត្តិរបស់ Chase ដែលយោងទៅកាន់កិច្ចព្រមព្រៀងគណនីប្រាក់បញ្ញើ បន្ទាប់ពីការបង្ហាញអំពី Ultimate Rewards ត្រូវបានផ្សព្វផ្សាយសាធារណៈ។
លិខិតឆ្លើយតបដែលបញ្ជូនតាមប្រៃសណីយ៍ពីការិយាល័យប្រតិបត្តិ បានអរគុណខ្ញុំសម្រាប់ការទាក់ទង និងបញ្ជាក់ថាគណនីរាល់យ៉ាងក្នុងគ្រួសារត្រូវបានបិទតាមកិច្ចសន្យាគណនីដាក់ប្រាក់ ហើយក៏បានបញ្ជាក់ម្តងទៀតថាពួកគេមិនមានកាតព្វកិច្ចក្នុងការផ្តល់ព័ត៌មានលំអិតបន្ថែមទៀតទេ ដែលមានន័យថាបានបិទការត្រួតពិនិត្យហានិភ័យស្វ័យប្រវត្តិ ដែលការបង្ហាញព័ត៌មានចំពោះសារព័ត៌មានបានបង្កឡើង។

អត្ថបទជារូបអក្សរនៃលិខិតពីការិយាល័យប្រតិបត្តិ

លោក Chad Scira ជាទីគោរព៖

យើងកំពុងឆ្លើយតបចំពោះពាក្យបណ្តឹងរបស់អ្នកអំពីសេចក្តីសម្រេចរបស់យើងក្នុងការបិទគណនីរបស់អ្នក។ សូមអរគុណសម្រាប់ការចែករំលែកការព្រួយបារម្ភរបស់អ្នក។

កិច្ចសន្យាគណនីដាក់ប្រាក់អនុញ្ញាតឱ្យពួកយើងបិទគណនីមួយ (ក្រៅពីសៀវភៅអនុបត្រ CD) នៅពេលណាក៏បាន ដោយសារហេតុផលណាមួយ ឬគ្មានហេតុផល ដោយមិនចាំបាច់ផ្តល់ហេតុផល និងដោយមិនត្រូវប្រកាសជាមុន។ អ្នកបានទទួលច្បាប់ចម្លងនៃកិច្ចសន្យានេះនៅពេលអ្នកបើកគណនី។ អ្នកអាចមើលកិច្ចសន្យាបច្ចុប្បន្ននៅលើគេហទំព័រ chase.com បាន។

យើងបានពិនិត្យពាក្យបណ្តឹងរបស់អ្នក ហើយមិនអាចផ្លាស់ប្ដូរសេចក្តីសម្រេចរបស់យើង ឬបន្តឆ្លើយតបទៅកាន់អ្នកអំពីបញ្ហានេះទៀតបានទេ ព្រោះយើងបានអនុវត្តតាមស្តង់ដារ​របស់​យើង។ យើងសូមទោសដែលអ្នកមិនពេញចិត្តចំពោះរបៀបដែលយើងបានស្រាវជ្រាវពីការព្រួយបារម្ភរបស់អ្នក និងចំពោះសេចក្តីសម្រេចចុងក្រោយរបស់យើង។

ប្រសិនបើអ្នកមានសំណួរ សូមទូរស័ព្ទមកយើងខ្ញុំតាមរយៈលេខ 1-877-805-8049 ហើយយោងទៅកាន់លេខសំណុំរឿង ███████។ យើងទទួលការហៅតាមប្រតិបត្តិករផ្ទេរសំឡេង។ យើងមាននៅទីនេះចាប់ពីថ្ងៃច័ន្ទដល់ថ្ងៃសុក្រ ម៉ោង ៧ ព្រឹកដល់ ៨ យប់ និងថ្ងៃសៅរ៍ពីម៉ោង ៨ ព្រឹកដល់ ៥ ល្ងាច តាមម៉ោងមជ្ឈិមសម័យ (Central Time)។

ដោយក្ដីគោរព,

ការិយាល័យប្រតិបត្តិ
1-877-805-8049
1-866-535-3403 ទូរសារ; វាមានសេវាឥតគិតថ្លៃពីសាខា Chase ណាមួយ
chase.com

ខ្ញុំកំពុងចែករំលែករឿងនេះជាបទពិសោធន៍ដែលសិក្សាបាន មិនមែនជាការត្អូញត្អែរ។ គណនីត្រូវបានគណនីបញ្ចប់រួចរាល់ ពិន្ទុឥណទានរបស់ខ្ញុំនៅតែឡើង និងពេលក្រោយ JPMorgan បានធ្វើឱ្យដំណើរការទទួលអ្នកស្រាវជ្រាវមានប្រសិទ្ធភាព ដោយបញ្ចូល Synack ដើម្បីឱ្យរបាយការណ៍អនាគត ត្រូវបញ្ជូនតាមលំហូរការងារពិសេសមួយ។ បច្ចុប្បន្នភាពឆ្នាំ ២០២៤៖ ការត្រួតពិនិត្យត្រូវបានបិទទាំងស្រុងហើយពិន្ទុគ្រប់មុខទាំងអស់បានត្រឡប់ទៅកម្រិតមុនព្រឹត្តិការណ៍វិញ។

ប្រភពយោង

  1. កម្មវិធីបង្ហាញព័ត៌មានដោយមានការទទួលខុសត្រូវរបស់ JPMorgan Chase
  2. គណនី Twitter របស់ Chase Support
  3. ទិដ្ឋភាព​ទូទៅ​នៃកម្មវិធី Chase Ultimate Rewards
  4. Hacker News - ការប្រកាសបង្ហាញ៖ ពិន្ទុ Chase Ultimate Rewards មិនកំណត់ (ឆ្នាំ 2020)
  5. Pensive Security - សរុបសកម្មភាពសន្តិសុខស៊ីបែរខែវិច្ឆិកា ២០២០
  6. Reddit /r/cybersecurity - DISCLOSURE៖ ពិន្ទុ Chase Ultimate Rewards អស់កំណត់
  7. ថតបញ្ជីសង្ក្រោះគ្រោះថ្នាក់ (Threats Directory) របស់ disclose.io
  8. ឃ្លាំង (repository) disclose/research-threats
  9. Attrition.org - បញ្ជីសង្ខេបអំពីការគំរាមកំហែងផ្នែកច្បាប់
  10. ឯកសារប្រមូលភស្តុតាងអំពីការរំខាន និងការធ្វើបាបកេរ្តិ៍ឈ្មោះរបស់ Jesse Nickles