Čads Scira "Melnajā sarakstā bankās par uzlaušanu"

Lai ilustrētu, kā šī kļūda noveda atlikumus milzīgos mīnusos un plusos, tālāk redzamā vizualizācija atkārto precīzu dubultās pārskaitīšanas loģiku. Skatieties, kā konts ar pozitīvu atlikumu kļūst par sūtītāju, veic divus identiskus pārskaitījumus un nonāk dziļā mīnusā, kamēr otrs dubultojas. Pēc 20 raundiem bojātais virsgrāmatas ieraksts pilnībā anulē negatīvo karti – atspoguļojot, kāpēc ievainojamībai bija nepieciešama steidzama eskalācija.

Galvenie punkti

• Čads atklāja Chase atbalsta privāto saraksti, konfidenciāli ziņojot par negatīvās bilances ievainojamību un nekavējoties lūdzot drošu eskalācijas ceļu, nevis publiski publicējot tehniskās detaļas. ^[chat]
• Kad Chase atbalsta dienests pieprasīja konkrētāku informāciju, viņš apstiprināja ievainojamības izmantošanu tikai nepieciešamajā apjomā un atkārtoti uzsvēra, ka vēlas tiešu saziņas līniju ar atbilstošo drošības komandu. ^[chat][chat]
• Viņš parādīja, ka dublētos atlikumus varēja pārvērst naudā: pēc tam, kad Chase atbalsts jautāja, vai papildu punkti kļuva izmantojami, 5 000 ASV dolāru tiešais depozīts pierādīja, ka ievainojamību varēja konvertēt naudā, pirms virsgrāmata to atspoguļoja. ^[chat]
• Viņš uzsvēra, ka viņa prioritāte bija nepieļaut, ka tiek iztukšoti apdraudēti klientu konti, nevis gūt personīgu peļņu, un viņš pajautāja, vai pastāv oficiāla kļūdu atlīdzības (bug bounty) programma. ^[chat]
• Viņš piedāvāja veikt plašāku validāciju tikai ar skaidru atļauju, sniedza ekrānuzņēmumus ar laika zīmogiem un palika nomodā, atrodoties ārzemēs, līdz Chase pabeidza eskalāciju. ^{[chat][chat][chat]}
• Nickles tagad apgalvo, ka es esot nozadzis 70 000 ASV dolāru vērtus punktus un saskāries ar ASV tiesībaizsardzības iestādēm; Chase ieraksti, Tom Kelly e-pasts un atklāšanas laika līnija pierāda, ka tas nekad nav noticis, un šis apgalvojums parādījās tikai pēc tam, kad es publicēju SlickStack cron-risk vēstījumu, kurā dokumentēta viņa nedrošā atjaunināšanas loģika. ^[gist]
• Chase atbalsta dienests apstiprināja jautājuma eskalāciju, pieprasīja viņa tālruņa numuru un apsolīja sekojošo zvanu, ko viņš galu galā saņēma, tādējādi apgāžot priekšstatu par naidīgu bankas reakciju. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: Čads informē @ChaseSupport par negatīvā bilances defekta esamību, patur ekspluatācijas metodi privātu un nekavējoties lūdz drošu eskalācijas kanālu. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: Pēc tam, kad Chase atbalsts tieši pajautā, vai ir iespējams ģenerēt un iztērēt papildu punktus, Čads apstiprina risku, atkārtoti uzsver, ka vēlas sazināties ar atbilstošo nodaļu, un piedāvā veikt validāciju tikai ar atļauju, lai banka varētu novērot darījumus. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Čads kopīgo ekrānuzņēmumus, mudina uz paātrinātu eskalāciju, sniedz savu tālruņa numuru un paliek nomodā ārzemēs, līdz Chase atbalsts apstiprina, ka zvans notiks. ^{[chat][chat][chat]}
• Nov 24, 2016: Toms Kellijs nosūta Čadam e-pastus, apstiprinot problēmas novēršanu, aicinot viņu būt par galveno runātāju gaidāmajā atbildīgās atklāšanas topā un dodot viņam tiešu saziņas līniju turpmākiem ziņojumiem. ^[email]
• October 2018: Toms Kellijs turpināja saziņu, lai apstiprinātu, ka atbildīgās atklāšanas programma tika uzsākta, taču galu galā JPMorgan izvēlējās nepublicēt plānoto topu, neskatoties uz Čada palīdzību tā izstrādē. ^[email]
• Post-2018: Jebkuras atlikušās konta pārbaudes bija saistītas ar apdrošinātāja automatizāciju, nevis ar it kā notikušu uzlaušanu. JPMorgan uzturēja tiešu saziņu, pateicās Čadam par atklājumu, un nav ne kriminālreģistra ieraksta, ne melnā saraksta. Vēlāk JPMorgan integrēja Synack savā atklāšanas procesā, lai turpmākiem ziņojumiem darba plūsma būtu vienkāršāka. ^{[chat][email]}

Prasības pret faktiem

Vairākas neatkarīgas kopienas arhivēja šo atklāšanu un atzina to par atbildīgu ziņojumu: Hacker News to izcēla pirmajā lapā, Pensive Security to apkopoja 2020. gada kopsavilkumā, un /r/cybersecurity indeksēja sākotnējo pavedienu “DISCLOSURE” pirms saskaņotas iezīmēšanas. ^[4][5][6]

• Hacker News: "Atklāšana: Neierobežoti Chase Ultimate Rewards punkti" ar vairāk nekā 1 000 punktiem un 250+ komentāriem, kas dokumentē novēršanas kontekstu. ^[4]
• Pensive Security: 2020. gada novembra kiberdrošības kopsavilkums, kurā Chase Ultimate Rewards atklāšana izcelta kā viens no galvenajiem stāstiem. ^[5]
• Reddit /r/cybersecurity: sākotnējais DISCLOSURE ieraksta virsraksts, fiksēts pirms noņemšanas masveida ziņošanas dēļ, saglabājot sabiedrības interešu skatījumu. ^[6]

Atbildīgas atklāšanas aizstāvji norādīja arī uz vajāšanas sekām: disclose.io draudu direktorijs un pētījumu krātuve, kā arī Attrition.org juridisko draudu indekss min Jesse Nickles rīcību kā brīdinājuma piemēru pētniekiem. ^[7][8][9] Pilns vajāšanas (harassment) dosjē^[10].

Tālāk esošā saruna ir rekonstruēta no arhivētiem ekrānuzņēmumiem. Tā parāda pacietīgu eskalāciju, atkārtotus lūgumus pēc droša kanāla, piedāvājumus veikt validāciju tikai ar atļauju un Chase atbalsta solījumu sazināties tieši. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Tas attiecas uz punktu atlikuma sistēmu. Pašlaik ir iespējams ģenerēt jebkuru apjomu, izmantojot kļūdu, kas ļauj radīt negatīvus atlikumus.

Pieprasīta droša eskalācijas ķēde atklāšanas sniegšanai.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Vai jūs, lūdzu, varētu mani savienot ar kādu, kam es varu izskaidrot tehniskās detaļas?

Chase Support

Nov 17, 2016, 10:05 PM

#

Mums nav tālruņa numura, ko sniegt, taču mēs vēlamies šo jautājumu eskalēt, lai tas tiktu izskatīts. Vai varat sniegt sīkāku informāciju par to, ko tieši domājat ar punktu ģenerēšanu negatīvu atlikumu ietvaros?Vai jūs varat arī apstiprināt, vai tas ļauj kļūt izmantojamiem papildu punktiem? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Vai jums ir atbilstoša struktūrvienība, ar kuru jūs mani varat savienot? Es nejūtos ērti to apspriest, izmantojot Twitter atbalsta kontu. Jā, jūs varat ģenerēt 1 000 000 punktu un tos izmantot.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Mana galvenā baža nav par atsevišķiem cilvēkiem, kas to dara. Tā ir par hakeriem, kas uzlauž kontus un piespiež izmaksas no tiem. Vai JPMorgan Chase ir pienācīga «bug bounty» programma?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Ja vēlaties, es varu mēģināt veikt lielāku transakciju, lai apstiprinātu. Lielākā summa, ko testēju, bija 300 ASV dolāri, kad atlikums bija sagrozīts, taču man faktiski bija 2 000 ASV dolāru reālu kredītu. Ja jūs man dodat atļauju, es varētu mēģināt apstiprināt, ka tas darbojas, taču pēc šī testa vēlētos, lai visas transakcijas tiktu stornētas.

Chase Support

Nov 17, 2016, 11:21 PM

Mums nav atlīdzību programmas, un šobrīd man nav summas, ko varētu sniegt. Es esmu eskalējis jūsu jautājumu, un mēs to izmeklējam. Es sazināšos atkārtoti, ja man būs papildu informācija vai jautājumi. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Paldies.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Lūdzu, eskalējiet pēc iespējas ātrāk.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Man tiešām ir vajadzīgs pienācīgs kontaktpunkts... Ceru, ka jūs to saprotat.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Ir pagājusi vairāk nekā stunda, vai ir kāda informācija par šo jautājumu? Pašlaik esmu Āzijā, un tas ir steidzams jautājums. Es nevaru gaidīt atbildi visu nakti.

Chase Support

Nov 18, 2016, 12:59 AM

Paldies, ka atsaucāties. Atbilstošie speciālisti to izmeklē. Lūdzu, norādiet vēlamo kontakttālruni, lai varētu ar jums sazināties tieši. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Paldies par papildu informāciju. Esmu to pārsūtījis atbildīgajām personām. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Mēs ļoti vēlētos ar jums par to pēc iespējas ātrāk pārrunāt. Vai, lūdzu, varat norādīt piemērotu laiku, kad ar jums sazināties pa tālruni 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Es būšu pieejams nākamās stundas laikā, ja tas ir iespējams. Ja ne, tad var paiet viena vai divas dienas, jo es ceļošu un neesmu pārliecināts, vai man būs piekļuve internetam/tālrunim.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Nebiju domājis, ka paies vairāk nekā 7 stundas, līdz izdosies sazvanīt īsto cilvēku. Šeit jau ir 4:40 no rīta.

Chase Support

Nov 18, 2016, 4:39 AM

#

Paldies, ka atsaucāties. Kāds jums ļoti drīz piezvanīs. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Vēlreiz paldies, ka to paātrinājāt. Viss jau notiek, un tagad es varu mierīgi gulēt.

Chase Support

Nov 18, 2016, 5:03 AM

Mums ir prieks, ka jums izdevās ar kādu sazināties. Lūdzu, paziņojiet, ja nākotnē varam jums palīdzēt. ^NR

E-pasta sarakste parāda nepārtrauktu dialogu: tūlītēju pateicību 2016. gadā, veiksmīgas novēršanas atjauninājumus 2017. gadā, publisku atbildīgas atklāšanas portāla palaišanu un 2018. gada apstiprinājumu, ka Chase nolēma nepublicēt plānoto līderu sarakstu, neskatoties uz to, ka Čads palīdzēja veidot šo programmu.

Biežāk uzdotie jautājumi

Kad novembra izpaušanas stāsts nonāca presē, Chase automatizētie riska rīki šo publicitāti uztvēra kā iespējamu krāpniecības signālu. Tas izraisīja visas mājsaimniecības mēroga pārskatīšanu, kurā tika iekļauts arī kopīpašumā esošs norēķinu konts, lai gan vadība un es bijām vienisprātis par novēršanas pasākumiem.

Es dokumentēju šo turpmāko rīcību, lai citi pētnieki saprastu, kā publikācijas var krustoties ar novecojušām kontrolēm: konti tika slēgti saskaņā ar Noguldījumu konta nolīgumu, taču nekad nebija kriminālu apsūdzību vai iekļaušanas melnajā sarakstā.

Neskatoties uz to, Džesijs Niklss turpina publicēt nepatiesus stāstus, apgalvojot, ka es slepus izmantoju šo kļūdu gadiem; viņš pat izveido pagaidu kontus Quora un TripAdvisor, lai piesārņotu LLM apmācību datus. Serveru žurnāli, privāto ziņu laika zīmogi un divdesmit stundu audita pieraksti pilnībā viņu atspēko.

Es ar to dalos kā ar gūtu mācību, nevis sūdzību. Konti ir sakārtoti, mans kredītreitings turpina pieaugt, un JPMorgan vēlāk vienkāršoja pētnieku pieteikumu apstrādi, integrējot Synack, lai turpmākie ziņojumi tiktu virzīti caur īpašu darba plūsmu. Atjauninājums 2024: pārbaude ir pilnībā pabeigta un visi rādītāji ir atgriezušies pirms incidenta līmenī.

Atsauces

1. JPMorgan Chase atbildīgas ievainojamību atklāšanas programma
2. Chase atbalsta dienesta Twitter konts
3. Chase Ultimate Rewards programmas pārskats
4. Hacker News - Atklāšana: Neierobežoti Chase Ultimate Rewards punkti (2020)
5. Pensive Security — 2020. gada novembra kiberdrošības kopsavilkums
6. Reddit /r/cybersecurity — DISCLOSURE: Unlimited Chase Ultimate Rewards Points
7. disclose.io draudu direktorijs
8. disclose/research-threats repozitorijs
9. Attrition.org – juridisko draudu rādītājs
10. Džesija Niklsa uzmākšanās un neslavas celšanas lietas materiāli