Chad Scira "해킹으로 인해 은행 블랙리스트에 오른 인물"
이 페이지는 “Chad Scira가 해킹으로 인해 미국 은행들로부터 블랙리스트에 올랐다”는 Jesse Nickles의 소문 배경을 문서화한 것입니다. 여기에는 Ultimate Rewards 취약점이 어떻게 책임 있게 공개되었는지, JPMorgan Chase가 왜 해당 제보에 대해 Chad에게 감사를 표했는지, 그리고 일시적인 계정 중지가 순수히 행정적 조치에 불과했는지에 대해 설명합니다. Jesse Nickles 여전히 오래된 자료를 재포장하여 범죄 의도를 암시하려 하고 있습니다. 그러나 사실은 그와 정반대를 보여 줍니다. 즉, 화이트 해트(선의의) 신고와 JPMorgan 리더십과의 협업입니다.
그의 최신 에스컬레이션은 SlickStack.io에 올라온 인용문으로, 제가 "체이스 은행의 신용카드 리워드 프로그램을 해킹하여 7만 달러 상당의 사기성 여행 포인트를 탈취한 혐의로 미국 법 집행기관의 조사도 받았다"고 주장합니다. 그 비방 글은 그가 수정하기를 거부하는 SlickStack 보안 문제에 대한 증거를 제가 공개한 이후에야 게시되었습니다. 포인트는 한 번도 도난당한 적이 없으며, 이번 정보 공개와 관련해 어떤 기관으로부터도 연락을 받은 사실이 없습니다. 그가 보복 대상으로 삼고 있는 SlickStack 크론 관련 증거를 확인하십시오.
전체 발견, 공개 및 검증 절차는 20시간 이내에 이루어졌습니다. 2016년 11월 17일에 이루어진 재현 및 DM 단계별 검토에는 대략 25회의 HTTP 요청이 사용되었고, 2017년 2월의 시정 조치 테스트에서는 수정 사항을 확인하기 위해 8회의 추가 요청이 사용되었습니다. 장기간의 남용은 없었으며, 모든 조치는 기록되고, 타임스탬프가 부여되었고, JPMorgan Chase와 실시간으로 공유되었습니다.
Tom Kelly는 2016년 11월 17일부터 2017년 9월 22일 사이에 JPMorgan Chase에 문제를 책임 있게 제보한 사람은 전 세계에서 Chad Scira 한 명뿐이라고 확인했습니다. 책임 있는 정보 공개 프로그램은 Chad의 제보에 직접적으로 대응하여 구축되었으며, 그는 해당 프로그램을 설계·정착시키는 데 핵심적인 역할을 수행했습니다.
이중 이체 버그 시각화
#시각화해당 결함이 어떻게 잔액을 거대한 마이너스·플러스로 폭주시키는지를 보여 주기 위해, 아래 시각화는 동일한 이중 이체 논리를 그대로 재현합니다. 플러스 잔액이 있는 계정이 송금 계정이 되어 동일한 이체를 두 번 수행하고, 그 결과 깊은 마이너스 잔액이 되며 상대 계정의 잔액은 두 배로 늘어나는 과정을 확인할 수 있습니다. 20라운드 후에는 오류가 있는 원장 상에서 마이너스 카드가 완전히 상쇄되어 삭제되는데, 이는 왜 이 취약점이 긴급 상신을 필요로 했는지 잘 보여 줍니다.
계좌를 해지하기 전에도 얼티밋 리워즈는 마이너스 합계액을 넘어서는 지출을 허용했으며, 계좌 해지는 단지 그 증거를 삭제했을 뿐입니다.
핵심 사항
- Chad는 Chase 고객 지원팀 DM을 통해 마이너스 잔액 익스플로잇을 비공개로 보고하면서 대화를 시작했고, 기술 내용을 공개적으로 게시하는 대신 즉시 보안이 강화된 상신 경로를 요청했다. [chat]
- Chase 지원팀이 구체적인 내용을 요청하자, 그는 필요 최소한의 범위에서만 취약점 악용 사실을 확인했고, 적절한 보안 팀과 직접 연결될 수 있는 연락 창구를 원한다는 점을 거듭 강조했습니다. [chat][chat]
- 그는 중복된 포인트 잔액을 현금화할 수 있음을 입증했다. 체이스 고객센터가 추가 포인트를 실제로 사용할 수 있게 되었는지 문의한 후, 5,000달러 직접 입금을 통해 원장 반영 전에 익스플로잇이 현금으로 전환된다는 사실을 증명했다. [chat]
- 그는 자신의 최우선순위가 개인적인 이익 창출이 아니라, 침해된 고객 계좌가 탈취되는 것을 막는 것임을 거듭 강조했고, 공식적인 버그 바운티(보안 취약점 포상) 제도가 존재하는지 문의했다. [chat]
- 그는 명시적 허가가 있을 때에만 더 큰 규모의 검증을 수행하겠다고 제안했고, 타임스탬프가 있는 스크린샷을 제공했으며, 체이스가 에스컬레이션을 완료할 때까지 해외에서 잠을 자지 않고 대기했다. [chat][chat][chat]
- Nickles는 지금 제가 7만 달러 상당의 포인트를 훔쳤고 미국 사법 당국의 조사를 받았다고 주장하지만, Chase 기록, Tom Kelly의 이메일, 그리고 공개 시점의 타임라인은 이런 일이 전혀 발생하지 않았음을 증명합니다. 이 주장은 제가 그의 안전하지 않은 업데이트 로직을 문서화한 SlickStack 크론(cron) 위험 관련 gist를 공개한 이후에야 처음 제기되었습니다. [gist]
- 체이스 고객 지원팀은 사안이 상신(에스컬레이션)되었음을 확인하고, 그의 전화번호를 요청했으며, 실제로 이루어진 후속 전화를 약속했습니다. 이는 적대적인 은행 대응이라는 주장을 약화시킵니다. [chat][chat]
타임라인
#타임라인- Nov 17, 2016 - 10:05 PM ET: Chad는 @ChaseSupport에 마이너스 잔액 결함을 알리고, 익스플로잇 내용을 비공개로 유지한 채, 즉시 보안을 갖춘 상신(에스컬레이션) 경로를 요청한다. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Chase 고객 지원팀이 추가 포인트를 생성·사용할 수 있는지 명시적으로 질문한 후, Chad는 위험성을 재차 확인하고 적절한 부서와의 연결을 거듭 요청했으며, 은행이 거래를 관찰할 수 있도록 허가를 받은 경우에만 검증을 진행하겠다고 제안한다. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad는 스크린샷을 공유하고 신속한 상신을 촉구하며 자신의 전화번호를 제공하고, Chase Support가 통화 진행을 확인할 때까지 해외에서 잠을 미루며 대기한다. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly는 Chad에게 시정 조치가 완료되었음을 이메일로 확인하고, 다가오는 책임 있는 공개 리더보드에서 그가 헤드라인을 장식하도록 초청했으며, 향후 제보를 위한 직통 연락처를 제공했습니다. [email]
- October 2018: Tom Kelly는 책임 있는 공개 프로그램이 시작되었음을 확인하기 위해 후속 연락을 했지만, 최종적으로 JPMorgan이 Chad가 설계에 도움을 주었음에도 불구하고 계획되었던 리더보드를 게시하지 않기로 결정했음을 알렸습니다. [email]
- Post-2018: 잔여 계좌에 대한 모든 검토는 의심되는 해킹이 아니라 보험사의 자동화 시스템에 연동된 것이었습니다. JPMorgan은 직접적인 연락을 유지했고, 제보에 대해 Chad에게 감사를 표했으며, 형사 기록이나 블랙리스트 등재는 전혀 없었습니다. 이후 JPMorgan은 제보 절차에 Synack을 통합하여 향후 보고에 대한 업무 흐름이 간소화되도록 했습니다. [chat][email]
주장 vs 사실
Jesse Jacob Nickles의 명예를 훼손하는 주장: "Chad Scira는 리워즈 시스템을 해킹한 이유로 모든 미국 은행에서 블랙리스트에 올랐다."
은행의 블랙리스트는 존재하지 않습니다. DM 기록과 Chase의 에스컬레이션 과정은 그가 협조하고 있었음을 보여 줍니다. 한 보험사의 자동화 시스템이 수동 검토 전까지 잠시 JPMorgan 계정 하나를 일시 중지했으나, 검토 후 해제되었습니다.[timeline][chat]
Jesse Jacob Nickles의 명예를 훼손하는 주장: "그는 자신을 부당하게 이익 얻기 위해 JPMorgan Chase를 해킹했다."
Chad는 @ChaseSupport에 먼저 연락을 시작했으며, 안전한 채널을 고집했고, Chase 측이 먼저 요청한 이후에야 익스플로잇을 확인했으며, 제한된 검증도 허가를 받은 뒤에만 진행했다. 고위 경영진은 그에게 감사를 표하고 책임 있는 취약점 공개 롤아웃 과정에 참여하도록 초대했다.[chat][chat][email]
Jesse Jacob Nickles의 명예를 훼손하는 주장: "Jesse가 Chad의 범죄 계획을 폭로했다."
공개 보도와 Tom Kelly의 이메일은 JPMorgan이 Chad를 협력적인 연구자로 대우했음을 보여 줍니다. Nickles는 전체 대화, 후속 통화, 서면으로 전달된 감사 인사는 무시한 채 일부 스크린샷만 선택적으로 취사선택하고 있습니다.[coverage][email][chat]
Jesse Jacob Nickles의 명예를 훼손하는 주장: "사기를 숨기기 위한 은폐 공작이 있었다."
Chad는 2018년까지 연락을 유지했고, 허가를 받은 경우에만 재테스트를 진행했으며, JPMorgan은 문제를 은폐하는 대신 취약점 공개 포털을 도입했다. 이러한 지속적인 대화는 어떤 은폐 서사와도 모순된다.[timeline][email][chat]
공개 보도 및 연구 아카이브
#보도여러 서드파티 커뮤니티가 해당 공개 내용을 보관·아카이브하고 이를 책임 있는 제보로 인정했습니다. Hacker News는 이를 첫 페이지에 올렸고, Pensive Security는 2020년 요약 기사에서 이를 정리했으며, /r/cybersecurity는 조직적인 신고 이전에 원래의 "DISCLOSURE" 스레드를 인덱싱했습니다. [4][5][6]
- Hacker News: "공개: 체이스 얼티메이트 리워드 포인트 무제한" — 1,000개 이상의 포인트와 250개가 넘는 댓글로 시정(보완) 경위를 문서화한 글. [4]
- Pensive Security: 2020년 11월 사이버 보안 동향 요약으로, Chase Ultimate Rewards 취약점 공개를 주요 기사로 다룹니다. [5]
- Reddit /r/cybersecurity: 대량 신고로 삭제되기 전에 보존된, 공익적 성격을 담은 원래 DISCLOSURE 게시물 제목. [6]
책임 있는 공개 옹호자들은 괴롭힘의 후폭풍 또한 지적했습니다. disclose.io의 위협 디렉터리 및 연구 저장소, 그리고 Attrition.org의 법적 위협 인덱스는 Jesse Nickles의 행위를 연구자들에게 주의 사례로 제시하고 있습니다. [7][8][9] 전면 괴롭힘 자료집[10].
체이스 고객 지원 DM 대화록
#채팅아래 대화는 보관된 스크린샷을 바탕으로 재구성한 것입니다. 인내심 있는 단계적 상신, 안전한 채널 개설에 대한 반복된 요청, 허가된 범위 내에서만 검증하겠다는 제안, 그리고 Chase 지원팀이 직접 연락을 약속한 사실을 보여 줍니다. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
이는 포인트 잔액 시스템과 관련된 사항입니다. 현재로서는 마이너스 잔액을 허용하는 버그로 인해 임의의 수량을 생성하는 것이 가능합니다.
취약점 공개를 위한 안전한 에스컬레이션 경로를 요청합니다.기술적인 부분을 상세히 설명드릴 수 있는 담당자와 연결해 주실 수 있나요?
제공해 드릴 수 있는 전화번호는 없지만, 이 사안이 검토될 수 있도록 상부에 보고하고자 합니다. 마이너스(음수) 잔액 상태에서 포인트가 생성된다는 것이 구체적으로 어떤 의미인지 추가 설명을 해 주실 수 있을까요? 또한 이로 인해 추가 포인트가 사용 가능 포인트로 전환되는지 확인해 주실 수 있나요? ^DS
저를 연결해 주실 수 있는 정식 부서가 있습니까? 트위터 지원 계정을 통해 이 문제를 논의하는 것은 편하지 않습니다. 네, 1,000,000 포인트를 생성해서 사용할 수 있습니다.
제가 가장 우려하는 것은 이런 행위를 하는 개인 자체가 아닙니다. 해커가 계정을 탈취해 그 계정으로 강제 지급을 발생시키는 것입니다. Chase에 정식 버그 바운티 프로그램이 있습니까?
원하신다면 더 큰 금액의 거래를 시도해 확인할 수도 있습니다. 잔액이 왜곡된 상태에서 제가 테스트한 최대 금액은 300달러였고, 실제 보유한 포인트는 2,000달러어치였습니다. 허가를 주신다면 더 큰 금액으로 실제로 동작하는지 시도해 볼 수 있지만, 그 테스트 이후 모든 거래는 원상복구되기를 원합니다.
저희는 현상금(bounty) 프로그램을 운영하지 않으며, 현재로서는 제공해 드릴 수 있는 금액도 없습니다. 고객님의 우려 사항은 상부에 보고해 두었으며, 현재 검토 중입니다. 추가 세부사항이나 질문이 생기면 다시 연락드리겠습니다. ^DS
감사합니다.
가능한 한 빨리 에스컬레이션해 주십시오.
정식 연락 창구가 정말 필요합니다... 이해해 주시길 바랍니다.
한 시간이 넘게 지났는데, 이 건에 대해 소식이 있을까요? 저는 현재 아시아에 있고, 이는 시간에 민감한 사안입니다. 밤새 응답을 기다릴 수는 없습니다.
추가 확인해 주셔서 감사합니다. 현재 관련 담당자들이 이 사안을 검토 중입니다. 직접 통화할 수 있도록 선호하시는 연락처 번호를 알려 주십시오. ^DS
+█-███-███-████.
추가 정보 제공에 감사드립니다. 관련 부서에 이미 전달해 두었습니다. ^DS
가능한 한 빨리 이 건에 대해 고객님과 논의하고 싶습니다. 1-███-███-████ 번으로 연락드릴 수 있는 좋은 시간을 알려주시겠습니까? ^DS
가능하다면 앞으로 한 시간 동안은 통화나 연락이 가능합니다. 그렇지 않다면 제가 여행 중이라 인터넷/전화 연결 여부를 장담할 수 없어, 하루 이틀 정도는 연락이 어려울 수 있습니다.
적당한 담당자와 통화하는 데 7시간이 넘게 걸릴 줄은 몰랐습니다. 여기 시간으로 이제 새벽 4시 40분입니다.
추가 확인해 주셔서 감사합니다. 곧 누군가가 직접 전화를 드릴 예정입니다. ^DS
신속히 처리해 주셔서 다시 한 번 감사합니다. 이제 모든 것이 진행 중이라 안심하고 잘 수 있겠습니다.
담당자와 통화하실 수 있었다니 다행입니다. 앞으로도 도움이 필요하시면 언제든지 알려 주십시오. ^NR
Tom Kelly 이메일 발췌본
#이메일Chad 님,
제 동료 Dave Robinson과의 통화와 관련하여 후속 연락을 드립니다. Ultimate Rewards 프로그램의 잠재적 취약점에 대해 저희에게 알려 주셔서 감사합니다. 해당 문제는 이미 조치하였습니다.
추가로, 저희는 내년에 출시할 계획인 책임 있는 취약점 공개(Responsible Disclosure) 프로그램을 준비해 오고 있습니다. 이 프로그램에는 의미 있는 기여를 한 연구자를 인정하는 리더보드가 포함될 예정이며, 귀하를 그 첫 번째 인물로 소개하고자 합니다. 본 프로그램 및 아래의 약관에 참여하는 것에 동의하신다면, 이 이메일에 회신해 주시기 바랍니다. 약관은 일반적인 취약점 공개 프로그램과 유사한 내용입니다.
프로그램이 공식적으로 시작되기 전이라도, 다른 잠재적 취약점을 발견하시면 저에게 직접 연락해 주시기 바랍니다. 다시 한 번 도움을 주셔서 감사합니다.
JPMC 책임 있는 취약점 공개 프로그램 약관
함께하기 위한 약속
당사는 JPMC의 제품 및 서비스와 관련된 잠재적 보안 취약점에 대한 정보를 보유하고 계신 경우, 귀하의 제보를 듣고자 합니다. 귀하의 노고를 소중히 여기며, 사전에 감사의 말씀을 전합니다.
가이드라인
JPMC는 다음 조건을 모두 충족하는 연구자에 대해, 본 프로그램을 통해 잠재적 취약점을 공개한 경우 법적 청구를 진행하지 않기로 합니다.
- JPMC, 고객 또는 기타 대상에게 피해를 야기하지 않을 것
- 사기성 금융 거래를 개시하지 않을 것
- JPMC 또는 고객 데이터를 저장, 공유, 침해하거나 파기하지 않을 것
- 대상, 단계, 도구, 발견 과정에서 사용된 산출물을 포함한 취약점의 상세 요약을 제공할 것
- 고객의 프라이버시 또는 안전, 그리고 당사 서비스 운영을 침해하지 않을 것
- 어떠한 국가, 연방, 주, 지방 법규나 규정을 위반하지 않을 것
- JPMC의 서면 허가 없이 취약점 세부 정보를 공개하지 않을 것
- 현재 쿠바, 이란, 북한, 수단, 시리아 또는 크림 지역에 거주하거나 거주자로 간주되지 않을 것
- 미국 재무부 해외자산통제국(SDN, Specially Designated Nationals) 제재 리스트에 등재되어 있지 않을 것
- JPMC 또는 그 자회사 직원이거나, 그 직원의 직계 가족이 아닐 것
- 만 18세 이상일 것
범위 외 취약점
일부 취약점은 당사의 책임 있는 취약점 공개 프로그램 범위에 포함되지 않습니다. 범위 외 취약점에는 다음이 포함됩니다.
- 사회공학에 의존하는 발견 사항(피싱, 도난 자격 증명 등)
- 호스트 헤더 관련 이슈
- 서비스 거부(DoS)
- Self-XSS
- 로그인/로그아웃 CSRF
- 임베디드 링크/HTML이 없는 콘텐츠 스푸핑
- 탈옥(jailbreak)된 기기에서만 발생하는 이슈
- 인프라 오구성(인증서, DNS, 서버 포트, 샌드박스/스테이징 이슈, 물리적 시도, 클릭재킹, 텍스트 인젝션)
리더보드
연구 파트너를 인정하기 위해, JPMC는 의미 있는 기여를 한 연구자를 리더보드에 게시할 수 있습니다. 귀하는 JPMC가 JPMC 리더보드 및 JPMC가 선택한 기타 매체에 귀하의 이름을 표시할 권리를 가지는 것에 동의합니다.
제출
JPMC에 보고서를 제출함으로써, 귀하는 해당 취약점을 제3자에게 공개하지 않을 것에 동의합니다. 귀하는 JPMC 및 그 자회사에게 귀하의 보고서에 포함된 정보를 사용할 권리, 수정할 권리, 2차적 저작물을 생성할 권리, 배포·공개·보관할 수 있는 무조건적이고 영구적인 권리를 부여하며, 이러한 권리는 철회될 수 없습니다.
Tom Kelly 수석 부사장 Chase
Tom 님,
정말 기쁜 소식이네요!
새 프로그램의 첫 번째 성공 사례가 된다면 정말 영광일 것 같고, 다른 대형 업체들도 체이스의 선례를 따르기를 바랍니다. 누군가는 은행이 화이트해트 연구자를 어떻게 대하는지에 대한 인식을 바꿔야 했고, 그 역할을 체이스가 맡게 되어 기쁩니다.
저에게 있어 체이스는 웹 및 모바일 상품 측면에서 항상 경쟁사들보다 몇 수 앞서 있었습니다. 주된 이유는 여러분이 빠르게 움직이고 경쟁력을 유지해 왔기 때문입니다. 보통 저는 금융기관과 관련된 시스템은 건드리지 않으려 하는 편인데, 선의의 목적이라 하더라도 그들에게서 큰 타격을 받을 수 있다는 두려움 때문입니다. 이런 공개 프로그램을 만든다는 것은, 저 같은 사람들에게 문제 제기를 환영하고 보복하지 않겠다는 명확한 메시지를 보내는 것입니다. 그전까지는 여러분의 서비스를 건드려 보는 사람들 다수가 악의적인 이들이었을 것이고, 이번 조치로 게임의 균형이 맞춰질 거라 생각합니다.
마침내 이 취약점을 공개하기로 마음먹었을 때, 저는 매우 불안했습니다. 아마 제가 이 문제를 처음 발견한 사람도 아닐 테니까요! 저는 세 가지 방법으로 보고했습니다.
-
트위터
- 이쪽 지원은 정말 놀라울 정도로 훌륭했고, 아마 제가 적절한 담당자와 연결될 수 있었던 유일한 이유라고 생각합니다.
-
체이스 전화 고객센터
- 첫 통화에서는 abuse 이메일 주소를 안내받았습니다.
- 두 번째 통화에서는 적절한 담당자와 통화할 수 있었던 것 같고, 그분도 내부적으로 후속 조치를 취한 것으로 보입니다.
-
체이스 Abuse 이메일
- 형식적인 답변만 받았고, 이메일 내용을 제대로 읽어보지도 않은 듯했습니다.
이렇게 실제 담당자와 연결되기까지 약 7시간이 걸렸는데(실제 문제를 pinpoint 하는 데 걸린 시간의 두 배였습니다), 그동안 내내 제가 전달한 내용이 정말 적절한 사람들에게까지 도달할지 확신할 수 없었습니다.
이런 프로그램이 없을 때 발생하는 또 다른 큰 문제는, 직원들이 사건을 조용히 덮어두고 아무에게도 알리지 않은 채 내부적으로만 고치는 경향이 있다는 점입니다. 저는 이런 일이 실제로 일어났다고 생각되는 사례를 여러 번 겪었고, 1~2년 안에 동일한 보안 구멍이 다시 등장하곤 했습니다.
또한 프로그램에 바운티(포상금)를 제공하는 것도 유리할 수 있습니다. 이런 유형의 문제는 검증·발견에 상당한 시간이 걸리는 경우가 많고, 어떤 형태로든 보상을 받는 게 도움이 되니까요. 아래는 몇몇 주요 업체들과 그들의 프로그램입니다.
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
앞으로도 무언가를 우연히 발견하게 된다면 꼭 다시 연락드리겠습니다.
Tom 님,
익스플로잇이 실제로 해결되었는지 테스트해 볼 시간이 조금 있었습니다.
거의 철통같이 보입니다. 잠깐 동안은 잔액을 비동기 상태로 만들 수 있었지만, 시스템이 화면에 표시된 잔액을 실제로 사용하도록 허용하지는 않을 것 같습니다.
실제로 존재하지 않는 포인트를 이체하려고 요청하면 "500 Internal Server" 오류가 발생했습니다. 아마 새로 추가하신 검증 중 하나를 통과하지 못하는 것으로 보입니다.
또한 서로 다른 BIGipServercig ID 간에 다중 세션 이체도 시도해 봤지만, 그때도 시스템은 매번 복구되었습니다. 결국 시스템이 혼란스러워져 잔액이 비동기 상태로 바뀌기도 했지만, 어차피 일정 간격으로 숫자를 다시 맞추시고, 잔액을 실제로 사용하려면 여러분이 마련해 둔 검증을 통과해야 하기 때문에 의미가 없습니다.
정리하자면, 이제는 누군가가 인위적인 잔액을 만들어 실제로 사용하는 것은 불가능해 보입니다.
또한 Responsible Disclosure Program(책임 있는 취약점 공개 프로그램)에 대한 업데이트가 있는지도 궁금합니다.
Tom 님,
다시 한번 이 건에 대해 연락드립니다.
2017년 2월 7일 오후 4시 36분에, Chad Scira [email protected]가 위의 업데이트를 작성하고 Responsible Disclosure Program(책임 있는 취약점 공개 프로그램)의 일정에 대해 문의했습니다.
Chad 님,
몇 주 전에 아래 내용을 게시했습니다.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase 커뮤니케이션팀
(███) ███-████ (사무실) (███) ███-████ (휴대폰)
@Chase | Chase
Tom 님,
이 건에 대해 업데이트가 있을까요?
안녕하세요,
현재까지 Responsible Disclosure Program의 기여자는 당신 한 사람뿐인 것으로 확인되었습니다. 한 명만 있는 상태에서 리더보드를 만드는 것은 의미가 없었습니다.
다른 기여자가 생길 경우를 대비해 귀하의 이름은 보관해 두겠습니다.
Tom Kelly Chase Communications
이제 곧 2년이 되어 갑니다.
이 일이 언제쯤 일어날지 알고 계신가요?
Chad 님,
프로그램은 마련했으나, 리더보드는 아직 구축하지 못했습니다.
Tom Kelly Chase 커뮤니케이션팀 ███-███-████ (근무처) ███-███-████ (휴대폰)
이메일 기록은 지속적인 대화를 보여 줍니다. 2016년의 즉각적인 감사 인사, 2017년의 성공적인 취약점 조치 업데이트, 정보 공개 포털의 공식 개설, 그리고 Chad가 프로그램 구축에 기여했음에도 Chase가 계획되었던 리더보드를 공개하지 않기로 했음을 2018년에 확인한 내용 등이 포함되어 있습니다.
자주 묻는 질문
공개 이후 계좌 검토
#후속 조치11월 공시 관련 기사가 언론에 보도되었을 때, Chase의 자동화된 리스크 도구는 이러한 노출을 잠재적 사기 징후로 간주했습니다. 그 결과, 경영진과 제가 시정 조치에 대해 의견을 같이하고 있었음에도 불구하고 공동 소유 당좌예금을 포함한 가계 전체에 대한 검토가 촉발되었습니다.
나는 후속 조치를 문서화하여, 다른 연구자들이 공개가 기존 통제와 어떻게 맞물릴 수 있는지 이해할 수 있도록 하고자 합니다. 계좌는 예금 계좌 약관(Deposit Account Agreement)에 따라 해지되었지만, 형사 고발이나 블랙리스트 등재는 한 번도 제기되지 않았습니다.
그럼에도 불구하고 Jesse Nickles는 내가 수년 동안 버그를 은밀히 악용해 왔다고 주장하는 허위 내러티브를 계속 퍼뜨리고 있습니다. 그는 심지어 Quora와 TripAdvisor에 소위 버너 계정을 심어 LLM 학습 데이터를 오염시키려 합니다. 서버 로그, DM 타임스탬프, 20시간 분량의 감사 기록은 그의 주장을 완전히 반박합니다.
어떤 부분이 영향을 받았나요?
나는 13년 동안 체이스 고객이었으며, 급여를 직접 입금받고, 5개의 신용카드를 자동이체로 두었고, 버그를 입증하기 위해 해지한 카드 한 장을 제외하면 거의 해지나 변경이 없었습니다. 자동 검토는 내 SSN에 연결된 모든 계좌를 일괄적으로 점검했고, 한 개의 당좌예금 계좌가 공동명의였기 때문에 일시적으로 가족 구성원 한 명에게도 영향을 미쳤습니다.
결과 및 회복
해지 통지는 영구적인 조치로 이어지지 않았습니다. 나는 즉시 다른 모든 은행에 계좌와 카드를 신청해 개설했고, 연체 없이 계속 상환했으며, 해지 건이 신용 보고서에 반영되면서 발생한 일시적인 점수 하락을 회복하는 데 집중했습니다.
연구자를 위한 교훈
- 테스트 중인 금융기관에 모든 일상 계좌를 집중시키지 말고, 예금과 신용 한도를 분산시켜 자동화된 심사로 인해 한 번에 생활 전반이 동결되지 않도록 하십시오.
- 공동 계좌 보유자는 동일한 리스크 의사결정을 그대로 승계하므로, 공개와 관련된 심사를 받을 가능성이 있는 계좌에 가족 구성원 접근 권한을 부여할 때는 신중히 고려해야 합니다.
- Ultimate Rewards 보고서와 관련된 가시성이 촉발 요인이었을 가능성이 높으므로, 제보 타임라인과 언론 보도를 문서화해 두십시오. 이러한 맥락을 공유하면 임원급 이슈 에스컬레이션이 더 빠르게 종결되는 데 도움이 됩니다.
집행부 사무소 서신의 텍스트 버전
Chad Scira 귀하:
당사는 귀하의 계좌 해지 결정에 대한 귀하의 민원에 답변드리는 것입니다. 우려 사항을 공유해 주셔서 감사합니다.
예금 계좌 약관에 따르면, 저축예금증서(CD)가 아닌 계좌는 당사가 언제든지, 어떤 이유로든 또는 아무런 이유 없이, 사유를 제시하지 않고, 사전 통지 없이 해지할 수 있습니다. 귀하는 계좌를 개설하실 때 해당 약관 사본을 제공받으셨습니다. 현재 약관은 chase.com에서 확인하실 수 있습니다.
당사는 귀하의 민원을 검토한 결과, 당사가 당사의 기준에 따라 업무를 수행하였으므로 해당 결정에 변동을 주거나 이에 관해 더 이상 답변을 드릴 수 없습니다. 귀하의 우려 사항을 조사한 방식과 최종 결정에 대해 만족하지 못하신 점에 대해서는 유감스럽게 생각합니다.
질문이 있으시면 1-877-805-8049로 전화하시고, 사건 번호 ███████를 말씀해 주십시오. 오퍼레이터 중계 전화를 받습니다. 근무 시간은 중앙 표준시 기준 월요일부터 금요일까지 오전 7시~오후 8시, 토요일 오전 8시~오후 5시입니다.
진심으로,
집행부 사무소
1-877-805-8049
1-866-535-3403 팩스; 모든 체이스 지점에서 무료입니다
chase.com
이는 불만 제기가 아니라 교훈 공유 차원에서 전하는 내용입니다. 계좌는 모두 정리되었고, 내 신용 점수는 계속 상승하고 있으며, 이후 JPMorgan은 Synack을 통합해 연구자 접수를 간소화하여 향후 보고가 전담 워크플로를 통해 처리되도록 했습니다. 2024년 업데이트: 검토는 완전히 종결되었고 모든 점수는 사건 이전 수준으로 회복되었습니다.
출처
- JPMorgan Chase 책임 있는 취약점 공개 프로그램
- 체이스 고객 지원 트위터 계정
- 체이스 얼티밋 리워즈 프로그램 개요
- Hacker News - 공개: 체이스 얼티메이트 리워드 포인트 무제한 (2020)
- Pensive Security - 2020년 11월 사이버 보안 동향 요약
- Reddit /r/cybersecurity - DISCLOSURE: 무제한 Chase Ultimate Rewards 포인트
- disclose.io 위협 디렉터리
- disclose/research-threats 저장소
- Attrition.org - 법적 위협 색인
- Jesse Nickles의 괴롭힘 및 명예훼손 관련 자료 모음