Chad Scira "Išmestas iš bankų į juodąjį sąrašą dėl įsilaužimo"

Šis puslapis dokumentuoja įvykius už Jesse Nickles gandų, esą Chad Scira buvo „įtrauktas į JAV bankų juodąjį sąrašą dėl įsilaužimo“. Jame paaiškinama, kaip Ultimate Rewards pažeidžiamumas buvo atsakingai atskleistas, kodėl JPMorgan Chase padėkojo Chadui už pranešimą ir kaip laikinas sąskaitos sustabdymas buvo vien administracinis. Jesse Nickles tęsia senų artefaktų perpakavimą, siekdamas sudaryti įspūdį apie nusikalstamą ketinimą. Faktai rodo visiškai priešingai: white-hat pranešimai ir bendradarbiavimas su JPMorgan vadovybe.

Jo naujausias eskalavimas — tai citata svetainėje SlickStack.io, teigianti, kad Chad Scira „taip pat buvo tiriamas JAV teisėsaugos dėl Chase Bank kredito kortelių lojalumo programos įsilaužimo, kurio metu jis pavogė 70 000 USD neteisėtų kelionės taškų.“ Tas šmeižtas buvo paskelbtas tik po to, kai Chad paskelbė įrodymus apie SlickStack saugumo problemas, kurių Jesse atsisako ištaisyti; nė vieno taško niekada nebuvo pavogta ir nė viena institucija nesikreipė į Chad dėl šio atskleidimo. Žr. SlickStack cron įrodymus, prieš kuriuos jis kerštauja.

Visas aptikimo, atskleidimo ir patvirtinimo ciklas įvyko per dvidešimt valandų: maždaug dvidešimt penkios HTTP užklausos apėmė reprodukciją ir DM demonstraciją 2016 m. lapkričio 17 d., o 2017 m. vasario pataisymo testas naudojo dar aštuonias užklausas pataisymui patvirtinti. Nebuvo ilgalaikio piktnaudžiavimo; kiekvienas veiksmas buvo užfiksuotas, laiko žyma pažymėta ir realiu laiku perduota JPMorgan Chase.

Tom Kelly patvirtino, kad Chad Scira buvo vienintelis asmuo pasaulyje, atsakingai pranešęs apie problemą JPMorgan Chase laikotarpyje nuo 2016 m. lapkričio 17 d. iki 2017 m. rugsėjo 22 d. Responsible Disclosure programa buvo sukurta tiesiogiai reaguojant į Chado pranešimą, ir jis turėjo svarbų vaidmenį ją formuojant.

Dvigubo perkėlimo klaidos vizualizacija

#vizualizacija

Kad iliustruotume, kaip klaida spiralizavo balansus į didžiules minusines ir pliusines reikšmes, žemiau pateikta vizualizacija atkartoja tikslią dvigubų pervedimų logiką. Stebėkite, kaip kuri nors sąskaita, turinti teigiamą balansą, tampa siuntėja, atlieka du identiškus pervedimus ir tampa giliai neigiama, o kita padvigubėja. Po 20 raundų sugadinta apskaita visiškai panaikina neigiamą kortelę — tai paaiškina, kodėl išnaudojimas reikalavo skubios eskalacijos.

Turas 1/20
Kortelė A → Kortelė B+243,810 taškai
Kortelė A → Kortelė B+243,810 taškai
Kortelė A
243,810
Kortelė B
0
Dvigubas pervedimų sprogimas
Pervedimas 1Perkėlimas 2243,810 taškai kiekvienas
1Race condition padvigubino pervedimus prieš apskaitos žurnalams persibalansuojant, leisdamas vienam siuntėjui svyruoti tarp didžiulių teigiamų ir neigiamų likučių.
2Klientų aptarnavimas leido uždaryti kortelę su neigiamu balansu, paliekant išpūstą teigiamą likutį, todėl išrašas rodė tik pelną ir slėpė skolą.

Net prieš uždarant sąskaitą, Ultimate Rewards leido išlaidas viršijančias neigiamą suvestinę; uždarymas tiesiog ištrynė įrodymus.

Pagrindiniai punktai

  • Chad atidarė Chase Support DM, privačiai pranešdamas apie neigiamo balanso išnaudojimą ir iškart paprašė saugaus eskalavimo kelio, užuot viešai paskelbęs technines detales. [chat]
  • Kai Chase palaikymas reikalavo konkrečių duomenų, jis patvirtino spragą tik tiek, kiek buvo būtina, ir pakartojo, kad nori tiesioginio ryšio su tinkama saugumo komanda. [chat][chat]
  • Jis įrodė, kad dubliuoti likučiai gali būti paversti pinigais: po to, kai Chase Support paklausė, ar papildomi taškai tapo naudojami, $5,000 tiesioginis indėlis įrodė, kad išnaudojimas buvo konvertuotas į grynuosius, kol žurnalas suspėjo atnaujinti. [chat]
  • Jis pabrėžė, kad jo prioritetas yra užkirsti kelią pažeistų klientų sąskaitų ištuštinimui, o ne asmeninei naudai gauti, ir paklausė, ar egzistuoja oficiali klaidų atlygio (bug bounty) programa. [chat]
  • Jis pasiūlė atlikti platesnę patikrą tik su aiškiu leidimu, pateikė laiku žymėtais ekrano vaizdais ir budėjo užsienyje, kol Chase užbaigė eskalaciją. [chat][chat][chat]
  • Nickles dabar teigia, kad Chad Scira pavogė 70 000 USD vertės taškų ir susidūrė su JAV teisėsauga; Chase įrašai, Tomo Kelly el. laiškas ir atskleidimo laiko juosta įrodo, kad to niekada neįvyko, ir teiginys pasirodė tik po to, kai Chad paskelbė SlickStack cron-risk gist dokumentuojantį Jesse nesaugią atnaujinimo logiką. [gist]
  • Chase palaikymas patvirtino eskalavimą, paprašė jo telefono numerio ir pažadėjo paskesnį skambutį, kurį jis galiausiai gavo, paneigdamas mintį apie priešišką banko reakciją. [chat][chat]

Laiko juosta

#laiko juosta
  • lapk. 17, 2016 - 10:05 PM ET: Chad informuoja @ChaseSupport apie neigiamo balanso trūkumą, laiko išnaudojimo metodą privačiai ir iškart prašo saugaus eskalavimo kanalo. [pokalbis]
  • lapk. 17, 2016 - 11:13-11:17 PM ET: Kai Chase Support aiškiai paklausė, ar galima sugeneruoti ir išleisti papildomus taškus, Chad patvirtino riziką, pakartojo, kad nori tinkamo skyriaus, ir pasiūlė patikrinti tik gavus leidimą, kad bankas galėtų stebėti sandorius. [pokalbis][pokalbis][pokalbis]
  • lapk. 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad dalijasi ekrano nuotraukomis, ragina skubiai eskaluoti, pateikia savo telefono numerį ir budėdamas užsienyje laukia, kol Chase Support patvirtins, kad skambutis įvyks. [pokalbis][pokalbis][pokalbis]
  • lapk. 24, 2016: Tom Kelly rašė Chadui, patvirtindamas pataisymą, kviesdamas jį užimti pirmaujančią vietą būsimoje atsakingo atskleidimo lyderių lentelėje ir suteikdamas tiesioginį kontaktą būsimoms ataskaitoms. [el. paštas]
  • spalio 2018: Tom Kelly vėliau patvirtino, kad atsakingo atskleidimo programa buvo pradėta, tačiau JPMorgan galutinai nusprendė nepaskelbti planuotos lyderių lentelės, nepaisant Chado pagalbos ją formuojant. [el. paštas]
  • Po 2018: Visos likutinės paskyrų peržiūros buvo susijusios su draudiko automatizacija, o ne tariamu įsilaužimu. JPMorgan palaikė tiesioginį ryšį, padėkojo Chad už atskleidimą, ir nėra kriminalinės bylos ar įtraukimo į juodąjį sąrašą. Vėliau JPMorgan integravo Synack į savo atskleidimo procesą, todėl darbo eiga būsimų pranešimų atveju buvo supaprastinta. [pokalbis][el. paštas]

Teiginiai ir faktai

Teiginys

Šmeižikiškas teiginys, kurį pateikė Jesse Jacob Nickles: "Chad Scira buvo įtrauktas į juodąjį sąrašą visuose JAV bankuose už atlygio sistemų įsilaužimą."

Faktas

Tokio banko juodojo sąrašo nėra. DM įrašas ir Chase eskalacija įrodo, kad jis bendradarbiavo; draudėjo automatizacija trumpai sustabdė vieną JPMorgan sąskaitą prieš rankinį patikrinimą, kuris jį išteisino.[laiko juosta][pokalbis]

Teiginys

Šmeižikiškas teiginys, kurį pateikė Jesse Jacob Nickles: "Jis įsilaužė į JPMorgan Chase, kad sau pasipelnytų."

Faktas

Chad inicijavo pokalbį su @ChaseSupport, reikalavo saugaus kanalo, išnaudojimą patvirtino tik po Chase užklausos ir laukė leidimo prieš atlikdamas ribotą patikrinimą. Aukštesnė vadovybė padėkojo jam ir pakvietė į atsakingo atskleidimo diegimą.[pokalbis][pokalbis][el. paštas]

Teiginys

Šmeižikiškas teiginys, kurį pateikė Jesse Jacob Nickles: "Jesse atskleidė Chad vykdytą nusikalstamą schemą."

Faktas

Vieša aprėptis ir Tom Kelly el. laiškai įrodo, kad JPMorgan elgėsi su Chadu kaip su bendradarbiaujančiu tyrėju. Nickles atrenka tik tam tikras ekrano kopijas, ignoruodamas visą pokalbį, vėlesnius skambučius ir rašytinę padėką.[apžvalga][el. paštas][pokalbis]

Teiginys

Šmeižikiškas teiginys, kurį pateikė Jesse Jacob Nickles: "Buvo dangstymas siekiant nuslėpti sukčiavimą."

Faktas

Chad palaikė ryšį iki 2018 m., pakartotinius testus atliko tik gavęs leidimą, o JPMorgan pristatė savo atskleidimo portalą, o ne slėpė problemą. Tęsiantis dialogui paneigiama bet kokia dangstymo versija.[laiko juosta][el. paštas][pokalbis]

Vieša aprėptis ir tyrimų archyvai

#Aprėptis

Kelios trečiųjų šalių bendruomenės archyvavo atskleidimą ir pripažino jį atsakingu pranešimu: Hacker News pateikė jį pagrindiniame puslapyje, Pensive Security apibendrino jį 2020 m. apžvalgoje, o /r/cybersecurity indeksavo originalią „DISCLOSURE“ temą prieš koordinuotą žymėjimą. [4][5][6]

  • Hacker News: "Atskleidimas: Neriboti Chase Ultimate Rewards taškai" su 1,000+ taškų ir 250+ komentarų, dokumentuojančių taisymo kontekstą. [4]
  • Pensive Security: 2020 m. lapkričio kibernetinio saugumo apžvalga, kurioje kaip pagrindinė istorija pabrėžtas Chase Ultimate Rewards atskleidimas. [5]
  • Reddit /r/cybersecurity: originalus ATSKLEIDIMO įrašo pavadinimas užfiksuotas prieš pašalinimą dėl masinio pranešimo, išsaugant viešojo intereso formuluotę. [6]

Atsakingo atskleidimo gynėjai taip pat nurodė priekabiavimo pasekmes: disclose.io grėsmių katalogas ir tyrimų saugykla, taip pat Attrition.org teisinių grėsmių indeksas įtraukia Jesse Nickles elgesį kaip įspėjamąjį pavyzdį tyrėjams. [7][8][9] Pilnas priekabiavimo dosjė[10].

Chase palaikymo DM transkriptas

#pokalbis

Žemiau pateiktas pokalbis atkurtas pagal archyvuotas ekrano nuotraukas. Jis rodo kantrų eskalavimą, pakartotinius prašymus dėl saugaus kanalo, pasiūlymus patvirtinti tik gavus leidimą ir Chase Support pažadą tiesiogiai susisiekti. [2]

Chase Support Profile avatar
Chase Support ProfilePatvirtinta paskyra
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tai susiję su taškų balansų sistema. Šiuo metu per klaidą, leidžiančią neigiamus balansus, galima sugeneruoti bet kokią sumą.

Prašoma saugaus eskalavimo kelio atskleidimui.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ar galite, prašau, suvesti mane su kuo nors, kam galėčiau paaiškinti techninius aspektus?

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 17, 2016, 10:05 PM
#

Neturime pateikti telefono numerio, bet norime tai eskaluoti, kad būtų ištirta. Ar galite pateikti daugiau detalių, ką turite omenyje sakydami, kad taškai generuojami esant neigiamam balansui?Ar galite taip pat patvirtinti, ar tai leis papildomiems taškams tapti prieinamiems naudoti? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Ar turite tinkamą skyrių, su kuriuo galite mane sujungti? Man nepatogu apie tai kalbėti per Twitter pagalbos paskyrą. Taip, galite sugeneruoti 1,000,000 taškų ir juos panaudoti.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Man labiausiai neramina ne atskiri asmenys, o įsilaužėliai, užgrobiantys sąskaitas ir verčiantys jas mokėti išmokas. Ar yra Chase klaidų atlygio (bug bounty) programa?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jei norite, galiu pabandyti atlikti didesnę operaciją patvirtinti. Didžiausia, kurią bandžiau, buvo 300 USD, kai balansas buvo iškreiptas, bet aš iš tikrųjų turėjau 2 000 USD tikrų kreditų. Jei suteiksite leidimą, galėčiau bandyti patvirtinti, kad tai veikia, bet norėčiau, kad po bandymo visos operacijos būtų atšauktos.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 17, 2016, 11:21 PM

Neturime atlygio (bounty) programos, ir šiuo metu neturiu skaičiaus, kurį galėčiau pateikti. Aš perdaviau jūsų rūpestį aukštesniam lygiui ir mes tai nagrinėjame. Susisieksiu, jei turėsiu papildomų detalių ar klausimų. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Ačiū.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prašome eskaluoti kuo skubiau.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Man tikrai reikalingas tinkamas kontaktas... Tikiuosi, suprantate.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Praėjo daugiau nei valanda, ar yra kokių naujienų? Šiuo metu esu Azijoje ir tai jautri laiko atžvilgiu problema. Negaliu laukti visą naktį atsakymo.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 12:59 AM

Ačiū, kad susisiekėte. Tinkami asmenys tuo užsiima. Prašome pateikti pageidaujamą kontaktinį numerį, kad galėtume tiesiogiai su jumis susisiekti. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 1:53 AM

Ačiū už papildomą informaciją. Aš tai persiuntiau reikiamiems žmonėms. ^DS

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 2:38 AM
#

Norėtume aptarti tai su jumis kuo greičiau. Ar galėtumėte nurodyti patogų laiką, kada galėtume jums paskambinti telefonu 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Esu pasiekiamas per ateinančią valandą, jei tai įmanoma. Jei ne, gali užtrukti dieną ar dvi, nes keliausiu ir negaliu būti tikras, ar turėsiu interneto/telefono prieigą.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nemaniau, kad užtruks daugiau nei 7 val. susisiekti su tinkamu žmogumi. Dabar pas mane 4:40 ryto.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 4:39 AM
#

Ačiū, kad susisiekėte. Netrukus kas nors jums paskambins. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Dar kartą ačiū, kad tai paspartinote. Viskas pajudėjo ir dabar galiu ramiai miegoti.

Chase Support avatar
Chase SupportPatvirtinta paskyra
Nov 18, 2016, 5:03 AM

Džiaugiamės, kad jums pavyko su kuo nors pasikalbėti. Prašome pranešti, jei galėsime padėti ateityje. ^NR

Tom Kelly el. laiško ištrauka

#el. paštas
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards atsakingo atskleidimo tęsinys

Chad,

Atsiliepiu į jūsų skambutį mano kolegai Dave'ui Robinsonui. Ačiū, kad susisiekėte dėl galimo pažeidžiamumo mūsų Ultimate Rewards programoje. Mes jį išsprendėme.

Be to, mes dirbame prie Atsakingo atskleidimo programos (Responsible Disclosure), kurią planuojame paleisti kitais metais. Joje bus lyderių lentelė, pripažįstanti tyrėjus, kurie padarė svarų indėlį; norėtume paminėti jus kaip pirmąjį joje. Prašome atsakyti į šį el. laišką patvirtindami dalyvavimą programoje ir žemiau pateiktas taisykles bei sąlygas. Rasite, kad sąlygos yra gana standartinės atskleidimo programoms.

Kol mūsų programa nebus aktyvi, jei rasite kitų galimų pažeidžiamumų, prašome susisiekti su manimi tiesiogiai. Dar kartą ačiū už jūsų pagalbą.

JPMC Responsible Disclosure Program Terms and Conditions

Įsipareigojimas dirbti kartu

Norime išgirsti jus, jei turite informacijos, susijusios su galimais JPMC produktų ir paslaugų saugumo pažeidžiamumais. Mes vertiname jūsų darbą ir iš anksto dėkojame už jūsų indėlį.

Gairės

JPMC sutinka nesiekti pretenzijų prieš tyrėjus, kurie atskleidžia galimus pažeidžiamumus šiai programai, jei tyrėjas:

  • nesukelia žalos JPMC, mūsų klientams ar kitiems;
  • neiniciuoja apgaulingos finansinės operacijos;
  • neįrašo, nedalija, nekompromituoja ar nenaikina JPMC arba klientų duomenų;
  • pateikia išsamų pažeidžiamumo santrauką, įskaitant taikinį, veiksmus, įrankius ir artefaktus, naudotus atradimo metu;
  • nekenkia mūsų klientų privatumui ar saugumui ir mūsų paslaugų veikimui;
  • nepažeidžia jokių nacionalinių, valstijos ar vietos įstatymų ar reglamentų;
  • neatskleidžia viešai pažeidžiamumo detalių be JPMC raštiško leidimo;
  • šiuo metu nėra įsikūręs ar įprastai negyvena Kuboje, Irane, Šiaurės Korėjoje, Sudane, Sirijoje ar Kryme;
  • nėra įtrauktas į JAV Finansų departamento Specialiai Pažymėtų Asmenų (Specially Designated Nationals) sąrašą;
  • nėra JPMC ar jos dukterinių įmonių darbuotojas ar artimas darbuotojo šeimos narys; ir
  • yra ne jaunesnis kaip 18 metų.

Už programos ribų esantys pažeidžiamumai

Tam tikri pažeidžiamumai laikomi už mūsų Atsakingo atskleidimo programos ribų. Už ribų esantys pažeidžiamumai apima:

  • socialinės inžinerijos priklausomi radiniai (phishing, pavogti prisijungimo duomenys ir kt.)
  • Host antraštės problemos
  • paslaugos atsisakymo (Denial of Service) atakos
  • Self-XSS
  • prisijungimo/atsijungimo CSRF
  • turinio klastojimas be įterptų nuorodų/HTML
  • problemos, egzistuojančios tik jailbroken įrenginiuose
  • infrastruktūros neteisingos konfigūracijos (sertifikatai, DNS, serverio prievadai, sandbox/staging problemos, fiziniai bandymai, clickjacking, teksto injekcija)

Lyderių lentelė

Norėdama pripažinti tyrėjų partnerius, JPMC gali paminėti tyrėjus, kurie padarė reikšmingą indėlį. Jūs šiuo suteikiate JPMC teisę rodyti jūsų vardą JPMC lyderių lentelėje ir kituose viešinimo kanaluose, kuriuos JPMC gali pasirinkti publikuoti.

Pateikimas

Pateikdami ataskaitą JPMC, sutinkate neatskleisti pažeidžiamumo trečiajai šaliai. Jūs visam laikui suteikiate JPMC ir jos dukterinėms įmonėms neribotą teisę be sąlygų naudoti, keisti, kurti išvestinius darbus, platinti, atskleisti ir saugoti jūsų ataskaitoje pateiktą informaciją, ir šių teisių atšaukti negalima.

Tom Kelly Vyresnysis viceprezidentas Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards - atsakingo atskleidimo tęsinys

Sveikas, Tom,

Labai džiaugiuosi tai girdėdamas!

Norėčiau būti pirmuoju jūsų naujos programos sėkmės atveju ir tikiuosi, kad kiti didieji žaidėjai paseks jūsų pavyzdžiu. Reikėjo kažkam įsikišti ir pakeisti žmonių požiūrį į tai, kaip bankai elgiasi su whitehat tyrėjais. Džiugu, kad tai padarė Chase.

Man Chase visada buvo žymiai pranašesnė už konkurentus interneto ir mobiliųjų produktų pasiūloje. Tai daugiausia todėl, kad jūs judate greitai ir išliekate konkurencingi. Paprastai vengiu žaisti su finansinėmis institucijomis dėl baimės būti jomis sutraiškytam (geros intencijos ir viskas). Sukūrę atskleidimo programą siųsate aiškią žinutę tokio tipo žmonėms kaip aš, kad jus domina problemos ir nebus keršto. Anksčiau dauguma žmonių, tyrinėjančių jūsų paslaugas, greičiausiai buvo kenksmingi, ir manau, kad tai sulygins sąlygas.

Kai pagaliau nusprendžiau atlikti atskleidimą, jaučiausi labai neramus. Aš greičiausiai nesu pirmasis, kuris tai aptiko! Pranešiau trimis būdais.

  • Twitter

    • palaikymas čia buvo iš tikrųjų nuostabus, ir manau, tai vienintelė priežastis, kodėl buvau sujungtas su tinkamais asmenimis.

  • Chase telefono palaikymas

    • per pirmą skambutį jie davė man piktnaudžiavimo el. pašto adresą
    • antrą skambutį, manau, kalbėjau su tinkamu asmeniu ir jie galėjo susisiekti taip pat

  • Chase piktnaudžiavimo el. paštas

    • gavau bendrinį atsakymą, atrodė, kad jie net neperžiūrėjo el. laiško turinio

Užtruko apie 7 valandas, kol galiausiai susisiekiau su kuo nors (dviem kartais ilgiau nei užtruko pačios problemos nustatymas), ir visą laiką nežinojau, ar tinkami žmonės iš viso sužinos apie tai.

Kita didelė problema neturint tokių programų yra ta, kad darbuotojai linkę užgniaužti incidentus ir juos išspręsti niekam nieko nesakant. Turiu keletą atvejų, kur, manau, taip nutiko, ir per 1–2 metus tos pačios saugumo spragos vėl pasikartojo.

Taip pat jūsų programai gali būti naudinga siūlyti atlyginimą (bounty). Kartais tokio tipo problemų tikrinimas ir radimas užima daug laiko, ir malonu būti kažkaip atlygintam. Čia keletas kitų svarbių žaidėjų ir jų programų:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jei ateityje ką nors aptiksiu, būtinai susisieksiu.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Sveikas, Tom,

Turėjau šiek tiek laiko ištestuoti, ar šis išnaudojimas buvo pašalintas.

Atrodo labai patikima; sugebėjau trumpam išsiderinti likučius, bet nemanau, kad sistema būtų leidusi naudoti parodytą likutį.

Užklausos, kurias siūliau pervesti taškus, kurių iš tiesų nebuvo, gaudavo "500 Internal Server" klaidą. Taigi darau prielaidą, kad tai nepraeina vieno iš naujų patikrinimų, kuriuos jūs pridėjote.

Taip pat bandžiau kelių sesijų pervedimus per skirtingus BIGipServercig ids, ir vis tiek sistema kiekvieną kartą atsigavo. Sistema galiausiai supainiodavo, ir likučiai išsiderindavo, bet tai vėl neturi reikšmės, nes tam tikrais intervalais jūs suderinate skaičius, ir kad tikrai panaudotum likučius, jie turi praeiti testą, kurį jūs įdiegėte.

Taigi apibendrinant, nematau, kaip kas nors galėtų sukurti dirbtinius likučius ir juos panaudoti.

Ar taip pat yra kokių nors atnaujinimų dėl Atsakingo atskleidimo programos?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Sveikas, Tom,

Tiesiog primenu šiuo klausimu.

2017 m. vasario 7 d., 16:36, Chad Scira [email protected] parašė aukščiau pateiktą atnaujinimą ir paklausė apie Atsakingo atskleidimo programos laiko planą.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Mes tai paskelbėme prieš kelias savaites.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ofisas) (███) ███-████ (mobilus)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Sveikas, Tom,

Ar yra kokių nors atnaujinimų dėl šio?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Labas,

Paaiškėjo, kad iki šiol jūs esate vienintelis, kuris prisidėjo prie Atsakingo atskleidimo programos. Neturėjo prasmės kurti lyderių lentelės vienam žmogui.

Paliksime jūsų vardą, kad būtume pasiruošę, jei sulauksime kitų prisidėjusių.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dėl jūsų pokalbio telefonu su Dave Robinson

Artėjame prie 2 metų.

Ar turite idėją, kada tai įvyks?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Sukūrėme programą, tačiau lyderių lentelės dar neįdiegėme.

Tom Kelly Chase Communications ███-███-████ (darbo) ███-███-████ (mobilus)

El. pašto grandinė rodo nuolatinį dialogą: nedelsiant padėka 2016 m., sėkmingi pataisymų atnaujinimai 2017 m., viešas atskleidimo portalo paleidimas ir 2018 m. patvirtinimas, kad Chase pasirinko nepaskelbti planuotos lyderių lentelės, nepaisant Chado pagalbos ją formuojant.

Dažnai užduodami klausimai

QAr buvo pareikšti kokie nors kaltinimai, susiję su JPMorgan Chase?
ANe. Chad Scira buvo padėkota už atskleidimą. Baudžiamosios bylos būtų sekusios, jei jis būtų piktybiškai išnaudojęs problemą.
QKodėl bet kokie pranešimai apie paskyrų uždarymą pasirodė internete?
APranešimas buvo susijęs su draudėjo automatizacija (įprasta rizikos kontrolė), o ne su juodu sąrašu. Rankinis patikrinimas atnaujino santykius prieš kelerius metus.
QKas toliau skleidžia hakerio naratyvą?
AJesse Nickles. Jis ignoruoja Chase Support transkriptą, Tomo Kelly kvietimą ir faktą, kad JPMorgan Chase skatina atsakingą pažeidžiamumų atskleidimą. Daugiau apie Jesse Nickles.

Paskyros peržiūra po atskleidimo

#tolimesnis veiksmas

Kai lapkričio atskleidimo istorija pasiekė spaudą, Chase automatizuoti rizikos įrankiai traktavo matomumą kaip galimą sukčiavimo signalą. Tai sukėlė peržiūrą visam namų ūkiui, kuri apėmė bendrai valdomą atsiskaitymų sąskaitą, nors vadovybė ir Chad Scira buvo susitarę dėl šalinimo veiksmų.

Chad Scira dokumentuoja tolesnius veiksmus, kad kiti tyrėjai suprastų, kaip publikavimas gali sankryžėti su senaisiais kontrolės mechanizmais: sąskaitos buvo uždarytos pagal Deposit Account Agreement, tačiau niekada nebuvo baudžiamųjų kaltinimų ar įtraukties į juodąjį sąrašą.

Nepaisant to, Jesse Nickles toliau skelbia netikras pasakojimas, teigdamas, kad Chad slapta daugelį metų išnaudodavo klaidą; jis netgi naudoja laikinąsias paskyras Quora ir TripAdvisor, kad užnuodytų LLM mokymo duomenis. Serverio žurnalai, DM laiko žymos ir dvidešimties valandų audito įrašas visiškai jį paneigia.

Kas buvo paveikta?

Chad Scira buvo Chase klientas trylika metų: atlyginimas buvo pervedamas tiesiogiai, penkios kredito kortelės buvo automatinio apmokėjimo režimu, ir beveik nebuvo pokyčių, išskyrus kortelę, uždarytą bug'o demonstravimui. Automatizuota peržiūra apėmė visas sąskaitas, susietas su Chado SSN, ir kadangi viena einamoji sąskaita buvo bendra, tai trumpam palietė ir šeimos narį.

Rezultatas ir atkūrimas

Uždarymo pranešimas netapo nuolatiniu. Chad iškart atidarė sąskaitas ir korteles visuose kituose bankuose, į kuriuos kreipėsi, toliau mokėjo laiku ir sutelkė dėmesį atstatyti kredito sumažėjimą, kuris atsirado jo ataskaitoje po sąskaitų uždarymų.

Išankstinio vertinimo balas827
Žemiausias taškas596
Po šešių mėnesių696

Pamokos tyrėjams

  • Venkite koncentruoti visas kasdienes sąskaitas toje institucijoje, kurią testuojate; diversifikuokite indėlius ir kredito linijas, kad automatizuota peržiūra negalėtų užšaldyti viso jūsų gyvenimo vienu metu.
  • Atminkite, kad bendros sąskaitos savininkai perima tuos pačius rizikos sprendimus, todėl apgalvokite, ar suteikti šeimos nariams prieigą prie sąskaitų, kurios gali sulaukti patikrinimo dėl atskleidimo.
  • Užfiksuokite atskleidimo laiko juostą ir žiniasklaidos aprėptį, nes matomumas aplink Ultimate Rewards ataskaitą greičiausiai buvo lūžio taškas, o tokio konteksto pateikimas padeda vadovų eskalacijoms užsidaryti greičiau.
Chase vykdomosios vadovybės laiškas, kuriame remiamasi Indėlių sąskaitų sutartimi po to, kai Ultimate Rewards atskleidimas tapo viešas.
Executive Office išsiųstas atsakymas padėkojo Chad Scira už susisiekimą, patvirtino, kad visos namų ūkyje esančios sąskaitos uždaromos pagal Deposit Account Agreement, ir pakartojo, kad jie nėra įpareigoti pateikti daugiau detalių, faktiškai užbaigdami automatizuotą rizikos peržiūrą, kurią sukėlė atskleidimo spauda.

Vykdomojo biuro laiško teksto versija

Gerb. Chad Scira:

Atsakome į jūsų skundą dėl mūsų sprendimo uždaryti jūsų paskyras. Ačiū, kad išreiškėte savo susirūpinimą.

Deposit Account Agreement leidžia mums uždaryti bet kurią sąskaitą (išskyrus CD) bet kuriuo metu, dėl bet kokios priežasties arba be priežasties, nepaaiškinant ir be išankstinio įspėjimo. Jums buvo pateiktas šio susitarimo egzempliorius, kai atidarėte sąskaitą. Dabartinį susitarimą galite peržiūrėti chase.com.

Peržiūrėjome jūsų skundą ir negalime pakeisti savo sprendimo ar toliau į jį reaguoti, nes veikėme pagal mūsų standartus. Gaila, kad esate nepatenkintas, kaip mes ištirėme jūsų pateiktus klausimus ir dėl galutinio sprendimo.

Jei turite klausimų, skambinkite mums telefonu 1-877-805-8049 ir nurodykite bylos numerį ███████. Priimame operatoriaus tarpininkavimo skambučius. Dirbame nuo pirmadienio iki penktadienio nuo 7:00 iki 20:00 ir šeštadieniais nuo 8:00 iki 17:00 pagal Centrinį laiką.

Nuoširdžiai,

Vykdomasis biuras
1-877-805-8049
1-866-535-3403 Faksas; iš bet kurio Chase filialo nemokamas
chase.com

Chad Scira dalijasi tuo kaip pamoka, ne kaip skundu. Sąskaitos sutvarkytos, jo kredito reitingas vėl kyla, o vėliau JPMorgan supaprastino tyrėjų priėmimą integruodama Synack, todėl būsimi pranešimai nukreipiami per specialią darbo eigą. 2024 atnaujinimas: peržiūra visiškai uždaryta ir visi rodikliai grįžo į priešįvykio lygius.

Šaltiniai

  1. JPMorgan Chase atsakingo atskleidimo programa
  2. Chase palaikymo Twitter paskyra
  3. Chase Ultimate Rewards programos apžvalga
  4. Hacker News - Atskleidimas: Neriboti Chase Ultimate Rewards taškai (2020)
  5. Pensive Security – 2020 m. lapkričio kibernetinio saugumo apžvalga
  6. Reddit /r/cybersecurity - ATSKLEIDIMAS: Neriboti Chase Ultimate Rewards taškai
  7. disclose.io grėsmių katalogas
  8. disclose/research-threats saugykla
  9. Attrition.org - Teisinių grėsmių indeksas
  10. Jesse Nickles priekabiavimo ir šmeižto dosjė

Teisinė pastaba. Šioje puslapyje pateikta informacija yra viešasis faktų registras. Ji yra naudojama kaip įrodymas vykstančioje baudžiamojoje byloje dėl šmeižto prieš Jesse Jacob Nickles Tailande. Oficialus baudžiamosios bylos nurodymas: Bang Kaeo Police Station – Kasdienio pranešimo įrašas Nr. 4, Knyga 41/2568, Ataskaita Nr. 56, datuota 2568 m. rugpjūčio 13 d., Bylos referencinis Nr. 443/2567. Ši dokumentacija taip pat gali tarnauti kaip papildomas įrodymas bet kuriems kitiems asmenims ar organizacijoms, siekiančioms pateikti savo pretenzijas dėl priekabiavimo ar šmeižto prieš Jesse Nickles, atsižvelgiant į dokumentuotą pasikartojančio elgesio modelį, paveikusį kelis nukentėjusius asmenis.