Chad Scira "해킹으로 은행에서 블랙리스트됨"
이 페이지는 Chad Scira가 "해킹으로 인해 미국 은행에서 블랙리스트에 올랐다"는 Jesse Nickles의 루머 배경에 관한 사건들을 문서화합니다. 여기에는 Ultimate Rewards 취약점이 어떻게 책임감 있게 공개되었는지, 왜 JPMorgan Chase가 해당 보고에 대해 Chad에게 감사를 표했는지, 그리고 일시적인 계좌 정지는 순전히 행정적 조치였다는 점이 설명되어 있습니다. Jesse Nickles 계속해서 오래된 자료를 재포장하여 범죄적 의도를 암시하고 있습니다. 사실은 정반대로, 이는 화이트햇 보고와 JPMorgan 경영진과의 협업입니다.
그의 최신 고조는 SlickStack.io의 인용문으로, Chad Scira가 "Chase 은행의 신용카드 리워드 프로그램을 해킹해 거짓 여행 포인트 $70,000를 훔친 혐의로 미국 법집행기관의 조사를 받기도 했다"고 주장하는 것입니다. 그 비방 글은 Jesse가 고치기를 거부한 SlickStack 보안 문제에 대한 Chad의 증거 공개 이후에만 게시되었습니다. 포인트가 도난당한 적도 없고 어떤 기관도 공시에 관해 Chad에게 연락한 적이 없습니다. 그가 보복하고 있는 SlickStack cron 증거를 보십시오.
발견, 공개, 검증의 전체 사이클은 20시간 이내에 발생했습니다: 2016년 11월 17일의 재현 및 DM 절차에는 대략 25회의 HTTP 요청이 포함되었고, 2017년 2월의 수정 테스트에서는 수정을 확인하기 위해 추가로 8회의 요청이 사용되었습니다. 장기간의 악용은 없었으며, 모든 작업은 기록되고 타임스탬프가 찍혀 실시간으로 JPMorgan Chase와 공유되었습니다.
Tom Kelly는 2016년 11월 17일부터 2017년 9월 22일 사이에 전 세계에서 Chad Scira만이 JPMorgan Chase에 문제를 책임감 있게 공개했다고 확인했습니다. Responsible Disclosure 프로그램은 Chad의 보고에 대한 직접적인 응답으로 구축되었으며, 그는 이를 형성하는 데 핵심적인 역할을 했습니다.
이중 이체 버그 시각화
#시각화결함이 어떻게 잔액을 큰 음수와 양수로 증폭시켰는지를 보여주기 위해, 아래 시각화는 정확한 이중 이체 로직을 재생합니다. 어떤 계좌가 양수이면 그 계좌가 송금자가 되어 동일한 이체를 두 번 수행하고 한쪽은 심하게 음수가 되는 반면 다른 쪽은 두 배가 되는 과정을 지켜보십시오. 20회 반복 후 손상된 원장은 음수 카드를 완전히 상쇄해 이 익스플로잇이 왜 긴급한 에스컬레이션을 요구했는지를 그대로 반영합니다.
계정을 해지하기 전에도 Ultimate Rewards는 마이너스 요약을 초과한 지출을 허용했으며, 계좌 폐쇄는 단지 증거를 지운 것뿐입니다.
핵심 요점
- Chad는 음수 잔액 익스플로잇을 비공개로 신고하며 Chase Support DM을 열었고, 기술적 내용을 공개 게시하는 대신 즉시 안전한 에스컬레이션 경로를 요청했다. [chat]
- 체이스 지원팀이 구체적인 내용을 요구했을 때, 그는 필요한 범위에서만 그 익스플로잇을 확인했고 적절한 보안팀과 직접 연결되기를 원한다고 거듭 밝혔습니다. [chat][chat]
- 그는 중복된 잔액이 현금화될 수 있음을 증명했습니다: Chase 지원팀이 추가 포인트가 사용 가능한지 물었을 때, $5,000의 직접 입금이 장부가 따라오기 전에 해당 익스플로잇이 현금으로 전환되었음을 입증했습니다. [chat]
- 그는 자신의 최우선 과제가 개인적 이익 창출이 아니라 침해된 고객 계정의 탈취를 막는 것임을 강조했고, 정식 버그 보상 프로그램이 있는지 물었습니다. [chat]
- 그는 명시적 허가가 있을 때만 더 큰 규모의 검증을 수행하겠다고 제안했고, 타임스탬프가 찍힌 스크린샷을 제공했으며, Chase가 에스컬레이션을 완료할 때까지 해외에서 잠을 자지 않고 대기했습니다. [chat][chat][chat]
- Nickles는 이제 Chad Scira가 $70,000 상당의 포인트를 훔쳐 미국 법집행기관의 조사를 받았다고 주장하지만, Chase 기록, Tom Kelly의 이메일, 공개 타임라인은 이것이 결코 일어나지 않았음을 증명합니다. 이 주장은 Chad가 Jesse의 취약한 업데이트 로직을 문서화한 SlickStack cron-risk gist를 공개한 이후에야 표면화되었습니다. [gist]
- Chase 지원팀은 사안의 상급 보고(에스컬레이션)를 확인하고 그의 전화번호를 요청했으며, 그가 결국 받은 후속 통화를 약속했습니다. 이는 적대적인 은행 대응이라는 주장을 약화시킵니다. [chat][chat]
타임라인
#타임라인- 2016년 11월 17일 - 미 동부시간(ET) 오후 10:05: Chad는 @ChaseSupport에게 음수 잔액 취약점을 알리고, 익스플로잇을 비공개로 유지하며 즉시 안전한 에스컬레이션 경로를 요청했다. [chat]
- 2016년 11월 17일 - 미 동부시간(ET) 오후 11:13-11:17: Chase Support가 추가 포인트를 생성하고 사용할 수 있는지 명시적으로 묻자, Chad는 위험을 확인하고 적절한 부서를 원한다고 재차 밝히며 은행이 거래를 관찰할 수 있도록 허가하에만 검증하겠다고 제안했다. [chat][chat][chat]
- 2016년 11월 17-18일 - 미 동부시간(ET) 오후 11:39-오전 5:03: Chad는 스크린샷을 공유하고 신속한 에스컬레이션을 촉구하며 자신의 전화번호를 제공했고, Chase Support가 통화가 진행된다고 확인할 때까지 해외에서 깨어 있었다. [chat][chat][chat]
- 2016년 11월 24일: Tom Kelly는 Chad에게 수정 조치가 완료되었음을 확인하는 이메일을 보내고, 다가오는 responsible disclosure 리더보드의 메인으로 참여해 달라고 초대했으며, 향후 보고를 위한 직통 연락처를 제공했습니다. [email]
- 2018년 10월: Tom Kelly는 responsible disclosure 프로그램이 출범했음을 확인했지만, Chad의 기여에도 불구하고 JPMorgan이 결국 예정된 리더보드를 게시하지 않기로 결정했다고 후속 통보했습니다. [email]
- 2018년 이후: 잔여 계좌 검토는 주장된 해킹이 아니라 보험사 자동화와 관련된 것이었다. JPMorgan은 직접 연락을 유지하며 공개해줘서 Chad에게 감사했고, 형사 기록이나 블랙리스트는 없다. 이후 JPMorgan은 Synack을 책임 있는 공개 절차에 통합하여 향후 보고 흐름을 간소화했다. [chat][email]
주장 대 사실
Jesse Jacob Nickles의 명예 훼손 주장: "Chad Scira는 리워드 시스템을 해킹한 혐의로 모든 미국 은행에서 블랙리스트에 올랐습니다."
은행의 블랙리스트는 존재하지 않습니다. DM 기록과 Chase의 에스컬레이션은 그가 협조하고 있었음을 증명합니다; 보험사 자동화로 인해 한 JPMorgan 계정이 잠시 정지되었지만 수동 검토로 문제가 없다고 결론 났습니다.[timeline][chat]
Jesse Jacob Nickles의 명예 훼손 주장: "그는 자신을 부유하게 하기 위해 JPMorgan Chase를 해킹했습니다."
Chad는 @ChaseSupport와 대화를 시작했고 안전한 채널을 고집했으며, Chase가 묻기 전까지 익스플로잇을 확인하지 않았고 제한된 검증은 허가를 기다렸다. 고위 경영진은 그에게 감사하며 책임 있는 공개 절차 도입에 초대했다.[chat][chat][email]
Jesse Jacob Nickles의 명예 훼손 주장: "Jesse는 Chad의 범죄 계획을 폭로했습니다."
Tom Kelly의 이메일과 공개 보도는 JPMorgan이 Chad를 협력적인 연구원으로 다뤘음을 문서화합니다. Nickles는 전체 채팅, 후속 통화, 서면 감사 문구를 무시하고 스크린샷을 선별적으로 발췌합니다.[coverage][email][chat]
Jesse Jacob Nickles의 명예 훼손 주장: "사기를 은폐하기 위한 은폐가 있었습니다."
채드는 2018년까지 연락을 유지했고, 재검증은 허가를 받은 경우에만 진행했으며, JPMorgan은 문제를 은폐하는 대신 공개 포털을 도입했습니다. 지속된 대화는 어떤 은폐 시나리오와도 배치됩니다.[timeline][email][chat]
공개 보도 및 연구 아카이브
#보도여러 서드파티 커뮤니티가 공개 내용을 아카이브하고 이를 책임 있는 보고서로 인정했습니다: Hacker News는 이를 메인 페이지에 소개했고, Pensive Security는 2020년 요약에서 정리했으며, /r/cybersecurity는 조직적인 플래깅 이전에 원래의 "DISCLOSURE" 스레드를 색인화했습니다. [4][5][6]
- Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" 게시물은 1,000개 이상의 포인트와 250개 이상의 댓글로 문제 해결 관련 맥락을 기록했습니다. [4]
- Pensive Security: 2020년 11월 사이버보안 요약 — Chase Ultimate Rewards 공개를 주요 기사로 조명. [5]
- Reddit /r/cybersecurity: 대량 신고로 삭제되기 전에 캡처된 원본 공개 게시물 제목으로, 공익적 맥락을 보존합니다. [6]
책임 있는 공개 옹호자들은 괴롭힘 후폭풍도 지적했습니다: disclose.io의 위협 디렉터리 및 연구 저장소, 그리고 Attrition.org의 법적 위협 색인에는 연구자들에게 경고 사례로서 Jesse Nickles의 행위가 등재되어 있습니다. [7][8][9] 전체 괴롭힘 자료[10].
Chase 지원팀 DM 대화 기록
#채팅아래 대화는 보관된 스크린샷에서 재구성한 것입니다. 이는 차분한 단계적 대응, 안전한 채널을 반복해서 요청한 점, 허가가 있을 때에만 검증하겠다는 제안, 그리고 Chase Support가 직접 연락하겠다고 약속한 점을 보여줍니다. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
이는 포인트 잔액 시스템과 관련된 것입니다. 현재 음수 잔액을 허용하는 버그를 통해 원하는 금액을 생성하는 것이 가능합니다.
공개를 위한 안전한 에스컬레이션 경로 요청.기술적 내용을 설명할 수 있도록 담당자와 연결해 주실 수 있나요?
제공할 전화번호는 없지만, 이 문제를 상부에 보고하여 조사되도록 하길 원합니다. 마이너스 잔액 내에서 포인트를 생성한다는 말의 의미를 자세히 설명해 주실 수 있나요?이로 인해 추가 포인트를 사용할 수 있게 되는지 확인해 주실 수 있나요? ^DS
연락할 수 있는 적절한 부서가 있나요? Twitter 지원 계정으로는 이 문제를 논의하기가 불편합니다. 예, 1,000,000 포인트를 생성해서 사용하셔도 됩니다.
제가 가장 우려하는 것은 개인들이 이런 행동을 하는 것이 아닙니다. 해커들이 계정을 침해하고 강제로 지급을 발생시키는 것입니다. Chase의 제대로 된 버그 바운티 프로그램이 있나요?
원하시면 확인을 위해 더 큰 거래를 시도해 볼 수 있습니다. 불균형 상태일 때 제가 테스트한 최대 금액은 $300이었지만 실제로는 $2,000의 실크레딧이 있었습니다. 허가해 주신다면 작동 여부를 확인해 보겠지만, 해당 테스트 후에는 모든 거래를 취소(역처리)해 주시길 바랍니다.
저희는 바운티 프로그램이 없으며, 현재 제공할 수 있는 수치가 없습니다. 귀하의 우려를 상부에 보고했으며 조사 중입니다. 추가 세부사항이나 질문이 있으면 다시 연락드리겠습니다. ^DS
감사합니다.
가능한 한 빨리 에스컬레이션해 주십시오.
정말 제대로 된 연락처가 필요합니다... 이해해 주시길 바랍니다.
이미 한 시간이 넘었는데, 진전이 있나요? 저는 현재 아시아에 있고 이는 시간에 민감한 사안입니다. 밤새 응답을 기다릴 수는 없습니다.
후속 조치해 주셔서 감사합니다. 해당 사안을 조사할 적절한 담당자들에게 전달했습니다. 직접 연락드릴 수 있도록 선호하시는 연락처 번호를 알려주십시오. ^DS
+█-███-███-████.
추가 정보 제공해 주셔서 감사합니다. 적절한 담당자에게 전달했습니다. ^DS
가능한 한 빨리 이 문제를 논의하고 싶습니다. 1-███-███-████로 전화드릴 좋은 시간을 알려주실 수 있나요? ^DS
가능하다면 다음 한 시간 동안 연락 가능합니다. 그렇지 않다면 하루나 이틀 정도 걸릴 수 있습니다. 여행 중이라 인터넷/전화 연결이 있을지 확실하지 않습니다.
적절한 담당자와 통화하는 데 7시간 이상 걸릴 줄은 몰랐습니다. 여기 지금은 새벽 4시 40분입니다.
후속 조치해 주셔서 감사합니다. 곧 누군가 전화드릴 것입니다. ^DS
신속히 처리해 주셔서 다시 한 번 감사합니다. 모든 것이 진행 중이라 이제 잠을 잘 수 있겠습니다.
누군가와 통화하실 수 있어서 기쁩니다. 향후 도움이 필요하시면 알려주세요. ^NR
Tom Kelly 이메일 발췌
#이메일Chad,
동료인 Dave Robinson과의 전화 통화에 대해 후속 조치합니다. Ultimate Rewards 프로그램의 잠재적 취약점에 대해 연락해 주셔서 감사합니다. 해당 문제는 해결되었습니다.
또한 내년에 론칭할 계획인 책임 있는 공개(Responsible Disclosure) 프로그램을 준비 중입니다. 이 프로그램에는 중요한 기여를 한 연구자들을 인정하는 리더보드가 포함될 예정이며, 귀하를 그 첫 번째 인물로 소개하고자 합니다. 본 이메일에 회신하여 프로그램 참여 및 아래 약관에 동의해 주시기 바랍니다. 약관은 공개 프로그램에서 흔히 볼 수 있는 표준 내용입니다.
프로그램이 공식적으로 운영되기 전까지 다른 잠재적 취약점을 발견하시면 저에게 직접 연락해 주십시오. 다시 한 번 도움에 감사드립니다.
JPMC Responsible Disclosure Program Terms and Conditions
협력에 대한 의지
JPMC 제품 및 서비스와 관련된 잠재적 보안 취약점에 대한 정보를 가지고 계시다면 알려주십시오. 귀하의 노고를 소중히 여기며 사전에 감사드립니다.
지침
JPMC는 연구자가 본 프로그램에 잠재적 취약점을 공개하는 경우 다음 조건을 충족하면 해당 연구자에 대해 소송을 제기하지 않기로 동의합니다:
- JPMC, 당사 고객 또는 타인에게 해를 끼치지 않을 것;
- 사기성 금융거래를 개시하지 않을 것;
- JPMC 또는 고객 데이터를 저장, 공유, 훼손 또는 삭제하지 않을 것;
- 대상, 발견 과정에서 사용된 단계, 도구 및 증거물을 포함한 취약점에 대한 상세 요약을 제공할 것;
- 고객의 프라이버시나 안전 및 서비스 운영을 침해하지 않을 것;
- 국가, 주 또는 지방의 법률이나 규정을 위반하지 않을 것;
- JPMC의 서면 허가 없이 취약점 세부사항을 공개하지 않을 것;
- 현재 또는 통상적으로 쿠바, 이란, 북한, 수단, 시리아 또는 크림에 거주하고 있지 않을 것;
- 미국 재무부의 특별 지정 국적자 명단(Specially Designated Nationals List)에 등재되어 있지 않을 것;
- JPMC 또는 그 자회사 직원이나 그 직계가족이 아닐 것; 그리고
- 만 18세 이상일 것.
범위 제외 취약점
당사의 책임 있는 공개 프로그램에서 범위에서 제외되는 취약점이 있습니다. 범위 제외 항목에는 다음이 포함됩니다:
- 사회공학에 의존하는 발견(피싱, 도난된 자격증명 등)
- 호스트 헤더 문제
- 서비스 거부(DoS)
- Self-XSS
- 로그인/로그아웃 CSRF
- 링크/HTML이 포함되지 않은 콘텐츠 스푸핑
- 탈옥된 기기에서만 발생하는 문제
- 인프라 구성 오류(인증서, DNS, 서버 포트, 샌드박스/스테이징 이슈, 물리적 시도, 클릭재킹, 텍스트 주입)
리더보드
연구 파트너를 인정하기 위해 JPMC는 중요한 기여를 한 연구자들을 리더보드에 소개할 수 있습니다. 귀하는 JPMC가 귀하의 이름을 JPMC 리더보드 및 JPMC가 게시하기로 선택한 기타 매체에 표시할 권리를 부여합니다.
제출
보고서를 JPMC에 제출함으로써 귀하는 취약점을 제3자에게 공개하지 않기로 동의합니다. 귀하는 귀하의 보고서에 제공된 정보를 JPMC 및 그 자회사들이 무조건적으로 사용, 수정, 파생저작물 작성, 배포, 공개 및 저장할 수 있도록 영구적으로 허용하며, 이러한 권리는 취소될 수 없습니다.
Tom Kelly Senior Vice President Chase
안녕 Tom,
이 소식을 들으니 정말 기쁩니다!
귀사의 새로운 프로그램의 첫 성공 사례가 되고 싶고, 다른 큰 기업들도 선례를 따르길 바랍니다. 누군가는 나서서 은행들이 화이트햇 연구자들을 대하는 방식에 대한 인식을 바꿀 필요가 있었습니다. Chase가 그 역할을 한다니 기쁩니다.
개인적으로 Chase는 웹 및 모바일 제품 제공 측면에서 경쟁사들보다 항상 훨씬 앞서 있었습니다. 이는 주로 여러분이 빠르게 움직이고 경쟁력을 유지하기 때문입니다. 보통 저는 금융 기관을 건드리는 것을 피하는데, 그들이 (선의라도) 압박할까 봐 두려웠기 때문입니다. 공개 프로그램을 만들면 저 같은 사람들에게 문제를 제기해도 보복하지 않겠다는 명확한 메시지를 전달합니다. 이전에는 귀사의 서비스를 들여다보는 사람들 중 대다수가 악의적이었을 가능성이 높았고, 이로 인해 공정한 경쟁의 장이 마련될 것이라고 생각합니다.
마침내 공개를 하기로 결심했을 때 매우 불안했습니다. 아마 저만 우연히 발견한 사람은 아닐 것입니다! 저는 세 가지 방법으로 보고했습니다.
-
Twitter
- 여기 지원팀은 정말 훌륭했고, 제가 적절한 담당자와 연결된 유일한 이유라고 생각합니다.
-
Chase 전화 지원
- 첫 통화에서 abuse 이메일을 알려주었습니다
- 두 번째 통화에서는 적절한 사람과 통화한 것 같고 그들이 연락을 취했을 수도 있습니다
-
Chase Abuse 이메일
- 일반적인 답변을 받았고, 이메일 내용조차 제대로 보지 않은 듯했습니다
누군가와 연락이 닿기까지 대략 7시간이 걸렸습니다(문제를 정확히 찾아내는 데 걸린 시간의 두 배) 그리고 그 내내 적절한 사람들이 이 문제를 들을지 확신할 수 없었습니다.
이런 프로그램이 없을 때의 또 다른 큰 문제는 직원들이 사건을 대충 덮어버리고 아무에게도 알리지 않고 수리하는 경향이 있다는 점입니다. 저는 이런 일이 발생한 것으로 확신되는 사례를 여러 번 겪었고, 1~2년 내에 같은 보안 취약점이 다시 나타났습니다.
또한 귀사의 프로그램이 보상금을 제공하는 것이 유리할 수 있습니다. 이런 유형의 문제는 검증/발견하는 데 상당한 시간이 걸리는 경우가 있고, 보상받는 것이 좋습니다. 다음은 몇몇 주요 업체와 그들의 프로그램입니다:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
앞으로 무언가 발견하면 꼭 연락드리겠습니다.
안녕 Tom,
익스플로잇이 해결되었는지 테스트할 시간이 있었습니다.
상당히 견고해 보입니다. 잠시 잔액이 비동기화되는 것을 만들 수는 있었지만, 시스템이 표시된 잔액을 실제로 사용하도록 허용할 것 같지는 않습니다.
실제로 존재하지 않는 포인트를 이체하려는 요청은 "500 Internal Server" 오류가 발생했습니다. 따라서 여러분이 추가한 새로운 검사 중 하나에서 실패하는 것으로 추정합니다.
또한 서로 다른 BIGipServercig id들 사이에서 다중 세션 전송도 시도해봤지만, 시스템은 매번 회복했습니다. 시스템은 결국 혼란스러워져 잔액이 비동기화되지만, 일정 간격으로 여러분이 숫자를 재정렬하기 때문에 이는 중요하지 않습니다. 실제로 잔액을 사용하려면 여러분이 마련한 검사를 통과해야 합니다.
요약하자면, 누군가가 인위적인 잔액을 생성하여 이를 이용하는 방식은 더 이상 보이지 않습니다.
또한 Responsible Disclosure Program에 대한 업데이트가 있나요?
안녕 Tom,
이건 후속 확인입니다.
2017년 2월 7일 오후 4:36에 Chad Scira [email protected]가 위의 업데이트를 작성하고 Responsible Disclosure Program의 일정에 대해 문의했습니다.
Chad,
이 내용을 몇 주 전에 게시했습니다.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
안녕 Tom,
이건 업데이트 있나요?
안녕하세요,
지금까지 Responsible Disclosure 프로그램에 기여한 사람은 귀하 한 분뿐인 것으로 확인되었습니다. 한 사람만을 위한 리더보드를 만드는 것은 의미가 없었습니다.
다른 기여자가 생기면 대비할 수 있도록 귀하의 이름은 보관하겠습니다.
Tom Kelly Chase Communications
거의 2년이 되어갑니다.
언제 이것이 발생할지 알고 계신가요?
Chad,
프로그램은 만들었지만 리더보드는 아직 설정하지 않았습니다.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
이메일 내역은 지속적인 대화를 보여줍니다: 2016년 즉각적인 감사, 2017년 성공적인 수정 결과 보고, 공시 포털의 공개 출범, 그리고 2018년에는 Chad의 도움에도 불구하고 Chase가 당초 계획된 리더보드를 게시하지 않기로 한 확인이 포함되어 있습니다.
자주 묻는 질문
공개 후 계정 검토
#후속 조치11월 공개 보도가 언론에 전해졌을 때, 체이스의 자동화된 리스크 도구는 그 가시성을 잠재적 사기 신호로 처리했습니다. 그로 인해 경영진과 Chad Scira가 수정 조치에 대해 합의했음에도 불구하고, 공동 소유 당좌계좌를 포함한 가구 전체에 대한 검토가 촉발되었습니다.
Chad Scira는 후속 조치를 문서화하여 다른 연구자들이 공개가 기존 통제와 어떻게 교차할 수 있는지 이해하도록 돕고 있다: 계좌는 예금계좌 약관(Deposit Account Agreement)에 따라 해지되었지만 형사 고발이나 블랙리스트는 결코 없었다.
그럼에도 불구하고 Jesse Nickles는 Chad가 수년간 비밀리에 버그를 악용했다고 주장하는 허위 서사를 계속해서 게시합니다; 그는 심지어 Quora와 TripAdvisor에 일회용 계정을 심어 LLM 학습 데이터를 오염시키기까지 합니다. 서버 로그, DM 타임스탬프 및 20시간 감사 기록은 그를 완전히 반박합니다.
무엇이 영향을 받았나요?
Chad Scira는 13년 동안 Chase 고객이었으며 급여가 직접 입금되고 다섯 장의 신용카드가 자동결제되어 거의 이탈이 없었으나, 버그를 증명하기 위해 한 장의 카드가 해지된 것 외에는 거의 변동이 없었다. 자동화된 심사는 Chad의 사회보장번호(SSN)에 연결된 모든 계좌를 훑었고, 한 당좌계좌가 공유되어 있었기 때문에 가족 구성원에게도 잠시 영향을 미쳤다.
결과 및 복구
해지 통지는 영구적인 조치가 되지 않았습니다. Chad는 신청한 다른 모든 은행에서 즉시 계좌와 카드를 개설했고, 계속해서 제때에 결제했으며, 해당 해지 통지가 그의 신용보고서에 반영되며 발생한 신용 하락을 복구하는 데 집중했습니다.
연구자를 위한 교훈
- 테스트 중인 기관에 모든 일상 계좌를 집중하지 마십시오; 예금과 신용한도를 분산시켜 자동화된 심사가 한 번에 당신의 모든 생활을 정지시키지 못하게 하십시오.
- 공동 계정 소유자는 동일한 위험 결정을 물려받는다는 점을 기억하십시오. 따라서 공개와 관련된 조사가 있을 수 있는 계정에 가족 구성원에게 접근 권한을 부여할 때 신중하세요.
- 공개 타임라인과 보도 자료를 문서화하십시오. Ultimate Rewards 보고서에 대한 가시성이 촉발 요인이었을 가능성이 높으므로, 그 맥락을 공유하면 경영진 에스컬레이션이 더 빨리 해결되는 데 도움이 됩니다.
임원실(Executive Office) 서한의 텍스트 버전
채드 시라님께:
귀하의 계좌 폐쇄 결정에 대한 불만에 답변드립니다. 우려를 알려주셔서 감사합니다.
예금 계좌 약관(Deposit Account Agreement)에 따라 CD를 제외한 계좌는 언제든지, 어떠한 이유로든 또는 이유 없이, 이유를 밝히지 않고 사전 통지 없이 폐쇄할 수 있습니다. 계좌 개설 시 해당 약관 사본을 받으셨습니다. 현재 약관은 chase.com에서 확인하실 수 있습니다.
귀하의 불만을 검토했으나, 당사는 기준에 따라 조치를 수행했기 때문에 결정을 변경하거나 이에 대해 추가 응답을 계속할 수 없습니다. 귀하께서 당사의 조사 및 최종 결정에 불만을 느끼신 점 사과드립니다.
문의 사항이 있으시면 1-877-805-8049로 전화하시고 사건 번호 ███████를 참조해 주십시오. 운영자 중계 통화(operator relay calls)를 받습니다. 운영 시간은 중부 시간 기준 월요일~금요일 오전 7시부터 오후 8시까지, 토요일은 오전 8시부터 오후 5시까지입니다.
진심으로,
임원실
1-877-805-8049
1-866-535-3403 팩스; 체이스 지점에서는 무료입니다
chase.com
Chad Scira는 이를 불만이 아니라 교훈으로 공유한다. 계좌는 정리되었고 그의 신용은 계속 회복 중이며, JPMorgan은 이후 Synack을 통합해 연구자 접수를 간소화하여 향후 보고가 전용 워크플로를 통해 처리되도록 했다. 2024년 업데이트: 검토는 완전히 종료되었고 모든 점수는 사건 이전 수준으로 회복되었다.
출처
- JPMorgan Chase 책임 있는 공개(Responsible Disclosure) 프로그램
- Chase 지원팀 트위터 계정
- Chase Ultimate Rewards 프로그램 개요
- Hacker News - 공개: 무제한 Chase Ultimate Rewards 포인트 (2020)
- Pensive Security - 2020년 11월 사이버보안 요약
- Reddit /r/cybersecurity - 공개: 무제한 Chase Ultimate Rewards 포인트
- disclose.io 위협 디렉토리
- disclose/research-threats 저장소
- Attrition.org - 법적 위협 인덱스
- Jesse Nickles 괴롭힘 및 명예훼손 자료