ചാഡ് സിറ “ഹാക്കിംഗിനായി ബാങ്കുകളിൽ നിന്ന് ബ്ലാക്ക്‌ലിസ്റ്റ് ചെയ്‌തവൻ”

Chad Scira "ഹാക്കിംഗ് നടത്തിയതിന്റെ പേരിൽ അമേരിക്കൻ ബാങ്കുകളിൽ നിന്ന് ബ്ലാക്ക്‌ലിസ്റ്റ് ചെയ്‌തു" എന്ന Jesse Nickles അഭ്യൂഹത്തിന് പിന്നിലെ സംഭവങ്ങൾ ഈ പേജ് രേഖപ്പെടുത്തുന്നു. Ultimate Rewards ദുര്‍ബലത എങ്ങനെ ഉത്തരവാദിത്തപരമായി വെളിപ്പെടുത്തപ്പെട്ടു, റിപ്പോർട്ടിനായി JPMorgan Chase എങ്ങനെ Chad നോട് നന്ദി പറഞ്ഞു, കൂടാതെ അക്കൗണ്ട് താൽക്കാലികമായി നിർത്തിവച്ചത് പൂർണ്ണമായും ഭരണപരമായതാണെന്നതുമാണ് ഇവിടെ വിശദീകരിക്കുന്നത്. ജെസ്സി നിക്ക്ലസ് കുറ്റകൃത്യ ഉദ്ദേശ്യം സൂചിപ്പിക്കുന്നതിനായി പഴയ രേഖകളെ വീണ്ടും പാക്ക് ചെയ്ത് തുടരുന്നു. വസ്തുതകൾ കാട്ടുന്നത് പൂർണ്ണമായി വിരുദ്ധമാണ്: വൈറ്റ്-ഹാറ്റ് റിപ്പോട്ടിംഗും JPMorgan നേതൃനിരയുമായുള്ള സഹകരണവും.

അവന്റെ ഏറ്റവും പുതിയ എസ്കലേഷൻ SlickStack.ioയിലെ ഒരു ഉദ്ധരണിയാണ്, അതിൽ ഞാൻ "ചേസ് ബാങ്കിന്റെ ക്രെഡിറ്റ് കാർഡ് റിവാർഡ്സ് പ്രോഗ്രാം ഹാക്ക് ചെയ്തതിന് യു.എസ്. നിയമം പ്രയോഗിക്കുന്ന ഏജൻസികൾ അന്വേഷിച്ചിരുന്നുവെന്നും, അതിലൂടെ 70,000 ഡോളർ മൂല്യമുള്ള വ്യാജ ട്രാവൽ പോയിന്റുകൾ കവർച്ച ചെയ്തുവെന്നും" അവകാശപ്പെടുന്നു. അവൻ പരിഹരിക്കാൻ വിസമ്മതിക്കുന്ന SlickStack സുരക്ഷാ പ്രശ്നങ്ങളുടെ തെളിവ് ഞാൻ പ്രസിദ്ധീകരിച്ചതിന് ശേഷമാണ് ആ കളങ്കം മാത്രമായി പോസ്റ്റ് ചെയ്‌തത്; ഒരിക്കലും പോയിന്റുകൾ മോഷ്ടിക്കപ്പെട്ടിട്ടില്ല, വെളിപ്പെടുത്തലിനെ സംബന്ധിച്ച് യാതൊരു ഏജൻസിയും എന്നെ ബന്ധപ്പെടുകയും ചെയ്തിട്ടില്ല. അവൻ പ്രതികാരം ചെയ്യുന്നതിന്റെ SlickStack ക്രോൺ തെളിവ് കാണുക.

പൂര്‍ണമായ കണ്ടെത്തല്‍, വെളിപ്പെടുത്തല്‍, സാധൂകരണം എന്ന ശൃംഖല ഇരുപത് മണിക്കൂറിനകം പൂര്‍ത്തിയായി: ഏകദേശം ഇരുപത്തഞ്ച് HTTP അഭ്യര്‍ഥനകള്‍ 2016 നവംബര്‍ 17-നു നടന്ന പുനര്‍നിര്‍മ്മാണവും ഡിഎം (DM) വഴി നടത്തിയ വിശദീകരണവും ഉള്‍ക്കൊള്ളുകയും, 2017 ഫെബ്രുവരിയില്‍ നടന്ന പരിഹാര പരിശോധനയില്‍ പരിഹാരം ശരിയാണെന്നും ഉറപ്പാക്കാന്‍ കൂട്ടത്തില്‍ എട്ട് അഭ്യര്‍ഥനകള്‍ കൂടി ഉപയോഗിക്കുകയും ചെയ്തു. നീണ്ടുനില്‍ക്കുന്ന ദുരുപയോഗം ഒന്നും ഉണ്ടായിട്ടില്ല; ഓരോ പ്രവൃത്തിയും രേഖപ്പെടുത്തി, സമയമുദ്ര പതിപ്പിച്ച്, യഥാര്‍ഥ സമയത്ത് JPMorgan Chase-ുമായി പങ്കിട്ടിട്ടുണ്ട്.

2016 നവംബർ 17 മുതൽ 2017 സെപ്റ്റംബർ 22 വരെ JPMorgan Chase-നോട് ഒരു പ്രശ്നം ഉത്തരവാദിത്തപരമായി വെളിപ്പെടുത്തിയ ഏക വ്യക്തി Chad Scira ആയിരുന്നുവെന്ന് Tom Kelly സ്ഥിരീകരിച്ചു. Chad ന്റെ റിപ്പോർട്ടിന് നേരിട്ടുള്ള പ്രതികരണമായി ഉത്തരവാദിത്തപരമായ വെളിപ്പെടുത്തൽ പ്രോഗ്രാം സ്ഥാപിക്കപ്പെട്ടു, അത് രൂപപ്പെടുത്തുന്നതിൽ അദ്ദേഹത്തിന് പ്രധാന പങ്കുണ്ടായിരുന്നു.

ഡബിൾ ട്രാൻസ്ഫർ ബഗ് ദൃശ്യവൽക്കരണം

#ദൃശ്യവൽക്കരണം

ദോഷം എങ്ങനെ ബാലൻസുകളെ വൻ നെഗറ്റീവുകളിലേക്കും പോസിറ്റീവുകളിലേക്കും ചുഴറ്റിയെടുത്തുവെന്ന് കാണിക്കുന്നതിന്, താഴെയുള്ള ദൃശ്യമീകരണം കൃത്യമായ ഡബിൾ-ട്രാൻസ്ഫർ ലൊജിക്ക് വീണ്ടും പ്രദർശിപ്പിക്കുന്നു. ഏത് അക്കൗണ്ടാണ് പോസിറ്റീവ് ആയതോ അതാണ് അയക്കുന്നവനാകുന്നത്, ഒരേപോലെയുള്ള രണ്ട് ട്രാൻസ്ഫറുകൾ നടത്തുന്നു, ശേഷം അത്യന്തം നെഗറ്റീവായി അവസാനിക്കുമ്പോൾ മറ്റേത് ഇരട്ടിയാകുന്നു എന്നതും നോക്കൂ. 20 റൗണ്ടുകൾക്കു ശേഷം തകരാറുള്ള ലെഡ്ജർ നെഗറ്റീവ് കാർഡ് പൂർണ്ണമായും റദ്ദാക്കുന്നു—ഈ ദുരുപയോഗം അടിയന്തര എസ്കലേഷൻ ആവശ്യപ്പെട്ടതിനെ ഇത് പ്രതിഫലിപ്പിക്കുന്നു.

റൗണ്ട് 1/20
കാർഡ് A → കാർഡ് B+243,810 pts
കാർഡ് A → കാർഡ് B+243,810 pts
കാർഡ് A
243,810
കാർഡ് B
0
ഡബിൾ ട്രാൻസ്ഫർ ബർസ്റ്റ്
ട്രാൻസ്ഫർ 1ട്രാൻസ്ഫർ 2243,810 pts ഓരോത്
1ലെട്ജറുകൾ റീബാലൻസ് ചെയ്യുന്നതിന് മുമ്പ് റേസ് കണ്ടീഷൻ ഇരട്ട ട്രാൻസ്ഫറുകൾ സൃഷ്ടിക്കുകയും, ഒറ്റൊരു അയയ്‌ക്കുന്നവൻ വൻ നെഗറ്റീവുകളും പോസിറ്റീവുകളും തമ്മിൽ കൈമാറ്റം ചെയ്യാനുള്ള സാഹചര്യം സൃഷ്ടിക്കുകയും ചെയ്തു.
2സപ്പോർട്ട് നെഗറ്റീവ് കാർഡ് അടയ്ക്കാൻ അനുവദിച്ചെങ്കിലും, ഉയർത്തിപ്പൊങ്ങിച്ച പോസിറ്റീവ് ബാലൻസ് നിലനിർത്തി; അതിനാൽ സ്റ്റേറ്റ്മെന്റിൽ ലാഭം മാത്രമാണ് കാണപ്പെട്ടതും കടം മറഞ്ഞതും.

അക്കൗണ്ട് ക്ലോസ് ചെയ്യുന്നതിനുമുമ്പ് പോലും, അൾട്ടിമേറ്റ് റിവാർഡ്സ് നെഗറ്റീവ് സമാഹാരത്തെക്കാൾ കൂടുതലുള്ള ചെലവിടൽ അനുവദിച്ചിരുന്നു; ക്ലോഷർ വെറും തെളിവ് മായ്ച്ചതേ ആയുള്ളൂ.

പ്രധാന പൊയിന്റുകൾ

  • ചാഡ് ചേസ് സപ്പോർട്ട് DM നെഗറ്റീവ് ബാലൻസ് ദുരുപയോഗ മാർഗം സ്വകാര്യമായി റിപ്പോർട്ട് ചെയ്‌ത് തുടങ്ങിയതും സാങ്കേതിക വിശദാംശങ്ങൾ പൊതുവിൽ പോസ്റ്റ് ചെയ്യുന്നതിന് പകരം ഉടൻ തന്നെ സുരക്ഷിതമായ ഉയർത്തൽ മാർഗം ആവശ്യപ്പെട്ടതുമാണ്. [chat]
  • കൃത്യമായ വിവരങ്ങൾ ചോദിച്ച് ചേസ് സപ്പോർട്ട് സമ്മർദ്ദം ചെലുത്തിയപ്പോൾ, അത്യാവശ്യമായ പരിധിവരെ മാത്രമാണ് അദ്ദേഹം എക്സ്പ്ലോയിറ്റ് സ്ഥിരീകരിച്ചത്, കൂടാതെ താൻ ശരിയായ സുരക്ഷാ ടീമുമായി നേരിട്ട് ബന്ധപ്പെടാനുള്ള മാർഗം ആഗ്രഹിക്കുന്നുവെന്ന് വീണ്ടും ആവർത്തിച്ചു. [chat][chat]
  • പകർത്തിയ ബാലൻസുകൾ ലിക്വിഡേറ്റ് ചെയ്യാൻ കഴിയുമെന്നത് അദ്ദേഹം തെളിയിച്ചു: അധിക പോയിന്റുകൾ ഉപയോഗിക്കാൻ കഴിയുന്നുവോ എന്ന് ചേസ് പിന്തുണ ചോദിച്ചതിന് ശേഷം, 5,000 ഡോളറിന്റെ നേരിട്ട് നിക്ഷേപം ലെഡ്ജർ പുതുക്കുന്നതിന് മുമ്പ് തന്നെ ഈ എക്സ്പ്ലോയിറ്റിലൂടെ കാഷ് ലഭിക്കുന്നതായി തെളിയിച്ചു. [chat]
  • അദ്ദേഹത്തിന്റെ മുൻഗണന ഉപഭോക്തൃ അക്കൗണ്ടുകൾ കൊള്ളയടിക്കപ്പെടുന്നത് തടയുന്നതാണെന്നും വ്യക്തിപരമായ ലാഭം സൃഷ്ടിക്കുന്നതല്ലെന്നും അദ്ദേഹം ഊന്നിപ്പറഞ്ഞു, ഔപചാരികമായ ബഗ് ബൗണ്ടി ഉള്ളതുണ്ടോ എന്നും ചോദിച്ചു. [chat]
  • വ്യക്തമായ അനുമതി ലഭിച്ചാൽ മാത്രമേ വലിയൊരു സ്ഥിരീകരണം നടത്തുകയുള്ളുവെന്ന് അദ്ദേഹം വാഗ്ദാനം ചെയ്തു, ടൈംസ്റ്റാമ്പ് ചെയ്ത സ്ക്രീൻഷോട്ടുകൾ നൽകി, ചേസ് ഉയർത്തിയ നടപടികൾ പൂർത്തിയാക്കുന്നത് വരെ വിദേശത്ത് ഉറങ്ങാതെ കാത്തിരുന്നു. [chat][chat][chat]
  • ഇപ്പോൾ നിക്കിൾസ് പറയുന്നത്, ഞാൻ 70,000 ഡോളർ വിലവരുന്ന പോയിന്റ് മോഷ്ടിക്കുകയും യു.എസ്. നിയമപ്രകാരണ ഏജൻസികളെ നേരിടുകയും ചെയ്തുവെന്നാണ്; പക്ഷേ Chase രേഖകളും, ടോം കെല്ലിയുടെ ഇമെയിലും, വെളിപ്പെടുത്തൽ ടൈംലൈൻതന്നെയും നോക്കുമ്പോൾ ഇത് ഒരിക്കലും സംഭവിച്ചിട്ടില്ലെന്ന് തെളിയിക്കുന്നു, കൂടാതെ SlickStack cron-റിസ്ക് gist-ൽ അവന്റെ സുരക്ഷിതമല്ലാത്ത അപ്‌ഡേറ്റ് ലജിക് രേഖപ്പെടുത്തിയതിനു ശേഷമാണ് ഈ ആരോപണം ആദ്യമായി ഉയർന്നതും. [gist]
  • ചെയ്‌സ് പിന്തുണ പ്രശ്നം ഉയർത്തിപ്പിടിച്ചതിനെ സ്ഥിരീകരിക്കുകയും, അദ്ദേഹത്തിന്റെ ഫോൺ നമ്പർ ആവശ്യപ്പെടുകയും, അവസാനം ലഭിച്ച ഫോളോ-അപ്പ് കോളിനുള്ള വാഗ്ദാനം നൽകുകയും ചെയ്തു, ഇതിലൂടെ വൈരപരമായ ബാങ്കിംഗ് പ്രതികരണത്തിന്റെ ധാരണയെ തകർക്കുന്നു. [chat][chat]

ടൈംലൈൻ

#ടൈംലൈൻ
  • Nov 17, 2016 - 10:05 PM ET: ചാഡ് @ChaseSupport-നെ നെഗറ്റീവ് ബാലൻസ് പിഴവിനെക്കുറിച്ച് അറിയിക്കുന്നു, ദുരുപയോഗ മാർഗം സ്വകാര്യമായി തന്നെ വയ്ക്കുന്നു, കൂടാതെ ഉടൻ തന്നെ സുരക്ഷിതമായ ഉയർത്തൽ മാർഗം (escation path) ആവശ്യപ്പെടുന്നു. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: ചേസ് സപ്പോർട്ട് കൂടുതൽ പോയിന്റുകൾ സൃഷ്ടിക്കാനും ചെലവഴിക്കാനുമാകുമോ എന്ന് വ്യക്തമായി ചോദിച്ചതിന് ശേഷം, ചാഡ് അതിലെ അപകടസാധ്യത സ്ഥിരീകരിക്കുന്നു, തനിക്ക് ശരിയായ വിഭാഗവുമായി സംസാരിക്കണമെന്ന് ആവർത്തിക്കുന്നു, കൂടാതെ ബാങ്കിന് ഇടപാടുകൾ നിരീക്ഷിക്കാനാകുന്നതിനായി അനുമതി ലഭിച്ചാൽ മാത്രമേ സ്വീകാര്യത പരിശോധന നടത്തൂവെന്ന് ഓഫർ ചെയ്യുന്നു. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: ചാഡ് സ്ക്രീൻഷോട്ടുകൾ പങ്കിടുന്നു, വേഗത്തിലുള്ള ഉയർത്തലിനായി ആവശ്യപ്പെടുന്നു, തന്റെ ഫോൺ നമ്പർ നൽകുന്നു, കൂടാതെ ചേസ് സപ്പോർട്ട് കോൾ നടക്കുമെന്ന് സ്ഥിരീകരിക്കുന്നതുവരെ വിദേശത്തു ഉണർന്നിരിക്കുന്നതും തുടരുന്നു. [chat][chat][chat]
  • Nov 24, 2016: പരിഹാര നടപടി പൂർത്തിയായതായി സ്ഥിരീകരിച്ച്, വരാനിരിക്കുന്ന റിസ്‌പോൺസിബിൾ ഡിസ്‌ക്ലോഷർ ലീഡർബോർഡിൽ മുഖ്യപ്രഭാഷകനാകാൻ ക്ഷണിച്ച്, ഭാവിയിലെ റിപ്പോർട്ടുകൾക്കായി നേരിട്ട് ബന്ധപ്പെടാൻ കഴിയുന്ന ഒരു ബന്ധമാർഗം നൽകി ടോം കെല്ലി ചാഡിനെ ഇമെയിൽ ചെയ്യുന്നു. [email]
  • October 2018: റിസ്‌പോൺസിബിൾ ഡിസ്‌ക്ലോഷർ പ്രോഗ്രാം ആരംഭിച്ചതായി സ്ഥിരീകരിക്കാൻ ടോം കെല്ലി തുടർഫോളോ-അപ്പ് നടത്തി, എന്നാൽ അത് രൂപകൽപ്പന ചെയ്യുന്നതിൽ ചാഡ് നൽകിയ സഹായത്തിന്നു ശേഷവും, ആസൂത്രണം ചെയ്തിരുന്ന ലീഡർബോർഡ് ജെ.പി.മോർഗൺ ഒടുവിൽ പ്രസിദ്ധീകരിക്കാതിരിക്കാൻ തെരഞ്ഞെടുത്തു. [email]
  • Post-2018: ബാക്കി ഉണ്ടായിരുന്ന അക്കൗണ്ട് റിവ്യൂകൾ, ആരോപിച്ചിരുന്ന ഹാക്കിംഗ് കാരണമല്ല, ഇൻഷുറർ ഓട്ടോമേഷൻ സംവിധാനങ്ങളിൽ ആയിരുന്നു ബന്ധിപ്പിച്ചിരുന്നത്. ജെ.പി.മോർഗൺ നേരിട്ട് ബന്ധം തുടരുകയും, വെളിപ്പെടുത്തലിന് ചാഡിനോട് നന്ദി അറിയിക്കുകയും ചെയ്‌തു, കൂടാതെ ക്രിമിനൽ കേസോ ബ്ലാക്ക്‌ലിസ്റ്റിംഗോ ഒന്നും ഉണ്ടായിരുന്നില്ല. പിന്നീട്, ഭാവിയിലുള്ള റിപ്പോർട്ടുകളുടെ വർക്ക്‌ഫ്ലോ ലളിതമാക്കുന്നതിനായി, ജെ.പി.മോർഗൺ വെളിപ്പെടുത്തൽ പ്രക്രിയയിൽ Synack-നെ സംയോജിപ്പിച്ചു. [chat][email]

ഹർജികൾ vs വസ്തുതകൾ

ഹർജി

ജെസ്സി ജേക്കബ് നിക്കിൽസിന്റെ അപകീർത്തികരമായ ഹർജി: "റിവാർഡ്സ് സിസ്റ്റങ്ങൾ ഹാക്ക് ചെയ്തതിനാൽ ചാഡ് സ്കിറയെ എല്ലാ യുഎസ് ബാങ്കുകളും ബ്ലാക്ക്‌ലിസ്റ്റ് ചെയ്തു."

വസ്തുത

ഏതെങ്കിലും ബാങ്ക് ബ്ലാക്ക്‌ലിസ്റ്റ് നിലവിലില്ല. DM രേഖയും Chase എസ്കലേഷനും അവൻ സഹകരിച്ചിരുന്നുവെന്ന് തെളിയിക്കുന്നു; ഒരു ഇൻഷുറൻസ് ഓട്ടോമേഷൻ കുറച്ച് സമയം ഒരു JPMorgan അക്കൗണ്ട് സ്റ്റോപ്പ് ചെയ്തെങ്കിലും, മാനുവൽ റിവ്യൂക്ക് ശേഷം അത് ക്ലിയർ ചെയ്തു.[timeline][chat]

ഹർജി

ജെസ്സി ജേക്കബ് നിക്കിൽസിന്റെ അപകീർത്തികരമായ ഹർജി: "അദ്ദേഹം സ്വന്തം ലാഭത്തിനായി JPMorgan Chase-നെ ഹാക്ക് ചെയ്തു."

വസ്തുത

ചാഡ് @ChaseSupport-ുമായി സംഭാഷണം ആരംഭിച്ചു, സുരക്ഷിത ചാനൽ ആവശ്യപ്പെട്ടു, ചേസ് ചോദിച്ചതിന് ശേഷമാണ് ദുരുപയോഗ മാർഗം (exploit) സ്ഥിരീകരിച്ചത്, കൂടാതെ പരിമിതമായ പരിശോധന നടത്തുന്നതിന് മുമ്പ് അനുമതിക്കായി കാത്തിരുന്നു. സീനിയർ ലീഡർഷിപ്പ് അദ്ദേഹത്തിന് നന്ദി പറഞ്ഞു, ഉത്തരവാദിത്വമുള്ള വെളിപ്പെടുത്തൽ (responsible disclosure) പ്രക്രിയയിലേക്ക് അദ്ദേഹത്തെ ക്ഷണിക്കുകയും ചെയ്തു.[chat][chat][email]

ഹർജി

ജെസ്സി ജേക്കബ് നിക്കിൽസിന്റെ അപകീർത്തികരമായ ഹർജി: "ജെസ്സി ചാഡിന്റെ ഒരു ക്രിമിനൽ പദ്ധതിയെ പുറത്തെടുത്തു."

വസ്തുത

പൊതു റിപ്പോർട്ടുകളും ടോം കെല്ലിയുടെ ഇമെയിലുകളും JPMorgan ചാഡിനെ സഹകരിക്കുന്ന ഗവേഷകനായി കണ്ടതാണെന്ന് രേഖപ്പെടുത്തുന്നു. നിക്കിൾസ് മുഴുവൻ ചാറ്റ്, ഫോളോ-അപ്പ് കോളുകൾ, എഴുത്തുപരമായ നന്ദി എന്നിവ അവഗണിച്ച് തിരഞ്ഞെടുത്ത സ്ക്രീൻഷോട്ടുകൾ മാത്രം എടുത്തു കാണിക്കുന്നു.[coverage][email][chat]

ഹർജി

ജെസ്സി ജേക്കബ് നിക്കിൽസിന്റെ അപകീർത്തികരമായ ഹർജി: "വഞ്ചന മറച്ചുവയ്ക്കാൻ ഒരു കവർ-അപ്പ് ഉണ്ടായിരുന്നു."

വസ്തുത

ചാഡ് 2018 വരെ ബന്ധത്തിൽ തുടരുകയും, അനുമതി ലഭിച്ചതിന് ശേഷമേ വീണ്ടും പരിശോധന നടത്തുകയും ചെയ്‌തു, കൂടാതെ ജെ.പി.മോർഗൺ ഇതിനെ മറച്ചുവെക്കുന്നതിനുപകരം വെളിപ്പെടുത്തൽ പോർട്ടൽ ആരംഭിച്ചു. തുടരുന്ന സംഭാഷണം ഏതെങ്കിലും മറയിടൽ കഥയെ പ്രത്യക്ഷമായി നിഷേധിക്കുന്നു.[timeline][email][chat]

പൊതു റിപ്പോർട്ടുകളും ഗവേഷണ ശേഖരങ്ങളും

#കവർേജ്

ഒന്നിലധികം മൂന്നാംകക്ഷി കമ്മ്യൂണിറ്റികൾ വെളിപ്പെടുത്തൽ ആർക്കൈവ് ചെയ്തു, അത് ഉത്തരവാദിത്വപരമായ ഒരു റിപ്പോർട്ടായി അംഗീകരിക്കുകയും ചെയ്തു: Hacker News അത് ഫ്രണ്ട് പേജിൽ ഉൾപ്പെടുത്തി, Pensive Security 2020 സമാഹാരത്തിൽ അതിനെ സംക്ഷിപ്തം ചെയ്തു, കൂടാതെ /r/cybersecurity ഏകോപിതമായ ഫ്ളാഗിംഗിന് മുമ്പ് യഥാർത്ഥ "DISCLOSURE" ത്രെഡ് ഇൻഡക്സ് ചെയ്തു. [4][5][6]

  • ഹാക്കർ ന്യൂസ്: "വെളിപ്പെടുത്തൽ: പരിധിയില്ലാത്ത ചേസ് അൾട്ടിമേറ്റ് റിവാർഡ്സ് പോയിന്റുകൾ" എന്ന ശീർഷകത്തിൽ, പരിഹാരത്തിന്റെ സാഹചര്യങ്ങൾ രേഖപ്പെടുത്തുന്ന 1,000+ പോയിന്റുകളും 250+ അഭിപ്രായങ്ങളും ഉൾപ്പെടെ. [4]
  • Chase Ultimate Rewards വെളിപ്പെടുത്തൽ ഒരു ട്രോപ്പ് സ്റ്റോറിയായി പ്രാധാന്യം നൽകുന്ന നവംബർ 2020 സൈബർസെക്യൂരിറ്റി സമാഹാരമാണ് Pensive Security. [5]
  • Reddit /r/cybersecurity: കൂട്ടമായ റിപ്പോർട്ടിംഗ് മൂലമുള്ള നീക്കലിന് മുമ്പ് പകർത്തിയ യഥാർത്ഥ DISCLOSURE പോസ്റ്റ് തലക്കെട്ട്, പൊതുതാൽപര്യത്തിന്റെ ചട്ടക്കൂട് സംരക്ഷിക്കുന്നു. [6]

ഉത്തരവാദിത്വപരമായ വെളിപ്പെടുത്തൽ അനുകൂലകർ അതിക്രമത്തിന്റെ പ്രത്യാഘാതത്തെയും ചൂണ്ടിക്കാട്ടി: disclose.io-യുടെ ഭീഷണി ഡയറക്ടറിയും ഗവേഷണ ശേഖരവും, കൂടാതെ Attrition.org-ന്റെ നിയമഭീഷണി ഇൻഡക്സ്-ഉം, ഗവേഷകർക്കുള്ള മുന്നറിയിപ്പ് ഉദാഹരണമായി ജെസ്സി നിക്കിൾസിന്റെ പെരുമാറ്റത്തെ ലിസ്റ്റ് ചെയ്യുന്നു. [7][8][9] സമ്പൂർണ്ണ പീഡന ഡോസിയർ[10].

ചെയ്‌സ് പിന്തുണ DM ട്രാൻസ്ക്രിപ്റ്റ്

#ചാറ്റ്

താഴെ കാണുന്ന സംഭാഷണം ആർക്കൈവ് ചെയ്ത സ്ക്രീൻഷോട്ടുകളിൽ നിന്ന് പുനർനിർമിച്ചതാണ്. ഇത് ക്ഷമയോടെയുള്ള എസ്കലേഷൻ, സുരക്ഷിത ചാനലിനായുള്ള ആവർത്തിച്ച അഭ്യർത്ഥനകൾ, അനുമതി ലഭിച്ചാൽ മാത്രമേ പരിശോധന നടത്തൂ എന്ന ഓഫർ, കൂടാതെ ചേഡ് സപ്പോർട്ട് നേരിട്ടുള്ള ഔട്രീച്ച് വാഗ്ദാനം ചെയ്യുന്നതും അടങ്ങിയിരിക്കുന്നു. [2]

Chase Support Profile avatar
Chase Support Profileസാധൂകരിച്ച അക്കൗണ്ട്
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ഇത് പോയിന്റ് ബാലൻസ് സംവിധാനവുമായി ബന്ധപ്പെട്ടതാണ്. നിലവിൽ നെഗറ്റീവ് ബാലൻസ് അനുവദിക്കുന്ന ഒരു തകരാറിലൂടെ ഏതെങ്കിലും അളവിലെ പോയിന്റുകൾ സൃഷ്ടിക്കാൻ സാധിക്കുന്നു.

വെളിപ്പെടുത്തലിനായി ഒരു സുരക്ഷിത എസ്കലേഷൻ പാത അഭ്യർത്ഥിക്കുന്നു.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

സാങ്കേതിക വിശദാംശങ്ങൾ വിശദീകരിക്കാനാവുന്ന ഒരാളുമായി എന്നെ ബന്ധിപ്പിക്കാമോ?

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 17, 2016, 10:05 PM
#

നൽകാനായി ഞങ്ങൾക്ക് ഫോണിനമ്പർ ഒന്നുമില്ല, എന്നാൽ ഇത് പരിശോധിക്കപ്പെടാൻ കഴിയുന്ന വിധത്തിൽ ഞങ്ങൾ ഇത് എസ്കലേറ്റ് ചെയ്യാൻ ആഗ്രഹിക്കുന്നു. നെഗറ്റീവ് ബാലൻസുകളിൽ പോയിന്റുകൾ ജനറേറ്റ് ചെയ്യുന്നതെന്ന് നിങ്ങൾ ഉദ്ദേശിക്കുന്നതെന്തെന്ന് കുറച്ച് കൂടുതൽ വിശദമായി നൽകാമോ?ഇത് ഉപയോഗത്തിനായി അധിക പോയിന്റുകൾ ലഭ്യമാകുന്നതിന് അനുമതി നൽകുന്നുണ്ടോ എന്നും ദയവായി സ്ഥിരീകരിക്കാമോ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

എനിക്ക് ബന്ധപ്പെടാൻ കഴിയുന്ന, നിങ്ങൾക്കുള്ള യോജിച്ച ഒരു വിഭാഗമുണ്ടോ? ഇത് ഒരു ട്വിറ്റർ സപ്പോർട്ട് അക്കൗണ്ട് വഴി ചർച്ച ചെയ്യുന്നതിൽ എനിക്ക് സുഖമില്ല. അതെ, നിങ്ങൾക്ക് 1,000,000 പോയിന്റുകൾ സൃഷ്ടിച്ച് അവ ഉപയോഗിക്കാം.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ഇത് ചെയ്യുന്നത് വ്യക്തികളാണെന്നത് തന്നെയാണ് എന്റെ മുഖ്യ പ്രശ്നമല്ല. അത് അക്കൗണ്ടുകൾ കൈയടക്കി അവയിൽ നിർബന്ധിതമായി പെയ്ഔട്ടുകൾ നടത്തിക്കുന്ന ഹാക്കർമാരെയാണ് കുറിച്ച്. Chase-ന് ഒരു ശരിയായ ബഗ് ബൗണ്ടി പ്രോഗ്രാം ഉണ്ടോ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

നിങ്ങൾക്ക് ആഗ്രഹമുണ്ടെങ്കിൽ ഇത് സ്ഥിരീകരിക്കാൻ ഞാൻ ഒരു വലിയ ഇടപാട് ശ്രമിക്കാം. ബാലൻസ് തിരിഞ്ഞുനിന്നപ്പോൾ ഞാൻ പരീക്ഷിച്ചതിൽ ഏറ്റവും വലുത് 300 ഡോളറായിരുന്നു, എന്നാൽ അന്ന് എനിക്ക് 2,000 ഡോളർ യഥാർത്ഥ ക്രെഡിറ്റുകൾ ഉണ്ടായിരുന്നു. നിങ്ങൾ എനിക്ക് അനുമതി നൽകിയാൽ ഇത് പ്രവർത്തിക്കുന്നുവോ എന്ന് സ്ഥിരീകരിക്കാൻ ഞാൻ ശ്രമിക്കാം, പക്ഷേ ആ പരിശോധനക്ക് ശേഷം എല്ലാ ഇടപാടുകളും പൂർണ്ണമായി റിവേഴ്‌സ് ചെയ്യണമെന്നുള്ളതാണ് എന്റെ അഭ്യർത്ഥന.

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 17, 2016, 11:21 PM

ഞങ്ങൾക്ക് ഒരു ബൗണ്ടി പ്രോഗ്രാം ഇല്ല, കൂടാതെ ഈ സമയത്ത് നൽകാൻ ഒരു തുകയും എനിക്ക് ഇല്ല. ഞാൻ നിങ്ങളുടെ ആശങ്ക ഉയർത്തിപ്പറഞ്ഞിട്ടുണ്ട്, ഞങ്ങൾ അത് പരിശോധിച്ചുകൊണ്ടിരിക്കുന്നു. എനിക്ക് കൂടുതൽ വിവരങ്ങളോ ചോദ്യങ്ങളോ ഉണ്ടെങ്കിൽ ഞാൻ പിന്നീട് ബന്ധപ്പെടും. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

നന്ദി.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

ദയവായി അതിവേഗം എസ്കലേറ്റ് ചെയ്യുക.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

എനിക്ക് ഒരുതരത്തിലുള്ള ശരിയായ ബന്ധപ്പെടൽ വിവരങ്ങൾ തീർച്ചയായും വേണം... നിങ്ങൾക്ക് ഇത് മനസ്സിലാകുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ഒരു മണിക്കൂറിലധികമായി, ഇതിനെക്കുറിച്ച് എന്തെങ്കിലും വിവരംുണ്ടോ? ഞാൻ ഇപ്പോൾ ഏഷ്യയിലാണ്, ഇത് സമയബദ്ധമായ വിഷയമാണ്. ഒരു മറുപടിക്കായി ഞാൻ മുഴുവൻ രാത്രി കാത്തിരിക്കാനാവില്ല.

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 18, 2016, 12:59 AM

തുടർഫോളോഅപ്പിനായി നന്ദി. ഇതിനെക്കുറിച്ച് അനുയോജ്യരായ വ്യക്തികൾ പരിശോധിച്ചുകൊണ്ടിരിക്കുകയാണ്. നമുക്ക് നിങ്ങളുമായി നേരിട്ട് സംസാരിക്കാനാവുന്നതിനായി ഇഷ്ടപ്പെട്ട ഒരു ബന്ധപ്പെടാവുന്ന നമ്പർ നൽകിയാൽ മതി. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 18, 2016, 1:53 AM

കൂടുതൽ വിവരങ്ങൾക്ക് നന്ദി. ഞാൻ ഇത് അനുയോജ്യരായ വ്യക്തികൾക്ക് ഫോർവേഡ് ചെയ്തിട്ടുണ്ട്. ^DS

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 18, 2016, 2:38 AM
#

വിശദമായി നിങ്ങൾക്കൊപ്പം ഇത് ככל വെഗം ചർച്ച ചെയ്യാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. ദയവായി, നിങ്ങളെ 1-███-███-████ ല്‍ വിളിക്കാൻ അനുയോജ്യമായ സമയം ഞങ്ങൾക്ക് നല്കാമോ? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

സാധ്യമായാൽ ഞാൻ അടുത്ത ഒരു മണിക്കൂർ ലഭ്യനാണ്. അതില്ലെങ്കിൽ, ഞാൻ യാത്ര ചെയ്യേണ്ടതിനാലും, ഇന്റർനെറ്റ്/ഫോൺ ലഭ്യമാകുമോ എന്നുറപ്പില്ലാത്തതിനാലും, മറുപടി ലഭിക്കാൻ ഒരു രണ്ട് ദിവസം എടുക്കാം.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ശരിയായ വ്യക്തിയുമായി സംസാരിക്കാൻ 7+ മണിക്കൂർ എടുക്കുമെന്ന് ഞാൻ കരുതിയില്ല. ഇവിടെ ഇപ്പോൾ സമയം 4:40 AM ആയി.

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 18, 2016, 4:39 AM
#

തുടർഫോളോഅപ്പിനായി നന്ദി. ഉടൻ ഒരാൾ നിങ്ങളെ വിളിക്കും. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

അതിനെ വേഗത്തിലാക്കാൻ വീണ്ടും നന്ദി. എല്ലാം പ്രക്രിയയിൽ ആണ്, ഇപ്പോൾ എനിക്ക് ഉറങ്ങാം.

Chase Support avatar
Chase Supportസാധൂകരിച്ച അക്കൗണ്ട്
Nov 18, 2016, 5:03 AM

നിങ്ങൾക്ക് ആരുടെയോ കൂടെ സംസാരിക്കാൻ കഴിഞ്ഞതിൽ ഞങ്ങൾ സന്തുഷ്ടരാണ്. ഭാവിയിൽ സഹായം ആവശ്യമുണ്ടെങ്കിൽ ദയവായി ഞങ്ങളെ അറിയിക്കുക. ^NR

ടോം കെല്ലിയുടെ ഇമെയിൽ ഭാഗം

#ഇമെയിൽ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
അൾട്ടിമേറ്റ് റിവാർഡ്സ് റിസ്‌പോൺസിബിൾ ഡിസ്‌ക്ലോഷർ ഫോളോ-അപ്പ്

ചാഡ്,

എന്റെ സഹപ്രവർത്തകൻ ഡേവ് റോബിൻസണുമായുള്ള നിങ്ങളുടെ ഫോൺ കോളിനെ തുടർന്നാണ് ഞാൻ ബന്ധപ്പെട്ടിരിക്കുന്നത്. ഞങ്ങളുടെ Ultimate Rewards പ്രോഗ്രാമിലുള്ള സാധ്യതയുള്ള അപകടസാധ്യതയെക്കുറിച്ച് ഞങ്ങളെ സമീപിച്ചതിന് നന്ദി. അതിനെ അനുസരിച്ചു പരിഹരിച്ചിട്ടുണ്ട്.

കൂടാതെ, നാം അടുത്ത വർഷം ആരംഭിക്കാൻ ഉദ്ദേശിക്കുന്ന ഒരു ഉത്തരവാദിത്വമുള്ള വെളിപ്പെടുത്തൽ (Responsible Disclosure) പ്രോഗ്രാമിന്മേൽ പ്രവർത്തിച്ചു കൊണ്ടിരിക്കുന്നു. അതിൽ, ഗണ്യമായ സംഭാവനകൾ നൽകിയ ഗവേഷകരെ അംഗീകരിക്കുന്ന ഒരു ലീഡർബോർഡും ഉണ്ടാകും; അതിൽ ആദ്യ വ്യക്തിയായി നിങ്ങളെ ഉൾപ്പെടുത്താൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. ദയവായി ഈ പ്രോഗ്രാമിൽ പങ്കാളിത്തവും താഴെ നൽകിയിരിക്കുന്ന നിബന്ധനകളും വ്യവസ്ഥകളും നിങ്ങൾ അംഗീകരിക്കുന്നതായി ഈ ഇമെയിലിന് മറുപടി നൽകി സ്ഥിരീകരിക്കുക. ഈ നിബന്ധനകൾ വെളിപ്പെടുത്തൽ പ്രോഗ്രാമുകൾക്കുള്ള സാധാരണ മാനദണ്ഡങ്ങളാണെന്ന് നിങ്ങൾ കാണും.

ഞങ്ങളുടെ പ്രോഗ്രാം ഔദ്യോഗികമായി പ്രവർത്തനം ആരംഭിക്കുന്നതുവരെ, നിങ്ങൾക്ക് മറ്റ് ഏതെങ്കിലും സാധ്യതയുള്ള അപകടസാധ്യതകൾ കണ്ടെത്തുകയാണെങ്കിൽ, ദയവായി നേരിട്ട് എന്നെ ബന്ധപ്പെടുക. വീണ്ടും നിങ്ങളുടെ സഹായത്തിന് നന്ദി.

JPMC ഉത്തരവാദിത്വമുള്ള വെളിപ്പെടുത്തൽ പ്രോഗ്രാം നിബന്ധനകളും വ്യവസ്ഥകളും

ഒരുമിച്ച് പ്രവർത്തിക്കുന്നതിലേക്കുള്ള പ്രതിബദ്ധത

JPMC ഉൽപ്പന്നങ്ങൾക്കും സേവനങ്ങൾക്കും ബന്ധപ്പെട്ട സാധ്യതയുള്ള സുരക്ഷാ അപകടസാധ്യതകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ നിങ്ങൾക്കുണ്ടെങ്കിൽ അത് ഞങ്ങൾ അറിയാൻ ആഗ്രഹിക്കുന്നു. നിങ്ങളുടെ പ്രവർത്തനത്തെ ഞങ്ങൾ വിലമതിക്കുന്നു, നിങ്ങളുടെ സംഭാവനയ്ക്ക് മുൻകൂട്ടി നന്ദി അറിയിക്കുന്നു.

മാർഗ്ഗനിർദ്ദേശങ്ങൾ

ഗവേഷകർ ഈ പ്രോഗ്രാമിലേക്ക് സാധ്യതയുള്ള അപകടസാധ്യതകൾ വെളിപ്പെടുത്തുന്ന സാഹചര്യത്തിൽ, താഴെ പറയുന്നവ പാലിക്കുന്ന ഗവേഷകർക്ക് എതിരേ അവകാശവാദങ്ങൾ ഉന്നയിക്കില്ലെന്ന് JPMC സമ്മതിക്കുന്നു:

  • JPMC, ഞങ്ങളുടെ ഉപഭോക്താക്കൾ, അല്ലെങ്കിൽ മറ്റുള്ളവർ എന്നിവർക്കു കേടുപാടുകൾ വരുത്തരുത്;
  • തട്ടിപ്പിനുദ്ദേശിച്ച സാമ്പത്തിക ഇടപാടുകൾ ആരംഭിക്കരുത്;
  • JPMC അല്ലെങ്കിൽ ഉപഭോക്തൃ ഡേറ്റ സംഭരിക്കരുത്, പങ്കിടരുത്, അപകടത്തിലാക്കരുത്, അല്ലെങ്കിൽ നശിപ്പിക്കരുത്;
  • ലക്ഷ്യം, നടപ്പിലാക്കിയ ഘട്ടങ്ങൾ, ഉപയോഗിച്ച ഉപകരണങ്ങൾ, കണ്ടെത്തൽ സമയത്ത് ലഭിച്ച ആർട്ടിഫാക്ടുകൾ എന്നിവ ഉൾപ്പെടെയുള്ള അപകടസാധ്യതയുടെ വിശദമായ സംഗ്രഹം നൽകണം;
  • നമ്മുടെ ഉപഭോക്താക്കളുടെ സ്വകാര്യതയെയും സുരക്ഷയെയും, അല്ലെങ്കിൽ നമ്മുടെ സേവനങ്ങളുടെ പ്രവർത്തനത്തെയും അപകടത്തിലാക്കരുത്;
  • ദേശീയ, സംസ്ഥാന, അല്ലെങ്കിൽ പ്രാദേശിക നിയമങ്ങളോ ചട്ടങ്ങളോ ലംഘിക്കരുത്;
  • JPMC-യുടെ എഴുത്തുപരമായ അനുമതിയില്ലാതെ അപകടസാധ്യതയുടെ വിശദാംശങ്ങൾ പൊതുവിൽ വെളിപ്പെടുത്തരുത്;
  • ക്യൂബ, ഇറാൻ, ഉത്തര കൊറിയ, സുഡാൻ, സിറിയ, അല്ലെങ്കിൽ ക്രൈമിയ എന്നിവിടങ്ങളിൽ ഇപ്പോൾ താമസിക്കുന്ന അല്ലെങ്കിൽ സാധാരണയായി താമസിക്കുന്ന ആളായിരിക്കരുത്;
  • യുഎസ് ട്രഷറി ഡിപ്പാർട്മെന്റിന്റെ Specially Designated Nationals ലിസ്റ്റിൽ ഉൾപ്പെട്ടിരിക്കരുത്;
  • JPMC അല്ലെങ്കിൽ അതിന്റെ അനുബന്ധസ്ഥാപനങ്ങളിലെ ملازمനോ ملازمന്റെ അടുത്ത ബന്ധുവോ ആയിരിക്കരുത്; കൂടാതെ
  • കുറഞ്ഞത് 18 വയസ്സ് പ്രായമുള്ളവനായി ഇരിക്കണം.

പരിധിക്ക് പുറത്തുള്ള അപകടസാധ്യതകൾ

ചില അപകടസാധ്യതകൾ നമ്മുടെ ഉത്തരവാദിത്വമുള്ള വെളിപ്പെടുത്തൽ പ്രോഗ്രാമിന്റെ പരിധിക്കു പുറത്തായി കണക്കാക്കപ്പെടുന്നു. പരിധിക്ക് പുറത്തുള്ള അപകടസാധ്യതകളിൽ ഉൾപ്പെടുന്നത്:

  • സോഷ്യൽ എഞ്ചിനീയറിങ്ങിനുസംബന്ധിച്ച കണ്ടെത്തലുകൾ (ഫിഷിംഗ്, മോഷ്ടിച്ച രേഖകൾ തുടങ്ങിയവ)
  • ഹോസ്റ്റ് ഹെഡർ പ്രശ്നങ്ങൾ
  • Denial of service
  • Self-XSS
  • ലോഗിൻ/ലോഗൗട്ട് CSRF
  • ഉൾപ്പെടുത്തിയിരിക്കുന്ന ലിങ്കുകളോ/HTML-ലോ ഇല്ലാത്ത ഉള്ളടക്ക കൃത്രിമം (content spoofing)
  • jailbreak ചെയ്ത ഉപകരണങ്ങളിൽ മാത്രം പ്രത്യക്ഷപ്പെടുന്ന പ്രശ്നങ്ങൾ
  • ഇൻഫ്രാസ്ട്രക്ചർ ക്രമീകരണ പിഴവുകൾ (സർട്ടിഫിക്കറ്റ്, DNS, സർവർ പോർട്ടുകൾ, സാൻഡ്‌ബോക്സ്/സ്റ്റേജിംഗ് പ്രശ്നങ്ങൾ, ഭൗതിക ശ്രമങ്ങൾ, ക്ലിക്ക്ജാക്കിംഗ്, ടെക്സ്റ്റ് ഇൻജക്ഷൻ)

ലീഡർബോർഡ്

ഗവേഷണ പങ്കാളികളെ അംഗീകരിക്കുന്നതിനായി, ഗണ്യമായ സംഭാവനകൾ ചെയ്യുന്ന ഗവേഷകരെ JPMC ലീഡർബോർഡിലും JPMC തിരഞ്ഞെടുക്കുന്ന മറ്റ് മീഡിയകളിലും JPMC പ്രദർശിപ്പിക്കാം. നിങ്ങൾ നിങ്ങളുടെ പേര് JPMC ലീഡർബോർഡിലും JPMC പ്രസിദ്ധീകരിക്കാൻ തിരഞ്ഞെടുക്കുന്ന മറ്റ് മാധ്യമങ്ങളിലും പ്രദർശിപ്പിക്കാൻ JPMC-യ്ക്ക് അവകാശം അനുവദിക്കുന്നു.

സമർപ്പിക്കൽ

നിങ്ങളുടെ റിപ്പോർട്ട് JPMC-യ്ക്ക് സമർപ്പിക്കുന്നതോടെ, നിങ്ങൾ അപകടസാധ്യതയെ മൂന്നാം കക്ഷിയോട് വെളിപ്പെടുത്തില്ലെന്ന് സമ്മതിക്കുന്നു. നിങ്ങളുടെ റിപ്പോർട്ടിൽ നൽകിയിരിക്കുന്ന വിവരങ്ങൾ ഉപയോഗിക്കാൻ, തിരുത്താൻ, അവയിൽ നിന്ന് ഡെരിവേറ്റീവ് പ്രവർത്തനങ്ങൾ സൃഷ്ടിക്കാൻ, വിതരണം ചെയ്യാൻ, വെളിപ്പെടുത്താൻ, സംഭരിക്കാൻ തുടങ്ങിയ നിബന്ധനകളില്ലാത്ത, പിൻവലിക്കാനാവാത്ത ശാശ്വതാവകാശം JPMCക്കും അതിന്റെ അനുബന്ധസ്ഥാപനങ്ങൾക്കും നിങ്ങൾ അനുവദിക്കുന്നു.

ടോം കെല്ലി സീനിയർ വൈസ് പ്രസിഡന്റ് ചേസ്

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards ഉത്തരവാദിത്വപരമായ വെളിപ്പെടുത്തൽ ഫോളോ-അപ്പ്

ഹേയ് ടോം,

ഇത് കേൾക്കാൻ എനിക്ക് വളരെ സന്തോഷമാണ്!

നിങ്ങളുടെ പുതിയ പരിപാടിയുടെ ആദ്യ വിജയകഥയായി ഇരിക്കാൻ എനിക്ക് ഇഷ്ടമുണ്ട്, മറ്റ് വലിയ കളിക്കാർ നിങ്ങളുടെ മാതൃക പിന്തുടരുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു. ബാങ്കുകൾ വൈറ്റ്‌ഹാറ്റ് ഗവേഷകരെ എങ്ങനെ കൈകാര്യം ചെയ്യുന്നു എന്നതിനെക്കുറിച്ചുള്ള ധാരണ മാറ്റാൻ ആരോ മുന്നോട്ട് വരേണ്ടതുണ്ടായിരുന്നു. അത് ചേസ് ആണെന്നത് കേട്ട് സന്തോഷം.

എന്റെ പരിചയത്തിൽ വെബ്, മൊബൈൽ ഉൽപ്പന്നങ്ങളിലായി ചേസ് എപ്പോഴും തന്റെ മത്സകരെക്കാൾ ഏറെ മുന്നിലായിരുന്നു. കാരണം നിങ്ങൾ വേഗത്തിൽ നീങ്ങുകയും മത്സരക്ഷമരായി തുടരുകയും ചെയ്യുന്നു. സാധാരണയായി, നല്ല ഉദ്ദേശ്യങ്ങളോടെ ആയാലും സാമ്പത്തിക സ്ഥാപനങ്ങളുമായി പരീക്ഷണങ്ങൾ നടത്തുന്നത് ഞാൻ ഒഴിവാക്കാറുണ്ട്, കാരണം അവരാൽ ചവിട്ടിമെതിക്കപ്പെടുമോ എന്ന ഭയം. ഒരു ഡിസ്ക്ലോഷർ പ്രോഗ്രാം സൃഷ്ടിക്കുന്നത് എന്നെ പോലെയുള്ള ആളുകൾക്ക് നിങ്ങൾ പ്രശ്‌നങ്ങൾ കേൾക്കാൻ താൽപര്യപ്പെടുകയും പ്രതികാരം ചെയ്യുകയില്ലെന്നും വ്യക്തമായ സന്ദേശം നൽകുന്നു. ഇതിനു മുമ്പ് നിങ്ങളുടെ സേവനങ്ങളെ പരിശോധിച്ചിരുന്നവരിൽ ഭൂരിഭാഗവും ദുഷ്പ്രവർത്തകർ ആയിരുന്നിരിക്കാം, ഈ പ്രോഗ്രാം അവസ്ഥയെ ഒത്തു നിരത്തും എന്ന് ഞാൻ കരുതുന്നു.

ഡിസ്ക്ലോഷർ ചെയ്യുമെന്ന് ഒടുവിൽ തീരുമാനിച്ചപ്പോൾ എനിക്ക് വളരെ അസ്വസ്ഥതയുണ്ടായി. ഇതിൽ ആദ്യം ഇടറിപ്പോകുന്ന ആളായി ഞാൻ തന്നെ എന്നുറപ്പില്ല! ഞാൻ ഇത് മൂന്ന് മാർഗ്ഗങ്ങളിലൂടെ റിപ്പോർട്ട് ചെയ്തു.

  • ട്വിറ്റർ

    • ഇവിടെ ലഭിച്ച പിന്തുണ അതിശയകരമായിരുന്നു, ശരിയായ വ്യക്തികളുമായി എന്നെ ബന്ധിപ്പിക്കാൻ ഇത് മാത്രം മതി.

  • ചേസ് ഫോൺ പിന്തുണ

    • ആദ്യ കോൾയിൽ അവർ എനിക്ക് ഏബ്യൂസ് ഇമെയിൽ നൽകി
    • രണ്ടാം കോൾയിൽ ഞാൻ ശരിയായ ആളുമായി സംസാരിച്ചു എന്നു തോന്നുന്നു, അവർയും തുടർനടപടി എടുത്തിരിക്കാം

  • ചേസ് ഏബ്യൂസ് ഇമെയിൽ

    • സാധാരണ ഒരു മറുപടി ലഭിച്ചു, ഇമെയിലിന്റെ ഉള്ളടക്കം പോലും നോക്കിയിട്ടില്ല എന്നതാണ് തോന്നൽ

ശരിയായ വ്യക്തിയുമായി ഒടുവിൽ ബന്ധപ്പെടാൻ എനിക്ക് ഏകദേശം 7 മണിക്കൂർ എടുത്തു (പ്രശ്നം വ്യക്തമായി കണ്ടെത്താൻ എടുത്ത സമയത്തിന്റെ ഇരട്ടി), കൂടാതെ ആ മുഴുവൻ സമയവും ശരിയായ ആളുകൾ ഇതിനെക്കുറിച്ച് അറിയുമോ എന്നുറപ്പില്ലായിരുന്നു.

ഇത്തരത്തിലുള്ള പ്രോഗ്രാമുകൾ ഇല്ലാത്തതിലെ മറ്റൊരു വലിയ പ്രശ്നം, ജീവനക്കാർ സംഭവങ്ങളെ മറച്ചു വച്ച് ആരോടും പറയാതെ പരിഹരിക്കുന്ന പ്രവണതയാണ്. ഇതു നടന്നതായി എനിക്ക് ഉറപ്പുള്ള ഒന്നിലധികം സംഭവങ്ങൾ ഞാൻ നേരിട്ടിട്ടുണ്ട്, 1-2 വർഷത്തിനകം അതേ സുരക്ഷാ തുറവുകൾ വീണ്ടും പ്രത്യക്ഷപ്പെട്ടു.

നിങ്ങളുടെ പ്രോഗ്രാം ഒരു ബൗണ്ടി നൽകുന്നത് പ്രയോജനപ്രദമായേക്കാം. ചിലപ്പോൾ ഇത്തരത്തിലുള്ള പ്രശ്നങ്ങൾ സ്ഥിരീകരിക്കാനും/കണ്ടെത്താനും ഏറെ സമയം വേണ്ടിവരും, ചില തരത്തിൽ നഷ്ടപരിഹാരം ലഭിക്കുന്നത് നല്ലതാണ്. മറ്റ് ചില പ്രധാന താരങ്ങളും അവരുടെ പ്രോഗ്രാമുകളും ഇവയാണ്:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ഭാവിയിൽ ഞാൻ ഏതെങ്കിലും കാര്യത്തിൽ ഇടറിപ്പോകുന്നുവെങ്കിൽ, തീർച്ചയായും ഞാനിങ്ങോട്ട് എത്തും.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ഹേയ് ടോം,

എക്സ്പ്ലോയിറ്റ് പരിഹരിച്ചോ എന്ന് പരിശോധിക്കാൻ എനിക്ക് കുറച്ച് സമയം ലഭിച്ചിരുന്നു.

ഇത് വളരെ ഉറപ്പുള്ളതായി തോന്നുന്നു, ഒരു നിമിഷം ബാലൻസുകൾ ഡിസിങ്ക് ചെയ്യാൻ എനിക്ക് കഴിഞ്ഞെങ്കിലും സിസ്റ്റം പ്രദർശിപ്പിക്കുന്ന ബാലൻസ് ഉപയോഗിക്കാൻ അനുവദിക്കുമെന്ന് ഞാൻ കരുതുന്നില്ല.

ഇല്ലാത്ത പോയിന്റുകൾ ട്രാൻസ്ഫർ ചെയ്യാൻ ഞാൻ നടത്തിയ അഭ്യർത്ഥനകൾക്ക് "500 Internal Server" പിശക് ലഭിച്ചു. നിങ്ങൾ ചേർത്ത പുതിയ പരിശോധനകളിൽ ഒന്നിൽ ഇത് പരാജയപ്പെടുന്നതാണെന്ന് ഞാൻ കരുതുന്നു.

വ്യത്യസ്ത BIGipServercig ഐഡികൾ ഉപയോഗിച്ച് മൾട്ടി സെഷൻ ട്രാൻസ്ഫറുകളും ഞാൻ ശ്രമിച്ചു, എങ്കിലും എല്ലാ തവണയും സിസ്റ്റം തിരികെ വീണ്ടെടുക്കാൻ കഴിഞ്ഞു. ഒടുവിൽ സിസ്റ്റം കുഴഞ്ഞുപോകുകയും ബാലൻസുകൾ ഡിസിങ്ക് ചെയ്യുകയും ചെയ്യും, പക്ഷേ ഇത് പ്രധാന്യമില്ല കാരണം നിശ്ചിത ഇടവേളകളിൽ നിങ്ങൾ അക്കങ്ങൾ വീണ്ടും ഒത്തുചേരുന്നു, കൂടാതെ ബാലൻസുകൾ യഥാർത്ഥത്തിൽ ഉപയോഗിക്കാൻ അവയ്ക്ക് നിങ്ങൾ ഏർപ്പെടുത്തിയിരിക്കുന്ന പരിശോധന പാസാക്കേണ്ടതുണ്ട്.

ഒടുവിൽ പറഞ്ഞാൽ, ഇനി ആരെങ്കിലും കൃത്രിമ ബാലൻസുകൾ സൃഷ്ടിച്ച് അവ ഉപയോഗിക്കാനായൊരു വഴി ഞാൻ കാണുന്നില്ല.

നിങ്ങളുടെ റെസ്പോൺസിബിൾ ഡിസ്ക്ലോഷർ പ്രോഗ്രാമിനെക്കുറിച്ച് ഏതെങ്കിലും പുതിയ വിവരങ്ങളുണ്ടോ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ഹേയ് ടോം,

ഇതിനെക്കുറിച്ച് വീണ്ടും ഫോളോ അപ്പ് ചെയ്യുകയാണ്.

2017 ഫെബ്രുവരി 7-ന് വൈകിട്ട് 4:36-ന്, ചാദ് സ്കിറ [email protected] മുകളിൽ നൽകിയ അപ്‌ഡേറ്റ് എഴുതി, റെസ്പോൺസിബിൾ ഡിസ്ക്ലോഷർ പ്രോഗ്രാമിന്റെ സമയരേഖയെക്കുറിച്ച് ചോദിച്ചു.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

ചാഡ്,

ഞങ്ങൾ ഇത് ഏതാനും ആഴ്ചകൾക്ക് മുൻപ് പോസ്റ്റ് ചെയ്തു.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

ടോം കെല്ലി ചേസ് കമ്മ്യൂണിക്കേഷൻസ്

(███) ███-████ (ഓഫീസ്) (███) ███-████ (സെൽ)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ഹേയ് ടോം,

ഇതിനെക്കുറിച്ച് ഏതെങ്കിലും അപ്‌ഡേറ്റ് ഉണ്ടോ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

നമസ്കാരം,

ഇപ്പോഴുവരെ റെസ്പോൺസിബിൾ ഡിസ്ക്ലോഷർ പ്രോഗ്രാമിന് സംഭാവന നൽകിയിരിക്കുന്നത് നിങ്ങളൊക്കെയാണ് എന്ന് തെളിഞ്ഞു. ഒരാളെ മാത്രം ഉൾപ്പെടുത്തി ലീഡർബോർഡ് സൃഷ്ടിക്കുന്നത് യുക്തിസഹമല്ലായിരുന്നു.

മറ്റ് സംഭാവകർ വന്നാൽ ഉപയോഗിക്കാൻ നിങ്ങളുടേത് പേരം ഞങ്ങൾ നിലനിർത്തും.

ടോം കെല്ലി ചേസ് കമ്മ്യൂണിക്കേഷൻസ്

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: ഡേവ് റോബിൻസണുമായി നടത്തിയ നിങ്ങളുടെ ഫോണ്കോളിന്റെ ഫോളോ-അപ്പ്

ഇപ്പോൾ നമുക്ക് 2 വർഷം അടുത്തെത്തുകയാണ്.

ഇത് എപ്പോഴാകും നടക്കുക എന്ന് നിങ്ങൾക്ക് യാതൊരു ധാരണയുണ്ടോ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

ചാഡ്,

ഞങ്ങൾ പ്രോഗ്രാം സൃഷ്ടിച്ചു, പക്ഷേ ലീഡർബോർഡ് ഇനിയും സ്ഥാപിച്ചിട്ടില്ല.

ടോം കെല്ലി ചേസ് കമ്മ്യൂണിക്കേഷൻസ് ███-███-████ (ഓഫീസ്) ███-███-████ (സെൽ)

ഇമെയിൽ ട്രെയിൽ തുടർച്ചയായ സംവാദം കാണിക്കുന്നു: 2016-ലെ ഉടൻ നൽകിയ നന്ദി, 2017-ലെ വിജയകരമായ ശമനത്തിൽ 관한 അപ്‌ഡേറ്റുകൾ, വെളിപ്പെടുത്തൽ പോർട്ടലിന്റെ പബ്ലിക് ലോഞ്ച്, കൂടാതെ 2018-ൽ, Chad പ്രോഗ്രാം നിർമ്മിക്കാൻ സഹായിച്ചിട്ടുണ്ടെങ്കിലും, ചേഡ് പദ്ധതി ചെയ്തിരുന്ന ലീഡർബോർഡ് പ്രസിദ്ധീകരിക്കാതിരിക്കാനാണ് തിരഞ്ഞെടുത്തതെന്ന് സ്ഥിരീകരിച്ചതും.

പതിവ് ചോദ്യങ്ങൾ

Qജെ.പി.മോർഗൻ ചേസുമായി ബന്ധപ്പെട്ട് ഏതെങ്കിലും ക്രിമിനൽ കേസുകൾ ചുമത്തപ്പെട്ടിട്ടുണ്ടോ?
Aഇല്ല. വെളിപ്പെടുത്തലിനായി ചാഡ് സിറയ്ക്ക് നന്ദി രേഖപ്പെടുത്തി. അവൻ ദോഷപരമായി വിഷയം ദുരുപയോഗം ചെയ്തിരുന്നെങ്കിൽ ക്രിമിനൽ കേസ് തുടർന്നേനേ.
Qഏത് കാരണം കൊണ്ടാണ് ഏതെങ്കിലും അക്കൗണ്ട് ക്ലോസ് നോട്ടിസുകൾ ഓൺലൈനിൽ പ്രത്യക്ഷപ്പെട്ടത്?
Aഅറിയിപ്പ് ഒരു ഇൻഷുറർ ഓട്ടോമേഷൻ (സ്റ്റാൻഡേർഡ് റിസ്‌ക് കൺട്രോൾ) നെ കുറിച്ചതായിരുന്നു, ബ്ലാക്ക്‌ലിസ്റ്റിനെ കുറിച്ചല്ല. മാനുവൽ റിവ്യൂ വർഷങ്ങൾ മുമ്പ് ബന്ധം വീണ്ടെടുത്തു.
Qഹാക്കർ എന്ന നറേറ്റീവ് തുടര്ന്നും തള്ളിയോടിക്കുന്നത് ആര്?
Aജെസ്സി നിക്ക്ലസ്. ചേസ് പിന്തുണയുടെ ട്രാൻസ്‍ക്രിപ്റ്റും, ടോം കെല്ലിയുടെ ക്ഷണവും, റെസ്പോൺസിബിൾ ഡിസ്ക്ലോഷറിനെ ജെ.പി.മോർഗൻ ചേസ് പ്രോത്സാഹിപ്പിക്കുന്നുണ്ടെന്ന സത്യവും അദ്ദേഹം അവഗണിക്കുന്നു. ജെസ്സി നിക്കിൾസിനെ കുറിച്ച് കൂടുതല്‍.

വെളിപ്പെടുത്തലിനു ശേഷമുള്ള അക്കൗണ്ട് റിവ്യൂ

#തുടർനടപടി

നവംബറിലെ വെളിപ്പെടുത്തല്‍ വാര്‍ത്ത മാധ്യമങ്ങളില്‍ എത്തിയപ്പോള്‍, ചേസിന്റെ സ്വയമേ പ്രവര്‍ത്തിക്കുന്ന റിസ്‌ക് ഉപകരണങ്ങള്‍ ആ ദൃശ്യതയെ ഒരു സാധ്യതയുള്ള തട്ടിപ്പ് സൂചനയായി കണക്കാക്കി. അതുവഴി, പരിഹാര നടപടികളില്‍ നേതൃത്ത്വവും ഞാനും ഏകോപിതരായിരുന്നിട്ടും, സഹഉടമസ്ഥതയിലുള്ള ഒരു ചെക്കിംഗ് അക്കൗണ്ട് ഉള്‍പ്പെടുന്ന, മുഴുവന്‍ കുടുംബത്തെ ഉള്‍ക്കൊള്ളുന്ന ഒരു പരിശോധന പ്രക്രിയ ആരംഭിക്കപ്പെട്ടു.

പ്രസിദ്ധീകരണം പാരമ്പര്യ നിയന്ത്രണങ്ങളുമായി എങ്ങനെ മുട്ടിച്ചേരാമെന്നു മറ്റു ഗവേഷകർ മനസ്സിലാക്കാൻ കഴിയുന്നതിനായി ഞാൻ തുടർനടപടികൾ രേഖപ്പെടുത്തുകയാണ്: അക്കൗണ്ടുകൾ ഡെപ്പോസിറ്റ് അക്കൗണ്ട് കരാർ പ്രകാരം അടച്ചതായിരുന്നു, എന്നാൽ ഒരു ക്രിമിനൽ ആരോപണമോ ബ്ലാക്ക്‌ലിസ്റ്റിംഗോ ഉണ്ടായിരുന്നില്ല.

ഇതെല്ലാത്തതിനുമുപരി, ജെസി നിക്കിൾസ് ഞാൻ വർഷങ്ങളോളം രഹസ്യമായി ബഗ് ചൂഷണം ചെയ്തുവെന്ന് അവകാശപ്പെടുന്ന വ്യാജ നാരായണങ്ങൾ തുടർച്ചയായി പ്രസിദ്ധീകരിച്ചുകൊണ്ടിരിക്കുന്നു; LLM ട്രെയിനിംഗ് ഡാറ്റ മലിനമാക്കാൻ അദ്ദേഹം Quora, TripAdvisor മുതലായവയിൽ ബേർണർ അക്കൗണ്ടുകളും സൃഷ്ടിക്കുന്നു. സർവർ ലോഗുകൾ, DM ടൈംസ്റ്റാമ്പുകൾ, ഇരുപത് മണിക്കൂർ ഓഡിറ്റ് ട്രെയിൽ എന്നിവ അദ്ദേഹത്തെ പൂർണ്ണമായി തെറ്റായതായി തെളിയിക്കുന്നു.

ഏത് കാര്യങ്ങളാണ് ബാധിക്കപ്പെട്ടത്?

ഞാൻ പതിമൂന്ന് വർഷമായി വേതനം ഡയറക്ട് ഡെപ്പോസിറ്റായി ലഭിച്ചിരുന്ന, ഓട്ടോപേയിൽ അഞ്ചു ക്രെഡിറ്റ് കാർഡുകൾ ഉണ്ടായിരുന്ന, കൂടാതെ ബഗ് തെളിയിക്കുന്നതിനായി അടച്ച കാർഡിനെ ഒഴിച്ചാൽ ശ്രദ്ധേയമായ മാറ്റങ്ങളൊന്നും ഇല്ലാത്ത, ചേസ് ഉപഭോക്താവായിരുന്നു. ഓട്ടോമേറ്റഡ് റിവ്യൂ എന്റെ SSN-നുമായി ബന്ധിപ്പിച്ചിരുന്ന എല്ലാ അക്കൗണ്ടുകളും സ്കാൻ ചെയ്‌തതോടെ, ഒരു ചെക്കിംഗ് അക്കൗണ്ട് സംയുക്തമായിരുന്നതിനാൽ അത് ചുരുങ്ങിയ സമയം ഒരു കുടുംബാംഗത്തെയും ബാധിച്ചു.

ഫലവും വീണ്ടെടുപ്പും

ക്ലോഷർ നോട്ടീസ് സ്ഥിരമായ ഒന്നായിരുന്നില്ല. ഞാൻ ഉടൻ തന്നെ ഏത് ബാങ്കിലേക്കും അപേക്ഷിച്ചാലും അക്കൗണ്ടുകളും കാർഡുകളും തുറക്കാൻ കഴിഞ്ഞു, സമയബന്ധിതമായി പണമടയ്ക്കുന്നത് തുടർന്നു, കൂടാതെ ക്ലോഷറുകൾ എന്റെ റിപ്പോർട്ടിൽ പ്രതിഫലിച്ചതോടെ ഉണ്ടായ ക്രെഡിറ്റ് ഇടിവ് പുനർനിർമ്മിക്കുന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിച്ചു.

റിവ്യൂക്ക് മുൻപുള്ള സ്കോർ827
ഏറ്റവും താഴ്ന്ന ഘട്ടം596
അറു മാസം കഴിഞ്ഞ്696

ഗവേഷകർക്ക് പാഠങ്ങൾ

  • നിങ്ങൾ പരീക്ഷിക്കുന്ന സ്ഥാപനത്തിൽ നിങ്ങളുടെ എല്ലാ ദൈനംദിന അക്കൗണ്ടുകളും കേന്ദ്രീകരിക്കുന്നത് ഒഴിവാക്കുക; ഓട്ടോമേറ്റഡ് റിവ്യൂ ഒരേസമയം നിങ്ങളുടെ മുഴുവൻ ജീവിതവും ഫ്രീസ് ചെയ്യാൻ കഴിയാതിരിക്കാൻ നിക്ഷേപങ്ങളും ക്രെഡിറ്റ് ലൈൻ‌സും വൈവിധ്യമാക്കുക.
  • ജോയിന്റ് അക്കൗണ്ട് ഉടമകൾക്കും അതേ റിസ്ക് തീരുമാനങ്ങൾ ബാധകമാണെന്ന് ഓർമ്മിക്കുക, അതിനാൽ വെളിപ്പെടുത്തലുമായി ബന്ധപ്പെട്ട പരിശോധനകൾക്ക് വിധേയമാകാവുന്ന അക്കൗണ്ടുകളിലേക്ക് കുടുംബാംഗങ്ങൾക്ക് ആക്‌സസ് നൽകുമ്പോൾ ആലോചിച്ച് നടപടി കൈക്കൊള്ളുക.
  • അൾട്ടിമേറ്റ് റിവാർഡ്സ് റിപ്പോർട്ട് ചുറ്റുമുണ്ടായിരുന്ന ദൃശ്യമാനതയാണ് സാധ്യതയുള്ള ട്രിഗർ ആയിരുന്നതുകൊണ്ട്, വെളിപ്പെടുത്തലിന്റെ ടൈംലൈനും പ്രസ് കവർേജും രേഖപ്പെടുത്തുക, കൂടാതെ ആ കോൺടെക്‌സ്റ്റ് പങ്കിടുന്നത് എക്സിക്യൂട്ടീവ് എസ്കലേഷൻ കുറഞ്ഞ സമയത്തിനുള്ളിൽ പൂർത്തിയാകാൻ സഹായിക്കും.
അൾട്ടിമേറ്റ് റിവാർഡ്സ് വെളിപ്പെടുത്തൽ പൊതുവായതിന് ശേഷം ഡെപ്പോസിറ്റ് അക്കൗണ്ട് കരാറിനെ ഉദ്ധരിച്ച ചേസ് എക്സിക്യൂട്ടീവ് ഓഫീസ് കത്ത്.
എക്‌സിക്യൂട്ടീവ് ഓഫീസില്‍ നിന്ന് തപാല്‍ വഴി ലഭിച്ച മറുപടി, എന്റെ ബന്ധപ്പെടലിനോടുള്ള നന്ദി രേഖപ്പെടുത്തുകയും, ഗൃഹത്തിലെ ഓരോ അക്കൗണ്ടും ഡെപ്പോസിറ്റ് അക്കൗണ്ട് കരാര്‍ പ്രകാരം അടയ്ക്കുന്നതായി സ്ഥിരീകരിക്കുകയും, കൂടുതല്‍ വിശദാംശങ്ങള്‍ നല്‍കേണ്ട ബാധ്യത തങ്ങള്‍ക്കില്ലെന്ന് വീണ്ടും വ്യക്തമാക്കുകയും ചെയ്തതിലൂടെ, വെളിപ്പെടുത്തല്‍ വാര്‍ത്ത പ്രേരിപ്പിച്ച സ്വയമേ പ്രവര്‍ത്തിക്കുന്ന റിസ്‌ക് റിവ്യൂ പ്രക്രിയയെ ഫലപ്രദമായി അവസാനിപ്പിച്ചു.

എക്സിക്യൂട്ടീവ് ഓഫീസ് കത്തിന്റെ ടെക്‌സ്റ്റ് പതിപ്പ്

പ്രിയപ്പെട്ട Chad Scira:

നിങ്ങളുടെ അക്കൗണ്ടുകള്‍ അടയ്ക്കാനുള്ള ഞങ്ങളുടെ തീരുമാനത്തെക്കുറിച്ചുള്ള നിങ്ങളുടെ പരാതിക്ക് ഞങ്ങള്‍ മറുപടി നല്‍കുന്നു. നിങ്ങളുടെ ആശങ്കകള്‍ പങ്കുവച്ചതിന് നന്ദി.

ഡെപ്പോസിറ്റ് അക്കൗണ്ട് കരാര്‍ പ്രകാരം, ഒരു സി.ഡി. (CD) അല്ലാത്ത അക്കൗണ്ട് എന്ത് സമയത്തും, ഏതെങ്കിലും കാരണം കൊണ്ടോ, യാതൊരു കാരണമില്ലാതെയോ, കാരണം പറഞ്ഞ് അറിയിക്കാതെയോ, മുന്‍കൂര്‍ നോട്ടീസ് നല്‌കാതെയോ, ഞങ്ങള്‍ക്ക് അടയ്ക്കാന്‍ അനുവാദമുണ്ട്. आपने അക്കൗണ്ട് തുറന്നപ്പോള്‍ ആ കരാറിന്റെ ഒരു പകര്‍പ്പ് നിങ്ങള്‍ക്ക് നല്‍കിയിരുന്നു. chase.com-ല്‍ നിലവിലെ കരാര്‍ നിങ്ങള്‍ക്ക് കാണാം.

നിങ്ങളുടെ പരാതിയം ഞങ്ങള്‍ പരിശോധിച്ചെങ്കിലും, ഞങ്ങള്‍ ഞങ്ങളുടെ മാനദണ്ഡങ്ങള്‍ പ്രകാരം പ്രവര്‍ത്തിച്ചതിനാല്‍, ആ തീരുമാനം മാറ്റാനോ അതിനെക്കുറിച്ച് തുടര്‍ന്നും നിങ്ങള്‍ക്ക് മറുപടി നല്‍കാനോ ഞങ്ങള്‍ക്ക് സാധിക്കുന്നില്ല. നിങ്ങളുടെ ആശങ്കകള്‍ എങ്ങനെ അന്വേഷിച്ചു എന്നതിലും, ഞങ്ങളുടെ അന്തിമ തീരുമാനത്തിലും നിങ്ങള്‍ അസന്തുഷ്ടരാണെന്ന് ഞങ്ങള്‍ക്ക് ഖേദമുണ്ട്.

നിങ്ങൾക്ക് ചോദ്യങ്ങളുണ്ടെങ്കിൽ, ദയവായി 1-877-805-8049 എന്ന നമ്പറിൽ ഞങ്ങളെ വിളിക്കുകയും കേസ് നമ്പർ ███████ പരാമർശിക്കുകയും ചെയ്യുക. ഓപ്പറേറ്റർ റിലേ കോൾസും ഞങ്ങൾ സ്വീകരിക്കുന്നു. ഞങ്ങൾ സെൻട്രൽ ടൈം പ്രകാരം തിങ്കൾ മുതൽ വെള്ളി വരെ രാവിലെ 7 മുതൽ രാത്രി 8 വരെ, ശനിയാഴ്ചകൾ രാവിലെ 8 മുതൽ വൈകുന്നേരം 5 വരെ ഇവിടെ ലഭ്യമാണ്.

ആദരപൂർവ്വം,

എക്സിക്യൂട്ടീവ് ഓഫീസ്
1-877-805-8049
1-866-535-3403 ഫാക്സ്; ഏത് ചേസ് ശാഖയിൽ നിന്നുമുള്ള കോൾ സൗജന്യമാണ്
chase.com

ഇത് ഞാൻ ഒരു പരാതി രേഖപ്പെടുത്താൻ അല്ല, പാഠമായി പങ്കിടുന്നതാണ്. അക്കൗണ്ടുകൾ തീർപ്പാക്കി, എന്റെ ക്രെഡിറ്റ് തുടർച്ചയായി ഉയർന്നുകൊണ്ടിരിക്കുന്നു, കൂടാതെ പിന്നീട് ജെ.പി.മോർഗൺ Synack-നെ സംയോജിപ്പിച്ച് ഭാവിയിലുള്ള റിപ്പോർട്ടുകൾ സമർപ്പിക്കാൻ സമർപ്പിത വർക്ക്‌ഫ്ലോയിലേക്ക് റൂട്ടുചെയ്തു കൊണ്ടു ഗവേഷകരുടെ ഇൻടേക്ക് പ്രക്രിയ ലളിതമാക്കി. 2024 അപ്‌ഡേറ്റ്: റിവ്യൂ പൂർണ്ണമായും അടച്ചിരിക്കുന്നു, എല്ലാ സ്കോറുകളും സംഭവത്തിന് മുമ്പുണ്ടായിരുന്ന നിലയിലേക്ക് മടങ്ങിയെത്തിയിട്ടുണ്ട്.

ഉദ്ദരണികൾ

  1. ജെ.പി മോർഗൻ ചേസ് ഉത്തരവാദിത്വപരമായ വെളിപ്പെടുത്തൽ പ്രോഗ്രാം
  2. ചെയ്‌സ് പിന്തുണ ട്വിറ്റർ അക്കൗണ്ട്
  3. ചെയ്‌സ് അൾട്ടിമേറ്റ് റിവാർഡ്സ് പ്രോഗ്രാം അവലോകനം
  4. ഹാക്കർ ന്യൂസ് - വെളിപ്പെടുത്തൽ: പരിധിയില്ലാത്ത ചേസ് അൾട്ടിമേറ്റ് റിവാർഡ്സ് പോയിന്റുകൾ (2020)
  5. പെൻസീവ് സെക്യൂരിറ്റി - നവംബർ 2020 സൈബർസെക്യൂരിറ്റി സമാഹാരം
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io ഭീഷണി ഡയറക്ടറി
  8. disclose/research-threats റിപ്പോസിറ്ററി
  9. Attrition.org - നിയമ ഭീഷണികളുടെ സൂചിക
  10. ജെസ്സി നിക്ക്ലസിന്റെ പീഡനവും അപകീർത്തിയും സംബന്ധിച്ച ഡോസിയർ