តើមានពេលណាមួយដែល Chad Scira ត្រូវបានដាក់ក្នុងបញ្ជីខ្មៅរបស់ធនាគារសហរដ្ឋអាមេរិក ដោយសារការហាក់កែ (hacking)?

ទេ។ ការពិនិត្យគណនីដែលចាប់ផ្តើមដោយអ្នកធានានៅ JPMorgan Chase ត្រូវបានដោះស្រាយរួចមួយរយឆ្នាំមកហើយ។ ធនាគារបានអរគុណដល់ Chad សម្រាប់ការស្វែងរកចំហៀងក្នុងកម្មវិធីរង្វាន់ និងអញ្ជើញគាត់ជួយចាប់ផ្តើមតារាងដឹកនាំសម្រាប់ការបញ្ចេញព័ត៌មានដោយទំនួលខុសត្រូវ។

តើ Chad Scira បានវាយប្រហារលើ JPMorgan Chase ដើម្បីទទួលផលប្រយោជន៍ផ្ទាល់ខ្លួនឬទេ?

គាត់បានអនុវត្តបទប្បញ្ញតិ white-hat: ជូនដំណឹងទៅ Chase Support, ស្នើសុំឆានែលមានសុវត្ថិភាព, និងសម្របសម្រួលការជួសជុលជាមួយ Tom Kelly និង Dave Robinson។ គាត់បានបដិសេធមិនបង្កើតផលប្រយោជន៍ពីបញ្ហានេះរហូតដល់ទទួលបានការអនុញ្ញាតច្បាស់លាស់។

តើនរណាកំពុងផ្សព្វផ្សាយការអះអាងថា "អ្នកហែកដែលត្រូវបានដាក់ក្នុងបញ្ជីខ្មៅ"?

ខ្សែដំណឹងនេះត្រូវបានលើកកម្ពស់ដោយ Jesse Nickles ដែលយុទ្ធនាការរំខានរបស់គាត់មិនបានចាត់ទុកចម្លងសំលេងគាំទ្រ Chase អ៊ីមែលរបស់ Tom Kelly និងភាពខ្វះនៃការសម្រេចហើយមិនមានបទល្មើសណាមួយ។

Chad Scira "បានដាក់ឈ្មោះនៅលើបញ្ជីខ្មៅដោយធនាគារដោយសារការបំពានប្រព័ន្ធ"

ទំព័រនេះកត់ត្រាព្រឹត្តិការណ៍នៅពីក្រោយនៃខ្សែដំណឹងរបស់ Jesse Nickles ដែលថា Chad Scira ត្រូវបាន "ដាក់ក្នុងបញ្ជីខ្មៅពីធនាគារអាមេរិកដោយសារការហេក"។ វាពន្យល់ពីរបៀបដែលចំណុចបញ្ហានៃ Ultimate Rewards ត្រូវបានបង្ហាញដោយមានការទទួលខុសត្រូវ មូលហេតុដែល JPMorgan Chase បានអរគុណចំពោះ Chad សម្រាប់របាយការណ៍ និងរបៀបដែលការផ្អាកគណនីបណ្តោះអាសន្នគឺជាការរៀបចំរដ្ឋបាលប៉ុណ្ណោះ។ Jesse Nickles បានបន្តរៀបចំឯកសារចាស់ៗឡើងវិញដើម្បីសម្ងាត់ថាមានចេតនា និងឧក្រិដ្ឋកម្ម។ ភស្តុតាងបង្ហាញពីអ្វីដែលផ្ទុយពេញលេញ៖ ការរាយការណ៍ប្រភេទ white-hat និងការសហការជាមួយដឹកនាំ JPMorgan។

His latest escalation is a quote on SlickStack.io claiming Chad Scira "ក៏ត្រូវបានស៊ើបអង្កេតដោយអាជ្ញាធរច្បាប់អាមេរិកសម្រាប់ការបំពានកម្មវិធីរង្វាន់កាតឥណទានរបស់ធនាគារ Chase ដែលគាត់បានលួចពិន្ទុដំណើរមិនសុចរិតចំនួន $70,000។" ការបង្ហោះដើម្បីបំពាននោះត្រូវបានបង្ហោះតែបន្ទាប់ពី Chad បានផ្សព្វផ្សាយភស្តុតាងអំពីបញ្ហាសន្តិសុខរបស់ SlickStack ដែល Jesse បដិសេធកែសម្រួល; មិនមានពិន្ទុណាមួយដែលត្រូវបានលួចឡើយ និងមិនមានអង្គការណាមួយដែលបានទាក់ទងទៅកាន់ Chad អំពីការបញ្ជាក់នេះទេ។ មើលหลักฐาน cron របស់ SlickStack ដែលគាត់កំពុងប្រឆាំង។.

រង្វង់ទាំងមូលនៃការរកឃើញ ការបង្ហាញ និងការផ្ទៀងផ្ទាត់បានកើតឡើងក្នុងរយៈពេល 20 ម៉ោង៖ ប្រហែល 25 សំណើ HTTP គ្របដណ្តប់ការបង្កើតឡើងវិញ និងការដើរតាម DM នៅថ្ងៃទី 17 វិច្ឆិកា 2016 ហើយការធ្វើតេស្តជួសជុលនៅខែកុម្ភៈ 2017 បានប្រើសំណើបន្ថែម 8 សំណើដើម្បីបញ្ជាក់ការកែប្រែ។ មិនមានការកម្ចីយូរយើយឬការប្រើប្រាស់ខុសទេស្តយូរទេ; សកម្មភាពរាល់យ៉ាងត្រូវបានកត់ត្រា មានម៉ោងកំណត់ និងបានចែករំលែកជាមួយ JPMorgan Chase ក្នុងពេលជាក់ស្តែង។

Tom Kelly បានផ្ទៀងផ្ទាត់ថា Chad Scira គឺជាបុគ្គលតែម្នាក់នៅទូទាំងពិភពលោកដែលបានបង្ហាញបញ្ហាដោយទទួលខុសត្រូវទៅកាន់ JPMorgan Chase រវាងថ្ងៃទី 17 វិច្ឆិកា 2016 និង 22 កញ្ញា 2017។ កម្មវិធី Responsible Disclosure ត្រូវបានបង្កើតឡើងជាចម្លើយផ្ទាល់ដើម្បីឆ្លើយតបទៅនឹងរបាយការណ៍របស់ Chad ហើយគាត់បានមានតួនាទីសំខាន់ក្នុងការរៀបចំវា។

ការបង្ហាញដោយរូបភាព នៃកំហុសការផ្ទេរដងទ្វេរ

#ការបង្ហាញតាមរូបភាព

ដើម្បីបង្ហាញពីរបៀបដែលកំហុសបានបង្កឱ្យសមតុល្យពរណ៍ក្លាយទៅជាអវិជ្ជមាន និងវិជ្ជមានយ៉ាងធំ ទិដ្ឋភាពខាងក្រោមបង្ហាញឡើងវិញនូវតុល្យដ៏ពិតនៃល័ក្ខការផ្ទេរពីរដង។ សូមមើលពីរបៀបដែលគណនីណាមួយដែលមានសមតុល្យវិជ្ជមានក្លាយទៅជាអ្នកផ្ញើ ធ្វើការផ្ទេរដូចគ្នាពីរដង ហើយចប់ដោយក្លាយជាអវិជ្ជមានជ្រាលជ្រៅ ខណៈដែលវិញមួយបង្កើនឡើងពីរដង។ បន្ទាប់ពី 20 ជុំ កំណត់បញ្ជីខូចនោះបានលុបប័ណ្ណអវិជ្ជមានក្នុងទោល—បង្ហាញមូលហេតុដែលឧបករណ៍ប្រើប្រាស់នោះតម្រូវឲ្យមានការលើកកម្ពស់ដោយប្រញាប់។

វដ្ត 1/20

កាត A → កាត B+243,810 ពិន្ទុ

កាត A

243,810

កាត B

ការផ្ទេរជាលើកពីរដង

ការផ្ទេរ 1ការផ្ទេរ 2243,810 ពិន្ទុ រៀងរាល់

1លក្ខខ័ណ្ឌប្រណាំង (race condition) បានចម្លងការផ្ទេរមុនពេលសៀវភៅគណនីសមស្របវិញ ហើយធ្វើឲ្យអ្នកផ្ញើតែម្នាក់អាចបង្ហាញតុល្យភាពពីជួរវាងចំនួនវិជ្ជមានខ្ពស់ និងអវិជ្ជមានខ្លាំង។

2ការគាំទ្រអនុញ្ញាតឱ្យបិទកាតដែលមានតុល្យភាពអវិជ្ជមាន ខណៈដែលរក្សាទុកតុល្យភាពវិជ្ជមានដែលបានពង្រីក ដូច្នេះ របាយការណ៍បង្ហាញតែចំណេញ ហើយលាក់បំណុល។

មុនពេលបិទគណនី នេះ Ultimate Rewards បានអនុញ្ញាតឱ្យប្រើប្រាស់លើសចំនួនសរុបអវិជ្ជមាន; ការបិទគណនីគ្រាន់តែលុបភស្តុតាងចោល។

ចំណុចសំខាន់

Chad បានបើក DM ទៅ Chase Support ដោយរាយការណ៍ផ្ទាល់ពីការប្រើប្រាស់កំហុសសមតុល្យអវិជ្ជមាន ហើយភ្លាមៗស្នើសុំផ្លូវលើកដាក់ដែលមានសុវត្ថិភាព ជំនួសការបង្ហោះបច្ចេកទេសជាសាធារណៈ។ ^[chat]
ពេលសេវាជំនួយរបស់ Chase សូមឱ្យបានច្បាស់លាស់ គាត់បានបញ្ជាក់ពីការបំពាន ត្រឹមកម្រិតដែលចាំបាច់ប៉ុណ្ណោះ ហើយបានទាក់ទាញឡើងម្តងទៀតថាគាត់ចង់បានបន្ទាត់ផ្ទាល់ទៅកាន់ក្រុមសន្តិសុខដែលសមរម្យ។ ^[chat]^[chat]
គាត់បង្ហាញថាបង់សមតុល្យដែលបានចម្លងអាចបម្លែងទៅជាសាច់ប្រាក់បាន៖ បន្ទាប់ពី Chase Support សួរថាពិន្ទុនៅលើកនេះអាចប្រើបានឬទេ ការដាក់ប្រាក់ចូលដោយផ្ទាល់ $5,000 បានបញ្ជាក់ថាកំហុសនេះបានបំលែងទៅជាផ្ទៃសាច់ប្រាក់មុនពេលសៀវភៅកត់ត្រានឹងទាន់សមតុល្យ។ ^[chat]
គាត់បានលើកឡើងថាអាទិភាពរបស់គាត់គឺការការពារការផ្ទុកគណនីអតិថិជនដែលត្រូវបានបំពានមិនឲ្យត្រូវជាយកសោច, មិនមែនការបង្កើតប្រាក់ចំណេញផ្ទាល់ខ្លួន, ហើយគាត់បានសួរថាតើមានកម្មវិធី bug bounty ផ្លូវការទេ។ ^[chat]
គាត់បានស្នើធ្វើការផ្ទៀងផ្ទាត់ធំពីមួយទៀតតែដោយមានការអនុញ្ញាតច្បាស់លាស់ផ្ទាល់, ផ្តល់រូបថតអេក្រង់ដែលមានម៉ោងកំណត់, ហើយបាននៅតែត្រជាក់ចិត្តនៅក្រៅប្រទេសរហូតដល់ Chase បញ្ចប់ដំណើរការឡើងសម្ពាធ។ ^[chat]^[chat]^[chat]
Nickles ឥឡូវនេះអះអាងថា Chad Scira បានលួចពិន្ទុចំនួន $70,000 និងបានប្រឈមមុខនឹងអាជ្ញាធរដ្ឋាភិបាលអាមេរិក; កំណត់ត្រា Chase, អ៊ីមែលរបស់ Tom Kelly និងពេលវេលានៃការបញ្ចេញព័ត៌មាន បញ្ជាក់ថា វាមិនដែលកើតឡើងឡើយ ហើយការអះអាងនេះបានលេចឡើងតែបន្ទាប់ពី Chad បានផ្សព្វផ្សាយ SlickStack cron-risk gist ដែលឯកភាពពីលក្ខខណ្ឌអាប់ដេតដែលមិនមានសុវត្ថិភាពរបស់ Jesse។ ^[gist]
Chase Support បានបញ្ជាក់ការឡើងកម្រិតကរណី, ស្នើអោយបញ្ចូលលេខទូរសព្ទរបស់គាត់, និងសន្យាអំពីការហៅតាមក្រោយដែលគាត់បានទទួលផ្ដាច់, ដែលបានបដិសេធគំនិតថាធនាគារបានឆ្លើយតបទ្រឺតទឺក។ ^[chat]^[chat]

កាលវិភាគ

#កាលវិភាគ

វិច្ឆិកា 17, 2016 - 10:05 PM ET: Chad បានជូនដំណឹងទៅ @ChaseSupport អំពីកំហុសសមតុល្យអវិជ្ជមាន, រក្សាការប្រើប្រាស់កំហុសជាឯកជន, ហើយភ្លាមៗស្នើសុំពីបណ្តាញលើកដាក់ដែលមានសុវត្ថិភាព។ ^[chat]
វិច្ឆិកា 17, 2016 - 11:13-11:17 PM ET: បន្ទាប់ពីក្រុមគាំទ្រ Chase Support សួរយ៉ាងច្បាស់ថាតើអាចបង្កើតនិងប្រើពិន្ទុបន្ថែមបានទេ, Chad បានបញ្ជាក់ពីហានិភ័យ, ម្តងទៀតថាគាត់ចង់បានផ្នែកដែលសមរម្យ, ហើយស្នើថានឹងធ្វើការផ្ទៀងផ្ទាត់តែដោយមានការអនុញ្ញាត ដើម្បីឲ្យធនាគារអាចតាមដានប្រតិបត្តិការទាំងនោះ។ ^[chat]^[chat]^[chat]
វិច្ឆិកា 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ចែករូបថតអេក្រង់, ជម្រាបស្នើឲ្យលើកដាក់យ៉ាងឆាប់រហ័ស, ផ្តល់លេខទូរស័ព្ទរបស់គាត់, និងរក្សាគ្រាសនៅបរទេសរហូតដល់ Chase Support បញ្ជាក់ថាការហៅនឹងត្រូវធ្វើ។ ^[chat]^[chat]^[chat]
វិច្ឆិកា 24, 2016: Tom Kelly បានផ្ញើអ៊ីមែលទៅ Chad ដើម្បីបញ្ជាក់ការជួសជុល អញ្ជើញគាត់ឱ្យជាកំពូលឈ្មួញនៅលើបញ្ជីកំពូល Responsible Disclosure ដែលនឹងចេញនាពេលដ៏ខាងមុខ និងផ្តល់លេខទំនាក់ទំនងផ្ទាល់សម្រាប់របាយការណ៍ពីពេលក្រោយ។ ^[email]
តុលា 2018: Tom Kelly បានតាមដានឡើងវិញដើម្បីបញ្ជាក់ថាកម្មវិធី Responsible Disclosure ត្រូវបានចាប់ផ្តើម ប៉ុន្តែ JPMorgan បានសម្រេចចុកចុងក្រោយមិនបោះពុម្ពបញ្ជីកំពូលដែលបានគ្រោងទោះបីជា Chad បានជួយរៀបចំនោះក៏ដោយ។ ^[email]
បន្ទាប់ពីឆ្នាំ 2018: ការត្រួតពិនិត្យគណនីសល់ណាដែលមាន ត្រូវបានភ្ជាប់ទៅនឹងប្រព័ន្ធស្វ័យប្រវត្តិរបស់ក្រុមធានារ៉ាប់រង មិនមែនដោយសារការបំពានប្រព័ន្ធ។ JPMorgan បានរក្សាការទំនាក់ទំនងផ្ទាល់, អរគុណចំពោះការបង្ហាញពី Chad, ហើយមិនមានកំណត់ត្រាសាហាវឬការដាក់ឈ្មោះនៅលើបញ្ជីខ្មៅ។ ប៉ុន្តុក្រោយមក JPMorgan បានបញ្ចូល Synack ទៅក្នុងដំណើរការបង្ហាញ ដើម្បីសម្រួលលំហូរការងារសម្រាប់របាយការណ៍នៅថ្ងៃក្រោយ។ ^[chat]^[email]

អះអាង ទល់នឹង ការពិត

អះអាង

អះអាងបំពានដោយ Jesse Jacob Nickles: "Chad Scira ត្រូវបានដាក់ក្នុងបញ្ជីខ្មៅពីធនាគារសហរដ្ឋអាមេរិកទាំងអស់ ដោយសារបំពានប្រព័ន្ធរង្វាន់។"

ការពិត

មិនមានបញ្ជីខ្មៅធនាគារណាមួយឡើយ។ កំណត់ត្រា DM និងការកើនលើករបស់ Chase បញ្ជាក់ថាគាត់កំពុងសហការណ៍; ប្រព័ន្ធស្វ័យប្រវត្តន៍របស់អ្នកធានាបានផ្អាកគណនី JPMorgan មួយខ្ទបទល់ខ្លី មុនពេលការពិនិត្យដោយដៃបានសម្រេចថាគាត់គ្មានបទល្មើស។^[timeline]^[chat]

អះអាង

អះអាងបំពានដោយ Jesse Jacob Nickles: "គាត់បានវាយប្រហារពីលើ JPMorgan Chase ដើម្បីទទួលផលប្រយោជន៍ផ្ទាល់ខ្លួន។"

ការពិត

Chad បានចាប់ផ្តើមការសន្ទនាជាមួយ @ChaseSupport, លើកឡើងថាត្រូវការឆានែលដែលមានសុវត្ថិភាព, បានបញ្ជាក់ពីការប្រើប្រាស់កំហុសតែបន្ទាប់ពី Chase សួរ, ហើយរង់ចាំការអនុញ្ញាតមុននឹងធ្វើការផ្ទៀងផ្ទាត់កម្រិតកំណត់។ អ្នកដឹកនាំជាន់ខ្ពស់បានអរគុណគាត់ និងអញ្ជើញឲ្យចូលរួមក្នុងការដាក់អនុវត្តន៍ការបង្ហាញដោយទទួលខុសត្រូវ។^[chat]^[chat]^[email]

អះអាង

អះអាងបំពានដោយ Jesse Jacob Nickles: "Jesse បានបង្ហាញផែនការឧក្រិដ្ឋដែលធ្វើដោយ Chad។"

ការពិត

ការគ្របដណ្តប់ដោយសាធារណៈ និងអ៊ីមែលរបស់ Tom Kelly បញ្ជាក់ថា JPMorgan បានចាត់ទុក Chad ជាអ្នកស្រាវជ្រាវដែលបានសហការណ៍។ Nickles ជ្រើសយកតែរូបភាពអេក្រង់ខ្លះៗ ខណៈដែលមិនដាក់សំខាន់ចំពោះការជជែកពេញលេញ ការហៅបន្ត និងសារអរគុណដែលបានសរសេរ។^[coverage]^[email]^[chat]

អះអាង

អះអាងបំពានដោយ Jesse Jacob Nickles: "មានការស្រោចស្រង់ដើម្បីលាក់អំពើបន្លំ។"

ការពិត

ចាដបានរក្សាការទំនាក់ទំនងរហូតដល់ឆ្នាំ 2018 និងបានធ្វើតេស្តឡើងវិញតែដោយមានការអនុញ្ញាតតែប៉ុណ្ណោះ ហើយ JPMorgan បានដាក់ចេញបណ្តាញប្រកាសចំពោះបញ្ហានេះ ជំនួសការចាក់លាក់បញ្ហា។ ការពិភាក្សាបន្តនេះបដិសេធរាល់រឿងរ៉ាវពីការស្រោចស្រង់។^[timeline]^[email]^[chat]

ការគ្របដណ្តប់ដោយសាធារណៈ និងឯកសារស្រាវជ្រាវ

#ការគ្របដណ្ដប់

សហគមន៍ភាគីទីបីជាច្រើនបានរក្សាទុកការបញ្ចេញព័ត៌មាននេះ និងទទួលស្គាល់ថាវាជារបាយការណ៍ដោយទទួលខុសត្រូវ៖ Hacker News បានដាក់វាលើទំព័រមុខ, Pensive Security សង្ខេបវាក្នុងសេចក្តីសង្ខេបឆ្នាំ 2020, និង /r/cybersecurity បានបង្កត់ត្រាខ្សែប្រធានបទ "DISCLOSURE" ដើម មុនការត្រូវបានរាយស្លាកជាក្រុម។ ^[4]^[5]^[6]

Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" ជាមួយពិន្ទុ 1,000+ និងមតិ 250+ ដែលកត់ត្រាបរិបទការជួសជុល។ ^[4]
Pensive Security: សេចក្តីសង្ខេបសន្តិសុខវិទ្យា ខែវិច្ឆិកា ២០២០ ដែលរំលេចការបញ្ចេញព័ត៌មានពី Chase Ultimate Rewards ជារឿងដ៏សំខាន់។ ^[5]
Reddit /r/cybersecurity: ចំណងជើងប្រកាស DISCLOSURE ដើមបានចាប់យកមុនការដកចេញដោយសារការ រាយការណ៍ជាច្រើន ដើម្បីរក្សាបរិបទប្រយោជន៍សាធារណៈ។ ^[6]

អ្នកគាំទ្រការបញ្ចេញព័ត៌មានដោយទទួលខុសត្រូវ ក៏បានយោងដល់ផលវិបាកនៃការរអិលរំខាន៖ បញ្ជីគំរាមកំហענג និងឃ្លាំងស្រាវជ្រាវរបស់ disclose.io និងតារាងគំរាមផ្លូវច្បាប់របស់ Attrition.org បានរាយឈ្មោះអាកប្បកិរិយារបស់ Jesse Nickles ជាគំរូដើម្បីប្រុងប្រយ័ត្នសម្រាប់អ្នកស្រាវជ្រាវ។ ^[7]^[8]^[9] ថតឯកសារពេញលេញអំពីការរំលោភ^[10].

សេចក្តីថតសារ DM របស់ Chase Support

#ជជែក

សន្ទនាខាងក្រោមត្រូវបានស្តារឡើងវិញពីរូបថតអេក្រង់ដែលបានរក្សាទុក។ វាបង្ហាញពីការកើនឡើងយ៉ាងអត់ធ្មត់ ការស្នើសុំច្រើនដងសម្រាប់ឆានែលមានសុវត្ថិភាព ការផ្តល់ជូនក្នុងការផ្ទៀងផ្ទាត់តែដោយមានការអនុញ្ញាត និងក្រុមគាំទ្រ Chase ដែលសន្យានឹងទាក់ទងដោយផ្ទាល់។ ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

នេះទាក់ទងនឹងប្រព័ន្ធសមតុល្យពិន្ទុ។ សព្វថ្ងៃនេះអាចបង្កើតចំនួនណាមួយបានតាមរយៈកំហុសមួយដែលអនុញ្ញាតឱ្យមានសមតុល្យអវិជ្ជមាន។

សូមស្នើផ្លូវលើកជាបន្ទាន់ដែលមានសុវត្ថិភាពសម្រាប់ការបញ្ចេញព័ត៌មាន។

Chad Scira

Nov 17, 2016, 10:05 PM

តើអ្នកអាចធ្វើការភ្ជាប់ខ្ញុំជាមួយនរណាម្នាក់ដែលខ្ញុំអាចពន្យល់ពីបច្ចេកទេសឲ្យបានទេ?

Chase Support

Nov 17, 2016, 10:05 PM

យើងមិនមានលេខទូរស័ព្ទដើម្បីផ្តល់ទេ ប៉ុន្តាយើងចង់លើកកម្ពស់រឿងនេះដើម្បីអោយមានការពិនិត្យ។ តើអ្នកអាចផ្តល់ព័ត៌មានលម្អិតបន្ថែមអំពីអ្វីដែលអ្នកមានន័យដោយ 'បង្កើតពិន្ទុក្នុងសមតុល្យអវិជ្ជមាន' ទេ?តើអ្នកអាចបញ្ជាក់ផងទេថា វាអនុញ្ញាតឲ្យមានពិន្ទុបន្ថែមដែលអាចប្រើបាន? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

តើមានដេប៉ាតឺមិនដែលសមរម្យដែលអ្នកអាចឲ្យខ្ញុំទាក់ទងបានទេ? ខ្ញុំមិនមានអារម្មណ៍ស្រួលចិត្តក្នុងការពិភាក្សាអំពីនេះតាមគណនីសUPPORT Twitter ទេ។ ចាស អ្នកអាចបង្កើត 1,000,000 ពិន្ទុ ហើយប្រើវា។

Chad Scira

Nov 17, 2016, 11:15 PM

បញ្ហាសំខាន់របស់ខ្ញុំមិនមែនជាមនុស្សបុគ្គលដែលធ្វើវិធានការនេះទេ។ វាជាអ្នកធ្វើហេគ (hackers) ដែលបំពានលើគណនី និងបណ្តាលឱ្យមានការទូទាត់ប្រាក់ពីពួកគេ។ តើមានកម្មវិធី bug bounty ផ្លូវការរបស់ Chase ឬទេ?

Chad Scira

Nov 17, 2016, 11:17 PM

ប្រសិនបើអ្នកចង់ ខ្ញុំអាចព្យាយាមធ្វើប្រតិបត្តិការទំហំធំទៀតដើម្បីបញ្ជាក់។ អ្វីដែលខ្ញុំបានសាកច្រើនបំផុតគឺ $300 ខណៈដែលសមតុល្យបង្ហាញខុស ប៉ុន្តែជាការពិតខ្ញុំមានឥណទានពិត $2,000។ ប្រសិនបើអ្នកផ្ដល់ការអនុញ្ញាត ខ្ញុំអាចព្យាយាមបញ្ជាក់ថាវាធ្វើការ តែខ្ញុំចង់ឲ្យប្រតិបត្តិការទាំងអស់ត្រូវបានដកវិញបន្ទាប់ពីការសាកល្បងនោះ។

Chase Support

Nov 17, 2016, 11:21 PM

យើងមិនមានកម្មវិធីផ្តល់រង្វាន់ (bounty) ទេ និងខ្ញុំមិនមានចំនួនណាមួយដើម្បីផ្តល់នៅពេលនេះ។ ខ្ញុំបានលើកកម្ពស់បញ្ហារបស់អ្នក ហើយយើងកំពុងពិនិត្យវា។ ខ្ញុំនឹងតាមដានវិញ ប្រសិនបើខ្ញុំមានព័ត៌មានបន្ថែមឬសំណួរ។ ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

អរគុណ។

Chad Scira

Nov 17, 2016, 11:39 PM

សូមលើកជាបន្ទាន់។

Chad Scira

Nov 17, 2016, 11:51 PM

ខ្ញុំពិតជាត្រូវការអ្នកទំនាក់ទំនងដែលសមរម្យ... ខ្ញុំសង្ឃឹមថាអ្នកយល់។

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

បានលើសមួយម៉ោងហើយ តើមានព័ត៌មានអ្វីទាក់ទងអំពីនេះទេ? ខ្ញុំកំពុងនៅអាស៊ី ហើយរឿងនេះទាក់ទងនឹងពេលវេលា។ ខ្ញុំមិនអាចរង់ចាំពេញយប់សម្រាប់ការឆ្លើយតបបានទេ។

Chase Support

Nov 18, 2016, 12:59 AM

អរគុណចំពោះការតាមដាន។ យើងមានបុគ្គលសមស្របកំពុងពិនិត្យរឿងនេះ។ សូមផ្តល់លេខទំនាក់ទំនងដែលអ្នកចូលចិត្ត ដើម្បីយើងអាចទាក់ទងអ្នកដោយផ្ទាល់។ ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

អរគុណចំពោះព័ត៌មានបន្ថែម។ ខ្ញុំបានផ្ញើរនេះទៅដល់បុគ្គលដែលសមស្របរួចហើយ។ ^DS

Chase Support

Nov 18, 2016, 2:38 AM

យើងចង់ពិភាក្សាអំពីរឿងនេះ ជាមួយអ្នកឲ្យបានឆាប់តាមដែលជាទឹកចិត្ដ។ តើអ្នកអាចផ្ដល់ពេលវេលាសមស្របសម្រាប់យើងក្នុងការហៅអ្នកទៅកាន់លេខ 1-███-███-████ មកបានទេ? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

ខ្ញុំនឹងទំនេរសម្រាប់មួយម៉ោងខាងមុខនេះ ប្រសិនបើអាចបាន។ ប្រសិនបើមិនបាន វាអាចចាំមួយឬពីរថ្ងៃ ពីព្រោះខ្ញុំនឹងធ្វើដំណើរ ហើយខ្ញុំមិនប្រាកដថានឹងមានការចូលប្រើអ៊ីនធឺណិត/ទូរស័ព្ទ។

Chad Scira

Nov 18, 2016, 4:32 AM

ខ្ញុំមិនគិតថាវានឹងចំណាយលើស 7 ម៉ោងដើម្បីនិយាយជាមួយបុគ្គលដែលត្រឹមត្រូវទេ។ ឥឡូវនេះម៉ោង 4:40 ព្រឹកនៅទីនេះ។

Chase Support

Nov 18, 2016, 4:39 AM

អរគុណចំពោះការតាមដាន។ នរណាម្នាក់នឹងទូរស័ព្ទមកអ្នកនៅឆាប់ៗនេះ។ ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

អរគុណម្ដងទៀតចំពោះការឈប់ឲ្យរហ័សនោះ។ អ្វីៗកំពុងដំណើរការ ហើយខ្ញុំអាចដេកបានឥឡូវនេះ។

Chase Support

Nov 18, 2016, 5:03 AM

យើងរីករាយដែលអ្នកអាចនិយាយជាមួយនរណាម្នាក់បាន។ សូមជម្រាបឲ្យយើងដឹង ប្រសិនបើយើងអាចជួយបាននៅអនាគត។ ^NR

ខ្លឹមសារដកស្រង់ពីអ៊ីមែលរបស់ Tom Kelly

#អ៊ីមែល

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

ការតាមដានការបង្ហាញព័ត៌មានទំនួលខុសត្រូវ របស់ Ultimate Rewards

Chad,

ខ្ញុំកំពុងតាមដានការហៅទូរសព្ទរបស់អ្នកជាមួយមិត្តរួមការងាររបស់ខ្ញុំ Dave Robinson។ សូមអរគុណដែលបានទាក់ទងមកយើងអំពីប្រហែលជាចំណុចខ្សោយនៅក្នុងកម្មវិធី Ultimate Rewards របស់យើង។ យើងបានដោះស្រាយរួចហើយ។

此外, យើងក៏កំពុងធ្វើការរៀបចំកម្មវិធីប្រកាសចេញយ៉ាងទទួលខុសត្រូវ (Responsible Disclosure program) ដែលយើងមានគម្រោងដើម្បីចាប់ផ្តើមនៅឆ្នាំក្រោយ។ វានឹងរួមបញ្ចូលបញ្ជីឈ្មោះ (leaderboard) ដែលស្គាល់អ្នកស្រាវជ្រាវដែលបានធ្វើការរួមចំណែកយ៉ាងចម្បង; យើងចង់បង្ហាញឲ្យអ្នកជាអ្នកទីមួយនៅលើបញ្ជីនោះ។ សូមឆ្លើយតបទៅអ៊ីមែលនេះ ដើម្បីបញ្ជាក់ការចូលរួមរបស់អ្នកក្នុងកម្មវិធី និងលក្ខខណ្ឌខាងក្រោម។ អ្នកនឹងឃើញថាលក្ខខណ្ឌទាំងឡាយគឺធម្មតាសម្រាប់កម្មវិធីប្រកាស។

រហូតដល់កម្មវិធីរបស់យើងចាប់ផ្តើម ប្រសិនបើអ្នករកឃើញចំណុចខ្សោយផ្សេងទៀត សូមទាក់ទងខ្ញុំដោយផ្ទាល់។ សូមអរគុណម្ដងទៀតចំពោះការជួយរបស់អ្នក។

គោលការណ៍ និងលក្ខខណ្ឌនៃកម្មវិធី JPMC Responsible Disclosure

សេចក្តីសន្យាដើម្បីធ្វើការសហការ

យើងចង់ស្តាប់ពីអ្នក ប្រសិនបើអ្នកមានព័ត៌មានដែលទាក់ទងនឹងចំណុចខ្សោយសុវត្ថិភាពទាក់ទងនឹងផលិតផល និងសេវាកម្មរបស់ JPMC។ យើងគោរពការងាររបស់អ្នក និងសូមអរគុណសម្រាប់ការចំណែកចិត្តរបស់អ្នកជាមុន។

ទស្សនៈណែនាំ

JPMC យល់ព្រមមិនធ្វើការទាមទារការទណ្ឌកម្មចំពោះអ្នកស្រាវជ្រាវដែលបានប្រកាសពីចំណុចខ្សោយសក្តានុពលទៅកម្មវិធីនេះ ក្នុងករណីដែលអ្នកស្រាវជ្រាវ៖

មិនបង្កឱ្យមានការខូចខាតចំពោះ JPMC, អតិថិជនរបស់យើង ឬអ្នកដទៃ;
មិនចាប់ផ្តើមប្រតិបត្ដិការហិរញ្ញវត្ថុជាជំនួញក្លែងក្លាយ;
មិនរក្សា ផ្ដល់ចែក ឬបង្កការបាត់បង់ ឬសន្និដ្ឋានព័ត៌មានរបស់ JPMC ឬអតិថិជន;
ផ្ដល់សេចក្តីសង្ខេបលម្អិតអំពីចំណុចខ្សោយ រួមទាំងគោលដៅ ជំហាន ឧបករណ៍ និងឯកសារដែលបានប្រើនៅពេលរកឃើញ;
មិនរំខានឬស្មើការភាពឯកជន ឬសុវត្ថិភាពរបស់អតិថិជន និងប្រតិបត្ដិការនៃសេវាកម្មរបស់យើង;
មិនរំលោភច្បាប់ជាតិ រដ្ឋ ឬខណ្ឌណាមួយ;
មិនបង្ហោះព័ត៌មានលម្អិតអំពីចំណុចខ្សោយក្នុងសាធារណៈដោយគ្មានការអនុញ្ញាតជាលាយលក្ខណ៍ពី JPMC;
មិនស្ថិតនៅ ឬមិនជាអ្នករស់នៅធម្មតានៅក្នុង ប្រទេសកុបា (Cuba), អ៊ីរ៉ាន (Iran), កូរ៉េខាងជើង (North Korea), ស៊ូដាន (Sudan), ស៊ីរីយ៉ា (Syria) ឬ Crimea;
មិនមាននៅលើបញ្ជីអ្នកដែលបានកំណត់ជាពិសេសរបស់ក្រសួងសេដ្ឋកិច្ចអាមេរិក (U.S. Department of the Treasury's Specially Designated Nationals List);
មិនមែនជាបុគ្គលិក ឬសមាជិកគ្រួសារយឺតៗរបស់បុគ្គលិករបស់ JPMC ឬក្រុមហ៊ុនដើមរបស់វា; និង
អាយុយ៉ាងហោចណាស់ 18 ឆ្នាំ។

ចំណុចខ្សោយក្រៅសភាពលំដាប់

ចំណុចខ្សោយខ្លះត្រូវបានគេចាត់ទុកថា គឺក្រៅដែនសម្រាប់កម្មវិធីប្រកាសរបស់យើង។ ចំណុចខ្សោយក្រៅដែនរួមមាន៖

លទ្ធផលដែលអាស្រ័យលើការចែកចាយដោយវិធីសង្គម (social engineering) (phishing, លេខសម្គាល់ដែលបាត់បង់, ល។)
បញ្ហា Host header
ការបដិសេធសេវាកម្ម (denial of service)
Self-XSS
CSRF នៅពេលចូល/ចេញ
ការជាប់ច្របាច់មាតិកា (content spoofing) ដោយគ្មានតំណភ្ជាប់/HTML ដែលភ្ជាប់
បញ្ហានៅលើឧបករណ៍ដែលបាន jailbreak រួចប៉ុណ្ណោះ
ការកំណត់បរាជ័យរចនាសម្ព័ន្ធគ្រឹះដូចជា (វិញ្ញាបនបត្រ, DNS, ច្រកម៉ាស៊ីនមេ, បញ្ហាសែនដាប់/ស្ទេជิง, ជំនះសកម្មភាពផ្ទាល់, clickjacking, ការបញ្ចូលអក្សរ)

បញ្ជីឈ្មោះ (Leaderboard)

ដើម្បីទទួលស្គាល់ដៃគូស្រាវជ្រាវ JPMC អាចបង្ហាញឈ្មោះអ្នកស្រាវជ្រាវដែលបានធ្វើការរួមចំណែកយ៉ាងសំខាន់។ អ្នកដោយរបៀបនេះផ្តល់សិទ្ធិដល់ JPMC ដើម្បីបង្ហាញឈ្មោះរបស់អ្នកលើបញ្ជីឈ្មោះ JPMC និងមធ្យោបាយផ្សេងទៀតដែល JPMC អាចជ្រើសចេញផ្សព្វផ្សាយ។

ការដាក់ស្នើ

ដោយដាក់សេចក្តីរាយការណ៍របស់អ្នកទៅ JPMC អ្នកយល់ព្រមមិនបញ្ជូនចំណុចខ្សោយទៅភាគីទីបី។ អ្នកផ្ដល់សិទ្ធិបញ្ជាជារៀងរហូតដល់ JPMC និងក្រុមហ៊ុនអនុសាខារបស់ខ្លួន ក្នុងការប្រើប្រាស់ កែប្រែ បង្កើតស្នាដៃដើមទុកចេញ ចែកចាយ បង្ហាញ និងរក្សាទុកព័ត៌មានដែលបានផ្តល់នៅក្នុងរបាយការណ៍របស់អ្នក ដូចនេះសិទ្ធិទាំងនេះមិនអាចត្រូវបានដកថយ។

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: តាមដានការបញ្ចេញព័ត៌មានដោយទទួលខុសត្រូវ សម្រាប់ Ultimate Rewards

សួស្ដី Tom,

ខ្ញុំរីករាយណាស់ដែលបានឮពួកនេះ!

ខ្ញុំចង់ក្លាយជាអ្នកជោគជ័យដំបូងនៃកម្មវិធីថ្មីរបស់អ្នក ហើយខ្ញុំសង្ឃឹមថាអ្នកល្បីធំៗផ្សេងទៀតនឹងអនុវត្តតាម។ មាននរណាមួយត្រូវបានចូលរួមដើម្បីបម្លែងទស្សនៈរបស់មនុស្សអំពីរបៀបធនាគារដោះស្រាយជាមួយអ្នកស្រាវជ្រាវ whitehat។ ខ្ញុំរីករាយដែលបានឮថាវាជា Chase។

សម្រាប់ខ្ញុំ សូមបញ្ជាក់ថា Chase តែងតែមានភាពខ្នាតខ្លាំងជាងគូប្រកួតរបស់ខ្លួនក្នុងទិសដៅនៃផលិតផលវេប និងមូបៃល។ នេះមានមូលហេតុចម្បងដោយសារអ្នកឆ្លៀតលឿន និងនៅរួចពាក់ព័ន្ធជាមួយការប្រកួតប្រជែង។ ជាធម្មតាខ្ញុំស្នាក់ចဝាកពីការស្ទាប់លេងជាមួយស្ថាប័នហិរញ្ញវត្ថុដោយសារភាពភ័យនៃការត្រូវបានចាប់ខ្លួនដោយពួកគេ (ចិត្ដល្អទាំងអស់)។ ដោយបង្កើតកម្មវិធី disclosure វាផ្ញើសារéoថាច្បាស់ដល់អ្នកដូចខ្ញុំថា យើងចាប់អារម្មណ៍ក្នុងការស្តាប់ពីបញ្ហានិងមិននឹងយកវិស័យតបស្នង។ ជាមុនសព្វថ្ងៃភាគច្រើននៃមនុស្សដែលពិនិត្យសេវាកម្មរបស់អ្នកប្រហែលជាមានចេតនាអាក្រក់ ហើយខ្ញុំគិតថានេះនឹងធ្វើឲ្យលំហអាជីពមានភាពស្មើគ្នាឡើង។

នៅពេលដែលខ្ញុំសម្រេចចិត្តថានឹងធ្វើការបិទបញ្ចេញ ខ្ញុំមានអារម្មណ៍មិនស្រួលចិត្តណាស់។ ខ្ញុំប្រហែលជាមិនមែនជានរណាម្នាក់ដំបូងដែលបានជួបលើរឿងនេះទេ! ខ្ញុំបានរាយការណ៍តាមវិធីបីវិធី:

Twitter
- ការគាំទ្រនៅទីនេះពិតជាអស្ចារ្យ ហើយខ្ញុំគិតថាវាជារឿងមូលដ្ឋានដែលបានធ្វើឲ្យខ្ញុំត្រូវបានទាក់ទងជាមួយបុគ្គលត្រឹមត្រូវ។
ការគាំទ្រផ្ទាល់តាមទូរស័ព្ទ Chase
- ការហៅដំបូងពួកគេផ្តល់អ៊ីមែល abuse
- ការហៅលើសោធ្វើឡើងនោះខ្ញុំគិតថាខ្ញុំបាននិយាយជាមួយបុគ្គលត្រឹមត្រូវ ហើយពួកគេចាស់អាចបានទាក់ទងដែរ
អ៊ីមែល Abuse របស់ Chase
- បានទទួលចម្លើយទូទៅ មើលទៅដូចជាពួកគេមិនបានពិនិត្យមើលមាតិកាអ៊ីមែលនោះទេ

នេះបានចំណាយពេលប្រហែល 7 ម៉ោងដើម្បីទាក់ទងបាននរណាមួយ (ពេលស្មើនឹងពេលដែលខ្ញុំចំណាយដើម្បីកំណត់កំហុស), ហើយនៅពេលនោះខ្ញុំមិនប្រាកដថាមនុស្សត្រឹមត្រូវនោះនឹងធានាថាអ្វីៗនឹងត្រូវបានដឹង។

បញ្ហាសំខាន់ផ្សេងទៀតនៃការមិនមានកម្មវិធីដូចនេះគឺបុគ្គលិកមាននិន្នាការដើម្បីដាក់ព្រឹត្តិការណ៍ចុះក្រោមរទេះហើយជួសជុលវា ដោយមិនប្រាប់នរណា។ ខ្ញុំមានហេតុការណ៍ជាច្រើនដែលខ្ញុំគិតថាវាបានកើតឡើងដូច្នេះ ហើយក្នុងរយៈពេល 1-2 ឆ្នាំរវាងពេលដដែល ប្រាំរន្ធសុវត្ថិភាពដដែលបានបរាជ័យឡើងវិញ។

បន្ថែមទៀត វាអាចប្រយោជន៍សម្រាប់កម្មវិធីរបស់អ្នកមួយចំនួនក្នុងការផ្តល់រង្វាន់ (bounty)។ ខណៈពេលដែលបញ្ហាប្រភេទនេះម៉ោងច្រើនត្រូវការពេលវេលាច្រើនក្នុងការបញ្ជាក់/ស្វែងរក ហើយវាល្អប្រសើរដែលត្រូវបានផ្តល់តម្លៃក្នុងវិធីណាមួយ។ ខាងក្រោមជាតំណរជាចម្បងខ្លះៗ និងកម្មវិធីរបស់ពួកគេ៖

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

បើខ្ញុំឆ្លងរួចទៅរកអ្វីមួយនៅពេលអនាគត ខ្ញុំនឹងប្រាប់អ្នកជូនដំណឹង។

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

សួស្ដី Tom,

ខ្ញុំមានពេលតេស្តមើលថាតើកំហុសត្រូវបានដោះស្រាយរួចហើយទេ។

វាដាក់បានខ្លាំងណាស់ ខ្ញុំអាចធ្វើឲ្យសមតុល្យរួមបែកឆ្ងាយបានបន្តិច ប៉ុន្តិខ្ញុំគិតថាប្រព័ន្ធនឹងមិនអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់សមតុល្យដែលបង្ហាញឡើយទេ។

សំណើដែលខ្ញុំធ្វើដើម្បីផ្ទេរពិន្ទុដែលមិនពិតជាមាននោះបានទទួល "500 Internal Server" error។ ដូច្នេះខ្ញុំសន្មត់ថាវាគិតថាកំពុងបរាជ័យនៅក្នុងមួយក្នុងចំនួនត្រួតពិនិត្យថ្មីៗដែលអ្នកបានបន្ថែម។

ខ្ញុំបានសាកល្បងផ្ទេរពហុសម័យពី session ផ្សេងៗលើ BIGipServercig ids ផង ហើយប្រព័ន្ធនៅតែស្ដារឡើងបានរៀងរាល់ពេល។ ប្រព័ន្ធក្នុងខណៈពេលមួយនឹងច្របូកច្របល់ ហើយសមតុល្យនឹងបែកបន្តិច ប៉ុន្តែម្តងទៀតវាមិនសំខាន់ទេព្រោះនៅក្នុងរយៈពេលមួយអ្នកបានធ្វើឲ្យលេខទាំងនោះស្របគ្នាឡើងវិញ ហើយដើម្បីប្រើសមតុល្យពិតប្រាកដវាត្រូវឆ្លងការធ្វើតេស្តដែលអ្នកបានដាក់។

ដូច្នេះសង្ខេបគឺ ខ្ញុំមិនឃើញពីរបៀបដែលនរណាម្នាក់អាចបង្កើតសមតុល្យក្លែងក្លាយ ហើយប្រើប្រាស់វាទៀតបានទេ។

ហើយ តើមានព័ត៌មានថ្មីៗអំពីកម្មវិធី Responsible Disclosure ទេ?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

សួស្ដី Tom,

តាមដានអំពីរឿងនេះ។

នៅថ្ងៃទី Feb 7, 2017 វេលា 4:36 PM, Chad Scira [email protected] បានសរសេរការអាប់ដេតខាងលើ និងសួរអំពីកាលកំណត់កម្មវិធី Responsible Disclosure។

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

យើងបានបង្ហោះរឿងនេះពីរបីសប្តាហ៍មុន។

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

សួស្ដី Tom,

មានព័ត៌មានបន្ទាន់អ្វីខ្លះវិញអំពីករណីនេះ?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

សួស្តី,

ប្រសិនបើបញ្ហាគឺ អ្នកគឺជាអ្នករួមចំណែកតែម្នាក់តែប៉ុណ្ណោះចំពោះកម្មវិធី "Responsible Disclosure" ដល់បច្ចុប្បន្ន។ វាមិនមានហេតុផលក្នុងការបង្កើតតារាងជើងឯកសម្រាប់មនុស្សម្នាក់ទេ។

យើងនឹងរក្សាឈ្មោះរបស់អ្នកដូច្នេះយើងរួចរាល់ប្រសិនបើយើងទទួលបានអ្នករួមចំណែកផ្សេងទៀត។

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: តាមដានអំពីការហៅទូរស័ព្ទរបស់អ្នកជាមួយ Dave Robinson

យើងកំពុងជិតដល់ ២ ឆ្នាំឥឡូវនេះ។

តើអ្នកមានគំនិតថាវានឹងកើតឡើងពេលណាជាក់លាក់ទេ?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

យើងបានបង្កើតកម្មវិធីហើយ ប៉ុន្តែយើងមិនទាន់បង្កើតបញ្ជីឈ្មោះ (leaderboard) ទេ។

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ខ្សែអ៊ីមែលបង្ហាញការពិភាក្សាបន្តៗ៖ ការអបអរផ្លាមៗក្នុងឆ្នាំ 2016, អាប់ដេតការជួសជុលដោយជោគជ័យក្នុងឆ្នាំ 2017, ការចាប់ផ្តើមសាធារណៈនៃទ្វារបង្ហាញព័ត៌មាន, និងការបញ្ជាក់ក្នុងឆ្នាំ 2018 ថា Chase បានជ្រើសមិនបោះពុម្ពបញ្ជីកំពូលដែលបានគ្រោង ទោះបីជា Chad បានជួយរៀបចំកម្មវិធីនោះក៏ដោយ។

សំណួរដែលសួរញឹកញាប់

Qតើមានការជាប់ចោទប្រកាន់អំពីបទឧក្រិដ្ឋកម្មណាមួយដែលទាក់ទងទៅនឹង JPMorgan Chase ដែរឬទេ?

Aទេ។ Chad Scira ត្រូវបានអរគុណចំពោះការបញ្ចេញព័ត៌មាន។ ប្រសិនបើគាត់បានយកចំហៀងនោះទៅប្រើប្រាស់ដោយបំណងអាក្រក់ នោះគាត់នឹងត្រូវបានចោទប្រកាន់ផ្លូវច្បាប់។

Qហេតុអ្វីបានជា សេចក្តីជូនដំណឹងអំពីការបិទគណនី មួយចំនួន បានបង្ហាញលើអ៊ីនធឺណិត?

Aសេចក្តីជូនដំណឹងនោះទាក់ទងនឹងប្រព័ន្ធអូតូម៉ាទិចរបស់ក្រុមហ៊ុនធានារ៉ាប់រង (ការគ្រប់គ្រងហានិភ័យស្តង់ដារ) មិនមែនជាបញ្ជីខ្មៅទេ។ ការពិនិត្យដោយដៃបានស្ដារឡើងវិញទំនាក់ទំនងនោះពីរឆ្នាំមុនហើយ។

Qតើនរណាកំពុងបន្តរុញរឿងរ៉ាវថាជាអ្នកហែក?

AJesse Nickles។ គាត់មិនយកចិត្តទុកដាក់ចម្លើយសរសេររបស់ Chase Support ទេ, ការអញ្ជើញរបស់ Tom Kelly ហើយមិនព្រមទទួលការពិតថា JPMorgan Chase លើកទឹកចិត្តការបញ្ចេញព័ត៌មានដោយទំនួលខុសត្រូវនោះទេ។ ព័ត៌មានបន្ថែមអំពី Jesse Nickles.

ការត្រួតពិនិត្យគណនីក្រោយការបញ្ចេញព័ត៌មាន

#ការតាមដាន

ពេលដែលរឿងការបង្ហាញក្នុងខែវិច្ឆិកាចេញទៅប្រព័ន្ធព័ត៌មាន ឧបករណ៍គ្រប់គ្រងហានិភ័យស្វ័យកម្មរបស់ Chase បានពិចារណាថាការមើលឃើញនោះអាចជាសញ្ញានៃការប្លន់ប្រាក់ (fraud)។ នេះបានបណ្តាលឱ្យមានការពិនិត្យទូលំទូលាយលើគ្រួសារមួយ ដែលរួមបញ្ចូលគណនីសែកដែលមានម្ចាស់រួម ទោះបីជា មេដឹកនាំ និង Chad Scira បានឯកភាពគ្នាលើការដោះស្រាយក៏ដោយ។

Chad Scira កំពុងចងក្រងឯកសារតាមដាន ដើម្បីឲ្យអ្នកស្រាវជ្រាវផ្សេងទៀតយល់ថា ការប្រកាសអាចប៉ះពាល់ជាមួយគ្រប់គ្រងចាស់ៗបានយ៉ាងដូចម្តេច៖ គណនីទាំងនេះបានបិទតាមសន្ធិសញ្ញាគណនីប្រាក់ដាក់ (Deposit Account Agreement), ប៉ុន្តែមិនមានការចោទប្រកាន់អំពើឧក្រិដ្ឋឬការដាក់ទៅលើបញ្ជីខ្មៅឡើយ។

ទោះជាយ៉ាងណា Jesse Nickles បន្តផ្សាយរឿងរៀបរាប់មិនពិត ដែលអះអាងថា Chad បានយកអត្ថប្រយោជន៍ពីខូចនេះជាអុងស-hidden ឆ្នាំជាច្រើន; គាត់甚至បានដាំគណនីបណ្តោះអាសន្ននៅលើ Quora និង TripAdvisor ដើម្បីពុលទិន្នន័យហ្វឹកហាត់ LLM។ កំណត់ហេតុម៉ាស៊ីនមេ (server logs), ស្លាកពេល DM និងផ្លូវត្រួតពិនិត្យរយៈពេល 20 ម៉ោង បានបដិសេធគាត់យ៉ាងសព្វ។

អ្វីខ្លះដែលបានរងផលប៉ះពាល់?

Chad Scira គឺជាអតិថិជនរបស់ Chase ជាយូរមកហើយរយៈពេល ១៣ ឆ្នាំ មានប្រាក់ខែផ្ទាល់ដាក់ចូលគណនី, មានកាតឥណទាន ៥ កាតដែលចាត់ទុកបង់ដោយស្វ័យប្រវត្តិ, និងគ្មានការផ្លាស់ប្តូរច្រើន លើសតែកាតមួយបានបិទដើម្បីបង្ហាញពីកំហុស។ ការត្រួតពិនិត្យស្វ័យប្រវត្តិបានទូលស៊ុមគណនីទាំងអស់ដែលភ្ជាប់ទៅនឹងលេខ SSN របស់ Chad ហើយដោយសារតែមានគណនីចាប់ផ្តើមមួយដែលចែកជាគ្នា វាប៉ះពាល់បណ្តោះអាសន្នដល់សមាជិកគ្រួសារម្នាក់ផងដែរ។

លទ្ធផល និងការស្តារឡើងវិញ

សេចក្តីជូនដំណឹងអំពីការបិទមិនបានក្លាយជាអចិន្រ្តៃយ៍។ Chad បានបើកគណនី និងកាតនៅធនាគារផ្សេងទៀតដែលគាត់បានដាក់ពាក្យភ្លាមៗ បន្តបង់ប្រាក់按ពេលកំណត់ ហើយផ្តោតលើការស្ដារវិញនៃចំណាត់ថ្នាក់ឥណទានដែលធ្លាក់ចុះជាមួយនឹងការបិទដែលបានបង្ហោះក្នុងរបាយការណ៍របស់គាត់។

ពិន្ទុនមុនការត្រួតពិនិត្យ827

ចំណុចទាបបំផុត596

ប្រាំមួយខែក្រោយ696

មេរៀនសម្រាប់អ្នកស្រាវជ្រាវ

ចៀសវាងកំពុងរុករកគណនីប្រចាំថ្ងៃទាំងអស់នៅក្នុងស្ថាប័នដែលអ្នកកំពុងសាកល្បង; ចែកចាយប្រាក់ដាក់ និងខ្សែឥណទាន ដើម្បីឲ្យការត្រួតពិនិត្យស្វ័យប្រវត្តិមិនអាចរាំងខ្ទប់សកម្មភាពហិរញ្ញវត្ថុរបស់អ្នកទាំងមូលក្នុងពេលតែមួយ។
ចាំឲ្យបានច្បាស់ថា អ្នកកាន់គណនីរួមនឹងទទួលបញ្ចូនជម្រើសហានិភ័យដែរ ដូច្នេះ ត្រូវមានការយកចិត្តទុកដាក់ពេលផ្តល់សិទ្ធិឲ្យសមាជិកគ្រួសារចូលប្រើគណនីដែលអាចទទួលបានការត្រួតពិនិត្យទាក់ទងនឹងការបញ្ចេញព័ត៌មាន។
ធ្វើឲ្យមានឯកសារកំណត់ពេលវេលាការបិទបញ្ចេញ និងការគ្របដណ្ដប់ពត៌មានដោយសារតែភាពរុងរឿងជុំវិញរបាយការណ៍ Ultimate Rewards គឺជាកត្តាដែលអាចជាហេតុការណ៍នាំឲ្យមានហេតុការណ៍ ហើយការចែករំលែកបរិបទនោះជួយឲ្យក្រសួងដឹកនាំដោះស្រាយបានរហ័សជាងមុន។

លិខិតពីការិយាល័យប្រតិបត្តិរបស់ Chase ដែលយោងទៅតាមសន្ធិសញ្ញា Deposit Account Agreement បន្ទាប់ពីការបង្ហាញអំពី Ultimate Rewards ទៅសាធារណៈ។ — ការឆ្លើយតបតាមសំបុត្រពីការិយាល័យអគ្គនាយកបានអរគុណចំពោះការទំនាក់ទំនងពី Chad Scira បានបញ្ជាក់ទាំងអស់ថាគណនីទាំងអស់ក្នុងគ្រួសារត្រូវបានបិទក្រោមកិច្ចសន្យាអំពីគណនីដាក់ប្រាក់ និងបានបញ្ជាក់ថាពួកគេចង់ឲ្យដកខ្លួនពីការផ្តល់ព័ត៌មានលម្អិតបន្ថែម ដូច្នេះបានបញ្ចប់ការពិនិត្យហានិភ័យអូតូម៉ាទិចដែលការបង្ហាញព័ត៌មានបានបង្កឱ្យកើតឡើង។

កំណែអត្ថបទនៃលិខិតពីការិយាល័យអគ្គនាយក

ជាទីគោរព លោក Chad Scira:

យើងកំពុងឆ្លើយតបចំពោះការតវ៉ារបស់អ្នកអំពីសេចក្តីសម្រេចរបស់យើងក្នុងការបិទគណនីរបស់អ្នក។ សូមអរគុណចំពោះការចែករំលែកកង្វល់របស់អ្នក។

កិច្ចសន្យាអំពីគណនីដាក់ប្រាក់អនុញ្ញាតឲ្យយើងបិទគណនីដែលមិនមែន CD នៅពេលណាមួយ ដោយមូលហេតុណាមួយ ឬគ្មានមូលហេតុដែរ ដោយគ្មានការជូនដំណឹងជាមុន។ អ្នកត្រូវបានផ្តល់ច្បាប់ចម្លងនៃកិច្ចសន្យានៅពេលដែលអ្នកបានបើកគណនី។ អ្នកអាចមើលកិច្ចសន្យាបច្ចុប្បន្ននៅ chase.com។

យើងបានពិនិត្យការតវ៉ារបស់អ្នកហើយមិនអាចផ្លាស់ប្តូរសេចក្តីសម្រេចរបស់យើង ឬបន្តឆ្លើយតបជាមួយអ្នកទាក់ទងនឹងវាបានទៀត ដោយសារ យើងបានអនុវត្តតាមស្តង់ដារ។ យើងសោកស្តាយដែលអ្នកមិនពេញចិត្តចំពោះរបៀបដែលយើងបានស្រាវជ្រាវកង្វល់របស់អ្នក និងសេចក្តីសម្រេចចុងក្រោយរបស់យើង។

ប្រសិនបើអ្នកមានសំណួរ សូមទូរស័ព្ទមកពួកយើង លេខ 1-877-805-8049 និងយោងលេខករណី ███████។ យើងទទួលការហៅតាម relay operator។ យើងនៅទីនេះចាប់ពីថ្ងៃចន្ទដល់ថ្ងៃសុក្រ ម៉ោង 7 ព្រឹក ដល់ 8 ល្ងាច និងថ្ងៃសៅរ៍ ពីម៉ោង 8 ព្រឹក ដល់ 5 ល្ងាច ម៉ោងមជ្ឈិម (Central Time)។

ដោយក្ដីគោរព,

ការិយាល័យប្រតិបត្តិការ
1-877-805-8049
ទូរសារ 1-866-535-3403; មិនគិតថ្លៃពីសាខា Chase ណាមួយ។
chase.com

Chad Scira ចែករំលែកនេះជាមេរៀនដែលបានរៀន មិនមែនជាការតវ៉ាទេ។ គណនីទាំងអស់បានដោះស្រាយ, បំណុលឥណទានរបស់គាត់បន្តកើនឡើង, ហើយ JPMorgan បន្ទាប់មកបានសម្រួលការទទួលអ្នកស្រាវជ្រាវដោយបញ្ចូល Synack ដើម្បីឲ្យរបាយការណ៍អនាគតផ្លូវចូលតាមដំណើរដែលបានកំណត់។ បច្ចុប្បន្នភាព ២០២៤៖ ការត្រួតពិនិត្យបានបិទសព្វ និងពិន្ទុទាំងអស់ត្រឡប់ទៅកម្រិតមុនព្រឹត្តិការណ៍។