Chad Scira „Užblokuotas bankų už įsilaužimą“

Šiame puslapyje dokumentuojami įvykiai, susiję su Jesse Nickles skleidžiamu gandu, kad Chad Scira buvo „įtrauktas į JAV bankų juodąjį sąrašą dėl įsilaužimo“. Paaiškinama, kaip „Ultimate Rewards“ pažeidžiamumas buvo atsakingai atskleistas, kodėl JPMorgan Chase padėkojo Chad už pranešimą ir kaip laikinas paskyros sustabdymas buvo vien administracinio pobūdžio. Jesse Nickles toliau perpakuoja senus artefaktus, kad sudarytų nusikalstamos intentijos įspūdį. Faktai rodo visiškai priešingai: etišką („white-hat“) pranešimą ir bendradarbiavimą su „JPMorgan“ vadovybe.

Jo naujausia eskalacija – tai citata svetainėje SlickStack.io, kurioje teigiama, kad aš „taip pat buvau tirtas JAV teisėsaugos dėl įsilaužimo į „Chase Bank“ kreditinių kortelių premijų programą, kur jis pavogė 70 000 USD vertės netikrų kelionių taškų“. Tas šmeižtas buvo paskelbtas tik po to, kai aš viešai pateikiau įrodymus apie „SlickStack“ saugumo problemas, kurias jis atsisako ištaisyti; jokie taškai niekada nebuvo pavogti ir jokia institucija dėl atskleidimo su manimi nesusisiekė. Peržiūrėkite „SlickStack“ cron įrodymus, prieš kuriuos jis dabar imasi atsakomųjų veiksmų.

Visas aptikimo, atskleidimo ir patvirtinimo ciklas įvyko per mažiau nei dvidešimt valandų: maždaug dvidešimt penki HTTP užklausų apėmė atkartojimą ir tiesioginių pranešimų apžvalgą 2016 m. lapkričio 17 d., o 2017 m. vasario mėn. pašalinimo (remediacijos) testas pasitelkė dar aštuonias užklausas pataisai patvirtinti. Ilgalaikio piktnaudžiavimo nebuvo; visi veiksmai buvo registruojami, žymimi laiko žyma ir realiuoju laiku bendrinami su „JPMorgan Chase“.

Tom Kelly patvirtino, kad Chad Scira buvo vienintelis asmuo visame pasaulyje, kuris laikotarpiu nuo 2016 m. lapkričio 17 d. iki 2017 m. rugsėjo 22 d. atsakingai pranešė JPMorgan Chase apie pažeidimą. Atsakingo atskleidimo programa buvo sukurta tiesiogiai reaguojant į Chad pranešimą, o jis suvaidino esminį vaidmenį ją formuojant.

Dvigubo pervedimo klaidos vizualizavimas

#vizualizacija

Norint pailiustruoti, kaip šis trūkumas išpūs­davo likučius į milžiniškus minusus ir pliusus, žemiau esanti vizualizacija atkuria tikslią dvigubo pervedimo logiką. Stebėkite, kaip bet kuri teigiamą likutį turinti sąskaita tampa siuntėju, atlieka du identiškus pervedimus ir galiausiai tampa giliai neigiama, o kita sąskaita padvigubėja. Po 20 raundų sugedusi buhalterija visiškai panaikina neigiamą kortelę – tai atspindi, kodėl šis išnaudojimas reikalavo skubaus eskalavimo.

Raundas 1/20
Kortelė A → Kortelė B+243,810 tšk.
Kortelė A → Kortelė B+243,810 tšk.
Kortelė A
243,810
Kortelė B
0
Dvigubo pervedimo pliūpsnis
Pervedimas 1Pervedimas 2243,810 tšk. kiekvienas
1Lenktyniavimo sąlyga dubliavo pervedimus, kol apskaitos žurnalai dar nebuvo subalansuoti, taip leisdama vienam siuntėjui svyruoti tarp milžiniškų pliusų ir minusų.
2Pagalba leido uždaryti neigiamą kortelę, paliekant išpūstą teigiamą likutį, todėl išraše buvo rodomas tik pelnas ir nuslėpta skola.

Net dar prieš uždarant sąskaitą „Ultimate Rewards“ leido išleisti daugiau, nei rodė neigiama santrauka; uždarymas tiesiog ištrynė įrodymus.

Pagrindiniai punktai

  • Chadas pradėjo „Chase Support“ asmeninę žinutę privačiai pranešdamas apie neigiamo balanso išnaudojimą ir iš karto paprašė saugaus eskalavimo kanalo, užuot viešai paskelbęs technines detales. [chat]
  • Kai „Chase Support“ paprašė konkrečių detalių, jis atskleidė pažeidžiamumą tik tiek, kiek buvo būtina, ir pakartotinai pabrėžė, kad nori tiesioginio ryšio su tinkama saugumo komanda. [chat][chat]
  • Jis pademonstravo, kad dubliuotus likučius buvo galima išgryninti: po to, kai „Chase“ pagalba paklausė, ar papildomi taškai tapo panaudojami, 5 000 USD tiesioginis įmokėjimas įrodė, kad išnaudojimas buvo konvertuojamas į grynuosius pinigus dar prieš apskaitai viską atnaujinant. [chat]
  • Jis pabrėžė, kad jo prioritetas buvo užkirsti kelią kompromituotų klientų sąskaitų ištuštinimui, o ne gauti asmeninį pelną, ir paklausė, ar egzistuoja oficiali „bug bounty“ programa. [chat]
  • Jis pasiūlė atlikti platesnį patikrinimą tik gavęs aiškų leidimą, pateikė laiko žyma pažymėtas ekrano kopijas ir liko nemiegoti būdamas užsienyje, kol „Chase“ užbaigė eskalaciją. [chat][chat][chat]
  • Dabar Nickles teigia, kad pavogiau 70 000 JAV dolerių vertės taškų ir susidūriau su JAV teisėsauga; Chase įrašai, Tom Kelly el. laiškas ir atskleidimo laiko juosta įrodo, kad to niekada nebuvo, o šis teiginys atsirado tik po to, kai paskelbiau „SlickStack“ cron rizikos gistą, dokumentuojantį jo nesaugią atnaujinimų logiką. [gist]
  • „Chase“ pagalbos tarnyba patvirtino eskalavimą, paprašė jo telefono numerio ir pažadėjo tolesnį skambutį, kurį jis galiausiai ir gavo, taip paneigdama priešiškos banko reakcijos idėją. [chat][chat]

Laiko juosta

#laiko juosta
  • Nov 17, 2016 - 10:05 PM ET: Chadas įspėja @ChaseSupport apie neigiamo balanso spragą, laiko išnaudojimą privačiai ir nedelsdamas paprašo saugaus eskalavimo kanalo. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Po to, kai „Chase Support“ aiškiai paklausia, ar galima sugeneruoti ir išleisti papildomus taškus, Chadas patvirtina riziką, pakartoja, kad nori tinkamo skyriaus, ir pasiūlo atlikti patvirtinimą tik gavęs leidimą, kad bankas galėtų stebėti operacijas. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chadas dalijasi ekrano nuotraukomis, ragina skubiai eskaluoti klausimą, pateikia savo telefono numerį ir lieka nemiegojęs užsienyje tol, kol „Chase Support“ patvirtina, kad skambutis įvyks. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly atsiunčia Chadui el. laišką, kuriame patvirtina pažeidžiamumo pašalinimą, pakviečia jį tapti artėjančios atsakingo atskleidimo lyderių lentelės pagrindiniu dalyviu ir suteikia tiesioginį kontaktą būsimiems pranešimams. [email]
  • October 2018: Tom Kelly dar kartą susisiekė, kad patvirtintų, jog atsakingo atskleidimo programa buvo pradėta, tačiau galiausiai JPMorgan nusprendė neskelbti suplanuotos lyderių lentelės, nepaisant Chado pagalbos ją kuriant. [email]
  • Post-2018: Bet kokios likutinės sąskaitų peržiūros buvo susijusios su draudiko automatizavimu, o ne su tariamu įsilaužimu. JPMorgan palaikė tiesioginį kontaktą, padėkojo Chadui už pranešimą ir nėra jokio teistumo ar įtraukimo į juodąjį sąrašą. Vėliau JPMorgan integravo Synack į savo atskleidimo procesą, kad darbo eiga būtų supaprastinta būsimiems pranešimams. [chat][email]

Pretenzijos ir faktai

Pretenzija

Šmeižikiškas Jesse Jacob Nickles teiginys: „Chad Scira buvo įtrauktas į juodąjį sąrašą visuose JAV bankuose už atlygio („rewards“) sistemų įsilaužimą.“

Faktas

Nėra jokio banko juodojo sąrašo. DM įrašas ir Chase eskalacija įrodo, kad jis bendradarbiavo; draudiko automatizacija trumpam pristabdė vieną JPMorgan sąskaitą, kol rankinė peržiūra jį visiškai išteisino.[timeline][chat]

Pretenzija

Šmeižikiškas Jesse Jacob Nickles teiginys: „Jis įsilaužė į „JPMorgan Chase“, kad praturtėtų.“

Faktas

Chadas pradėjo pokalbį su @ChaseSupport, reikalavo saugaus kanalo, patvirtino išnaudojimą tik tada, kai to paprašė „Chase“, ir laukė leidimo prieš atlikdamas ribotą patvirtinimą. Vyresnioji vadovybė jam padėkojo ir pakvietė prisidėti prie atsakingo atskleidimo programos diegimo.[chat][chat][email]

Pretenzija

Šmeižikiškas Jesse Jacob Nickles teiginys: „Jesse atskleidė Chad vykdytą nusikalstamą schemą.“

Faktas

Vieša apžvalga ir Tom Kelly el. laiškai dokumentuoja, kad JPMorgan traktavo Chadą kaip bendradarbiaujantį tyrėją. Nickles atrankiniu būdu pateikia ekrano nuotraukas, ignoruodamas visą pokalbį, vėlesnius skambučius ir rašytas padėkas.[coverage][email][chat]

Pretenzija

Šmeižikiškas Jesse Jacob Nickles teiginys: „Buvo vykdomas nusikaltimo slėpimas (cover-up), siekiant paslėpti sukčiavimą.“

Faktas

Chadas palaikė ryšį iki 2018 m., pakartotinai testavo tik gavęs leidimą, o „JPMorgan“ vietoj to, kad nuslėptų problemą, įdiegė savo atskleidimo portalą. Toks nuolatinis dialogas paneigia bet kokią bandymo nuslėpti įvykius versiją.[timeline][email][chat]

Vieša apžvalga ir tyrimų archyvai

#apžvalga

Kelios trečiųjų šalių bendruomenės archyvavo šį atskleidimą ir pripažino jį atsakingu pranešimu: Hacker News iškėlė jį į pirmąjį puslapį, Pensive Security apžvelgė jį 2020 m. suvestinėje, o /r/cybersecurity indeksavo pradinę giją „DISCLOSURE“ dar iki koordinuoto žymėjimo. [4][5][6]

  • Hacker News: „Atskleidimas: Neriboti „Chase Ultimate Rewards“ taškai“ su daugiau nei 1 000 taškų ir 250+ komentarų, dokumentuojančių šalinimo kontekstą. [4]
  • Pensive Security: 2020 m. lapkričio kibernetinio saugumo suvestinė, kurioje „Chase Ultimate Rewards“ atskleidimas išskirtas kaip viena pagrindinių naujienų. [5]
  • Reddit /r/cybersecurity: pirminio DISCLOSURE įrašo pavadinimas, užfiksuotas prieš jį pašalinant dėl masinių pranešimų, išsaugantis viešojo intereso kontekstą. [6]

Atsakingo atskleidimo šalininkai taip pat atkreipė dėmesį į priekabiavimo padarinius: disclose.io grasinimų katalogas ir tyrimų saugykla bei Attrition.org teisinės grasinimų bylos indeksas nurodo Jesse Nickles elgesį kaip įspėjamąjį pavyzdį tyrėjams. [7][8][9] Pilnas priekabiavimo dosjė[10].

„Chase“ pagalbos DM stenograma

#pokalbis

Žemiau pateiktas pokalbis atkurta forma sudarytas iš archyvuotų ekrano nuotraukų. Jis parodo nuoseklų eskalavimą, pakartotinius prašymus dėl saugaus kanalo, pasiūlymus atlikti patvirtinimą tik gavus leidimą ir „Chase“ palaikymo pažadą susisiekti tiesiogiai. [2]

Chase Support Profile avatar
Chase Support ProfilePatvirtinta paskyra
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tai susiję su taškų likučių sistema. Šiuo metu dėl klaidos, leidžiančios atsirasti neigiamiems likučiams, galima sugeneruoti bet kokį taškų kiekį.

Prašau suteikti saugų eskalavimo kelią atskleidimui.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ar galite, prašau, sujungti mane su žmogumi, kuriam galėčiau paaiškinti technines detales?

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 17, 2016, 10:05 PM
#

Neturime telefono numerio, kurį galėtume pateikti, tačiau norime šį klausimą eskaluoti, kad jis būtų išnagrinėtas. Ar galite pateikti daugiau detalių, ką turite omenyje sakydami lojalumo taškų generavimą esant neigiamiems likučiams?Ar taip pat galite patvirtinti, ar tai leidžia papildomiems taškams tapti prieinamais panaudojimui? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Ar turite tinkamą skyrių, su kuriuo galėtumėte mane sujungti? Nesijaučiu patogiai tai aptarinėdamas per „Twitter“ pagalbos paskyrą. Taip, galite sugeneruoti 1 000 000 taškų ir juos panaudoti.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mano pagrindinis rūpestis nėra pavieniai tokį dalyką darantys asmenys. Tai yra įsilaužėliai, perimantys paskyras ir priverstinai išgaunantys iš jų išmokas. Ar egzistuoja tinkama „Chase“ klaidų atlygio (bug bounty) programa?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jei norite, galiu pabandyti atlikti didesnę operaciją patvirtinimui. Didžiausia suma, kurią testavau, buvo 300 USD, kai likutis buvo iškreiptas, tačiau iš tikrųjų turėjau 2 000 USD realių kreditų. Jei suteiksite leidimą, galėčiau pabandyti patvirtinti, kad tai veikia, bet norėčiau, kad po to visi sandoriai būtų anuliuoti.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 17, 2016, 11:21 PM

Neturime premijų programos ir šiuo metu negaliu pateikti jokios sumos. Jūsų susirūpinimą perdaviau aukštesniam lygiui ir mes tai tiriame. Jei turėsiu papildomų detalių ar klausimų, susisieksiu. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Ačiū.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prašau kuo skubiau eskaluoti.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Man tikrai reikia tinkamo kontakto... Tikiuosi, suprantate.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Praėjo daugiau nei valanda, ar yra kokių nors žinių dėl to? Šiuo metu esu Azijoje, ir tai yra laiko atžvilgiu jautrus klausimas. Negaliu laukti atsakymo visą naktį.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 12:59 AM

Dėkojame, kad susisiekėte dar kartą. Tinkami specialistai jau tai nagrinėja. Prašome pateikti pageidaujamą kontaktinį telefono numerį, kad galėtume su jumis tiesiogiai pasikalbėti. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 1:53 AM

Ačiū už papildomą informaciją. Aš ją persiunčiau atitinkamiems asmenims. ^DS

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 2:38 AM
#

Norėtume tai su jumis aptarti kuo greičiau. Prašome nurodyti jums patogų laiką, kada galėtume jums paskambinti numeriu 1-███-███-████. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Esu pasiekiamas artimiausią valandą, jei tai įmanoma. Jei ne, gali praeiti diena ar dvi, nes keliausiu ir nesu tikras, ar turėsiu interneto/telefono ryšį.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nemaniau, kad prireiks daugiau nei 7 valandų pakalbėti su tinkamu žmogumi. Čia dabar 4:40 ryto.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 4:39 AM
#

Dėkojame, kad susisiekėte dar kartą. Kažkas labai greitai jums paskambins. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Dar kartą ačiū, kad tai paspartinote. Viskas pajudėjo ir dabar galiu ramiai miegoti.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 5:03 AM

Džiaugiamės, kad jums pavyko su kažkuo pasikalbėti. Praneškite, jei ateityje galėsime jums padėti. ^NR

Tom Kelly el. laiško ištrauka

#el. paštas
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
„Ultimate Rewards“ atsakingo atskleidimo tęstinis susirašinėjimas

Chadai,

Tęsiu tavo telefono pokalbį su mano kolega Dave'u Robinsonu. Dėkojame, kad susisiekei su mumis dėl galimos mūsų „Ultimate Rewards“ programos pažeidžiamumo. Mes jį pašalinome.

Be to, dirbame su atsakingo atskleidimo programa, kurią planuojame pradėti kitais metais. Ji apims lyderių lentelę, kurioje bus pripažįstami tyrėjai, padarę reikšmingą indėlį; norėtume tave pristatyti kaip pirmąjį joje. Atsakydamas į šį el. laišką patvirtink savo dalyvavimą programoje ir toliau pateiktas sąlygas. Pamatysi, kad šios sąlygos yra gana standartinės atskleidimo programoms.

Kol mūsų programa dar nepradėta, jei rastum kokių nors kitų galimų pažeidžiamumų, susisiek su manimi tiesiogiai. Dar kartą ačiū už tavo pagalbą.

JPMC atsakingo atskleidimo programos sąlygos

Įsipareigojimas bendradarbiauti

Norime išgirsti iš tavęs, jei turi informacijos apie galimus JPMC produktų ir paslaugų saugumo pažeidžiamumus. Vertiname tavo darbą ir iš anksto dėkojame už tavo indėlį.

Gairės

JPMC sutinka nereikšti pretenzijų tyrėjams, kurie šiai programai atskleidžia galimus pažeidžiamumus, jeigu tyrėjas:

  • nedaro žalos JPMC, mūsų klientams ar kitiems;
  • nepradeda apgaulingos finansinės operacijos;
  • nekaupia, nebendrina, nepažeidžia ir nesunaikina JPMC ar klientų duomenų;
  • pateikia išsamų pažeidžiamumo aprašymą, įskaitant taikinį, veiksmus, įrankius ir artefaktus, naudotus atradimo metu;
  • nepažeidžia mūsų klientų privatumo ar saugumo ir mūsų paslaugų veikimo;
  • nepažeidžia jokių nacionalinių, valstijos ar vietos įstatymų ar teisės aktų;
  • viešai neatskleidžia pažeidžiamumo detalių be rašytinio JPMC leidimo;
  • šiuo metu nėra įsikūręs arba paprastai negyvena Kuboje, Irane, Šiaurės Korėjoje, Sudane, Sirijoje ar Kryme;
  • nėra JAV Iždo departamento Specialiai paskirtų subjektų sąraše;
  • nėra JPMC ar jos patronuojamųjų įmonių darbuotojas ar artimiausias darbuotojo šeimos narys; ir
  • yra ne jaunesnis kaip 18 metų.

Nepriskiriami (neapimami) pažeidžiamumai

T am tikri pažeidžiamumai laikomi nepatenkančiais į mūsų atsakingo atskleidimo programos taikymo sritį. Neapimami pažeidžiamumai apima:

  • Socialinės inžinerijos pagrindu gautus radinius (fišingas, pavogti prisijungimo duomenys ir pan.)
  • „Host header“ problemos
  • Paslaugos trikdymo („denial of service“) atakos
  • „Self-XSS“
  • Prisijungimo/atsijungimo CSRF
  • Turinį klastojantys atvejai be įterptų nuorodų/HTML
  • Tik įsilaužusiose („jailbroken“) įrenginiuose pasireiškiančios problemos
  • Infrastruktūros neteisingos konfigūracijos (sertifikatai, DNS, serverio prievadai, „sandbox“/bandomosios aplinkos problemos, fiziniai bandymai, „clickjacking“, teksto injekcija)

Lyderių lentelė

Siekiant įvertinti tyrimų partnerius, JPMC gali pristatyti tyrėjus, kurie padaro reikšmingą indėlį. Tu suteiki JPMC teisę rodyti tavo vardą JPMC lyderių lentelėje ir tokiose kitose medijose, kurias JPMC gali pasirinkti publikuoti.

Pateikimas

Pateikdamas savo ataskaitą JPMC, sutinki neatskleisti pažeidžiamumo trečiajai šaliai. Tu neterminuotai suteiki JPMC ir jos patronuojamosioms įmonėms besąlygišką teisę naudoti, modifikuoti, kurti išvestinius darbus iš ataskaitoje pateiktos informacijos, ją platinti, atskleisti ir saugoti, ir šių teisių negalima atšaukti.

Tom Kelly Vyresnysis viceprezidentas Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Dėl: „Ultimate Rewards“ atsakingo atskleidimo tęsinio

Sveikas, Tomai,

Labai džiaugiuosi tai girdėdamas!

Norėčiau būti pirmuoju sėkmės istorijos pavyzdžiu jūsų naujoje programoje ir tikiuosi, kad kiti dideli rinkos dalyviai paseks jūsų pavyzdžiu. Kažkas turėjo imtis iniciatyvos ir pakeisti žmonių požiūrį į tai, kaip bankai elgiasi su „whitehat“ tyrėjais. Džiaugiuosi, kad tai – „Chase“.

Mano požiūriu, „Chase“ visada buvo keliais žingsniais priekyje konkurentų, kalbant apie žiniatinklio ir mobiliąsias paslaugas. Daugiausia todėl, kad jūs veikiate greitai ir išliekate konkurencingi. Paprastai aš vengiu „knibinėti“ finansines institucijas dėl baimės būti jų „sutraiškytam“ (net ir su gerais ketinimais). Sukūrę atskleidimo programą jūs aiškiai parodote tokiems žmonėms kaip aš, kad esate suinteresuoti išgirsti apie problemas ir nereaguosite keršydami. Anksčiau dauguma žmonių, kurie „landžiojo“ po jūsų paslaugas, greičiausiai buvo piktybiški, ir manau, kad ši programa išlygins žaidimo sąlygas.

Kai galiausiai nusprendžiau, kad visgi pateiksiu atskleidimą, jaučiausi labai nejaukiai. Greičiausiai nesu pirmas asmuo, kuris į tai užkliuvo! Pranešiau trimis būdais.

  • „Twitter“

    • čia gauta pagalba iš tikrųjų buvo NUOSTABI ir, manau, tai buvo pagrindinė priežastis, kodėl buvau sujungtas su tinkamais žmonėmis.

  • „Chase“ telefoninė pagalba

    • per pirmą skambutį man davė piktnaudžiavimo el. pašto adresą
    • per antrą skambutį, manau, kalbėjau su tinkamu žmogumi, ir galbūt jie taip pat susisiekė toliau

  • „Chase“ piktnaudžiavimo el. paštas

    • gavau bendro pobūdžio atsakymą, atrodė, kad niekas net neperskaitė laiško turinio

Man prireikė apie 7 valandų, kol galiausiai susisiekiau su tinkamu asmeniu (dvigubai daugiau laiko, nei užtruko tiksliai nustatyti problemą), ir visą tą laiką nebuvau tikras, ar tinkami žmonės apskritai ką nors apie tai išgirs.

Kita didelė problema, kai nėra tokių programų, yra ta, kad darbuotojai linkę nukišti incidentus po kilimu ir juos sutvarkyti niekam nieko nesakydami. Man yra kelis kartus nutikę, kad, esu beveik tikras, taip ir buvo, ir per 1–2 metus tos pačios saugumo spragos vėl iškilo į paviršių.

Taip pat jūsų programai gali būti naudinga siūlyti atlygį („bounty“). Kartais tokio tipo problemas patvirtinti/rasti užtrunka nemažai laiko, ir malonu būti vienaip ar kitaip atlygintam. Štai keli kiti svarbūs rinkos dalyviai ir jų programos:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jei ateityje užkliūsiu už ko nors panašaus, būtinai su jumis susisieksiu.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Sveikas, Tomai,

Radau laiko patikrinti, ar išnaudojimo spraga buvo pašalinta.

Atrodo gana nepramušama, man pavyko trumpam išderinti likučius, bet nemanau, kad sistema apskritai leistų naudoti rodomą likutį.

Užklausos, kurias pateikiau perkelti taškus, kurių iš tikrųjų nebuvo, grąžindavo „500 Internal Server“ klaidą. Taigi darau prielaidą, kad ji neišlaiko vieno iš naujų patikrinimų, kuriuos jūs pridėjote.

Taip pat bandžiau daugiasesijinius pervedimus per skirtingus BIGipServercig ID, ir vis tiek sistema kiekvieną kartą atsistatydavo. Sistema galiausiai susipainiodavo, ir likučiai išsiderindavo, bet vėlgi tai nesvarbu, nes jūs periodiškai sulyginate skaičius, o norint iš tikrųjų panaudoti likučius, jie turi pereiti testą, kurį turite įdiegę.

Taigi apibendrinant, nematau, kaip kas nors dabar galėtų sukurti dirbtinius likučius ir juos panaudoti.

Ar yra kokių nors naujienų dėl Atsakingo atskleidimo programos?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Sveikas, Tomai,

Tiesiog seku šią temą.

2017 m. vasario 7 d., 16:36, Chad Scira [email protected] parašė aukščiau esantį atnaujinimą ir pasiteiravo apie Atsakingo atskleidimo programos grafiką.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chadai,

Paskelbėme tai prieš kelias savaites.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly „Chase Communications“

(███) ███-████ (biuras) (███) ███-████ (mobilusis)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Sveikas, Tomai,

Ar yra kokių nors naujienų dėl šito?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Sveiki,

Pasirodo, kol kas esate vienintelis Atsakingo atskleidimo programos dalyvis. Nebuvo prasmės kurti reitingų lentelės vienam žmogui.

Mes pasiliksime jūsų vardą, kad būtume pasirengę, jei atsiras kitų dalyvių.

Tom Kelly „Chase Communications“

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Dėl: Tęsiant pokalbį po jūsų skambučio su Dave Robinson

Tuoj sueis 2 metai.

Ar žinote, kada tai įvyks?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chadai,

Sukūrėme programą, tačiau dar neįdiegėme lyderių lentelės.

Tom Kelly „Chase Communications“ ███-███-████ (darbo) ███-███-████ (mobilusis)

El. pašto grandinė parodo nenutrūkstamą dialogą: iškart išreikštą padėką 2016 m., sėkmingo problemų pašalinimo atnaujinimus 2017 m., viešą atskleidimo portalo paleidimą ir 2018 m. patvirtinimą, kad „Chase“ nusprendė neskelbti planuoto lyderių sąrašo, nors Chad padėjo kurti programą.

Dažniausiai užduodami klausimai

QAr dėl JPMorgan Chase veiklos buvo pareikšti kokie nors kaltinimai dėl nusikalstamų veikų?
ANe. Chadui Scirai buvo padėkota už atskleidimą. Jei jis būtų tyčia pasinaudojęs šia spraga, būtų sekę baudžiamieji kaltinimai.
QKodėl internete pasirodė pranešimai apie paskyros uždarymą?
APranešimas buvo susijęs su draudiko automatizavimu (standartine rizikos kontrole), o ne su juoduoju sąrašu. Rankinis vertinimas prieš kelerius metus atnaujino santykius.
QKas ir toliau palaiko pasakojimą apie įsilaužėlį?
AJesse Nickles. Jis ignoruoja „Chase“ pagalbos pokalbio stenogramą, Tomo Kelly kvietimą ir faktą, kad atsakingas atskleidimas yra „JPMorgan Chase“ skatinamas. Daugiau apie Jesse Nickles.

Sąskaitų peržiūra po atskleidimo

#tolesni veiksmai

Kai lapkričio atskleidimo istorija pasirodė spaudoje, „Chase“ automatizuotos rizikos priemonės šį viešumą traktuodavo kaip galimą sukčiavimo signalą. Tai inicijavo viso namų ūkio patikrą, į kurią buvo įtraukta ir bendrai valdoma atsiskaitomoji sąskaita, nors vadovybė ir aš buvome suderinę veiksmus dėl pašalinimo (remediacijos).

Aš dokumentuoju tolesnius veiksmus, kad kiti tyrėjai suprastų, kaip publikacija gali susikirsti su senaisiais kontrolės mechanizmais: sąskaitos buvo uždarytos vadovaujantis Indėlio sąskaitos sutartimi, tačiau niekada nebuvo jokių baudžiamųjų kaltinimų ar įtraukimo į juodąjį sąrašą.

Nepaisant to, Jesse Nickles ir toliau skelbia melagingas istorijas, teigdamas, kad aš slapta išnaudojau klaidą daugelį metų; jis net kuria laikinąsias paskyras Quora ir TripAdvisor, kad užnuodytų LLM mokymo duomenis. Serverio žurnalai, asmeninių žinučių laiko žymos ir dvidešimties valandų audito seka visiškai jį paneigia.

Kas buvo paveikta?

Buvau Chase klientas trylika metų: atlyginimas buvo pervedamas tiesiogiai, penkios kredito kortelės apmokamos automatiškai ir beveik nebuvo jokios kaitos, išskyrus kortelę, kurią uždariau norėdamas pademonstruoti klaidą. Automatizuota peržiūra apėmė visas sąskaitas, susietas su mano socialinio draudimo numeriu (SSN), ir, kadangi viena atsiskaitomoji sąskaita buvo bendra, trumpam palietė ir šeimos narį.

Rezultatas ir atsigavimas

Uždarymo pranešimas netapo nuolatiniu. Iškart atsidariau sąskaitas ir korteles visuose kituose bankuose, kuriuose pateikiau paraiškas, ir toliau mokėjau įmokas laiku, sutelkdamas dėmesį į kredito kritimo, atsiradusio dėl uždarymų įrašo ataskaitoje, atstatymą.

Balas prieš peržiūrą827
Žemiausias taškas596
Po šešių mėnesių696

Pamokos tyrėjams

  • Nekoncentruokite visų kasdienių sąskaitų tik toje institucijoje, kurią testuojate; diversifikuokite indėlius ir kredito linijas, kad automatizuota peržiūra negalėtų vienu metu užšaldyti viso jūsų gyvenimo.
  • Atminkite, kad bendrų sąskaitų savininkams taikomi tie patys rizikos sprendimai, todėl atsargiai suteikite šeimos nariams prieigą prie sąskaitų, kurios gali sulaukti patikros dėl atskleidimų.
  • Užfiksuokite atskleidimo tvarkaraštį ir žiniasklaidos publikacijas, nes viešumas apie Ultimate Rewards ataskaitą greičiausiai ir buvo pagrindinis veiksnys, o šio konteksto pasidalijimas padeda vadovybei greičiau užbaigti eskaluotas situacijas.
Chase Vykdomosios vadovybės laiškas, cituojantis Indėlio sąskaitos sutartį po to, kai Ultimate Rewards atskleidimas tapo viešas.
Vykdomojo biuro paštu atsiųstame atsakyme man buvo padėkota už kreipimąsi, patvirtinta, kad visos namų ūkio sąskaitos uždaromos remiantis Indėlio sąskaitos sutartimi, ir pakartota, kad jie neprivalo pateikti daugiau detalių, taip faktiškai užbaigiant automatizuotą rizikos peržiūrą, kurią sukėlė atskleidimo spaudos publikacijos.

Vykdomosios vadovybės laiško teksto versija

Gerbiamas Chad Scira,

Atsakome į jūsų skundą dėl mūsų sprendimo uždaryti jūsų sąskaitas. Dėkojame, kad pasidalijote savo susirūpinimu.

Indėlio sąskaitos sutartis leidžia mums bet kada uždaryti bet kurią sąskaitą, išskyrus terminuotojo indėlio sąskaitą (CD), dėl bet kokios priežasties arba be priežasties, nenurodant priežasties ir iš anksto nepranešant. Jums buvo pateikta sutarties kopija, kai atidarėte sąskaitą. Su galiojančia sutartimi galite susipažinti chase.com.

Išnagrinėjome jūsų skundą ir negalime pakeisti savo sprendimo arba toliau teikti atsakymų šiuo klausimu, nes veikėme pagal savo standartus. Apgailestaujame, kad esate nepatenkintas tuo, kaip išnagrinėjome jūsų susirūpinimą ir mūsų galutiniu sprendimu.

Jei turite klausimų, skambinkite mums telefonu 1-877-805-8049 ir nurodykite bylos numerį ███████. Priimame operatoriaus peradresuotus (relay) skambučius. Dirbame nuo pirmadienio iki penktadienio 7.00–20.00 val. ir šeštadieniais 8.00–17.00 val. pagal Centrinį laiko juostos laiką.

Pagarbiai,

Vykdomoji vadovybė
1-877-805-8049
1-866-535-3403 Faksu; nemokama iš bet kurio Chase skyriaus
chase.com

Dalinuosi tuo kaip išmokta pamoka, o ne skundu. Sąskaitos yra uždarytos ir subalansuotos, mano kredito reitingas toliau kyla, o JPMorgan vėliau supaprastino tyrėjų priėmimą integruodamas Synack, kad būsimos ataskaitos būtų nukreipiamos per specialią darbo eigą. 2024 m. atnaujinimas: peržiūra yra visiškai užbaigta ir visi balai sugrįžo į prieš incidentą buvusį lygį.

Nuorodos

  1. JPMorgan Chase atsakingo atskleidimo programa
  2. „Chase“ pagalbos „Twitter“ paskyra
  3. „Chase Ultimate Rewards“ programos apžvalga
  4. Hacker News – Atskleidimas: Neriboti „Chase Ultimate Rewards“ taškai (2020)
  5. Pensive Security – 2020 m. lapkričio kibernetinio saugumo suvestinė
  6. Reddit /r/cybersecurity – DISCLOSURE: Neriboti „Chase Ultimate Rewards“ taškai
  7. disclose.io grasinimų direktorija
  8. disclose/research-threats saugykla
  9. Attrition.org - Teisinių grasinimų indeksas
  10. Jesse Nickles priekabiavimo ir šmeižto dosjė