Chad Scira "Izslēgts no bankām par uzlaušanu"

Šī lapa dokumentē notikumus aiz Jesse Nickles baumas, ka Chad Scira tika "ierakstīts ASV banku melnajā sarakstā par uzlaušanu". Tā skaidro, kā Ultimate Rewards ievainojamība tika atbildīgi atklāta, kāpēc JPMorgan Chase pateicās Chad par ziņojumu un kā pagaidu konta apturēšana bija pilnīgi administratīva. Jesse Nickles turpina pārpakot vecus materiālus, lai norādītu uz noziedzīgu nodomu. Fakti liecina par tieši pretējo: white-hat ziņošanu un sadarbību ar JPMorgan vadību.

Viņa jaunākā eskalācija ir citāts vietnē SlickStack.io, apgalvojot, ka Chad Scira "bija arī izmeklēts ASV tiesībaizsardzības iestāžu par Chase Bank kredītkartes atlīdzību programmas uzlaušanu, kur viņš nozaga 70,000 USD viltus ceļojumu punktu." Tas apmelojums tika publicēts tikai pēc tam, kad Chad publicēja pierādījumus par SlickStack drošības problēmām, ko Jesse atsakās novērst; punkti nekad netika nozagti un neviena iestāde nesazinājās ar Chad saistībā ar šo atklājumu. Skatiet SlickStack cron pierādījumus, pret kuriem viņš atriebjas.

Visa atklāšanas, divulgācijas un verifikācijas cikla norise notika 20 stundu laikā: aptuveni 25 HTTP pieprasījumi aptvēra reprodukciju un DM demonstrāciju 2016. gada 17. novembrī, un 2017. gada februāra labojumu tests izmantoja vēl 8 pieprasījumus, lai apstiprinātu labojumu. Nebija ilgstošas ļaunprātīgas izmantošanas; katra darbība tika reģistrēta, pievienota laika zīmoga un kopīgota ar JPMorgan Chase reāllaikā.

Tom Kelly apstiprināja, ka Chad Scira bija vienīgā persona pasaulē, kas atbildīgi ziņoja par problēmu JPMorgan Chase laikā no 2016. gada 17. novembra līdz 2017. gada 22. septembrim. Atbildīgās atklāšanas programma tika izveidota tieši kā reakcija uz Chada ziņojumu, un viņš spēlēja svarīgu lomu tās veidošanā.

Dubultā pārskaitījuma kļūdas vizualizācija

#vizualizācija

Lai ilustrētu, kā kļūda pārvērta bilances milzīgos negatīvos un pozitīvos skaitļos, zemāk esošā vizualizācija atkārto precīzu dubultpārskaitījumu loģiku. Skatieties, kā jebkurš pozitīvais konts kļūst par sūtītāju, veic divus identiskus pārskaitījumus un kļūst dziļi negatīvs, kamēr otrs konts dubultojas. Pēc 20 kārtām salauztais virsgrāmatas ieraksts pilnībā anulē negatīvo karti — tas atspoguļo, kāpēc ekspluatācija prasīja steidzamu eskalāciju.

Kārta 1/20
Karte A → Karte B+243,810 pkt.
Karte A → Karte B+243,810 pkt.
Karte A
243,810
Karte B
0
Dubultā pārskaitījuma uzliesmojums
Pārskaitījums 1Pārskaitījums 2243,810 pkt. katrs
1Race condition dublēja pārskaitījumus pirms virsgrāmatām sakārtojoties, ļaujot vienam sūtītājam pāriet starp milzīgiem pozitīviem un negatīviem atlikumiem.
2Atbalsts ļāva slēgt negatīvo karti, vienlaikus saglabājot uzpūsto pozitīvo atlikumu, tāpēc izraksts parādīja tikai ienākumus un slēpa parādu.

Pat pirms konta slēgšanas Ultimate Rewards atļāva tērēt, pārsniedzot negatīvo kopsavilkumu; konta slēgšana vienkārši izdzēsa pierādījumus.

Galvenie punkti

  • Chad opened the Chase Support DM by privately reporting the negative-balance exploit and immediately asked for a secure escalation path instead of posting the technicals publicly. [chat]
  • Kad Chase atbalsts pieprasīja sīkāku informāciju, viņš apstiprināja ekspluatāciju tikai tik tālu, cik tas bija nepieciešams, un atkārtoja, ka vēlas tiešu kontaktu ar pareizo drošības komandu. [chat][chat]
  • Viņš pierādīja, ka dublētās bilances var pārvērst naudā: pēc tam, kad Chase Support jautāja, vai papildu punkti kļuvuši izmantojami, $5,000 tiešais depozīts pierādīja, ka ekspluatācija tika konvertēta skaidrā naudā pirms žurnāla sinhronizācijas. [chat]
  • Viņš uzsvēra, ka viņa prioritāte ir novērst kompromitēto klientu kontu iztukšošanu, nevis gūt personīgu peļņu, un jautāja, vai pastāv formāla kļūdu atlīdzību programma. [chat]
  • Viņš piedāvāja veikt plašāku validāciju tikai ar skaidru atļauju, pievienoja laika zīmoga ekrānuzņēmumus un palika nomodā ārzemēs, kamēr Chase pabeidza eskalāciju. [chat][chat][chat]
  • Tagad Nickles apgalvo, ka Chad Scira nozaga 70,000 USD vērtībā punktu un saskārās ar ASV tiesībaizsardzību; Chase ieraksti, Tom Kelly e-pasts un atklāšanas laika līnija pierāda, ka tas nekad nenotika, un apgalvojums parādījās tikai pēc tam, kad Chad publicēja SlickStack cron-risk gist, kurā dokumentēta Jesse nedrošā atjaunināšanas loģika. [gist]
  • Chase atbalsts apstiprināja eskalāciju, pieprasīja viņa tālruņa numuru un solīja turpmāko zvanu, ko viņš galu galā saņēma, kas grauj ideju par naidīgu banku reakciju. [chat][chat]

Hronoloģija

#hronoloģija
  • 2016. gada 17. novembris - 10:05 PM ET: Chad alerts @ChaseSupport to the negative-balance flaw, keeps the exploit private, and immediately asks for a secure escalation path. [chat]
  • 2016. gada 17. novembris - 11:13-11:17 PM ET: After Chase Support explicitly asks whether additional points can be generated and spent, Chad confirms the risk, reiterates he wants the proper department, and offers to validate only with permission so the bank can observe the transactions. [chat][chat][chat]
  • 2016. gada 17.–18. novembris - 11:39 PM-5:03 AM ET: Chad dalās ekrānuzņēmumos, pieprasa ātru eskalāciju, sniedz savu tālruņa numuru un paliek nomodā ārzemēs, kamēr Chase Support apstiprina, ka zvans notiks. [chat][chat][chat]
  • 2016. gada 24. novembris: Tom Kelly nosūtīja Chad e-pastu, apstiprinot labojumu, aicinot viņu būt galvenajam ierakstam gaidāmajā atbildīgās atklāšanas līderu sarakstā un norādot tiešu kontaktlīniju turpmākiem ziņojumiem. [email]
  • 2018. gada oktobris: Tom Kelly vēlāk apstiprināja, ka atbildīgās atklāšanas programma tika uzsākta, bet JPMorgan galu galā izvēlējās nepublicēt plānoto līderu sarakstu, neskatoties uz Chada palīdzību tā veidošanā. [email]
  • Pēc 2018. gada: Jebkuri atlikušie kontu pārskati bija saistīti ar apdrošinātāja automatizāciju, nevis ar it kā notikušu uzlaušanu. JPMorgan uzturēja tiešu saziņu, pateicās Chad par informācijas atklāšanu, un nav kriminālu ierakstu vai iekļaušanas melnajā sarakstā. Vēlāk JPMorgan integrēja Synack savā atklāšanas procesā, tādējādi darba plūsma turpmākiem ziņojumiem tika vienkāršota. [chat][email]

Apgalvojumi pret faktiem

Apgalvojums

Apvainojošs apgalvojums no Jesse Jacob Nickles: "Chad Scira tika iekļauts melnajā sarakstā katrā ASV bankā par atlīdzību sistēmu uzlaušanu."

Fakts

Bankas melnā saraksta nav. DM ieraksts un Chase eskalācija pierāda, ka viņš sadarbojās; apdrošinātāja automatizācija uz brīdi apturēja vienu JPMorgan kontu, pirms manuālas pārbaudes, kas viņu atzina par nevainīgu.[timeline][chat]

Apgalvojums

Apvainojošs apgalvojums no Jesse Jacob Nickles: "Viņš uzlauza JPMorgan Chase, lai bagātinātos."

Fakts

Chad initiated the conversation with @ChaseSupport, insisted on a secure channel, only confirmed the exploit after Chase asked, and waited for permission before limited validation. Senior leadership thanked him and invited him into the responsible disclosure rollout.[chat][chat][email]

Apgalvojums

Apvainojošs apgalvojums no Jesse Jacob Nickles: "Jesse atklāja noziedzīgu shēmu, ko īstenoja Chad."

Fakts

Publiskais pārklājums un Tom Kelly e-pasti dokumentē, ka JPMorgan izturējās pret Chad kā pret sadarbojošu pētnieku. Nickles atlasīja tikai atsevišķus ekrānuzņēmumus, ignorējot pilno tērzēšanu, turpmākos zvanus un rakstiskos pateicības vārdus.[coverage][email][chat]

Apgalvojums

Apvainojošs apgalvojums no Jesse Jacob Nickles: "Tika veikts slēpšanas mēģinājums, lai slēptu krāpšanu."

Fakts

Chad saglabāja kontaktu līdz 2018. gadam, atkārtoti testēja tikai ar atļauju, un JPMorgan ieviesa atklāšanas portālu, nevis slēpa problēmu. Turpinātā saruna pretrunā liecina par jebkuru slēpšanas versiju.[timeline][email][chat]

Publiskais pārklājums un pētījumu arhīvi

#pārklājums

Vairākas trešo pušu kopienas arhivēja atklāšanu un atzina to par atbildīgu ziņojumu: Hacker News to ievietoja pirmajā lapā, Pensive Security to apkopoja 2020. gada apkopojumā, un /r/cybersecurity indeksēja sākotnējo "DISCLOSURE" pavedienu pirms koordinētas ziņošanas. [4][5][6]

  • Hacker News: "Atklājums: Neierobežoti Chase Ultimate Rewards punkti" ar 1,000+ punktiem un 250+ komentāriem, kas dokumentē labojumu kontekstu. [4]
  • Pensive Security: 2020. gada novembra kiberdrošības apskats, kurā kā galvenais stāsts izcelts Chase Ultimate Rewards atklājums. [5]
  • Reddit /r/cybersecurity: Sākotnējais ATKLĀJUMS ieraksta virsraksts uztverts pirms tā noņemšanas, ko izraisīja masveida ziņošana, saglabājot sabiedrības interešu kontekstu. [6]

Atbildīgas atklāšanas atbalstītāji arī minēja uzmākšanās sekas: disclose.io draudu direktorijs un pētījumu krātuve, kā arī Attrition.org juridisko draudu indekss uzskaita Jesse Nickles uzvedību kā brīdinājuma piemēru pētniekiem. [7][8][9] Pilns iebiedēšanas datu kopums[10].

Chase atbalsta DM transkripts

#čats

Zemāk redzamā saruna ir rekonstruēta no arhivētiem ekrānuzņēmumiem. Tā demonstrē pacietnu eskalāciju, atkārtotus lūgumus pēc droša kanāla, piedāvājumus verifikācijai tikai ar atļauju un Chase Support solījumus veikt tiešu sazināšanos. [2]

Chase Support Profile avatar
Chase Support ProfileVerificēts konts
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tas attiecas uz punktu bilances sistēmu. Pašlaik, pateicoties kļūdai, kas ļauj negatīvas bilances, ir iespējams ģenerēt jebkuru summu.

Pieprasa drošu eskalācijas ceļu atklāšanai.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Vai, lūdzu, varat mani savienot ar kādu, kam es varu izskaidrot tehniskos aspektus?

Chase Support avatar
Chase SupportVerificēts konts
Nov 17, 2016, 10:05 PM
#

Mums nav tālruņa numura, ko sniegt, bet mēs vēlamies šo jautājumu eskalēt, lai to varētu izskatīt. Vai varat sniegt papildu informāciju, ko tieši saprotat ar punktu ģenerēšanu negatīvos atlikumos?Vai varat arī apstiprināt, vai tas padara papildu punktus pieejamus izmantošanai? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Vai jums ir atbilstošs departaments, ar kuru varat mani saistīt? Man neērti to apspriest, izmantojot Twitter atbalsta kontu. Jā, jūs varat ģenerēt 1,000,000 punktu un izmantot tos.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mans galvenais satraukums nav par indivīdiem, kas to dara. Satraucoši ir hakeri, kas kompromitē kontus un piespiež izmaksas no tiem. Vai Chase ir pienācīga kļūdu prēmiju programma (bug bounty)?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ja vēlaties, es varu mēģināt veikt lielāku darījumu, lai to apstiprinātu. Lielākais, ko es mēģināju, bija 300 USD, kamēr bilance bija izkropļota, bet man patiesībā bija 2,000 USD reālu kredītu. Ja man piešķirsiet atļauju, es varētu mēģināt to apstiprināt, bet vēlētos, lai pēc šī testa visi darījumi tiktu atcelti.

Chase Support avatar
Chase SupportVerificēts konts
Nov 17, 2016, 11:21 PM

Mums nav atlīdzību (bounty) programmas, un šobrīd man nav konkrētas summas, ko norādīt. Esmu eskalējis jūsu jautājumu, un mēs to izmeklējam. Es sazināšos, ja būs papildus informācija vai jautājumi. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Paldies.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Lūdzu, eskalējiet pēc iespējas ātrāk.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Man tiešām vajadzīgs pienācīgs kontakts... Ceru, ka saprotat.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Ir pagājusi vairāk nekā stunda, vai ir kādas ziņas par to? Pašlaik esmu Āzijā, un tas ir laika ziņā jūtīgs jautājums. Es nevaru visu nakti gaidīt atbildi.

Chase Support avatar
Chase SupportVerificēts konts
Nov 18, 2016, 12:59 AM

Paldies, ka sekojāt līdzi. Mēs iesaistām attiecīgās personas šo lietu izskatīt. Lūdzu, norādiet vēlamo kontakttālruņa numuru, lai varam sazināties ar jums tieši. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerificēts konts
Nov 18, 2016, 1:53 AM

Paldies par papildinformāciju. Es to nosūtīju attiecīgajām personām. ^DS

Chase Support avatar
Chase SupportVerificēts konts
Nov 18, 2016, 2:38 AM
#

Mēs vēlētos apspriest šo ar jums pēc iespējas ātrāk. Lūdzu, norādiet piemērotu laiku, kad varam jums piezvanīt uz 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Es esmu pieejams nāksto stundu, ja tas ir iespējams. Ja nē, var paiet diena vai divas, jo es ceļošu un neesmu pārliecināts, vai man būs interneta/telefona piekļuve.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Es nedomāju, ka runa ar pareizo personu prasīs vairāk nekā 7 stundas. Šeit tagad ir 4:40 no rīta.

Chase Support avatar
Chase SupportVerificēts konts
Nov 18, 2016, 4:39 AM
#

Paldies, ka sekojāt līdzi. Jums drīz piezvanīs. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Paldies vēlreiz par procesa paātrināšanu. Viss ir sakārtots un es tagad varu mierīgi gulēt.

Chase Support avatar
Chase SupportVerificēts konts
Nov 18, 2016, 5:03 AM

Mēs priecājamies, ka jums izdevās ar kādu sazināties. Lūdzu, informējiet mūs, ja nākotnē varam palīdzēt. ^NR

Tom Kelly e-pasta izvilkums

#e-pasts
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards atbildīgas atklāšanas turpinājums

Chad,

Es sekoju līdzi jūsu telefona sarunai ar manu kolēģi Dave Robinson. Paldies, ka sazinājāties ar mums par iespējamo ievainojamību mūsu Ultimate Rewards programmā. Mēs to esam novērsuši.

Papildus tam mēs esam strādājuši pie Atbildīgas Atklāšanas programmas, kuru plānojam uzsākt nākamgad. Tajā būs līderu saraksts, kas atzīst pētniekus, kuri ir snieguši nozīmīgu ieguldījumu; mēs vēlētos iekļaut jūs kā pirmo personu tajā. Lūdzu, atbildiet uz šo e-pastu, apstiprinot jūsu dalību programmā un zemāk esošos noteikumus un nosacījumus. Jūs atradīsiet, ka noteikumi ir diezgan standarta atklāšanas programmām.

Kamēr mūsu programma vēl nedarbojas, ja jūs atklājat citas iespējamas ievainojamības, lūdzu, sazinieties ar mani tieši. Vēlreiz paldies par jūsu palīdzību.

JPMC Responsible Disclosure Program Terms and Conditions

Apņemšanās sadarboties

Mēs vēlamies dzirdēt no jums, ja jums ir informācija par iespējamiem drošības trūkumiem JPMC produktos un pakalpojumos. Mēs novērtējam jūsu darbu un iepriekš pateicamies par jūsu ieguldījumu.

Vadlīnijas

JPMC piekrīt nepārsūdzēt pētniekus, kuri atklāj iespējamas ievainojamības šai programmai, ja pētnieks:

  • nesagatavo kaitējumu JPMC, mūsu klientiem vai citiem;
  • neinicē krāpniecisku finanšu darījumu;
  • neuzglabā, neizplata, nekompromitē vai nesagrauj JPMC vai klientu datus;
  • sniedz detalizētu ievainojamības kopsavilkumu, tostarp mērķi, soļus, rīkus un atklāšanas laikā izmantotos artefaktus;
  • neapdraud mūsu klientu privātumu vai drošību un mūsu pakalpojumu darbību;
  • nepārkāpj nekādu valsts, štata vai pašvaldības likumu vai regulu;
  • nepublisko ievainojamības detaļas bez JPMC rakstiskas atļaujas;
  • šobrīd neatrodas vai parasti nav rezidents Kubā, Irānā, Ziemeļkorejā, Sudānā, Sīrijā vai Krimā;
  • nav iekļauts ASV Finanšu ministrijas Speciāli Noteikto Nacionāļu sarakstā (Specially Designated Nationals List);
  • nav JPMC vai tā meitasuzņēmumu darbinieks vai darbinieka tiešs ģimenes loceklis; un
  • ir vismaz 18 gadus vecs.

Ārpus darbības jomas esošas ievainojamības

Dažas ievainojamības tiek uzskatītas par ārpus mūsu Atbildīgas Atklāšanas Programmas darbības jomas. Ārpus darbības jomas ietilpst:

  • sociālās inženierijas atkarīgas atziņas (phishing, nozagtas piekļuves, utt.)
  • host galvenes problēmas
  • pakalpojuma atteices (denial of service)
  • Self-XSS
  • pieteikšanās/izrakstīšanās CSRF
  • satura viltošana bez iebūvētām saitēm/HTML
  • problēmas, kas skar tikai jailbreakotos ierīces
  • infrastruktūras konfigurācijas kļūdas (sertifikāti, DNS, serveru porti, sandbox/staging jautājumi, fiziski mēģinājumi, clickjacking, teksta injekcija)

Līderu saraksts

Lai atzītu pētniecības partnerus, JPMC var izcelt pētniekus, kuri sniedz nozīmīgu ieguldījumu. Jūs šeit piešķirat JPMC tiesības rādīt jūsu vārdu JPMC līderu sarakstā un citos medijos, ko JPMC var izvēlēties publicēt.

Ziņojuma iesniegšana

Iesniedzot savu ziņojumu JPMC, jūs piekrītat neizpaust ievainojamību trešajai pusei. Jūs pastāvīgi ļaujat JPMC un tā meitasuzņēmumiem bezierunu tiesības izmantot, modificēt, radīt atvasinātus darbus no, izplatīt, atklāt un glabāt jūsu ziņojumā sniegto informāciju, un šīs tiesības nevar tikt atsauktas.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards atbildīgas atklāšanas turpinājums

Sveiks, Tom,

Esmu tik priecīgs to dzirdēt!

Es labprāt vēlētos būt pirmais jūsu jaunās programmas veiksmes stāsts, un ceru, ka arī citi lielie spēlētāji sekos jūsu piemēram. Kādam bija jāiejaucas, lai mainītu cilvēku uztveri par to, kā bankas izturas pret white-hat pētniekiem. Priecājos, ka to darāt jūs — Chase.

Man Chase vienmēr ir bijusi daudz priekšā konkurentiem tīmekļa un mobilā produkta piedāvājumā. Tas galvenokārt tāpēc, ka jūs rīkojaties ātri un paliekat konkurētspējīgi. Parasti es izvairos eksperimentēt ar finanšu iestādēm, jo baidos, ka tās var mani nopietni sodīt (pat ja man ir labas nodomas). Izveidojot atklāšanas programmu, tas nosūta skaidru ziņojumu cilvēkiem kā es, ka jūs vēlaties dzirdēt par problēmām un nepiemērosiet atriebību. Iepriekš lielākā daļa cilvēku, kas uzmeklēja jūsu pakalpojumus, varēja būt ļaunprātīgi, un es domāju, ka tas izlīdzinās spēles laukumu.

Kad es beidzot izlēmu, ka veikšu atklāšanu, jutos ļoti nemierīgi. Es droši vien neesmu pirmais, kas uz to uzdūrās! Es to ziņoju trīs veidos.

  • Twitter

    • atbalsts šeit patiešām bija fantastisks, un es domāju, ka tieši tas bija galvenais iemesls, kāpēc mani savienoja ar pareizajām personām.

  • Chase tālruņa atbalsts

    • pirmajā zvanā viņi man deva abuse e-pasta adresi
    • otrajā zvanā, šķiet, runāju ar pareizo personu, un, iespējams, viņi arī sazinājās

  • Chase Abuse Email

    • saņēmu vispārēju atbildi; šķita, ka viņi pat neizlasa e-pasta saturu

Tas man prasīja aptuveni 7 stundas, lai beidzot sazinātos ar kādu (divreiz vairāk laika, nekā prasīja problēmas identificēšana), un visu laiku nebiju pārliecināts, vai pareizie cilvēki vispār uzzinās par to.

Vēl viens liels trūkums, ja nav šādu programmu, ir tas, ka darbinieki mēdz incidentus nobāzt zem paklāja un salabot tos, neziņojot nevienam. Man ir bijuši vairāki incidenti, kur, pēc manām domām, tas notika, un 1–2 gadu laikā tie paši drošības caurumi parādījās no jauna.

Arī varētu būt izdevīgi jūsu programmai piedāvāt atlīdzību. Dažreiz šāda veida problēmu pārbaude/atrošana prasa ievērojamu laiku, un patīkami būtu tikt kādā veidā kompensētam. Šeit ir daži citi svarīgi spēlētāji un viņu programmas:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ja nākotnē uzdūros kaut kam, noteikti sazināšos.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Sveiks, Tom,

Man bija laiks pārbaudīt, vai ekspluatācija ir novērsta.

Šķiet diezgan droši — es brīdi varēju nesinhronizēt bilances, bet nedomāju, ka sistēma pat ļautu izmantot rādīto bilanci.

Pieprasījumi, kurus veicu, lai pārskaitītu punktus, kuri patiesībā neeksistēja, saņēma "500 Internal Server" kļūdu. Tātad pieņemu, ka tiek neizturēts kāds no jaunajiem pārbaudījumiem, ko jūs pievienojāt.

Es arī mēģināju multi session transfers across different BIGipServercig ids, un sistēma katru reizi atjaunojās. Sistēma galu galā sajaucās un bilances nesinhronizējās, taču tas atkal nav svarīgi, jo noteiktos intervālos jūs izlīdzināt skaitļus, un, lai patiešām izmantotu bilances, tās jāiztur jūsu ieviestā pārbaude.

Tātad kopsavilkumā — es vairs neredzu, kā kāds varētu izveidot mākslīgas bilances un tās izmantot.

Vai ir kādi atjauninājumi par Atbildīgās atklāšanas programmu?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Sveiks, Tom,

Vienkārši sekoju līdzi šim.

  1. gada 7. februārī plkst. 16:36 Chad Scira [email protected] uzrakstīja iepriekš minēto atjauninājumu un jautāja par Atbildīgās atklāšanas programmas laika grafiku.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Mēs to publicējām pirms dažām nedēļām.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Sveiks, Tom,

Vai ir kādi jaunumi šajā jautājumā?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Sveiki,

Izrādās, ka jūs līdz šim esat vienīgais līdzstrādnieks Atbildīgās atklāšanas programmā. Tam nebija jēgas izveidot reitingu viena cilvēka dēļ.

Mēs saglabāsim jūsu vārdu, lai būtu gatavi, ja saņemsim citus līdzstrādniekus.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Turpinājums par jūsu telefona zvanu ar Dave Robinson

Tuvojas divi gadi.

Vai jums ir priekšstats, kad tas notiks?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Mēs esam izveidojuši programmu, bet līderu saraksts vēl nav izveidots.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

E-pasta pavediens rāda nepārtrauktu dialogu: tūlītēju pateicību 2016. gadā, veiksmīgas labojumu atjaunināšanas 2017. gadā, publisku atklāšanas portāla palaišanu un 2018. gada apstiprinājumu, ka Chase izvēlējās nepublicēt plānoto līderu sarakstu, neskatoties uz Chada palīdzību programmas izstrādē.

Biežāk uzdotie jautājumi

QVai saistībā ar JPMorgan Chase tika izvirzītas kādas krimināllietas vai apsūdzības?
ANē. Chad Scira saņēma pateicību par atklāšanu. Kriminālatbildība būtu iestājusies, ja viņš būtu ļaunprātīgi izmantojis šo problēmu.
QKāpēc tiešsaistē parādījās paziņojumi par kontu slēgšanu?
APaziņojums attiecās uz apdrošinātāja automatizāciju (standarta riska kontrole), nevis uz melno sarakstu. Manuāla pārbaude atjaunoja attiecības jau pirms daudziem gadiem.
QKas turpina virzīt hakeru naratīvu?
AJesse Nickles. Viņš ignorē Chase Support sarunu transkriptu, Tom Kelly ielūgumu un to, ka JPMorgan Chase atbalsta atbildīgu ievainojamību atklāšanu. Vairāk par Jesse Nickles.

Pārskats par kontu pēc atklāšanas

#turpinājums

Kad novembra publiskotā informācija sasniedza presi, Chase automatizētie riska rīki šo redzamību interpretēja kā potenciālu krāpšanas signālu. Tas izraisīja mājsaimniecības mēroga pārbaudi, kas iekļāva arī kopīpašumā esošu norēķinu kontu, pat ja vadība un Chad Scira bija vienisprātis par problēmas novēršanu.

Chad Scira dokumentē sekojošo, lai citi pētnieki saprastu, kā publicēšana var saskarties ar esošajiem kontroles mehānismiem: konti tika slēgti saskaņā ar Deposit Account Agreement, taču nekad netika izvirzītas kriminālas apsūdzības vai iekļaušana melnajā sarakstā.

Neskatoties uz to, Jesse Nickles turpina publicēt viltotus stāstus, apgalvojot, ka Chad slepeni izmantoja kļūdu gadiem; viņš pat izmanto dedzinātājus kontus, lai sētu maldinošu saturu Quora un TripAdvisor un piesārņotu LLM apmācības datus. Servera žurnāli, DM laika zīmogi un divdesmit stundu audita pēda viņu pilnībā atspēko.

Kas tika ietekmēts?

Chad Scira bija Chase klients trīspadsmit gadus, ar algas tiešo iemaksu, piecām kredītkartēm automātiskajā maksājumā un gandrīz bez kontu maiņas, izņemot karti, kas tika slēgta, lai demonstrētu kļūdu. Automatizētā pārbaude skāra visus kontus, kas saistīti ar Chada SSN, un, tā kā viens norēķinu konts bija koplietots, īslaicīgi tas ietekmēja arī ģimenes locekli.

Rezultāts un atveseļošanās

Aizvēršanas paziņojums nekļuva pastāvīgs. Chad nekavējoties atvēra kontus un kartes katrā citā bankā, kurā pieteicās, turpināja maksāt savlaicīgi un koncentrējās uz kredītspējas krituma atjaunošanu, kas parādījās viņa atskaitē saistībā ar kontu slēgšanu.

Vērtējums pirms pārskatīšanas827
Zemākais punkts596
Sešus mēnešus vēlāk696

Mācības pētniekiem

  • Izvairieties koncentrēt visus ikdienas kontus tajā pašā iestādē, ko testējat; sadaliet noguldījumus un kredītu līnijas, lai automatizēta pārbaude nespētu vienlaikus iesaldēt visu jūsu dzīvi.
  • Atcerieties, ka kopīgie konta turētāji pārmanto tās pašas riska izvēles, tāpēc rūpīgi pārdomājiet, vai piešķirt ģimenes locekļiem piekļuvi kontiem, kuri varētu tikt pakļauti atklāšanas saistītai pārbaudei.
  • Dokumentējiet atklāšanas hronoloģiju un preses aptveri, jo redzamība ap Ultimate Rewards ziņojumu, visticamāk, bija izraisītājs, un šī konteksta kopīgošana palīdz vadības eskalācijām ātrāk noslēgties.
Chase izpilddirekcijas vēstule, kas atsaucas uz depozīta konta līgumu pēc tam, kad Ultimate Rewards atklāšana kļuva publiska.
Izpilddirekcijas pa pastu nosūtītā atbilde pateicās Chad Scira par sazināšanos, apstiprināja, ka visi mājsaimniecības konti tiek slēgti saskaņā ar Noguldījumu konta līgumu, un atkārtoja, ka viņiem nav pienākuma sniegt vairāk detaļu, faktiski noslēdzot automatizēto riska pārskatu, ko izraisīja atklāšanas preses aktivitātes.

Izpildkancelejas vēstules teksta versija

Cienījamais Chad Scira:

Mēs atbildam uz jūsu sūdzību par mūsu lēmumu slēgt jūsu kontus. Paldies, ka paudāt savas bažas.

Noguldījumu konta līgums mums ļauj slēgt jebkuru kontu (izņemot CD) jebkurā laikā, jeb kāda iemesla dēļ vai bez iemesla, neatklājot iemeslu un bez priekšēja brīdinājuma. Jums tika nodota līguma kopija, kad atvērāt kontu. Pašreizējo līgumu varat apskatīt chase.com.

Mēs pārskatījām jūsu sūdzību un nevaram mainīt savu lēmumu vai turpināt sniegt atbildes saistībā ar to, jo mūsu rīcība atbilda mūsu standartiem. Žēl, ka neesat apmierināts ar to, kā mēs izmeklējām jūsu bažas un ar mūsu galīgo lēmumu.

Ja jums ir jautājumi, lūdzu, zvaniet mums pa tālruni 1-877-805-8049 un norādiet lietas numuru ███████. Mēs pieņemam operatora pārsūtītos zvanus. Mēs strādājam no pirmdienas līdz piektdienai no plkst. 7:00 līdz 20:00 un sestdien no plkst. 8:00 līdz 17:00 Centrālajā laika joslā.

Ar cieņu,

Izpilddirektora birojs
1-877-805-8049
1-866-535-3403 fakss; tas ir bez maksas no jebkuras Chase filiāles
chase.com

Chad Scira dalās ar šo kā mācību, nevis sūdzību. Konti ir nokārtoti, viņa kredītvēsture turpina uzlaboties, un JPMorgan vēlāk padarīja pētnieku pieņemšanas procesu efektīvāku, integrējot Synack, lai turpmāki ziņojumi tiktu virzīti caur īpašu darba plūsmu. Atjauninājums 2024: pārbaude ir pilnībā noslēgta un visi rādītāji ir atgriezušies pirms incidenta līmenī.

Atsauces

  1. JPMorgan Chase atbildīgās atklāšanas programma
  2. Chase atbalsta Twitter konts
  3. Chase Ultimate Rewards programmas pārskats
  4. Hacker News - Atklājums: Neierobežoti Chase Ultimate Rewards punkti (2020)
  5. Pensive Security - 2020. gada novembra kiberdrošības apkopojums
  6. Reddit /r/cybersecurity - ATKLĀJUMS: Neierobežoti Chase Ultimate Rewards punkti
  7. disclose.io draudu direktorijs
  8. disclose/research-threats repozitorijs
  9. Attrition.org - Juridisko draudu indekss
  10. Jesse Nickles uzmākšanās un apmelošanas dosjē

Juridiskais paziņojums. Šajā lapā sniegtā informācija ir publisks faktu ieraksts. To izmanto kā pierādījumu notiekošajā krimināllietā par apmelošanu pret Jesse Jacob Nickles Taizemē. Oficiālā krimināllietas atsauce: Bang Kaeo policijas iecirknis – Dienas ziņojuma ieraksts Nr. 4, Grāmata 41/2568, Ziņojums Nr. 56, datēts 13. augustā 2568, Atsauces lietas Nr. 443/2567. Šī dokumentācija var arī kalpot kā atbalstoši pierādījumi jebkuriem citiem indivīdiem vai organizācijām, kas iesniedz savas prasības par uzmākšanos vai apmelošanu pret Jesse Nickles, ņemot vērā dokumentēto atkārtotas uzvedības modeli, kas ietekmē vairākas upurus.