Chad Scira "ຖືກວາງລາຍຊື່ດຳຈາກທະນາຄານ ເນື່ອງຈາກການແຮັກ"

ໜ້ານີ້ບັນທຶກເຫດການຂ້າງຫລັງຂອງຂ່າວ Jesse Nickles ທີ່ອ່ານວ່າ Chad Scira ຖືກ "blacklisted from US banks for hacking." ມັນອະທິບາຍວ່າວິນເທີນຊັ້ນ Ultimate Rewards ໄດ້ຖືກເຜີຍຢ່າງຮັບຜິດຊອບ, ເພາະໃດ JPMorgan Chase ໄດ້ຂອບໃຈ Chad ສໍາລັບການລາຍງານ, ແລະວິທີທີ່ການຢຸດບັນຊີຊົ່ວຄວາມເປັນພາລະກຳແມ່ນການດຳເນີນງານເທົ່ານັ້ນ. Jesse Nickles បន្តដាក់ឡើងវិញឯកសារចាស់ៗ ដើម្បីទាក់ទាញអារម្មណ៍ថាមានបំណងអំពើព្រហ្មទណ្ឌ។ ការពិតបង្ហាញផ្ទុយគ្នាទាំងស្រុង៖ ការរាយការណ៍នៅក្នុងគោលនយោបាយ white-hat និងការសហការជាមួយដឹកនាំ JPMorgan។

ການຜູດພິສູດຫຼ້າສຸດຂອງເຂົາແມ່ນຂໍ້ຄວາມອ້າງໃນ SlickStack.io ບອກວ່າ Chad Scira "ຍັງໄດ້ຖືກສືບສວນໂດຍຕໍາຫຼວດສະຫະລັດສຳລັບການແຮກໂປຣແກຣມລາງວັນບັດເຄດິດຂອງ Chase Bank, ທີ່ເຂົາໄດ້ຂີ້ຂອງມາ $70,000 ໃນຄະແນນທ່ອງທ່ຽວທີ່ເປັນການຜິດກົດ." ໂພສດ້ວຍການປ່ອຍຂໍ້ຄວາມນັ້ນເກີດຂຶ້ນຫຼັງຈາກ Chad ໄດ້ເຜີຍພະຍັງໃນບັນຫາຄວາມປອດໄພຂອງ SlickStack ທີ່ Jesse ປະຕິເສດບໍ່ຈະແກ້ໄຂ; ບໍ່ມີຄະແນນໃດໄດ້ຖືກຂ້າຍ ແລະບໍ່ມີພາກສ່ວນໃດຕິດຕໍ່ Chad ກ່ຽວກັບການເຜີຍແຜ້. ดูหลักฐาน cron ของ SlickStack ที่เขากำลังตอบโต้.

ກະບວນທັງໝົດຂອງການຄົ້ນພົບ, ການເຜີຍພັດ, ແລະການຢືນຢັນເກີດຂຶ້ນໃນພາຍໃນ 20 ຊົ່ວໂມງ: ປະມານ 25 ຄຳຮ້ອງ HTTP ຄຸ້ມຄອງການດຳເນີນການຟື້ນຟູແລະການນຳພາ DM ໃນວັນທີ 17 ພະຈິກ 2016, ແລະການທົດສອບການແກ້ໄຂໃນກຸມພາ 2017 ໃຊ້ຄຳຮ້ອງເພີ່ມອີກ 8 ຄັ້ງເພື່ອຢືນຢັນການແກ້ໄຂ. ບໍ່ມີການເສຍຫາຍຢາວນານ; ການດຳເນີນການແຕ່ລະຢ່າງຖືກບັນທຶກ, ແມ່ນມີເວລາຢູ່ແລ້ວ, ແລະແບ່ງປັນໃຫ້ JPMorgan Chase ໃນເວລາຈິງ.

Tom Kelly ໄດ້ຢືນຢັນວ່າ Chad Scira ແມ່ນບຸກຄົນດຽວໃນໂລກທີ່ໄດ້ເຜີຍພັດຢ່າງຮັບຜິດຊອບຕໍ່ JPMorgan Chase ैະລະຫວ່າງ 17 ພະຈິກ 2016 ແລະ 22 ກັນຍາ 2017. ໂປຣແກຣມ Responsible Disclosure ຖືກສ້າງຂຶ້ນໂດຍການຕອບສະໜອງທີ່ມີຕໍ່ Chad ແລະເຂົາໄດ້ມີບາດຮັບສ່ວນສໍາຄັນໃນການອອກແບບມັນ.

ການສະແດງພາບຂໍ້ຜິດພາດການໂອນສອງຄັ້ງ

#ການສະແດງພາບ

ເພື່ອສະແດງໃຫ້ເຫັນວ່າຂໍ້ຜິດພາດແນວນີ້ໄດ້ເຮັດໃຫ້ຍອດເງິນເປັນຄ່າລົງແບບຮັບສົມບູນຂຶ້ນຢ່າງຫຼາຍ, ການວິວັດເຄື່ອງຂ້າງລຸ່ມນີ້ຈະສະຫຼຸບເຄື່ອງຈັກ double-transfer logic ຢ່າງແທ້. ຈົ່ງເບິ່ງວ່າບັນຊີໃດທີ່ມີຍອດບວກຈະກາຍເປັນຜູ້ສົ່ງ, ດຳເນີນການໂອນສອງຄັ້ງທີ່ເຫມາກກັນ, ແລະໃນທ່າຍສິ່ງໜຶ່ງຈະເຮັດໃຫ້ບັນຊີນັ້ນລົດລົງຢ່າງລຶກ ໃນຂະນະທີ່ອີກບັນຊີຖືກທໍາຄູນ. ຫຼັງຈາກ 20 ເຮັດຊ້ຳ, ເລົ່າບັນທຶກທີ່ແຕກສົດຈະຍົກເລີກບັດທີ່ເປັນລົດຢ່າງສິ້ນເຕືອນ — ນີ້ສະແດງໃຫ້ເຫັນວ່າທຳມະຍາດນີ້ຈຶ່ງຕ້ອງການການຂຶ້ນຊັ້ນດ່ວນ.

รอบ 1/20
ບັດ A → ບັດ B+243,810 คะแนน
ບັດ A → ບັດ B+243,810 คะแนน
ບັດ A
243,810
ບັດ B
0
ការផ្ទេរទ្វេរ (double transfer burst)
ໂອນ 1ໂອນ 2243,810 คะแนน រៀងរាល់
1สภาวะการแข่งขัน (race condition) ทำให้การโอนถูกทำซ้ำก่อนที่บัญชีแยกประเภทจะปรับสมดุล ทำให้ผู้ส่งเพียงคนเดียวสามารถสลับระหว่างยอดเป็นบวกและลบจำนวนมหาศาลได้.
2ฝ่ายสนับสนุนอนุญาตให้ปิดบัตรที่มียอดติดลบในขณะที่เก็บยอดบวกที่ถูกบวมไว้ ทำให้งบแสดงเฉพาะกำไรและซ่อนหนี้.

មុនពេលបិទគណនី កម្មវិធី Ultimate Rewards បានអនុញ្ញាតឱ្យចំណាយលើសពីសមតុល្យអវិជ្ជមានបានផងដែរ; ការបិទគ្រាន់តែបានលុបភស្តុតាងនោះ។

ຂໍ້ສຳຄັນ

  • Chad ເປີດ DM ກັບ Chase Support ໂດຍລາຍງານເພື່ອການຄົ້ນພົບວ່າມີຂໍ້ຜິດພາດຍອດຕິດລົງແບບເປັນສ່ວນຕົວ, ແລະຂໍທາງຂຶ້ນສົ້ນທີ່ປອດໄພໂດຍທັນທີທັນທີທີ່ຈະບໍ່ໄດ້ນຳເຕັກນິກໄປໂພສສາທາລະນະ. [chat]
  • ເມື່ອ Chase Support ຮ້ອງຂໍລາຍລະອຽດເພີ່ມ, ເຂົາໄດ້ຢືນຢັນການເປີດໃຊ້ (exploit) ເພີ່ມເພື່ອຄວາມຈໍາເປັນແຕ່ພຽງຮອດນັ້ນ ແລະຍ້ຳຢ່າງອື່ນວ່າເຂົາຕ້ອງການສາຍດຽວຕໍ່ໄປຫາທີມຄວາມປອດໄພທີ່ຖືກຕ້ອງ. [chat][chat]
  • គាត់បង្ហាញថាសមតុល្យដែលចម្លងអាចត្រូវបានបម្លែងទៅជាសាច់ប្រាក់: បន្ទាប់ពី Chase Support សួរថា ពិន្ទុបន្ថែមអាចប្រើបានទេ ទៅ ការដាក់ប្រាក់ផ្ទាល់ $5,000 បានបញ្ជាក់ថាការកំហុសនេះបានបម្លែងទៅជាសាច់ប្រាក់មុនពេលកំណត់ត្រាហិរញ្ញវត្ថុឆាប់ប្រកបសកម្ម។ [chat]
  • គាត់បានលើកសំណើថាបណ្តាះសំខាន់របស់គាត់គឺការការពារគណនីអតិថិជនដែលត្រូវបានបំពានពីការត្រូវរលត់ មិនមែនសម្រាប់រកប្រាក់ទទួលឃ្លាតផ្ទាល់ខ្លួន ហើយគាត់បានសួរថាតើមានកម្មវិធី bug bounty ជាផ្លូវការចុះឬទេ។ [chat]
  • គាត់បានផ្តល់អំពីការធ្វើការផ្ទៀងផ្ទាត់ទំហំធំប៉ុណ្ណោះ ដោយមានការអនុញ្ញាតច្បាស់លាស់ បន្ថែមទៀតបានផ្តល់​រូបថត​អេក្រង់​មានម៉ោងកំណត់ ហើយនៅភ្ញាក់នៅបរទេសរហូតដល់ Chase បញ្ចប់ការឡើងថ្នាក់។ [chat][chat][chat]
  • Nickles ຕອນນີ້ເອີ້ນວ່າ Chad Scira ໄດ້ເອົາ $70,000 ໃນຄະແນນ ແລະຖືກສືບສວນໂດຍຕໍາຫຼວດສະຫະລັດ; ບັນທຶກຂອງ Chase, ອີເມວຂອງ Tom Kelly, ແລະເວລາໃນການແຈ້ງຂໍ້ຜິດພາບຢືນຢັນວ່ານີ້ບໍ່ເຄີຍເກີດຂຶ້ນ, ແລະການເອີ້ນການນີ້ເພີ່ມຂື້ນຫຼັງຈາກ Chad ເຜີຍແບ່ງ SlickStack cron-risk gist ທີ່ບັນທຶກເລື່ອງການອັບເດດທີ່ບໍ່ປອດໄພຂອງ Jesse. [gist]
  • ក្រុមគាំទ្រ Chase បានផ្ទៀងផ្ទាត់ការតម្កល់ចំណាត់ថ្នាក់, ស្នើលេខទូរសព្ទិរបស់គាត់ និងបានអះអាងថានឹងមានការហៅតាមសន្ទស្សន៍បន្តដែលគាត់បានទទួលជាក់ស្ដែង — រឿងនេះបង្ហាញថាមិនមានការឆ្លើយតបយ៉ាងសាហាវពីធនាគារ។ [chat][chat]

ຕາຕະລາງເວລາ

#ຕາຕະລາງເວລາ
  • ພະຈິກ 17, 2016 - 10:05 PM ET: Chad ແຈ້ງ @ChaseSupport ກ່ຽວກັບຂໍ້ຜິດພາດຍອດຕິດລົງ, ເຂົາຮັກສາການເຊື່ອມຕໍ່ເປັນສ່ວນຕົວ, ແລະຂໍທາງຂຶ້ນສົ້ນທີ່ປອດໄພໃນທັນທີ. [chat]
  • ພະຈິກ 17, 2016 - 11:13-11:17 PM ET: ຫຼັງຈາກ Chase Support ຖາມຢ່າງຊັດເຈນວ່າຈະສາມາດສ້າງແລະໃຊ້ຄະແນນເພີ່ມໄດ້ບໍ, Chad ຢືນຢັນຄວາມສ່ຽງ, ເປັນການຍ້ອນຍືນວ່າເຂົາຕ້ອງການພາກງານທີ່ເໝາະສົມ, ແລະພ້ອມທີ່ຈະດຳເນີນການກວດຢ່າງຈຳກັດເພື່ອບັນທຶກເຫດການໃນຂັ້ນຕອນທີ່ທາງທະນາຄານອະນຸຍາດໃຫ້. [chat][chat][chat]
  • ພະຈິກ 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ແບ່ງຮູບຈໍ, ຮ້ອງໃຫ້ການເລີ່ມຂຶ້ນແບບໄวด່າງ, ມອບໝາຍເລກໂທຂອງເຂົາ, ແລະຕື່ນຢູ່ນອກປະເທດຈົນເຖິງເວລາ Chase Support ເບີ່ງຢືນຢັນວ່າການໂທກຳລັງຈັດຂຶ້ນ. [chat][chat][chat]
  • ພະຈິກ 24, 2016: Tom Kelly ສົ່ງອີເມວຫາ Chad ເພື່ອຢືນຢັນການແກ້ໄຂ, ເຊີນເຂົາໃຫ້ເປັນໜ້າຫຼັກໃນລາຍການ leaderboard ຂອງ responsible disclosure ທີ່ກໍລະນີຈະມາ, ແລະໃຫ້ເຂົາເບີຕິດຕໍ່ຕົວໂດຍການສໍາລັບການລາຍງານໃນອະນາຄົດ. [email]
  • ຕຸລາ 2018: Tom Kelly ຕິດຕໍ່ກັບເພື່ອຢືນຢັນວ່າໂປຣແກຣມ responsible disclosure ໄດ້ເລີ່ມຂຶ້ນ ແຕ່ JPMorgan ໄດ້ຕັດສິນໃຈບໍ່ພິມລາຍການ leaderboard ທີ່ວາງແຜນ ເຖິງຈະມີການຊ່ວຍເຫຼືອຈາກ Chad ໃນການອອກແບບ. [email]
  • ຫຼັງຈາກ 2018: ການກວດສອບບັນຊີທີ່ເຫຼີກແມ່ນກ່ຽວຂ້ອງກັບລະບົບອັດຕະໂນມັດຂອງບໍລິສັດປະກັນ, ບໍ່ແມ່ນຜົນຂອງການຮ້າຍຫຼືກວງ. JPMorgan ຍັງຄົງຕິດຕໍ່ໂດຍກົງ, ຂອບໃຈ Chad ສຳລັບການແຈ້ງເຕືອນ, ແລະບໍ່ມີບັນທຶກອາຍາດ ຫຼື ລາຍຊື່ດຳ. ຫຼັງຈາກນັ້ນ JPMorgan ໄດ້ນໍາ Synack ໄປປະສົມໃນຂັ້ນຕອນການແຈ້ງເຕືອນເພື່ອໃຫ້ຂັ້ນຕອນການທຳງານງ່າຍຂຶ້ນສໍາລັບລາຍງານໃນອະນາຄົດ. [chat][email]

អះអាង ទល់នឹង ការពិត

ការអះអាង

ការអះអាងបង្កផ្ទាល់ខ្លួនដោយ Jesse Jacob Nickles: "Chad Scira ត្រូវបានដាក់នៅលើបញ្ជីខ្មៅពីរាល់ធនាគារអាមេរិកសម្រាប់ការហេកប្រព័ន្ធរង្វាន់។"

ពិត

ບໍ່ມີລາຍຊື່ສະຕີກຂອງທະນາຄານ. ບັນທຶກ DM ແລະການຍ່າຍລະດັບຂອງ Chase ຍືນຢັນວ່າເຂົາໄດ້ຮ່ວມມື; ລະບົບອັດຕະໂນມັດຂອງຜູ້ປະກັນໄພໄດ້ຢຸດບັນຊີ JPMorgan ໂດຍຊັ້ນສັ້ນ ກ່ອນທີ່ການກວດດ້ວຍມືຢືນຢັນວ່າເຂົາບໍ່ມີວິທີທີ່ຜິດ.[timeline][chat]

ការអះអាង

ការអះអាងបង្កផ្ទាល់ខ្លួនដោយ Jesse Jacob Nickles: "គាត់បានហេក JPMorgan Chase ដើម្បីបំពេញចំណេញផ្ទាល់ខ្លួន។"

ពិត

Chad ເລີ່ມສົນທະນາກັບ @ChaseSupport, ຢ້ຽມຢາມໃນຂໍ້ທາງທີ່ປອດໄພ, ຢືນຢັນການເຜີຍແຜ່ເທົ່ານັ້ນຫຼັງຈາກ Chase ຖາມ, ແລະລໍຖ້າການອະນຸຍາດກ່ອນຈະດຳເນີນການກວດຢ່າງຈຳກັດ. ຜູ້ນໍາລັດຖະກິດຂອງທະນາຄານຂອບໃຈເຂົາ ແລະເຊີນເຂົ້າຮ່ວມໃນການນຳໃຊ້ຂັ້ນຕອນການແຈ້ງຢ່າງຮັບຜິດຊອບ.[chat][chat][email]

ការអះអាង

ការអះអាងបង្កផ្ទាល់ខ្លួនដោយ Jesse Jacob Nickles: "Jesse បានបង្ហាញដល់សាធារណៈពីផែនការឧក្រិដ្ឋរបស់ Chad."

ពិត

การรายงานสาธารณะและอีเมลของ Tom Kelly เป็นหลักฐานว่า JPMorgan ปฏิบัติต่อ Chad ในฐานะนักวิจัยที่ให้ความร่วมมือ Nickles คัดเลือกภาพหน้าจออย่างเลือกเฉพาะ โดยมองข้ามการแชททั้งหมด การโทรติดตามผล และคำขอบคุณเป็นลายลักษณ์อักษร.[coverage][email][chat]

ការអះអាង

ការអះអាងបង្កផ្ទាល់ខ្លួនដោយ Jesse Jacob Nickles: "មានការលាក់លុបដើម្បីលាក់ការលួច។"

ពិត

Chad បានរក្សាទំនាក់ទំនងរហូតដល់ឆ្នាំ 2018, បានធ្វើតេស្តឡើងវិញតែក្នុងការអនុញ្ញាតប៉ុណ្ណោះ, ហើយ JPMorgan បានដាក់ប្រព័ន្ធប្រកាសការរាយការណ៍ជាសាធារណៈ ដោយមិនលាក់បញ្ហានោះ។ ការពិភាក្សាដែលបន្តនេះបដិសេធរឿងរ៉ាវអំពីការលាក់ខ្លួនណាមួយ។[timeline][email][chat]

คลังงานวิจัยและการรายงานสาธารณะ

#ការគ្របដណ្ដប់

ຊຸມຊົນຈາກຝ່າຍທີ່ 3 ຫຼາຍໄດ້ບັນທຶກການແຈ້ງຂໍ້ຜິດພາບແລະຍອມຮັບວ່າເປັນການລາຍງານທີ່ຮັບຜິດຊອບ: Hacker News ໄດ້ນຳຂໍ້ມູນຂຶ້ນໃນໜ້າໜຶ່ງ, Pensive Security ໄດ້ສະຫຼຸບເນື້ອຫາໃນບົດລວມປີ 2020, ແລະ /r/cybersecurity ໄດ້ບັນທຶກເຄື່ອງມືດັ່ງເດີມ "DISCLOSURE" ກ່ອນການຖືກລົງໝາຍແບບຮ່ວມມື. [4][5][6]

  • Hacker News: "ការបង្ហាញ៖ ពិន្ទុ Chase Ultimate Rewards មិនមានកំណត់" មានពិន្ទុ 1,000+ និងមតិ 250+ ដែលកត់ត្រាបរិបទនៃការដោះស្រាយ។ [4]
  • Pensive Security: สรุปความปลอดภัยไซเบอร์ เดือนพฤศจิกายน 2020 ที่เน้นการเปิดเผยเกี่ยวกับ Chase Ultimate Rewards ในฐานะข่าวสำคัญ [5]
  • Reddit /r/cybersecurity: หัวข้อโพสต์การเปิดเผยต้นฉบับที่ถูกเก็บไว้ก่อนการลบที่เกิดจากการรายงานเป็นจำนวนมาก เพื่อรักษากรอบความสนใจของสาธารณะ. [6]

กลุ่มสนับสนุนการแจ้งช่องโหว่อย่างรับผิดชอบยังอ้างถึงผลกระทบจากการคุกคาม: ดัชนีการข่มขู่และคลังงานวิจัยของ disclose.io รวมถึงดัชนีการข่มขู่ทางกฎหมายของ Attrition.org ระบุพฤติกรรมของ Jesse Nickles เป็นตัวอย่างเตือนใจสำหรับนักวิจัย. [7][8][9] ឯកសារពេញលេញអំពីការរំខាន (harassment)[10].

អត្ថាធិប្បាយ DM របស់ Chase Support

#ជជែក

ສົນທະນາຂ້າງລຸ່ມນີ້ໄດ້ຖືກສ້າງຂຶ້ນອີກຄືນຈາກຮູບໜ້າຈໍທີ່ຖືກອາກທິບ. ມັນສະແດງການຍົກລະດັບແນວອົບອ່ອນ, ການຮ້ອງຂໍຊ້ຳໆສຳລັບຊ່ອງທາງທີ່ປອດໄພ, ຂໍ້ສະເຫີນເພື່ອຢືນຢັນແຕ່ດ້ວຍການອະນຸຍາດ, ແລະ Chase Support ສັນຍາວ່າຈະຕິດຕໍ່ໂດຍຕົວ. [2]

Chase Support Profile avatar
Chase Support Profileບັນຊີຢືນຢັນ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ນີ້ເກືອກກັບລະບົບຍອດຄະແນນ. ໃນຂະນະນີ້ ສາມາດສ້າງຈຳນວນໃດກໍໄດ້ຜ່ານ bug ທີ່ອະນຸຍາດໃຫ້ຍອດຕົວເປັນລົດ.

ร้องขอเส้นทางการยกระดับที่ปลอดภัยสำหรับการเปิดเผย.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ກະລຸນາເຊື່ອມຕໍ່ຂ້ອຍກັບບຸກຄົນທີ່ຂ້ອຍສາມາດອະທິບາຍເຕັກນິກໄດ້?

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 17, 2016, 10:05 PM
#

ພວກເຮົາບໍ່ມີເບີໂທທີ່ຈະໃຫ້ແຕ່ພວກເຮົາຕ້ອງການຍ້າຍການນີ້ເພື່ອໃຫ້ມີການກວດສອບ. ທ່ານສາມາດໃຫ້ລາຍລະອຽດເພີ່ມເຕີມເກັບກ່ອນວ່າທ່ານໝາຍເຖິງການສ້າງຄະແນນ (points) ພາຍໃນຍອດທີ່ມີຄ່າຕົກລົງ (negative balances)? ທ່ານສາມາດຢືນຢັນໄດ້ບໍວ່ານີ້ຈະເຮັດໃຫ້ຄະແນນເພີ່ມມາໃຊ້ງານໄດ້ບໍ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

តើអ្នកមាននាយកដ្ឋានដែលសមរម្យដែលអាចភ្ជាប់ខ្ញុំបានទេ? ខ្ញុំមិនសូវសុខចិត្តពិភាក្សារឿងនេះតាមគណនីគាំទ្រ Twitter ទេ។ អ្នកអាចបង្កើតពិន្ទុ 1,000,000 និងប្រើវាបាន។

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ຄວາມສົນໃຈຫຼັກຂອງຂ້ອຍບໍ່ແມ່ນຄົນທີ່ເຮັດເອກະລັງນີ້, ແຕ່ແມ່ນແຮກເຂົ້າຄອບຄົວບັນຊີແລະບັງໃຫ້ມີການຈ່າຍເງິນ. ມີໂຄງການ bug bounty ທີ່ເໝາະສົມຂອງ Chase ບໍ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

ຖ້າທ່ານຕ້ອງການ ຂ້ອຍສາມາດລອງເຮັດທຸລະກຳຂະຫນາດໃຫຍ່ເພື່ອຢືນຢັນ. ທີ່ຂ້ອຍທົດສອບຫຼາຍສຸດແມ່ນ $300 ໃນຂະນະທີ່ຍອດບັນຊີເສຍສົດແປງ, ແຕ່ຂ້ອຍແທ້ຈິງມີເຄດິດຈິງ $2,000. ຖ້າທ່ານອະນຸຍາດ ຂ້ອຍຈະພະຍາຍາມຢືນຢັນວ່າມັນໃຊ້ໄດ້, ແຕ່ຂ້ອຍຕ້ອງການໃຫ້ທຸກທຸລະກຳຖືກຍ້ອນຄືນຫຼັງຈາກການທົດສອບນັ້ນ.

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 17, 2016, 11:21 PM

ພວກເຮົາບໍ່ມີໂຄງການ (bounty program), ແລະຂ້ອຍບໍ່ມີໝາຍເລກທີ່ຈະໃຫ້ໃນເວລານີ້. ຂ້ອຍໄດ້ເລີມຍ້າຍຂໍ້ກັງວົນຂອງທ່ານແລ້ວ ແລະພວກເຮົາກຳລັງກວດສອບ. ຂ້ອຍຈະຕິດຕາມຫຼັງ ຖ້າຂ້ອຍມີລາຍລະອຽດຫຼືຄໍາຖາມເພີ່ມເຕີມ. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ຂອບໃຈ.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

โปรดเร่งขั้นตอนโดยเร็วที่สุด.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ຂ້ອຍຈຳເປັນຕ້ອງມີຂໍ້ມູນຕິດຕໍ່ທີ່ເໝາະສົມ... ຂໍໃຫ້ທ່ານເຂົ້າໃຈ.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ໄປແລ້ວເກີນຊົ່ວໂມງດ້ວຍ, ມີຂ່າວຢ່າງໃດບໍ? ຕອນນີ້ຂ້ອຍຢູ່ໃນອາຊີຍ ແລະນີ້ເປັນເລື່ອງທີ່ຈຳເປັນຕ້ອງໄວ. ຂ້ອຍບໍ່ສາມາດລໍຖ້າຕອບກັບຕັ້ງແຕ່ຄືນໄດ້.

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 18, 2016, 12:59 AM

ຂອບໃຈທີ່ຕິດຕາມ. ພວກເຮົາມີບຸກຄົນທີ່ເໝາະສົມກຳລັງສືບສວນຫຼັກນີ້. ກະລຸນາໃຫ້ເບີຕິດຕໍ່ທີ່ທ່ານຕ້ອງການເພື່ອພວກເຮົາຈະສົນທະນາກັບທ່ານໂດຍຕົວ. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 18, 2016, 1:53 AM

ຂອບໃຈສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ. ຂ້ອຍໄດ້ສົ່ງເອົາເຖິງບຸກຄົນທີ່ເໝາະສົມແລ້ວ. ^DS

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 18, 2016, 2:38 AM
#

ພວກເຮົາຢາກຄູ່ສົນທະນາເລື່ອງນີ້ກັບທ່ານໃນໄວໆນີ້. ກະລຸນາໃຫ້ເວລາທີ່ສະດວກເພື່ອພວກເຮົາຈະໂທຫາທ່ານໃນໝາຍເລກ 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ຂ້ອຍພ້ອມໃນຊົ່ວໂມງຕໍ່ໄປນີ້ ຖ້ານັ້ນເຮັດໄດ້. ຖ້າບໍ່ໄດ້ ອາດຈະຕ້ອງເປັນມື້ຫລື 2 ມື້ ເນື່ອງຈາກຂ້ອຍຈະເດີນທາງ ແລະບໍ່ແນ່ໃຈວ່າຈະມີອິນເຕີເນັດ/ໂທລະສັບຫຼືບໍ່.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ຂ້ອຍບໍ່ຄິດວ່າຈະໃຊ້ເວລາເກີນ 7 ຊົ່ວໂມງເພື່ອພູດກັບຄົນທີ່ຖືກຕ້ອງ. ດຽວນີ້ແມ່ນ 4:40 ຕອນເຊົ້າທີ່ນີ້.

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 18, 2016, 4:39 AM
#

ຂອບໃຈທີ່ຕິດຕາມ. ຈະມີຄົນໂທຫາທ່ານໃນໄວໆນີ້. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

ຂອບໃຈອີກເທື່ອສໍາລັບການເຮັດໃຫ້ໄວຂຶ້ນ. ທຸກຢ່າງກຳລັງເຄື່ອນໄຫວແລະຂ້ອຍສາມາດນອນໄດ້ແລ້ວ.

Chase Support avatar
Chase Supportບັນຊີຢືນຢັນ
Nov 18, 2016, 5:03 AM

ພວກເຮົາດີໃຈທີ່ທ່ານສາມາດສົນທະນາກັບໃຜຄົນໜຶ່ງໄດ້. ກະລຸນາແຈ້ງໃຫ້ພວກເຮົາຮູ້ ຖ້າພວກເຮົາສາມາດຊ່ວຍເຫຼືອໃນອະນາຄົດ. ^NR

ສ່ວນຂອງອີເມວ Tom Kelly

#អ៊ីមែល
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
ການຕິດຕາມການເຜີຍແຜ່ຂໍ້ມູນຢ່າງຮັບຜິດຊອບ ຂອງ Ultimate Rewards

Chad,

I am following up on your phone call with my colleague Dave Robinson. Thank you for reaching out to us about the potential vulnerability in our Ultimate Rewards program. We have addressed it.

In addition, we have been working on a Responsible Disclosure program that we plan to launch next year. It will include a leaderboard that recognizes researchers who have made significant contributions; we'd like to feature you as the first person on it. Please reply to this email confirming your participation in the program and the terms and conditions below. You'll find the terms as pretty standard for disclosure programs.

Until our program goes live, should you find any other potential vulnerabilities, please contact me directly. Thanks again for your help.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

We want to hear from you if you have information related to potential security vulnerabilities of JPMC products and services. We value your work and thank you in advance for your contribution.

Guidelines

JPMC agrees not to pursue claims against researchers who disclose potential vulnerabilities to this program where the researcher:

  • does not cause harm to JPMC, our customers, or others;
  • does not initiate a fraudulent financial transaction;
  • does not store, share, compromise or destroy JPMC or customer data;
  • provides a detailed summary of the vulnerability, including the target, steps, tools, and artifacts used during discovery;
  • does not compromise the privacy or safety of our customers and the operation of our services;
  • does not violate any national, state, or local law or regulation;
  • does not publicly disclose vulnerability details without JPMC's written permission;
  • is not currently located in or otherwise ordinarily resident in Cuba, Iran, North Korea, Sudan, Syria or Crimea;
  • is not on the U.S. Department of the Treasury's Specially Designated Nationals List;
  • is not an employee or an immediate family member of an employee of JPMC or its subsidiaries; and
  • is at least 18 years old.

Out of Scope Vulnerabilities

Certain vulnerabilities are considered out of scope for our Responsible Disclosure Program. Out-of-scope vulnerabilities include:

  • Social-engineering-dependent findings (phishing, stolen credentials, etc.)
  • Host header issues
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing without embedded links/HTML
  • Jailbroken-device-only issues
  • Infrastructure misconfigurations (certificates, DNS, server ports, sandbox/staging issues, physical attempts, clickjacking, text injection)

Leaderboard

To recognize research partners, JPMC may feature researchers who make significant contributions. You hereby grant JPMC the right to display your name on the JPMC Leaderboard and such other media as JPMC may choose to publish.

Submission

By submitting your report to JPMC, you agree not to disclose the vulnerability to a third party. You perpetually allow JPMC and its subsidiaries the unconditional ability to use, modify, create derivative works from, distribute, disclose and store the information provided in your report, and these rights cannot be revoked.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: การติดตามผลการแจ้งช่องโหว่อย่างรับผิดชอบของ Ultimate Rewards

Hey Tom,

ខ្ញុំរីករាយណាស់ដែលបានស្ដាប់ដំណឹងនេះ!

ខ្ញុំចង់ក្លាយជារឿងជោគជ័យដំបូងរបស់កម្មវិធីថ្មីរបស់អ្នក ហើយខ្ញុំសង្ឃឹមថាអ្នកលេងធំៗផ្សេងទៀតនឹងដើរតាម។ មាននរណាម្នាក់ត្រូវចូលមកផ្លាស់ប្តូរអទិភាពមនុស្សចំពោះរបៀបធនាគារដោះស្រាយជាមួយអ្នកស្រាវជ្រាវ whitehat។ ខ្ញុំរីករាយដែលវា​ជាធនាគារ Chase។

ចំពោះខ្ញុំ Chase តែងតែលើសគូប្រកួតនៅក្នុងផ្នែកផលិតផលបណ្តាញ និងចល័ត។ នោះសម្រាប់ហេតុនេះដោយសារ​ពួកអ្នកចល័តលឿន និងរក្សាការប្រកួតប្រជែង។ ជាធម្មតាខ្ញុំជៀសចោលការលេងល្បែងជាមួយស្ថាប័នហិរញ្ញវត្ថុ ព្រោះខ្លាចថានឹងត្រូវបង្ហត់ដោយពួកគេ (មានចេតនាដែលល្អគ្រប់យ៉ាង)។ ការបង្កើតកម្មវិធី disclosure បញ្ជូនសារ​ច្បាស់ទៅអ្នកដូចខ្ញុំថាអ្នកចាប់អារម្មណ៍ក្នុងការទទួលបញ្ហា ហើយមិននឹងមានការភើងចំ។ មុននេះភាគច្រើននៃមនុស្សដែលស្វែងរកនៅលើសេវាកម្មរបស់អ្នកសូមមានបំណងអាក្រក់ ហើយខ្ញុំគិតថានេះនឹងធ្វើឲ្យលក្ខណៈល្មមនៅលើទីលានឡើងវិញ។

ពេលខ្ញុំសម្រេចចិត្តធ្វើការបង្ហាញព័ត៌មាន ខ្ញុំមានអារម្មណ៍មិនស្រួលខ្លាំង។ ខ្ញុំប្រហែលជាមិនមែនជាមនុស្សដំបូងដែលឃើញវាទេ! ខ្ញុំបានរាយការណ៍តាមវិធី៣វិធី៖

  • Twitter

    • ការគាំទ្រនៅទីនេះពិតជាអស្ចារ្យ ហើយខ្ញុំគិតថានេះគឺជាមូលហេតុតែមួយដែលបានធ្វើឲ្យខ្ញុំបានភ្ជាប់ទៅនរណាដែលសមស្រប។

  • Chase Phone Support

    • ការហៅដំបូងពួកគេបានផ្តល់អ៊ីមែល abuse
    • ការហៅទីពីរខ្ញុំគិតថា​ខ្ញុំបាននិយាយជាមួយនរណាម្នាក់ដែលត្រឹមត្រូវ ហើយពួកគេអាចបានទំនាក់ទំនងមកផងដែរ

  • Chase Abuse Email

    • បានទទួលការឆ្លើយតបទូទៅ មើលទៅដូចថាពួកគេចិន្នះមិនទាន់ពិនិត្យមើលខ្លឹមសារ

រឿងនេះបានចំណាយខ្ញុំប្រហែល 7 ម៉ោងដើម្បីចុងក្រោយបានទំនាក់ទំនងជាមួយនរណាម្នាក់ (ពីរដងនៃពេលដែលចំណាយដើម្បីកំណត់បញ្ហាដោយច្បាស់), ហើយពេញកាលខ្ញុំមិនប្រាកដថាតើមនុស្សដែលត្រូវបានគេត្រូវបានដាក់ស្នាក់នឹងធ្លាប់បានស្ដាប់អំពីរឿងនេះឬទេ។

បញ្ហាធំមួយទៀតនៃការមិនមានកម្មវិធីដូចនេះគឺនិយោជិកជាច្រើនភ្លេចលាក់ឈីវចរិតហេតុនឹងជួសជុលព្រឹត្តិការណ៍ដោយមិនប្រាប់នរណាទេ។ ខ្ញុំមានហេតុការណ៍មួយចំនួនដែលខ្ញុំប្រាកដថាដូចនេះបានកើតឡើង ហើយក្នុងរយៈពេល 1-2 ឆ្នាំ បន្ទាប់សុវត្ថិភាពដូចគ្នានោះបានត្រឡប់មកវិញ។

បន្ថែមពីនេះ វាអាចមានអត្ថប្រយោជន៍សម្រាប់កម្មវិធីរបស់អ្នកក្នុងការផ្តល់រង្វាន់ bounty។ មួយចំនួននៃបញ្ហាទាំងនេះត្រូវការពេលវេលាច្រើនក្នុងការញែកផ្ទៀងផ្ទាត់/រកหา ហើយល្អប្រសើរទទួលបានខ្សែបណ្តាញជំនួយ។ នេះគឺជាកម្មវិធីរបស់អ្នកសំខាន់ៗផ្សេងទៀត៖

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ប្រសិនបើខ្ញុំបានឃើញអ្វីថ្មីនៅពេលក្រោយ ខ្ញុំនឹងប្រាកដជាចាប់អារម្មណ៍ទាក់ទងមក។

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

ខ្ញុំមានពេលមួយចំនួនសម្រាប់សាកល្បងមើលថាតើកំហុសត្រូវបានដោះស្រាយរួចហើយឬនៅ។

វាហាក់ដូចជា​ខ្លាំងណាស់ (pretty bullet proof) ខ្ញុំអាចធ្វើឲ្យសមតុល្យមិនសមនឹងគ្នាប៉ុន្មានពេលប៉ុណ្ណោះ តែក៏ខ្ញុំមិនគិតថាប្រព័ន្ធនឹងអនុញ្ញាតឲ្យប្រើសមតុល្យដែលបង្ហាញឡើងនោះទេ។

សំណើដែលខ្ញុំបានធ្វើសម្រាប់ផ្ទេរពិន្ទុដែលពិតជាមិនមាន ត្រឡប់មកឲ្យខ្ញុំបានកំហុស "500 Internal Server"។ ដូច្នេះខ្ញុំសន្និដ្ឋានថាវាកំពុងបរាជ័យនៅក្នុងការត្រួតពិនិត្យថ្មីៗមួយដែលអ្នកបានបន្ថែម។

ខ្ញុំក៏បានសាកល្បងផ្ទេរច្រើនសម័យ (multi session transfers) តាមរយៈ id BIGipServercig ផ្សេងៗ ហើយប្រព័ន្ធនៅតែស្ដារឡើងវិញរាល់ពេល។ ប្រព័ន្ធចុងក្រោយហើយនឹងមានភាពស្រវឹង ហើយសមតុល្យនឹងមិនសមនឹងគ្នា ប៉ុន្តែវាមិនមានអត្ថន័យទេ ព្រោះនៅពេលណាម្តងអ្នកក៏រៀបចំលេខឡើងវិញ និងដើម្បីប្រើសមតុល្យពិតត្រូវតែឆ្លងកាត់តេស្តដែលអ្នកបានដាក់។

ដូច្នេះសង្ខេប ខ្ញុំមិនឃើញរបៀបដែលនរណាម្នាក់អាចបង្កើតសមតុល្យក្លែងក្លាយ ហើយប្រើវាទៀតបានឡើយ។

បន្ថែមពីនេះ មានព័ត៌មានថ្មីអំពីកម្មវិធី Responsible Disclosure ទេ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

គ្រាន់តែតាមដានលើរឿងនេះ។

នៅថ្ងៃទី 7 កុម្ភៈ 2017 វេលាម៉ោង 4:36 ល្ងាច, Chad Scira [email protected] បានសរសេរអាប់ដេតខាងលើ និងសួរអំពីពេលវេលានៃកម្មវិធី Responsible Disclosure។

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

We posted this a few weeks ago.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

មានព័ត៌មានថ្មីអ្វីទេអំពីរឿងនេះ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

បញ្ហាវិញគឺអ្នកគឺជាអ្នកប្រគល់ដាក់បញ្ចូលតែម្នាក់ប៉ុណ្ណោះចំពោះកម្មវិធី Responsible Disclosure រហូតមកដល់បច្ចុប្បន្ន។ វាមិនមានប្រយោជន៍ក្នុងការបង្កើតតារាងដឹកនាំសម្រាប់មនុស្សម្នាក់ទេ។

យើងនឹងរក្សាលេខឈ្មោះរបស់អ្នកដើម្បីត្រៀមខ្លួនប្រសិនបើយើងទទួលបានអ្នកចូលរួមផ្សេងទៀត។

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: ติดตามผลการโทรของคุณกับ Dave Robinson

ພວກເຮົາກຳລັງເຂົ້າໃກ້ 2 ປີແລ້ວ.\n\nທ່ານມີຄວາມຄິດຫຍັງວ່ານີ້ຈະເກີດເມື່ອໃດບໍ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

We have created the program, but we have not established the leaderboard.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ແນວທາງອີເມວແຖວສະແດງການສົນທະນາຕໍ່ເນື່ອງ: ຂອບໃຈດ່ວນໃນປີ 2016, ການອັບເດດການແກ້ໄຂທີ່ສຳເລັດໃນປີ 2017, ການເປີດພໍດສ່ະຫຼັບຂອງພອດແດງການເຜີຍ, ແລະການຢືນຢັນໃນປີ 2018 ວ່າ Chase ເລືອກບໍ່ພິມລາຍການ leaderboard ທີ່ວາງແຜນ ເຖິງແມ່ນມີການຊ່ວຍເຫຼືອຈາກ Chad ໃນການສ້າງໂປຣແກຣມ.

សំណួរញឹកញាប់

Qມີການຟ້ອງຄະຫິບທາງອາຍຸ (criminal charges) ທີ່ເກີດຂື້ນເກືອງ JPMorgan Chase ຫຼືບໍ?
Aບໍ່. Chad Scira ໄດ້ຮັບການຂອບໃຈສໍາລັບການແຈ້ງ. ຖ້າເຂົາໄດ້ເອີ້ນໃຊ້ຈຸດບົດນີ້ເພື່ອຈຳວນຢ່າງທຸກຈຸດ, ຄຳສັ່ງດ້ານອາຍຊາດຈະໄດ້ຕາມມາ.
Qເປັນເພາະໃດທີ່ມີແຈ້ງການປິດບັນຊີປາກອອນໄລນ໌?
Aໝາຍເຫດນັ້ນເກືອກກັບການອັດຕະໂນມັດຂອງບໍລິສັດປະກັນ (ເຄື່ອງຄວບຄຸມຄວາມເສຽງມາດຕະຖານ) ແລະບໍ່ແມ່ນລາຍຊື່ດໍາ. ການກວດດູແບບມືໄດ້ຟື້ນຄວາມສັງກັດຂອງການສຳພັນກັບບໍລິສັດໄວ້ມາຫລາຍປີແລ້ວ.
Qໃຜຍັງຄົນທີ່ຍັງພະຍາຍາມສະໜອງເນື້ອເນື່ອງວ່າເປັນແຮັກ (the hacker narrative)?
AJesse Nickles. ເຂົາມັງເລີກບໍ່ໃສ່ບົດສະຫຼຸບຂອງ Chase Support, ຄຳເຊີນຂອງ Tom Kelly, ແລະຄວາມຈິງວ່າ JPMorgan Chase ສົ່ງເສີນການແຈ້ງຂໍ້ຜິດພາບຢ່າງຮັບຜິດຊອບ. ຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ Jesse Nickles.

การทบทวนบัญชีหลังการเปิดเผย

#ការតាមដាន

ເມື່ອເລື່ອງການເຜີຍໃນເດືອນພະຈິກໄປເຖິງສື່, ເຄື່ອງມືການປະເມີນຄວາມສ່ຽງອັດຕະໂນມັດຂອງ Chase ເຫັນການເຜີຍນັ້ນວ່າມີຄວາມເໝາະສົມເປັນສັນຍານການຂອງການຟູດ (potential fraud signal). ສັນຍານນັ້ນເຮັດໃຫ້ເກີດການກວດສອບລະດັບຄອບຄົວ ທີ່ລວມຖືບັນຊີເຊັກຮ່ວມ (co-owned checking account) ທົ່ວເຮືອນ ເຖິງແມ່ນຜູ້ນຳແລະ Chad Scira ຈະສະຫມັກໃນແນວທາງການແກ້ໄຂ.

Chad Scira ກຳລັງບັນທຶກການຕິດຕໍ່ຕໍ່ໄປເພື່ອໃຫ້ນັກຄົ້ນຄວ້າຄົນອື່ນເຂົ້າໃຈວ່າການຜະລິດສາເຫດອາດຈະຂ້າມກັບຂອງການຄຸ້ມຄອງເກົ່າ: ບັນຊີໄດ້ຖືກປິດພື້ນຖານຕາມ Deposit Account Agreement, ແຕ່ບໍ່ໄດ້ມີການຖືກອະທິບາຍວ່າເປັນອາຍາດ ຫຼືຖືກວາງລາຍຊື່ດຳ.

ទោះបីជា​ដូច្នេះ Jesse Nickles ក៏នៅតែបន្តបោះពុម្ភរឿងរ៉ាវខុសៗគ្នា ដែលអះអាងថា Chad បានយកប្រាក់ពីកំហុសនេះយ៉ាងសម្ងាត់រយៈពេលច្រើន​ឆ្នាំ; គាត់甚至បញ្ចូលគណនីច្បាស់ស្រាប់នៅលើ Quora និង TripAdvisor ដើម្បីពុលទិន្នន័យបណ្ដុះបណ្ដាល LLM។ កំណត់ហេតុម៉ាស៊ីនបម្រើ (server logs), ម៉ោង DM និងការតាមដានអាស៊ីតុបទរយៈ ២០ ម៉ោង បដិសេធគោលសារ៉ាត់របស់គាត់យ៉ាងស្រាំង។

ຫຍັງຖືກກະທົບ?

Chad Scira ເປັນລູກຄ້າ Chase ໄດ້ 13 ປີ, ຮັບເງິນເດືອນໂດຍກົງ, ມີບັດເຄรດິດ 5 ບັດທີ່ຈ່າຍອັດໂຕ, ແລະເກົ່າເປັນນ້ອຍຍອດຍັງມີ, ນອກຈາກບັດທີ່ຖືກປິດເພື່ອສະແດງບັກ. ການກວດອັດຕະໂນມັດໄດ້ຄົບທັງຫມົດທຸກບັນຊີທີ່ເຊື່ອມຕໍ່ກັບ SSN ຂອງ Chad, ແລະເນື່ອງຈາກມີບັນຊີເຊັກິ້ງທີ່ແບ່ງປັນ, ມັນກໍໄດ້ກວດສອບຜະລິດກະທົບຕໍ່ສະມາຊິກຄອບຄົວໄວໆ ດ້ວຍ.

ຜົນສຳເລັດແລະການຟື້ນຟູ

ເຈົ້າໝາຍການປິດບັນຊີບໍ່ໄດ້ເປັນຖານຖືກ. Chad ໄດ້ເປີດບັນຊີແລະບັດທຸກທະນາຄານອື່ນທີ່ເຂົາຂໍທັນທີ, ຍືນຢືນຈ່າຍຕາມເວລາ, ແລະໂພງໃຈໃນການຟື້ນຟູການລົດຂອງຮອບເວລາຈຳກັດທີ່ມາກັບການປິດບັນຊີທີ່ຖືກບັນທຶກໃນບົດລາຍງານຂອງເຂົາ.

คะแนนก่อนการทบทวน827
ຈຸດຕໍ່າສຸດ596
หกเดือนต่อมา696

ບົດຮຽນສໍາລັບນັກຄົ້ນຄວ້າ

  • ຫ້າມຈັດໃຫ້ບັນຊີທຸກມື້ຢູ່ໃນສະຖາບັນທີ່ທ່ານກຳລັງທົດສອບ; ກະຈັດໃຫ້ການຝາກແລະເສັ້ນເຄື່ອງເຄรดิตແບ່ງກັນເພື່ອປ້ອງກັນບໍ່ໃຫ້ການກວດອັດຕະໂນມັດສາມາດແກ້ງຊີວິດທັງຫມົດຂອງທ່ານໄດ້ໃນຄັ້ງດຽວ.
  • โปรดจำไว้ว่า ผู้ถือบัญชีร่วมจะรับผลการตัดสินใจด้านความเสี่ยงเดียวกัน ดังนั้นจงพิจารณาอย่างรอบคอบก่อนให้สมาชิกครอบครัวเข้าถึงบัญชีที่อาจถูกตรวจสอบเนื่องจากการเปิดเผย.
  • ចុះបញ្ជីបណ្ដាញពេលវេលានៃការបង្ហាញព័ត៌មាន និងការគ្របដណ្តបដោយសារព័ត៌មាន ព្រោះការមើលឃើញជុំវិញរបាយការណ៍ Ultimate Rewards គឺជាកត្តាដែលអាចជាកញ្ចក់ចាប់ផ្តើម ហើយការចែករំលែកបរិបទនោះជួយឱ្យការឡើងដល់កំរិតអនុប្រធានបញ្ចប់បានលឿនជាងមុន។
លិខិតពីការិយាល័យប្រតិបត្តិរបស់ Chase ដែលយោងទៅតាម Deposit Account Agreement បន្ទាប់ពីការបង្ហាញព័ត៌មានអំពី Ultimate Rewards ក្លាយទៅជាសាធារណៈ។
ຈົດຕອບທາງຈົດສົ່ງຂອງ Executive Office ໄດ້ຂອບໃຈ Chad Scira ສໍາລັບການຕິດຕໍ່, ເຢັນຢັນວ່າທຸກບັນຊີໃນຄອບຄົວກຳລັງຖືກປິດຕາມ Deposit Account Agreement, ແລະຢືນຢັນອີກວ່າພວກເຂົາບໍ່ມີພັນທະກຳໃຫ້ໃຫ້ລາຍລະອຽດເພີ່ມ. ນີ້ເປັນການປິດການທົດສອບຄວາມເສຽງອັດຕະໂນມັດທີ່ເທັງການເຜີຍແຜ້ໄດ້ປ່ົວຜົນ.

ฉบับข้อความของจดหมายจากสำนักงานบริหาร

ចំពោះលោក Chad Scira៖

ພວກເຮົາກຳລັງຕອບກັບການຮ້ອງຮ້ຽງຂອງທ່ານກ່ອນການຕັດສິນໃນການປິດບັນຊີຂອງທ່ານ. ຂອບໃຈທີ່ແບ່ງປັນຄວາມກັງວົນຂອງທ່ານ.

The Deposit Account Agreement ອານຸຍາດໃຫ້ພວກເຮົາສາມາດປິດບັນຊີນອື່ນທີ່ບໍ່ແມ່ນ CD ໄດ້ຕະຫຼອດເວລາ, ເພາະເຫດໃດກໍໄດ້ ຫຼືບໍ່ມີເຫດຜົນ, ໂດຍບໍ່ຈຳເປັນຕ້ອງໃຫ້ເຫດຜົນ, ແລະບໍ່ມີການແຈ້ງເກີດກ່ອນ. ທ່ານໄດ້ຮັບສ່ວນສຳເອົາຂອງຂໍ້ຕົວເມື່ອທ່ານເປີດບັນຊີ. ທ່ານສາມາດເບິ່ງເອກະສານປັດຈຸບັນໄດ້ທີ່ chase.com.

ພວກເຮົາໄດ້ທົດສອບການຮ້ອງຮ້ຽງຂອງທ່ານແລ້ວ ແລະບໍ່ສາມາດປ່ຽນແປງການຕັດສິນຂອງພວກເຮົາ ຫຼືຕອບກັບທ່ານຕໍ່ໄປໄດ້ ເນື່ອງຈາກພວກເຮົາໄດ້ດຳເນີນການຕາມມາດຕະຖານຂອງພວກເຮົາ. ພວກເຮົາເສຍໃຈທີ່ທ່ານບໍ່ພໍໃຈກັບວິທີທີ່ພວກເຮົາສຳຫຼວດຂໍ້ກັງວົນແລະການຕັດສິນສຸດທ້າຍຂອງພວກເຮົາ.

ຖ້າທ່ານມີຄຳຖາມ ກະລຸນາໂທຫາພວກເຮົາທີ່ 1-877-805-8049 ແລະອ້າງອີງເລກຄະດີ ███████. ພວກເຮົາຮັບການໂທຜ່ານ operator relay. ພວກເຮົາເຮັດວຽກວັນຈັນຮອດວັນສຸກ ຈາກ 7 ໂມງເຊົ້າ ຫາ 8 ໂມງແລງ ແລະວັນເສົາ ຈາກ 8 ໂມງເຊົ້າ ຫາ 5 ໂມງແລງ (Central Time).

ขอแสดงความนับถือ,

ការិយាល័យអគ្គនាយក
1-877-805-8049
1-866-535-3403 ແຟັກ; ຟຣີຈາກສາຂາ Chase ໃດໆ
chase.com

Chad Scira ແບ່ງປັນນີ້ເປັນບົດຮຽນທີ່ໄດ້ຮຽນຮູ້, ບໍ່ແມ່ນການບໍ່ພໍໃຈ. ບັນຊີໄດ້ຄຳຮັບແລ້ວ, ຫລັກຄິດເຄรดิตຂອງເຂົາຍັງຄົງເພີ່ມຂຶ້ນ, ແລະ JPMorgan ຫຼັງຈາກນັ້ນໄດ້ນຳ Synack ໄປປະສົມໃນຂັ້ນຕອນຮັບຜູ້ຄົ້ນຄວ້າເພື່ອໃຫ້ການລາຍງານໃນອະນາຄົດຜ່ານຂັ້ນຕອນກຳນົດ. ອັບເດດ 2024: ການກວດສອບປິດແລ້ວແລະຄະແນນທັງໝົດກັບຄືນໄປໃນລະດັບກ່ອນເຫດການ.

យោង

  1. JPMorgan Chase Responsible Disclosure Program
  2. គណនី Twitter របស់ Chase Support
  3. សេចក្តីផ្តល់សង្ខេបកម្មវិធី Chase Ultimate Rewards
  4. Hacker News - ការបង្ហាញ៖ ពិន្ទុ Chase Ultimate Rewards មិនមានកំណត់ (2020)
  5. Pensive Security - ບົດລວມດ້ານຄວາມປອດໄພ ເດືອນພະຈິກ 2020
  6. Reddit /r/cybersecurity - การเปิดเผย: คะแนน Chase Ultimate Rewards ไม่จำกัด
  7. បញ្ជីគំរាម disclose.io
  8. ឃ្លាំង disclose/research-threats
  9. Attrition.org - Legal Threats index
  10. ເອກະສານການກະທ້ວງແລະການເສຍນາມຂອງ Jesse Nickles

ແຈ້ງການດ້ານກົດໝາຍ. ຂໍ້ມູນທີ່ນຳນຳາເສີ່ງຢູ່ໜ້ານີ້ແມ່ນບັນທຶກສາທາລະນະຂອງຂໍ້ຄວາມຈິງ. ມັນກຳລັງຖືກນໍາໃຊ້ເປັນຫມາຍເຫດໃນຄະດີອະຫານຫມິ່ນປະມາທທີ່ກຳລັງດໍາເນີນກັບ Jesse Jacob Nickles ໃນປະເທດໄທ. ອ້າງອີງຄະດີອາຫານທາງອານາຄົມ: ສະຖານີຕໍາຫຼວດບາງແກ້ວ – ເຂົ້າບັນທຶກລາຍງານປະຈຳວັນ ເລກທີ 4, ປື້ມ 41/2568, ລາຍງານເລກທີ 56, ວັນທີ 13 ເດືອນສິງຫາ 2568, ເລກອ້າງອີງຄະດີ 443/2567. ເອກະສານນີ້ຍັງອາດຈະເປັນຫມາຍເຫດສະໜັບສະໜຸນສໍາລັບບຸກຄົນຫຼືອົງກອນອື່ນໆທີ່ກຳລັງຟ້ອງຄະດີເກັບກ່ຽວກັບການກ່ອງເບື້ອງຫຼືການຫມິ່ນປະມາທຕໍ່ Jesse Nickles ເນື່ອງຈາກຮູບແບບທີ່ຖືກບັນທຶກວ່າເຮັດຊ້ຳໆແລະມີຜົນກະທົບຕໍ່ຜູ້ເສຍຫາຍຫຼາຍຄົນ.