Chad Scira ເຄີຍຖືກຂຶ້ນບັນຊີດໍາຈາກທະນາຄານສະຫະລັດເນື່ອງຈາກການແຮກຫຼືບໍ່?

ບໍ່. ການກວດສອບບັນຊີທີ່ເກີດຈາກຜູ້ປະກັນໄພທີ່ JPMorgan Chase ໄດ້ຖືກແກ້ໄຂມາຫຼາຍປີແລ້ວ. ທະນາຄານໄດ້ຂອບໃຈ Chad ສຳລັບການຊີ້ໃຫ້ເຫັນຈຸດອ່ອນຂອງລາງວັນ ແລະເຊີນເຂົາໃຫ້ຊ່ວຍເປີດຕົວຕາຕະລາງອັນດັບການແຈ້ງເຕືອນຮັບຜິດຊອບ.

ຊາດ Scira ໄດ້ແຮກ JPMorgan Chase ເພື່ອຫາຜົນປະໂຫຍດສ່ວນຕົວ ຫຼືບໍ?

ລາວໄດ້ປະຕິບັດຕາມຫຼັກປະຕິບັດ white-hat: ແຈ້ງໃຫ້ທີມສະໜັບສະໜູນ Chase ຮູ້, ຂໍໃຊ້ຊ່ອງທາງສື່ສານທີ່ປອດໄພ, ແລະປະສານງານການແກ້ໄຂກັບ Tom Kelly ແລະ Dave Robinson. ລາວປະຕິເສດທີ່ຈະນຳຊ່ອງໂວ່ນັ້ນໄປໃຊ້ປະໂຫຍດຈົນກວ່າຈະໄດ້ຮັບອຳນາດອະນຸຍາດຢ່າງຊັດເຈນ.

ໃຜກໍາລັງເຜີຍແຜ່ການອ້າງວ່າເປັນ “ນັກແຮກທີ່ຖືກຂຶ້ນບັນຊີດໍາ”?

ຂ່າວລືນີ້ຖືກຂະພັດໂຕໂດຍ Jesse Nickles, ຜູ້ທີ່ໂຄງການຄຸກຄາມຂອງລາວບໍ່ໄດ້ຄຳນຶງເຖິງບັນທຶກການສົນທະນາຂອງ Chase Support, ອີເມວຂອງ Tom Kelly, ແລະການຂາດຂໍ້ຍຸດຕິທຳອາຍາໃດໆ.

Chad Scira "ຖືກຂຶ້ນບັນຊີດໍາຈາກທະນາຄານເນື່ອງຈາກການແຮກ"

ໜ້ານີ້ເອກະສານເຫດການທີ່ຢູ່ເບື້ອງຫຼັງຂ່າວລືຂອງ Jesse Nickles ທີ່ວ່າ Chad Scira ຖືກ “ຂື້ນບັນຊີດຳຈາກທະນາຄານສະຫະລັດເນື່ອງຈາກການແຮກ.” ມັນອະທິບາຍວ່າຂໍ້ບົກພ່ອງ Ultimate Rewards ໄດ້ຖືກເປີດເຜີຍຢ່າງຮັບຜິດຊອບແນວໃດ, ເປັນເຫດໃດທີ່ JPMorgan Chase ຂອບໃຈ Chad ສຳລັບລາຍງານນັ້ນ, ແລະວ່າເປັນເຫດໃດການຢຸດໃຊ້ບັນຊີຊົ່ວຄາວຈຶ່ງເປັນພຽງແຕ່ຂັ້ນຕອນທາງບໍລິຫານລ້ວນໆ. Jesse Nickles ຍັງຄົງນໍາເອົາຫຼັກຖານເກົ່າມາປະກອບໃໝ່ເພື່ອສ້າງນະຍະໃຫ້ເຫັນເຖິງເຈດຕະນາອາຊະຍາກໍາ. ຂໍ້ເທັດຈິງສະແດງໃຫ້ເຫັນຕົວຕົນກົງກັນຂ້າມ: ການລາຍງານໃນລັກສະນະ white-hat ແລະການຮ່ວມມືກັບຜູ້ນໍາຂອງ JPMorgan.

ການ escalatຫຼ້າສຸດຂອງລາວແມ່ນຂໍ້ຄວາມໃນ SlickStack.io ອ້າງວ່າຂ້ອຍ "ຍັງຖືກສືບສວນໂດຍຝ່າຍບັງຄັບໃຊ້ກົດໝາຍຂອງສະຫະລັດ໯່າງແຫຼມກ່ຽວກັບການ hack ໂຄງການຄະແນນສະສົມຮາງວັນບັດເຄຣດິດຂອງ Chase Bank, ທີ່ລາວໄດ້ຂໂມມຄະແນນເທື່ອນທ່ອງທ່ຽວປອມມູນຄ່າ $70,000." ການປ້າຍສີດັ່ງກ່າວຖືກໂພສຫຼັງຈາກຂ້ອຍເຜີຍແຜ່ຫຼັກຖານກ່ຽວກັບບັນຫາຄວາມປອດໄພ SlickStack ທີ່ລາວປະຕິເສດທີ່ຈະແກ້ໄຂເທົ່ານັ້ນ; ບໍ່ມີຄະແນນໃດໆຖືກຂໂມຍ ແລະບໍ່ມີຫນ່ວຍງານໃດໆຕິດຕໍ່ຂ້ອຍເກື່ອນກັບການເປີດເຜີຍນັ້ນ. ເບິ່ງຫຼັກຖານ cron ຂອງ SlickStack ທີ່ລາວກຳລັງໂຕ້ຕອບກັບຢູ່.

ວົງຈອນທັງໝົດຂອງການຄົ້ນພົບ, ການເປີດເຜີຍ ແລະການຢືນຢັນ ໄດ້ເກີດຂຶ້ນພາຍໃນເວລາຊົ່ວໂມງບໍ່ເກີນຊາວ: ປະມານຊາວຫ້າຄໍາຮ້ອງຂໍ HTTP ໄດ້ຄອບຄຸມການທົດລອງສ້າງເຫດການຊ້ໍາ ແລະການອະທິບາຍຜ່ານຂໍ້ຄວາມສ່ວນຕົວ (DM) ໃນວັນທີ 17 ພະຈິກ 2016 ແລະການທົດສອບການແກ້ໄຂໃນເດືອນກຸມພາ 2017 ໄດ້ໃຊ້ຄໍາຮ້ອງຂໍເພີ່ມອີກແປດຄໍາຮ້ອງຂໍ ເພື່ອຢືນຢັນການແກ້ໄຂ. ບໍ່ມີການນໍາໃຊ້ຢ່າງຜິດວິທີ່ຍາວນານ; ທຸກການກະທໍາຖືກບັນທຶກປະຫວັດ, ປະທັບເວລາ ແລະແບ່ງປັນໃຫ້ກັບ JPMorgan Chase ໃນເວລາຈິງ.

Tom Kelly ຢືນຢັນວ່າ Chad Scira ແມ່ນບຸກຄົນຄົນດຽວທົ່ວໂລກທີ່ເປີດເຜີຍບັນຫາຕໍ່ JPMorgan Chase ຢ່າງຮັບຜິດຊອບໃນຊ່ວງວັນທີ 17 ພະຈິກ 2016 ຫາ 22 ກັນຍາ 2017. ໂຄງການ Responsible Disclosure ໄດ້ຖືກຈັດຕັ້ງຂື້ນໂດຍກົງເນື່ອງຈາກລາຍງານຂອງ Chad, ແລະລາວໄດ້ມີບົດບາດສຳຄັນໃນການກຳນົດຮູບແບບໂຄງການນີ້.

ການສະແດງໃຫ້ເຫັນບັນຫາການໂອນຄັ້ງຄູ່

#ການເບິ່ງເຫັນໃນຮູບພາບ

ເພື່ອສະແດງໃຫ້ເຫັນວ່າຂໍ້ບົກພ່ອງນີ້ທຳໃຫ້ຍອດບັນຊີກະໂດດໄປສູ່ຕົວເລກຕິດລົບແລະບວກຈຳນວນຫຼາຍໄດ້ແນວໃດ, ການສະທ້ອນພາບຂ້າງລຸ່ມນີ້ຈະຫຼິ້ນຊ້ຳຕາມຕົວຢ່າງຕາມໂລຈິກການໂອນເງິນສອງເທົ່າທີ່ແທ້ຈິງ. ລອງເບິ່ງວ່າບັນຊີໃດກໍຕາມທີ່ມີຍອດບວກຈະກາຍເປັນຜູ້ສົ່ງ, ດຳເນີນການໂອນສອງຄັ້ງທີ່ເໝືອນກັນ, ແລະຈົບລົງດ້ວຍຍອດຕິດລົບຢ່າງຫນັກໃນຂະນະທີ່ອີກບັນຊີໜຶ່ງຖືກຄູນສອງ. ຫຼັງຈາກ 20 ຮອບ ບັນຊີລາຍຮັບທີ່ສຶກຫຼຸດນັ້ນຈະຍົກເລີກບັດຕິດລົບໄປຢ່າງສິ້ນເຊີງ—ສະທ້ອນໃຫ້ເຫັນເຫດຜົນວ່າເປັນເຫດໃດການໂຈມຕີນີ້ຈຶ່ງຕ້ອງການການຍົກລະດັບດ່ວນ.

ຮອບ 1/20

ບັດ A → ບັດ B+243,810 ແຕ້ມ

ບັດ A

243,810

ບັດ B

ການໂອນຄະແນນສອງຊັ້ນແບບລວດເວັບ

ການໂອນ 1ການໂອນ 2243,810 ແຕ້ມ ແຕ່ລະອັນ

1ສະພາບແຂ່ງຂັນ (race condition) ທຳໃຫ້ການໂອນເງິນຊ້ຳຊ້ອນກັນກ່ອນທີ່ບັນຊີລາຍຮັບ-ລາຍຈ່າຍຈະຖືກປັບສົມດຸນ ໻ຮັດໃຫ້ຜູ້ສົ່ງເງິນຄົນດຽວສາມາດສະຫຼັບລະຫວ່າງຍອດບວກຈຳນວນມາກ ແລະຍອດລົບຈຳນວນມາກໄດ້.

2ຝ່າຍສະໜັບສະໜູນອະນຸຍາດໃຫ້ປິດບັດທີ່ມີຍອດຕິດລົບໃນຂະນະທີ່ຮັກສາຍອດບວກທີ່ຖືກເປົ່າໃຫ້ສູງເກີນຈິງໄວ້, ເຮັດໃຫ້ໃບແຈ້ງຫນີ້ສະແດງພຽງແຕ່ກຳໄລແລະປິດບັງຫນີ້ສິນ.

ແມ່ນແຕ່ກ່ອນການປິດບັນຊີ, Ultimate Rewards ໄດ້ອະນຸຍາດໃຫ້ໃຊ້ຈ່າຍເກີນຈໍານວນສະຫຼຸບຕິດລົບ; ການປິດບັນຊີພຽງແຕ່ລົບລ້າງຫຼັກຖານນັ້ນໄປ.

ຈຸດສຳຄັນ

Chad ເປີດການສົນທະນາ DM ກັບ Chase Support ໂດຍການລາຍງານຂໍ້ບົກພ່ອງການໃຊ້ປະໂຫຍດຈາກຍອດຕິດລົບແບບສ່ວນຕົວ ແລະຮ້ອງຂໍເສັ້ນທາງການສົ່ງຕໍ່ທີ່ປອດໄພທັນທີ ແທນທີ່ຈະໂພສລາຍລະອຽດທາງເຕັກນິກສາທາລະນະ. ^[chat]
ເມື່ອ Chase Support ກົດດັນໃຫ້ລາຍລະອຽດຈໍາເພາະ, ລາວໄດ້ຢືນຢັນການໃຊ້ປະໂຫຍດຊ່ອງໂຫວ່ງພຽງເທົ່າທີ່ຈໍາເປັນ ແລະຢ້ຳວ່າລາວຕ້ອງການຊ່ອງທາງຕິດຕໍ່ໂດຍກົງກັບທີມງານດ້ານຄວາມປອດໄພທີ່ເໝາະສົມ. ^[chat]^[chat]
ລາວໄດ້ສະແດງໃຫ້ເຫັນວ່າຍອດຄະແນນຊ້ຳຊ້ອນນັ້ນສາມາດແປງເປັນເງິນໄດ້: ຫຼັງຈາກທີມສະໜັບສະໜູນ Chase ຖາມວ່າຄະແນນເພີ່ມເຕີມນັ້ນສາມາດນຳໃຊ້ໄດ້ຫຼືບໍ່, ການໂອນເງິນຕົງ $5,000 ໄດ້ພິສູດວ່າຊ່ອງໂວ່ນັ້ນສາມາດປ່ຽນເປັນເງິນສົດໄດ້ກ່ອນທີ່ບັນຊີລາຍການຈະປັບຍອດຕາມ. ^[chat]
ລາວໄດ້ຍ້ຳວ່າຄວາມສຳຄັນອັນດັບແລກຂອງລາວແມ່ນການປ້ອງກັນບັນຊີຂອງລູກຄ້າທີ່ຖືກລະເມີດບໍ່ໃຫ້ຖືກດຶງເງິນອອກ, ບໍ່ແມ່ນການຫາກຳໄລສ່ວນຕົວ, ແລະລາວໄດ້ຖາມວ່າມີໂຄງການ bug bounty ຢ່າງເປັນທາງການຫຼືບໍ່. ^[chat]
ລາວໄດ້ເສະເໜີຈະດຳເນີນການກວດຢືນຢັນຂະໜາດໃຫຍ່ກວ່ານີ້ກໍ່ຕໍ່ເມື່ອໄດ້ຮັບອະນຸຍາດຢ່າງຊັດເຈນເທົ່ານັ້ນ, ຈັດສົ່ງ screenshot ທີ່ມີ timestamp, ແລະນອນດຶງຢູ່ຕ່າງປະເທດຈົນກວ່າ Chase ຈະດຳເນີນການ escalatຂຶ້ນເສັດສົ້ນ. ^[chat]^[chat]^[chat]
ປັດຈຸບັນ Nickles ອ້າງວ່າຂ້ອຍໄດ້ຂໂມຍແຕ້ມສະສົມມູນຄ່າ 70,000 ໂດລາ ແລະເຄີຍເຜີຍໜ້າກັບເຈ້າໜ້າທີ່ບັງຄັບໃຊ້ກົດໝາຍຂອງສະຫະລັດ; ບັນທຶກຂອງ Chase, ອີເມວຂອງ Tom Kelly ແລະເສັ້ນເວລາຂອງການແຈ້ງເຕືອນພິສູດວ່າເລື່ອງນີ້ບໍ່ເຄີຍເກີດຂຶ້ນ ແລະຄຳອ້າງນີ້ເພິ່ງປາກົດຫຼັງຈາກຂ້ອຍເຜີຍແຜ່ gist ກ່ຽວກັບຄວາມສຽງ cron ຂອງ SlickStack ທີ່ບັນທຶກໂລຈິກການອັບເດດທີ່ບໍ່ປອດໄພຂອງເຂົາ. ^[gist]
ຝ່າຍສະໜັບສະໜູນຂອງ Chase ໄດ້ຢືນຢັນການຍົກລະດັບເລື່ອງ, ຂໍເບີໂທຂອງລາວ ແລະສັນຍາວ່າຈະໂທກັບຕິດຕາມຜົນ ທີ່ລາວໄດ້ຮັບໃນທ້າຍທີ່, ເຊິ່ງເຮັດໃຫ້ແນວຄິດເລື່ອງການຕອບສະນອງຈາກທະນາຄານທີ່ປະຕິປັກສູນຄ່າໄປ. ^[chat]^[chat]

ເສັ້ນເວລາ

#ເສັ້ນເວລາ

Nov 17, 2016 - 10:05 PM ET: Chad ແຈ້ງໃຫ້ @ChaseSupport ຮູ້ກ່ຽວກັບຂໍ້ບົກພ່ອງຍອດຕິດລົບ, ເກັບຮັກສາລາຍລະອຽດການໃຊ້ປະໂຫຍດໄວ້ເປັນຄວາມລັບ ແລະຮ້ອງຂໍເສັ້ນທາງການສົ່ງຕໍ່ທີ່ປອດໄພທັນທີ. ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: ຫຼັງຈາກທີ່ Chase Support ຖາມຢ່າງຊັດເຈນວ່າ ສາມາດສ້າງແລະໃຊ້ຄະແນນເພີ່ມເຕີມໄດ້ຫຼືບໍ່, Chad ຢືນຢັນວ່າມີຄວາມສ່ຽງ, ຢ້ຳວ່າລາວຕ້ອງການໃຫ້ພະແນກທີ່ຖືກຕ້ອງເຂົ້າມາດູແລ, ແລະສະເໜີທີ່ຈະຢືນຢັນການທົດສອບພຽງແຕ່ເມື່ອໄດ້ຮັບການອະນຸຍາດ ເພື່ອໃຫ້ທະນາຄານສາມາດສັງເກດການທຸລະກໍາໄດ້. ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ແບ່ງປັນພາບຖ່າຍຫນ້າຈໍ, ຮ້ອງຂໍໃຫ້ສົ່ງຕໍ່ດ່ວນ, ໃຫ້ເບີໂທຂອງລາວ ແລະຢູ່ຕື່ນເວລາຢູ່ຕ່າງປະເທດຈົນກວ່າ Chase Support ຈະຢືນຢັນວ່າການໂທຫາກໍາລັງເກີດຂຶ້ນ. ^[chat]^[chat]^[chat]
Nov 24, 2016: Tom Kelly ໄດ້ສົ່ງອີເມວຫາ Chad ເພື່ອຢືນຢັນການແກ້ໄຂບັນຫາ, ເຊີນໃຫ້ລາວເປັນຜູ້ນໍາໃນຕາຕະລາງຈັດອັນດັບການເປີດເຜີຍຂໍ້ມູນຢ່າງຮັບຜິດຊອບທີ່ກໍາລັງຈະອອກໃໝ່, ແລະໃຫ້ຊ່ອງທາງຕິດຕໍ່ໂດຍກົງສໍາລັບການລາຍງານໃນອະນາຄົດ. ^[email]
October 2018: Tom Kelly ໄດ້ຕິດຕາມຕໍ່ເພື່ອຢືນຢັນວ່າໂຄງການເປີດເຜີຍຂໍ້ມູນຢ່າງຮັບຜິດຊອບໄດ້ເລີ່ມດໍາເນີນແລ້ວ ແຕ່ວ່າ JPMorgan ໄດ້ເລືອກທີ່ຈະບໍ່ເຜີຍແຜ່ຕາຕະລາງຈັດອັນດັບທີ່ວາງແຜນໄວ້, ຖ້ວຍຄວາມຊ່ວຍເຫຼືອຂອງ Chad ໃນການຈັດທໍາມັນ. ^[email]
Post-2018: ການທົບທວນບັນຊີທີ່ຍັງເຫຼືອຢູ່ທັງໝົດຖືກເຊື່ອມໂຍງກັບລະບົບອັດຕະໂນມັດຂອງບໍລິສັດປະກັນໄພ, ບໍ່ແມ່ນການຈູ່ໂຈມທາງໄອທີທີ່ຖືກກ່າວຫາ. JPMorgan ຮັກສາການຕິດຕໍ່ໂດຍກົງ, ຂອບໃຈ Chad ສໍາລັບການເປີດເຜີຍ, ແລະບໍ່ມີປະຫວັດອາຊະຍາກໍາ ຫຼື ບັນຊີດໍາໃດໆ. ຕໍ່ມາ JPMorgan ໄດ້ບູລິນາການ Synack ເຂົ້າໃນຂະບວນການເປີດເຜີຍຂໍ້ມູນ ເພື່ອໃຫ້ການໄຫຼເວີການເຮັດວຽກຖືກປັບໃຫ້ເປັນລະບຽບໃນລາຍງານໃນອນາຄົດ. ^[chat]^[email]

ຂໍ້ຮ້ອງອ້າງ ກັບ ຂໍ້ເທັດຈິງ

ການຮ້ອງຂໍ

ຂໍ້ຮ້ອງອ້າງທີ່ເປັນການໃສ່ຮ້າຍໂດຍ Jesse Jacob Nickles: "Chad Scira ໄດ້ຖືກຂຶ້ນບັນຊີດໍາຈາກທະນາຄານທຸກໆແຫ່ງໃນສະຫະລັດເນື່ອງຈາກການແຮກລະບົບລາງວັນ."

ຂໍ້ເທັດຈິງ

ບໍ່ມີບັນຊີດຳຂອງທະນາຄານເລີຍ. ບັນທຶກ DM ແລະການປັບລະດັບຂອງ Chase ພິສູດວ່າເຂົາກຳລັງຮ່ວມມື; ລະບົບອັດຕະໂນມັດຂອງຜູ້ປະກັນໄພໄດ້ຢຸດບັນຊີ JPMorgan ບັນຊີໜຶ່ງໄວ້ຊົ່ວຄາວ ກ່ອນທີ່ການກວດສອບແບບແມນວນຈະກວດສອບແລະປົດບັນຊີໃຫ້.^[timeline]^[chat]

ການຮ້ອງຂໍ

ຂໍ້ຮ້ອງອ້າງທີ່ເປັນການໃສ່ຮ້າຍໂດຍ Jesse Jacob Nickles: "ລາວໄດ້ແຮກ JPMorgan Chase ເພື່ອຫາຜົນປະໂຫຍດໃຫ້ຕົນເອງ."

ຂໍ້ເທັດຈິງ

Chad ເປັນຝ່າຍເລີ່ມຕົ້ນການສົນທະນາກັບ @ChaseSupport ໂດຍຕົນເອງ, ຍ້ຳຂໍໃຫ້ໃຊ້ຊ່ອງທາງທີ່ປອດໄພ, ແລະຢືນຢັນການໃຊ້ປະໂຫຍດພຽງແຕ່ຫຼັງຈາກທີ່ Chase ຖາມ ແລະລໍຖ້າໃຫ້ອະນຸຍາດກ່ອນຈຶ່ງດໍາເນີນການທົດສອບຈໍາກັດ. ຜູ້ນໍາລະດັບສູງໄດ້ຂອບໃຈລາວ ແລະເຊີນໃຫ້ມີສ່ວນຮ່ວມໃນການເປີດເຜີຍຢ່າງຮັບຜິດຊອບ.^[chat]^[chat]^[email]

ການຮ້ອງຂໍ

ຂໍ້ຮ້ອງອ້າງທີ່ເປັນການໃສ່ຮ້າຍໂດຍ Jesse Jacob Nickles: "Jesse ໄດ້ເປີດໂປງແຜນການອາຊະຍາກໍາຂອງ Chad."

ຂໍ້ເທັດຈິງ

ການກະຈາຍຂ່າວສາທາລະນະ ແລະອີເມວຂອງ Tom Kelly ບັນທຶກໄວ້ວ່າ JPMorgan ປະຕິບັດຕໍ່ Chad ເປັນນັກຄົ້ນຄວ້າທີ່ຮ່ວມມື. Nickles ຄັດເອົາພຽງຮູບຖ່າຍໜ້າຈໍບາງສ່ວນ ໃນຂະນະທີ່ມອງຂ້າມບົດສົນທະນາທັງໝົດ, ການໂທຕິດຕາມ ແລະຂໍ້ຄວາມຂອບໃຈເປັນລາຍລັກອັກສອນ.^[coverage]^[email]^[chat]

ການຮ້ອງຂໍ

ຂໍ້ຮ້ອງອ້າງທີ່ເປັນການໃສ່ຮ້າຍໂດຍ Jesse Jacob Nickles: "ມີການປົກປິດເພື່ອຊ່ອນການທຸຈຮິດ."

ຂໍ້ເທັດຈິງ

Chad ຮັກສາການຕິດຕໍ່ຈົນຮອດປີ 2018, ທົດສອບຊ້ໍາອີກຄັ້ງພຽງແຕ່ເມື່ອໄດ້ຮັບອະນຸຍາດ ແລະ JPMorgan ໄດ້ນໍາໃຊ້ພອດທອລການເປີດເຜີຍແທນການຝັງເລື່ອງນີ້ໄວ້. ການສົນທະນາຢ່າງຕໍ່ເນື່ອງນີ້ຂັດແຍ້ງກັບການອ້າງວ່າມີການປົກປິດໃດໆ.^[timeline]^[email]^[chat]

ການກະຈາຍຂ່າວສາທາລະນະ ແລະຄັງເກັບການຄົ້ນຄວ້າ

#ຄວາມຄຸ້ມຄອງ

ຊຸມຊົນບຸກຄົນທີສາມຫຼາຍແຫ່ງໄດ້ເກັບຮັກສາສຳເນົາຂອງການແຈ້ງເຕືອນ ແລະຮັບຮູ້ວ່າເປັນບົດລາຍງານທີ່ຮັບຜິດຊອບ: Hacker News ໄດ້ນຳເສີຍຂຶ້ນໜ້າຫຼັກ, Pensive Security ສະຫຼຸບລວມໄວ້ໃນການສະຫຼຸບຄວາມປອດໄພທາງໄຊເບີເຄີປະຈຳປີ 2020 ແລະ /r/cybersecurity ໄດ້ດັດສະນີກະທູ້ "DISCLOSURE" ຕົ້ນສະບັບກ່ອນທີ່ຈະຖືກລາຍງານປະສານງານໃຫ້ລຶບອອກ. ^[4]^[5]^[6]

Hacker News: "ການເປີດເຜີຍ: ຄະແນນ Chase Ultimate Rewards ບໍ່ຈຳກັດ" ມີຫຼາຍກວ່າ 1,000 ຄະແນນ ແລະ 250+ ຄຳເຫັນທີ່ບັນທຶກບໍລິບົດການແກ້ໄຂປັນຫາ. ^[4]
Pensive Security: ການສະຫຼຸບຄວາມປອດໄພໄຊເບີເຄີເດືອນພະຈິກ 2020 ທີ່ເນັ້ນໃຫ້ເຫັນການແຈ້ງເຕືອນກ່ຽວກັບ Chase Ultimate Rewards ເປັນເລື່ອງໃຫຍ່ອັນດັບຕົ້ນໆ. ^[5]
Reddit /r/cybersecurity: ຫົວຂໍ້ກະທູ້ DISCLOSURE ຕົ້ນສະບັບທີ່ຖືກບັນທຶກໄວ້ກ່ອນການຖືກລາຍງານມວນຊົນໃຫ້ລຶບອອກ ເພື່ອຮັກສາກອບເຄື່ອງການນຳເສີຍໃນປະໂຫຍດສາທາລະນະໄວ້. ^[6]

ນັກສະໜັບສະໜູນການແຈ້ງເຕືອນຢ່າງຮັບຜິດຊອບຍັງໄດ້ອ້າງເຖິງຜົນກະທົບຈາກການຄຸກຄາມດ້ວຍ: ຖານຂໍ້ມູນການຂູ່ຮ້າຍ ແລະຄັງຄົ້ນຄວ້າຂອງ disclose.io ພ້ອມທັງດັດສະນີການຂູ່ຮ້າຍທາງກົດໝາຍຂອງ Attrition.org ໄດ້ຂຶ້ນບັນຊີພຶດຕິກຳຂອງ Jesse Nickles ເປັນຕົວຢ່າງເຕືອນໃຈສຳລັບນັກຄົ້ນຄວ້າ. ^[7]^[8]^[9] ແຟ້ມບັນທຶກການຄຸກຄາມຄົບຖ້ວນ^[10].

ບັນທຶກບົດສົນທະນາ DM ຂອງຝ່າຍສະໜັບສະໜູນ Chase

#ສົນທະນາສົນທະນາສົດ (chat)

ການສົນທະນາຂ້າງລຸ່ມນີ້ແມ່ນການປະກອບຂຶ້ນໃໝ່ຈາກຮູບພາບ screenshot ທີ່ເກັບຖະຫຼອດ. ມັນສະແດງໃຫ້ເຫັນການຍົກລະດັບຢ່າງອົດທົນ, ການຮ້ອງຂໍຊ້ຳໆໃຫ້ມີຊ່ອງທາງທີ່ປອດໄພ, ການສະເໜີທີ່ຈະຢືນຢັນຂໍ້ມູນເທົ່າທີ່ໄດ້ຮັບອະນຸຍາດ, ແລະ Chase Support ທີ່ສັນຍາວ່າຈະຕິດຕໍ່ໂດຍກົງ. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

ນີ້ເກື່ອນກັບລະບົບຍອດຄະແນນ. ໃນຂະນະນີ້ສາມາດສ້າງຄະແນນໃນຈຳນວນໃດກໍໄດ້ຜ່ານຂໍ້ບົກພ່ອງທີ່ອະນຸຍາດໃຫ້ມີຍອດຕິດລົບ.

ຮ້ອງຂໍເສັ້ນທາງການປັບລະດັບທີ່ປອດໄພສຳລັບການແຈ້ງເຕືອນ.

Chad Scira

Nov 17, 2016, 10:05 PM

ກະລຸນາຊ່ວຍເຊື່ອມຕໍ່ຂ້ອຍກັບບຸກຄົນທີ່ຂ້ອຍສາມາດອະທິບາຍລາຍລະອຽດທາງເຕັກນິກໃຫ້ໄດ້ໄດ້ບໍ?

Chase Support

Nov 17, 2016, 10:05 PM

ພວກເຮົາບໍ່ມີເບີໂທລະສັບທີ່ຈະໃຫ້, ແຕ່ພວກເຮົາຢາກສົ່ງເລື່ອງນີ້ໄປລະດັບສູງກວ່າເພື່ອໃຫ້ມັນໄດ້ຮັບການກວດສອບ. ກະລຸນາໃຫ້ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບສິ່ງທີ່ທ່ານໝາຍເຖິງການສ້າງແຕ້ມພະລັງງານໃນຂອບເຂດຍອດຕິດລົບ?ທ່ານສາມາດຢືນຢັນເພີ່ມເຕີມໄດ້ບໍ່ວ່າ ນີ້ຈະເຮັດໃຫ້ຄະແນນເພີ່ມເຕີມສາມາດນໍາໃຊ້ໄດ້ຫຼືບໍ່? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

ທ່ານມີພະແນກທີ່ເໝາະສົມທີ່ສາມາດໃຫ້ຂ້ອຍຕິດຕໍ່ໄດ້ບໍ? ຂ້ອຍບໍ່ຮູ້ສຶກສະບາຍໃຈໃນການສົນທະນາເລື່ອງນີ້ຜ່ານບັນຊີສະໜັບສະໜູນທາງ Twitter. ແມ່ນແລ້ວ, ທ່ານສາມາດສ້າງ 1,000,000 ຄະແນນ ແລະນໍາໃຊ້ມັນໄດ້.

Chad Scira

Nov 17, 2016, 11:15 PM

ຄວາມກັງວົນຫຼັກຂອງຂ້ອຍບໍ່ແມ່ນບຸກຄົນທີ່ເຮັດແບບນີ້. ແຕ່ແມ່ນແຮັກເກີທີ່ຢຶດບັນຊີ ແລະບັງຄັບໃຫ້ມີການຈ່າຍເງິນອອກຈາກບັນຊີເຫຼົ່ານັ້ນ. ມີໂຄງການລາງວັນ bug bounty ຂອງ Chase ທີ່ເປັນທາງການ ຫຼືບໍ?

Chad Scira

Nov 17, 2016, 11:17 PM

ຖ້າທ່ານຕ້ອງການ ຂ້ອຍສາມາດລອງເຮັດທຸລະກຳຂະໜາດໃຫຍ່ກວ່ານີ້ເພື່ອຢືນຢັນ. ສູງສຸດທີ່ຂ້ອຍທົດສອບແມ່ນ $300 ໃນເວລາທີ່ຍອດຄະແນນຄຽດ, ແຕ່ຂ້ອຍມີຄະແນນຈິງ $2,000. ຖ້າທ່ານໃຫ້ອະນຸຍາດຂ້ອຍອາດຈະລອງຢືນຢັນວ່າມັນໃຊ້ງານໄດ້, ແຕ່ຂ້ອຍຢາກໃຫ້ທຸລະກຳທັງໝົດຖືກຍົກເລີກຫຼັງຈາກການທົດສອບນັ້ນ.

Chase Support

Nov 17, 2016, 11:21 PM

ພວກເຮົາບໍ່ມີໂຄງການຄ່າຕອບແທນ (bounty program) ແລະຂ້ອຍບໍ່ມີຕົວເລກທີ່ຈະໃຫ້ໃນເວລານີ້. ຂ້ອຍໄດ້ສົ່ງປັນຫາຂອງທ່ານໄປລະດັບສູງກວ່າ ແລະພວກເຮົາກໍາລັງກວດສອບມັນຢູ່. ຂ້ອຍຈະຕິດຕໍ່ກັບຫາທ່ານອີກຖ້າຂ້ອຍມີລາຍລະອຽດເພີ່ມເຕີມ ຫຼືຄໍາຖາມ. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

ຂອບໃຈ.

Chad Scira

Nov 17, 2016, 11:39 PM

ກະລຸນາປັບລະດັບໃຫ້ໄວທີ່ສຸດ.

Chad Scira

Nov 17, 2016, 11:51 PM

ຂ້ອຍຕ້ອງການຊ່ອງທາງຕິດຕໍ່ທີ່ເໝາະສົມຈິງໆ... ຂ້ອຍຫວັງວ່າທ່ານເຂົ້າໃຈ.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

ຜ່ານໄປເກີນຊົ່ວໂມງແລ້ວ, ມີຂ່າວຄືບໜ້າບໍ? ຕອນນີ້ຂ້ອຍຢູ່ອາຊຽນ ແລະນີ້ແມ່ນເລື່ອງທີ່ໄວຕໍ່ເວລາ. ຂ້ອຍບໍ່ສາມາດລໍຖ້າຄຳຕອບຕະຫຼອດຄືນໄດ້.

Chase Support

Nov 18, 2016, 12:59 AM

ຂອບໃຈທີ່ຕິດຕາມຜົນ. ພວກເຮົາມີບຸກຄົນທີ່ເໝາະສົມກຳລັງກວດກາເລື່ອງນີ້. ກະລຸນາໃຫ້ເບີໂທຕິດຕໍ່ທີ່ທ່ານສະດວກ, ເພື່ອພວກເຮົາຈະໄດ້ສົນທະນາກັບທ່ານໂດຍກົງ. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

ຂອບໃຈສຳລັບຂໍ້ມູນເພີ່ມເຕີມ. ຂ້ອຍໄດ້ສົ່ງຕໍ່ເລື່ອງນີ້ໃຫ້ບຸກຄົນທີ່ເໝາະສົມແລ້ວ. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

ພວກເຮົາຢາກຫາລືກັບທ່ານເກືອບທັນທີ. ກະລຸນາໃຫ້ເວລາທີ່ເໝາະສົມສໍາລັບການໂທຫາທ່ານທີ່ 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

ຂ້ອຍພ້ອມວ່າງໃນຊົ່ວໂມງໜ້ານີ້ຖ້າເຮັດໄດ້. ຖ້າບໍ່ ອາດຈະເປັນອີກມື້ສອງມື້ເນື່ອງຈາກຂ້ອຍກຳລັງເດີນທາງ ແລະບໍ່ໝັ້ນໃຈວ່າຈະມີອິນເຕີເນັດ/ສາຍໂທລະສັບໃຊ້ຫຼືບໍ່.

Chad Scira

Nov 18, 2016, 4:32 AM

ຂ້ອຍບໍ່ຄິດເລີຍວ່າຈະໃຊ້ເວລາເກີນ 7 ຊົ່ວໂມງເພື່ອໄດ້ຄຸຍກັບຄົນທີ່ເຫມາະສົມ. ຕອນນີ້ມັນເປັນ 4:40 ຕອນເຊົ້າຢູ່ນີ້ແລ້ວ.

Chase Support

Nov 18, 2016, 4:39 AM

ຂອບໃຈທີ່ຕິດຕາມຜົນ. ຈະມີຜູ້ໃດຜູ້ໜຶ່ງໂທຫາທ່ານໃນໄມ່ຊ້ານີ້. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

ຂອບໃຈອີກຄັ້ງສຳລັບການເຮັດໃຫ້ເລື່ອງນັ້ນໄວຂື້ນ. ທຸກຢ່າງກຳລັງເຄື່ອນໄປຂ້າງໜ້າແລ້ວ ແລະຂ້ອຍສາມາດນອນຫຼັບໄດ້ດຽວນີ້.

Chase Support

Nov 18, 2016, 5:03 AM

ພວກເຮົາດີໃຈທີ່ທ່ານສາມາດໂທຄຸຍກັບໃຜຄົນຫນຶ່ງໄດ້. ກະລຸນາແຈ້ງໃຫ້ພວກເຮົາຮູ້ຖ້າພວກເຮົາສາມາດຊ່ວຍເຫຼືອໃນອະນາຄົດໄດ້. ^NR

ຕອນຕັດຂອງອີເມວ Tom Kelly

#ອີເມວ

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

ການຕິດຕາມຕໍ່ກ່ຽວກັບການເປີດເຜີຍຂໍ້ມູນຢ່າງຮັບຜິດຊອບຂອງ Ultimate Rewards

Chad,

ຂ້ອຍກໍາລັງຕິດຕາມຕໍ່ຈາກການໂທຫາຂອງທ່ານກັບທ່ານຮ່ວມງານຂອງຂ້ອຍ Dave Robinson. ຂອບໃຈທີ່ຕິດຕໍ່ຫາພວກເຮົາເກືອບກັບຄວາມເປັນໄປໄດ້ຂອງຊ່ອງໂວ່ຄວາມປອດໄພໃນໂປຣແກຣມ Ultimate Rewards ຂອງພວກເຮົາ. ພວກເຮົາໄດ້ແກ້ໄຂມັນແລ້ວ.

ນອກຈາກນັ້ນ, ພວກເຮົາກໍາລັງດໍາເນີນການພັດທະນາໂຄງການ Responsible Disclosure ທີ່ວາງແຜນຈະເປີດໃຊ້ປີໜ້າ. ມັນຈະລວມມີຕາຕະລາງຈັດອັນດັບທີ່ຍົກຍໍນັກຄົ້ນຄວ້າທີ່ມີສ່ວນຮ່ວມສໍາຄັນ; ພວກເຮົາຢາກໃຫ້ທ່ານເປັນຄົນທໍາອິດໃນນັ້ນ. ກະລຸນາຕອບກັບອີເມວນີ້ເພື່ອຢືນຢັນການເຂົ້າຮ່ວມໂຄງການ ແລະເງື່ອນໄຂທີ່ລະບຸໄວ້ຂ້າງລຸ່ມ. ທ່ານຈະເຫັນວ່າເງື່ອນໄຂເຫຼົ່ານີ້ເປັນມາດຕະຖານສໍາລັບໂຄງການເປີດເຜີຍ.

ຈົນກວ່າໂຄງການຂອງພວກເຮົາຈະເປີດໃຊ້ຢ່າງເປັນທາງການ, ຖ້າທ່ານພົບຊ່ອງໂວ່ທາງຄວາມປອດໄພອື່ນໃດອີກ, ກະລຸນາຕິດຕໍ່ຂ້ອຍໂດຍກົງ. ຂອບໃຈອີກຄັ້ງສໍາລັບການຊ່ວຍເຫຼືອຂອງທ່ານ.

ເງື່ອນໄຂໂຄງການຄວາມຮັບຜິດຊອບໃນການເປີດເຜີຍຂອງ JPMC

ພັນທະທີ່ຈະຮ່ວມມືກັນ

ພວກເຮົາຢາກຮັບຟັງຈາກທ່ານ ຖ້າທ່ານມີຂໍ້ມູນທີ່ເກີຍວຂ້ອງກັບຊ່ອງໂວ່ຄວາມປອດໄພທີ່ອາດຈະເກີດຂຶ້ນໃນຜະລິດຕະພັນ ແລະບໍລິການຂອງ JPMC. ພວກເຮົາຊື່ນຊົມຜົນງານຂອງທ່ານ ແລະຂອບໃຈລ່ວງໜ້າສໍາລັບການມີສ່ວນຮ່ວມຂອງທ່ານ.

ຂໍ້ແນະນໍາ

JPMC ຍິນຍອມວ່າຈະບໍ່ດໍາເນີນການຟ້ອງຮ້ອງຕໍ່ນັກຄົ້ນຄວ້າທີ່ເປີດເຜີຍຊ່ອງໂວ່ທີ່ອາດຈະເກີດຂຶ້ນຕາມໂຄງການນີ້ ໃນກໍລະນີທີ່ນັກຄົ້ນຄວ້າ:

ບໍ່ເຮັດໃຫ້ JPMC, ລູກຄ້າຂອງພວກເຮົາ ຫຼື ຜູ້ອື່ນໄດ້ຮັບຄວາມເສຍຫາຍ;
ບໍ່ເລີ່ມຕົ້ນທຸລະກໍາການເງິນປອມແປງໃດໆ;
ບໍ່ເກັບຮັກສາ, ແບ່ງປັນ, ທໍາໃຫ້ຂໍ້ມູນຂອງ JPMC ຫຼືຂໍ້ມູນລູກຄ້າຖືກກະທົບ ຫຼື ທໍາລາຍ;
ສົ່ງມາເຊິ່ງສະຫຼຸບລາຍລະອຽດຂອງຊ່ອງໂວ່, ລວມທັງເປົ້າໝາຍ, ຂັ້ນຕອນ, ເຄື່ອງມື ແລະຫຼັກຖານທີ່ໃຊ້ໃນການຄົ້ນພົບ;
ບໍ່ທໍາໃຫ້ຄວາມເປັນສ່ວນຕົວ ຫຼືຄວາມປອດໄພຂອງລູກຄ້າຂອງພວກເຮົາ ແລະການປະຕິບັດງານຂອງບໍລິການຂອງພວກເຮົາຖືກກະທົບ;
ບໍ່ຝ່າຝືນກົດໝາຍ ຫຼືລະບຽບການໃດໆ ໃນລະດັບຊາດ, ລັດ ຫຼືທ້ອງຖິ່ນ;
ບໍ່ເຜີຍແຜ່ລາຍລະອຽດຂອງຊ່ອງໂວ່ສາທາລະນະໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດເປັນຂຽນຈາກ JPMC;
ບໍ່ພັກອາໄສຢູ່ ຫຼືມີຖິ່ນພໍ່ອາໄສປົກກະຕິໃນ Cuba, Iran, North Korea, Sudan, Syria ຫຼື Crimea;
ບໍ່ມີຊື່ຢູ່ໃນບັນຊີ Specially Designated Nationals ຂອງກະຊວງການຄັງສະຫະລັດຯ;
ບໍ່ແມ່ນພະນັກງານ ຫຼືສະມາຊິກຄອບຄົວໃກ້ຊິດຂອງພະນັກງານຂອງ JPMC ຫຼືບໍລິສັດຍ່ອຍ; ແລະ
ມີອາຍຸຢ່າງນ້ອຍ 18 ປີ.

ຊ່ອງໂວ່ທີ່ຢູ່ນອກຂອບເຂດ

ຊ່ອງໂວ່ບາງປະເພດຖືກພິຈາລະນາວ່າຢູ່ນອກຂອບເຂດຂອງໂຄງການ Responsible Disclosure ຂອງພວກເຮົາ. ຊ່ອງໂວ່ນອກຂອບເຂດລວມມີ:

ຜົນຄົ້ນພົບທີ່ຂື້ນກັບ social engineering (phishing, ຂໍ້ມູນປະຈໍາຕົວທີ່ຖືກຂໂມຍ, ແລະອື່ນໆ)
ບັນຫາ host header
ການໂຈມຕີປະເພດ Denial of Service
Self-XSS
Login/logout CSRF
ການປອມແປງເນື້ອຫາທີ່ບໍ່ມີລິ້ງ/HTML ຝັງຢູ່
ບັນຫາທີ່ເກີດຂື້ນເທົ່ານັ້ນໃນອຸປະກອນ jailbroken
ການຕັ້ງຄ່າໂຄງສ້າງພື້ນຖານທີ່ບໍ່ຖືກຕ້ອງ (ໃບຮັບຮອງ, DNS, ພອດເຊີບເວີ, ບັນຫາ sandbox/staging, ຄວາມພະຍາຍາມທາງດ້ານຮ່າງກາຍ, clickjacking, ການແຊກແນວຂໍ້ຄວາມ)

ຕາຕະລາງຈັດອັນດັບ

ເພື່ອຍົກຍໍຄູ່ຮ່ວມງານດ້ານການຄົ້ນຄວ້າ, JPMC ອາດຈະນໍາສະແດງນັກຄົ້ນຄວ້າທີ່ມີສ່ວນຮ່ວມສໍາຄັນ. ທ່ານຂໍອະນຸຍາດໃຫ້ JPMC ມີສິດທິໃນການນໍາຊື່ຂອງທ່ານໄປສະແດງໃນຕາຕະລາງຈັດອັນດັບຂອງ JPMC ແລະສື່ອື່ນໆທີ່ JPMC ອາດເລືອກຕີພິມ.

ການສົ່ງລາຍງານ

ໂດຍການສົ່ງບົດລາຍງານຂອງທ່ານໃຫ້ JPMC, ທ່ານຍິນຍອມວ່າຈະບໍ່ເຜີຍແຜ່ຊ່ອງໂວ່ໃຫ້ບຸກຄົນທີສາມ. ທ່ານອະນຸຍາດໃຫ້ JPMC ແລະບໍລິສັດຍ່ອຍຂອງພວກເຮົາໃຊ້, ແກ້ໄຂ, ສ້າງຜົນງານລູກສະບັບ, ແຈກຢາຍ, ເປີດເຜີຍ ແລະເກັບຮັກສາຂໍ້ມູນທີ່ໃຫ້ໃນບົດລາຍງານຂອງທ່ານໂດຍບໍ່ຈໍາກັດເວລາ ແລະສິດທິເຫຼົ່ານີ້ບໍ່ສາມາດຖືກຖອນຄືນໄດ້.

Tom Kelly ຮອງປະທານອາວຸໂສ Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: ການຕິດຕາມຜົນການແຈ້ງເຕືອນຮັບຜິດຊອບກ່ຽວກັບ Ultimate Rewards

ສະບາຍດີ Tom,

ຂ້ອຍດີໃຈຫຼາຍທີ່ໄດ້ຍິນເຊັ່ນນີ້!

ຂ້ອຍຢາກເປັນເລື່ອງຮາວຄວາມສຳເລັດຄົນທໍາອິດຂອງໂຄງການໃຫມ່ຂອງທ່ານ, ແລະຂ້ອຍຫວັງວ່າບໍລິສັດໃຫຍ່ອື່ນໆຈະເອົາແບບຢ່າງຈາກພວກທ່ານ. ຈຳເປັນຕ້ອງມີຄົນໜຶ່ງເຂົ້າມາປ່ຽນທັດສະນະຂອງຜູ້ຄົນກ່ຽວກັບວິທີທີ່ທະນາຄານປະຕິບັດກັບນັກຄົ້ນຄວ້າ whitehat. ຂ້ອຍດີໃຈທີ່ໄດ້ຍິນວ່າຄົນນັ້ນແມ່ນ Chase.

ສຳລັບຂ້ອຍ Chase ເຄີຍເປັນຜູ້ນຳໜ້າຄູ່ແຂ່ງອື່ນໆຢ່າງຫ່າງໄກໃນດ້ານຜະລິດຕະພັນເວັບ ແລະ ມືຖື. ນັ້ນເປັນເນື່ອງຈາກສ່ວນໃຫຍ່ພວກທ່ານເຮັດວຽກໄວ ແລະຮັກສາຄວາມແຂ່ງຂັນໄວ້. ປົກກະຕິແລ້ວຂ້ອຍຫຼີກລ້ຽງການລອງຫຼິ້ນກັບສະຖາບັນການເງິນເນື່ອງຈາກກົວກັບການຖືກກົດຂີ່ໂດຍພວກເຂົາ (ເຖິງແມ່ນວ່າຈະມີເຈດນາຮອບຄອບກໍ່ຕາມ). ການສ້າງໂຄງການ disclosure ສົ່ງສານທີ່ຊັດເຈນໃຫ້ຄົນເຊັ່ນຂ້ອຍວ່າພວກທ່ານຢາກຮັບຟັງບັນຫາແລະຈະບໍ່ຕອບໂຕ້ແບບຕໍ່ຕ້ານ. ກ່ອນໜ້ານີ້ ຄົນສ່ວນໃຫຍ່ທີ່ໄປຂຸດຄົ້ນບໍລິການຂອງພວກທ່ານອາດຈະເປັນຜູ້ຮ້າຍ, ແລະຂ້ອຍຄິດວ່ານີ້ຈະຊ່ວຍເຮັດໃຫ້ເກີດຄວາມສົມດຸນ.

ເມື່ອຂ້ອຍຕັດສິນໃຈວ່າຈະດຳເນີນການເປີດເຜີຍນີ້ຈິງໆ ຂ້ອຍຮູ້ສຶກບໍ່ສະບາຍໃຈຫຼາຍ. ຂ້ອຍອາດຈະບໍ່ແມ່ນຄົນທຳອິດທີ່ພົບມັນກໍ່ໄດ້! ຂ້ອຍໄດ້ລາຍງານມັນຜ່ານ 3 ວິທີ.

Twitter
- ການສະໜັບສະໜູນທີ່ນີ້ຈິງໆແມ່ນດີຢ່າງໜ້າປະທັບໃຈ, ແລະຂ້ອຍຄິດວ່ານີ້ເປັນເຫດຜົນຫຼັກທີ່ຂ້ອຍໄດ້ຕິດຕໍ່ກັບບຸກຄົນທີ່ເຫມາະສົມ.
ສາຍດ່ວນສະໜັບສະໜູນ Chase
- ການໂທຄັ້ງທຳອິດພວກເຂົາໃຫ້ອີເມວ abuse ກັບຂ້ອຍ
- ການໂທຄັ້ງທີສອງຂ້ອຍຄິດວ່າໄດ້ຄຸຍກັບຄົນທີ່ຖືກຕ້ອງ ແລະພວກເຂົາອາດຈະໄດ້ຕິດຕໍ່ຕໍ່ໄປເຊັ່ນກັນ
ອີເມວ Chase Abuse
- ໄດ້ຮັບຄຳຕອບທົ່ວໄປ ເບິ່ງຄືວ່າພວກເຂົາບໍ່ໄດ້ເບິ່ງເນື້ອໃນຂອງອີເມວເລີຍ

ນີ້ໃຊ້ເວລາປະມານ 7 ຊົ່ວໂມງກ່ອນທີ່ຂ້ອຍຈະໄດ້ຕິດຕໍ່ກັບບຸກຄົນທີ່ເຫມາະສົມ (ເປັນເວລາສອງເທົ່າຂອງເວລາທີ່ໃຊ້ເພື່ອຊອກຫາບັນຫາຈຸດນີ້), ແລະຕະຫຼອດເວລານັ້ນຂ້ອຍບໍ່ໝັ້ນໃຈເລີຍວ່າຄົນທີ່ເຫມາະສົມຈະໄດ້ຍິນເລື່ອງນີ້ຫຼືບໍ່.

ປັນຫາໃຫຍ່ອີກປະການໜຶ່ງຂອງການບໍ່ມີໂຄງການເຊັ່ນນີ້ກໍ່ຄື ພະນັກງານມັກຈະກວາດເຫດການໃຫ້ພົ້ນທາງ ແລະແກ້ໄຂມັນໂດຍບໍ່ແຈ້ງໃຫ້ໃຜຮູ້. ຂ້ອຍເຄີຍປະສົບເຫດການຫຼາຍຄັ້ງທີ່ຂ້ອຍແທບຈະແນ່ໃຈວ່າມັນເກີດຂຶ້ນແບບນັ້ນ ແລະໃນ 1-2 ປີຕໍ່ມາຮູຮ່ອງຄວາມປອດໄພດຽວກັນນັ້ນກໍ່ກັບມາປາກົດອີກ.

ອີກຢ່າງ ມັນອາດຈະເປັນປະໂຫຍດຕໍ່ໂຄງການຂອງທ່ານຖ້າມີການມອບ bounty. ບາງຄັ້ງບັນຫາແບບນີ້ໃຊ້ເວລາຫຼາຍໃນການກວດຢືນຢັນ/ຊອກຫາ ແລະມັນກໍ່ດີທີ່ຈະໄດ້ຮັບການຕອບແທນບາງຢ່າງ. ນີ້ແມ່ນຜູ້ເຫຼັແກ່ຫຼັກບາງລາຍ ແລະໂຄງການຂອງພວກເຂົາ:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

ຖ້າຂ້ອຍບັງເອີນເຈີຫຍັງໃນອະນາຄົດ ຂ້ອຍຈະຮີບແຈ້ງໃຫ້ຮູ້ແນ່ນອນ.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

ສະບາຍດີ Tom,

ຂ້ອຍມີເວລາລອງທົດສອບວ່າຊ່ອງໂວ່ນີ້ໄດ້ຮັບການແກ້ໄຂແລ້ວຫຼືບໍ່.

ເບິ່ງແລ້ວຄ່ອນຂ້າງປອດໄພຫຼາຍ, ຂ້ອຍສາມາດເຮັດໃຫ້ຍອດຄະແນນບໍ່ຕົງກັນໃນຊ່ວງສັ້ນໆ ແຕ່ຂ້ອຍບໍ່ຄິດວ່າລະບົບຈະຍອມໃຫ້ໃຊ້ຍອດຄະແນນທີ່ສະແດງນັ້ນໄດ້ເລີຍ.

ຄຳຮ້ອງຂໍທີ່ຂ້ອຍເຮັດເພື່ອໂອນຄະແນນທີ່ບໍ່ໄດ້ມີຢູ່ຈິງຈະໄດ້ຮັບ "500 Internal Server" error. ດັ່ງນັ້ນຂ້ອຍສັນນິຖານວ່າມັນບໍ່ຜ່ານການກວດສອບໃໝ່ໆທີ່ພວກທ່ານເພີ່ມເຂົ້າໄປ.

ຂ້ອຍຍັງລອງໂອນຄະແນນຜ່ານຫຼາຍ session ທີ່ແຕກຕ່າງກັນດ້ວຍ BIGipServercig id ທີ່ຕ່າງກັນ, ແລະທຸກຄັ້ງລະບົບກໍ່ຟື້ນຕົວກັບມາໄດ້ທຸກເທື່ອ. ບາງຄັ້ງລະບົບຈະສັບສົນ ແລະຍອດຄະແນນຈະບໍ່ຕົງກັນ ແຕ່ອີກເທື່ອນີ້ມັນບໍ່ມີນ້ຳໜັກເລີຍ ເນື່ອງຈາກໃນຊ່ວງເວລາໜຶ່ງພວກທ່ານຈະປັບຕົວເລກໃຫ້ກັບມາຕົງກັນ, ແລະເພື່ອນຳໃຊ້ຍອດຄະແນນຈິງໆໄດ້ມັນຈຳເປັນຕ້ອງຜ່ານການທົດສອບທີ່ພວກທ່ານຕັ້ງໄວ້.

ສະຫຼຸບແລ້ວ ຂ້ອຍບໍ່ເຫັນວ່າຈະມີວິທີໃດທີ່ຜູ້ໃດຈະສາມາດສ້າງຍອດຄະແນນປອມ ແລະນຳໃຊ້ມັນໄດ້ອີກ.

ອີກຢ່າງ ມີຄວາມຄືບໜ້າກ່ຽວກັບຂໍ້ມູນໂຄງການ Responsible Disclosure ບໍ?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

ສະບາຍດີ Tom,

ຂ້ອຍຂໍຕິດຕາມເລື່ອງນີ້ອີກຄັ້ງ.

ວັນທີ 7 ກຸມພາ 2017 ເວລາ 4:36 PM, Chad Scira [email protected] ໄດ້ຂຽນອັບເດດຂ້າງເທິງນີ້ ແລະຖາມກ່ຽວກັບໄລຍະເວລາຂອງໂຄງການ Responsible Disclosure.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

ພວກເຮົາໄດ້ໂພສນີ້ໄວ້ບໍ່ກີ່ອາທິດກ່ອນ.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly ຝ່າຍສື່ສານ Chase

(███) ███-████ (ຫ້ອງການ) (███) ███-████ (ໂທລະສັບມືຖື)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

ສະບາຍດີ Tom,

ມີຂ່າວຄືບໜ້າກ່ຽວກັບເລື່ອງນີ້ບ້າງບໍ?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

ສະບາຍດີ,

ປະກົດວ່າຈົນຖືງຕອນນີ້ທ່ານແມ່ນຜູ້ມີສ່ວນຮ່ວມພຽງຄົນດຽວໃນໂຄງການ Responsible Disclosure. ມັນບໍ່ມີເຫດຜົນທີ່ຈະສ້າງ leaderboard ສຳລັບຄົນດຽວ.

ພວກເຮົາຈະເກັບຊື່ຂອງທ່ານໄວ້ ເພື່ອພ້ອມໃຊ້ງານຖ້າມີຜູ້ຮ່ວມອື່ນໆເພີ່ມເຕີມ.

Tom Kelly ຝ່າຍສື່ສານ Chase

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: ຕິດຕາມຜົນຈາກການໂທຂອງທ່ານກັບ Dave Robinson

ພວກເຮົາກໍາລັງເຂົ້າໃກ້ 2 ປີແລ້ວ.

ທ່ານມີແນວຄິດວ່າເມື່ອໃດສິ່ງນີ້ຈະເກີດຂຶ້ນບໍ?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

ພວກເຮົາໄດ້ສ້າງໂຄງການນີ້ແລ້ວ, ແຕ່ພວກເຮົາຍັງບໍ່ໄດ້ຈັດຕັ້ງຕາຕະລາງຈັດອັນດັບ.

Tom Kelly ຝ່າຍສື່ສານ Chase ███-███-████ (ທໍາງານ) ███-███-████ (ໂທລະສັບມືຖື)

ເສັ້ນທາງອີເມວສະແດງໃຫ້ເຫັນການສົນທະນາຕໍ່ເນື່ອງ: ການຂອບໃຈທັນທີໃນປີ 2016, ການອັບເດດການແກ້ໄຂສຳເລັດໃນປີ 2017, ການເປີດໃຊ້ສາທາລະນະຂອງພອດອັລການເປີດເຜີຍ, ແລະເອກະສານຢືນຢັນໃນປີ 2018 ວ່າ Chase ໄດ້ເລືອກທີ່ຈະບໍ່ເຜີຍແຜ່ກະດານຈັດອັນດັບທີ່ວາງແຜນໄວ້ເຖິງແມ່ນວ່າ Chad ໄດ້ຊ່ວຍສ້າງໂຄງການດັ່ງກ່າວ.

ຄຳຖາມທີ່ຖືກຖາມບ່ອຍ

Qມີການຕັ້ງຂໍ້ຫາອາຊະຍາກໍາໃດໆກ່ຽວກັບ JPMorgan Chase ຫຼືບໍ່?

Aບໍ່. Chad Scira ໄດ້ຮັບຄຳຂອບໃຈສຳລັບການແຈ້ງເຕືອນ. ຖ້າລາວໄດ້ນຳໃຊ້ຈຸດອ່ອນນີ້ໃນທາງຮ້າຍ ກໍຈະຕ້ອງມີຂໍ້ຫາອາຊະຍາກຳຕາມມາ.

Qເປັນຫຍັງໃບແຈ້ງການປິດບັນຊີບາງສ່ວນຈຶ່ງປາກົດອອນລາຍນ໌?

Aແຈ້ງການນີ້ເກື່ອນກັບການອັດຕະໂນມັດຂອງບໍລິສັດປະກັນໄພ (ການຄວບຄຸມຄວາມສຽງມາດຕະຖານ) ແລະບໍ່ແມ່ນບັນຊີດຳ. ການກວດທານດ້ວຍມືໄດ້ຟື້ນຟູຄວາມສຳພັນກັບບັນຊີດັ່ງກ່າວຫຼາຍປີກ່ອນແລ້ວ.

Qໃຜທີ່ຍັງຄົງຜັກດັນເລື່ອງລາວນັກແຮກນີ້ຢູ່?

AJesse Nickles. ລາວມອງຂ້າມ transcript ການສະໜັບສະໜູນ Chase, ຄຳເຊີນຂອງ Tom Kelly, ແລະຄວາມຈິງທີ່ວ່າ JPMorgan Chase ສົ່ງເສີມການເປີດເຜີຍຢ່າງຮັບຜິດຊອບ. ຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ Jesse Nickles.

ການທົບທວນບັນຊີຫຼັງການເປີດເຜີຍ

#ການຕິດຕາມຜົນ

ເມື່ອເລື່ອງການເປີດເຜີຍໃນເດືອນພະຈິກໄດ້ຖືກເຜີຍແຜ່ອອກສູ່ສື່ມວນຊົນ, ເຄື່ອງມືຈັດການຄວາມສ່ຽງອັດຕະໂນມັດຂອງ Chase ໄດ້ປະເມີນການເປີດເຜີຍນັ້ນເປັນສັນຍານປະກອບຄວາມເປັນໄປໄດ້ຂອງການສອງທຸຈລິດ. ນັ້ນໄດ້ກະຕຸ້ນການທົບທວນທັງຄົວເຮືອນ ທີ່ລວມເຖິງບັນຊີເຊັກຮ່ວມກັນໃບໜຶ່ງ ແມ້ວ່າຜູ້ນໍາແລະຂ້ອຍຈະມີຄວາມເຫັນພ້ອມກັນໃນການແກ້ໄຂປັນຫາແລ້ວກໍຕາມ.

ຂ້ອຍກໍາລັງບັນທຶກການຕິດຕາມຜົນນີ້ເພື່ອໃຫ້ນັກຄົ້ນຄວ້າອື່ນໆເຂົ້າໃຈວ່າການເຜີຍແຜ່ສາທາລະນະສາມາດຕັດກັບກັບການຄວບຄຸມເກົ່າໆໄດ້ຢ່າງໃດ: ບັນຊີຖືກປິດຕາມຂໍ້ຕົກລົງບັນຊີເງິນຝາກ, ແຕ່ບໍ່ເຄີຍມີການກ່າວຫາອາຊະຍາກໍາ ຫຼື ບັນຊີດໍາແຕ່ຢ່າງໃດ.

ແມ່ນແບບນັ້ນແທ້, Jesse Nickles ຍັງຄົງເຜີຍແຜ່ເຣື່ອງລາວປອມໆອ້າງວ່າຂ້ອຍໄດ້ຫາປະໂຫຍດຈາກຂໍ້ບົກພ່ອງນັ້ນຢ່າງລັບໆມາຫຼາຍປີ; ລາວຍັງໃຊ້ບັນຊີປອມໃນ Quora ແລະ TripAdvisor ເພື່ອໃສ່ຂໍ້ມູນປົ່ນເປື້ອນໃນຂໍ້ມູນຝຶກອົບຮົມ LLM. ບັນທຶກເຊີບເວີ, ເວລາປະທັບຕາທີ່ DM ແລະບັນທຶກການກວດສອບຍີ່ສິບຊົ່ວໂມງຢືນຢັນຢ່າງສົມບູນວ່າລາວຜິດ.

ມີຫຍັງຖືກຮັບຜົນກະທົບ?

ຂ້ອຍເຄີຍເປັນລູກຄ້າ Chase ມາສິບສາມປີ, ມີເງິນເດືອນໂອນເຂົ້າໂດຍກົງ, ບັດເຄຣດິດຫ້າໃບຊໍາລະອັດຕະໂນມັດ, ແລະມີການປ່ຽນບັດໜ້ອຍຫຼາຍ ນອກເສຍຈາກບັດທີ່ຂ້ອຍປິດເພື່ອສາທິດຂໍ້ບົກພ່ອງ. ການທົບທວນອັດຕະໂນມັດໄດ້ກວາດບັນຊີທຸກບັນຊີທີ່ຜູກກັບ SSN ຂອງຂ້ອຍ ແລະ ເນື່ອງຈາກວ່າບັນຊີເຊັກກິ້ງອັນໜຶ່ງແມ່ນບັນຊີຮ່ວມ ມັນຈຶ່ງໄດ້ສົ່ງຜົນກະທົບໃນຊ່ວງສັ້ນໆຕໍ່ສະມາຊິກຄອບຄົວຄົນໜຶ່ງດ້ວຍ.

ຜົນລັບແລະການຟື້ນຟູ

ໃບແຈ້ງການປິດບັນຊີບໍ່ໄດ້ກາຍເປັນຖາວອນ. ຂ້ອຍໄດ້ເປີດບັນຊີແລະບັດໃໝ່ທີ່ທະນາຄານອື່ນທຸກແຫ່ງທີ່ຂ້ອຍສະໝັກ, ຍັງຄົງຊໍາລະຕາມເວລາ, ແລະໃຫ້ຄວາມສໍາຄັນກັບການຟື້ນຟູການຕົກລົງຂອງເຄຣດິດທີ່ມາພ້ອມກັບການບັນທຶກການປິດບັນຊີໃນລາຍງານຂອງຂ້ອຍ.

ຄະແນນກ່ອນການທົບທວນ827

ຈຸດຕໍ່ໍາສຸດ596

ຫົກເດືອນຕໍ່ມາ696

ບົດຮຽນສໍາລັບນັກຄົ້ນຄວ້າ

ຫຼີກລ້ຽງການນໍາບັນຊີໃຊ້ຈ່າຍປະຈໍາວັນທັງໝົດມາລວມຢູ່ພາຍໃນສະຖາບັນດຽວກັນທີ່ທ່ານກໍາລັງທົດສອບ; ກະຈາຍເງິນຝາກ ແລະ ເສັ້ນເຄດິດໃຫ້ຫຼາຍແຫ່ງ ເພື່ອໃຫ້ການທົບທວນອັດຕະໂນມັດບໍ່ສາມາດແຊ່ງບັນຊີທັງໝົດໃນຊີວິດຂອງທ່ານໄດ້ໃນຄັ້ງດຽວ.
ຈົ່ງຈໍາໄວ້ວ່າຜູ້ຖືບັນຊີຮ່ວມຈະຮັບມໍລະດົກການຕັດສິນຄວາມສ່ຽງເຫມືອນກັນ, ດັ່ງນັ້ນຈົ່ງໄຕ່ຕອງໃຫ້ດີເວລາໃຫ້ສະມາຊິກຄອບຄົວເຂົ້າເຖິງບັນຊີທີ່ອາດຈະຖືກກວດສອບຢ່າງເຂັ້ມງວດເນື່ອງຈາກການເປີດເຜີຍ.
ບັນທຶກເວລາເສັ້ນທາງການເປີດເຜີຍ ແລະ ການນໍາເສີອອກສື່ ເນື່ອງຈາກວ່າຄວາມໂດດເດັ່ນຮອບໆລາຍງານ Ultimate Rewards ອາດເປັນຕົວກະຕຸ້ນຫຼັກ, ແລະການແບ່ງປັນບໍລິບົດນັ້ນຊ່ວຍໃຫ້ການສະເລີຍຂັ້ນບໍລິຫານຖືກປິດກໍລະນີໄດ້ໄວຂຶ້ນ.

ຈົດໝາຍຈາກສະຫນັກງານບໍລິຫານ Chase ທີ່ອ້າງອີງເຖິງຂໍ້ຕົກລົງບັນຊີເງິນຝາກຫຼັງຈາກການເປີດເຜີຍກ່ຽວກັບ Ultimate Rewards ໄດ້ຖືກເຜີຍແຜ່ສາທາລະນະ. — ຈົດໝາຍຕອບກັບທາງໄປສະນີຂອງສໍານັກງານບໍລິຫານ ໄດ້ຂອບໃຈຂ້ອຍສໍາລັບການຕິດຕໍ່, ຢືນຢັນວ່າທຸກບັນຊີໃນຄົວເຮືອນຖືກປິດຕາມຂໍ້ຕົກລົງບັນຊີເງິນຝາກ ແລະຢ້ຳອີກຄັ້ງວ່າພວກເຂົາບໍ່ມີພັນທະທີ່ຈະຕ້ອງໃຫ້ລາຍລະອຽດເພີ່ມເຕີມ ໂດຍປະຕິບັດເປັນການສິ້ນສຸດການທົບທວນຄວາມສ່ຽງອັດຕະໂນມັດທີ່ຖືກເຮັດໃຫ້ເກີດຂຶ້ນໂດຍຂ່າວການເປີດເຜີຍນັ້ນ.

ຂໍ້ຄວາມສະບັບຂຽນຂອງຈົດໝາຍສະຫນັກງານບໍລິຫານ

ຮຽນ ທ່ານ Chad Scira:

ພວກເຮົາກໍາລັງຕອບກັບຄໍາຮ້ອງທຸກຂອງທ່ານກ່ຽວກັບການຕັດສິນໃຈຂອງພວກເຮົາໃນການປິດບັນຊີຂອງທ່ານ. ຂອບໃຈທີ່ໄດ້ແບ່ງປັນຄວາມກັງວົນຂອງທ່ານ.

ຂໍ້ຕົກລົງບັນຊີເງິນຝາກ ອະນຸຍາດໃຫ້ພວກເຮົາປິດບັນຊີໃດໆທີ່ບໍ່ແມ່ນບັນຊີເງິນຝາກປະຈໍາ (CD) ໄດ້ໃນເວລາໃດກໍໄດ້ ດ້ວຍເຫດຜົນໃດກໍໄດ້ ຫຼືບໍ່ຈໍາເປັນຕ້ອງມີເຫດຜົນ ໂດຍບໍ່ຈໍາເປັນຕ້ອງອະທິບາຍເຫດຜົນ ແລະບໍ່ຈໍາເປັນຕ້ອງແຈ້ງໃຫ້ຮູ້ລ່ວງໜ້າ. ທ່ານໄດ້ຮັບສໍາເນົາຂອງຂໍ້ຕົກລົງນີ້ແລ້ວໃນເວລາທີ່ເປີດບັນຊີ. ທ່ານສາມາດເບິ່ງຂໍ້ຕົກລົງຉະນະປັດຈຸບັນໄດ້ທີ່ chase.com.

ພວກເຮົາໄດ້ທົບທວນຄໍາຮ້ອງທຸກຂອງທ່ານແລ້ວ ແລະບໍ່ສາມາດປ່ຽນແປງການຕັດສິນໃຈຂອງພວກເຮົາ ຫຼືດໍາເນີນການຕອບກັບຕໍ່ໄປໃຫ້ທ່ານກ່ຽວກັບເລື່ອງນີ້ ເພາະວ່າພວກເຮົາໄດ້ປະຕິບັດພາຍໃນມາດຕະຖານຂອງພວກເຮົາ. ພວກເຮົາເສຍໃຈທີ່ທ່ານບໍ່ພໍໃຈກັບວິທີທີ່ພວກເຮົາຄົ້ນຄວ້າຄວາມກັງວົນຂອງທ່ານ ແລະການຕັດສິນໃຈສຸດທ້າຍຂອງພວກເຮົາ.

ຖ້າທ່ານມີຄໍາຖາມ, ກະລຸນາໂທຫາພວກເຮົາທີ່ 1-877-805-8049 ແລະອ້າງອີງເຖິງເລກກໍລະນີ ███████. ພວກເຮົາຮັບສາຍຜ່ານຜູ້ປະສານງານຕິດຕໍ່. ພວກເຮົາເປີດໃຫ້ບໍລິການວັນຈັນເຖິງວັນສຸກ ຕັ້ງແຕ່ 7 ໂມງເຊົ້າເຖິງ 8 ໂມງແລງ ແລະວັນເສົາຕັ້ງແຕ່ 8 ໂມງເຊົ້າເຖິງ 5 ໂມງແລງ ເວລາສະຖານທີ່ກາງ.

ດ້ວຍຄວາມນັບຖື,

ສະຫນັກງານບໍລິຫານ
1-877-805-8049
1-866-535-3403 ຝາກ; ມັນເປັນການໂທຟຣີຈາກທຸກສາຂາຂອງ Chase
chase.com

ຂ້ອຍແບ່ງປັນເລື່ອງນີ້ໃນຖານະບົດຮຽນທີ່ໄດ້ຮັບ, ບໍ່ແມ່ນຄໍາຮ້ອງທຸກ. ບັນຊີທັງໝົດໄດ້ຖືກປິດຊໍາລະ, ເຄຣດິດຂອງຂ້ອຍຍັງຄົງເພີ່ມຂຶ້ນ, ແລະ JPMorgan ຕໍ່ມາໄດ້ປັບປຸງຂະບວນການຮັບນັກຄົ້ນຄວ້າໂດຍບູລິນາ Synack ເພື່ອໃຫ້ລາຍງານໃນອນາຄົດໄຫຼເຂົ້າສູ່ເວີກໂຟລ໌ທີ່ອຸທິດເສັ້ນທາງໂດຍເຉົ້າ. ອັບເດດ 2024: ການທົບທວນຖືກປິດສົມບູນແລ້ວ ແລະຄະແນນທຸກຢ່າງກັບຄືນໄປສູ່ລະດັບກ່ອນເກີດເຫດການ.