Chad Scira "Хакер хийснээр банкуудаас хар жагсаалтад орсон"
Энэхүү хуудас нь Жесси Никлсийн "Чад Скира АНУ-ын банкуудад хакердсан тул хар жагсаалтад орсон" гэсэн цуурхлын ард болсон үйл явдлыг баримтаар тайлбарлана. Энэ нь Ultimate Rewards-ийн эмзэг байдлыг хариуцлагатайгаар хэрхэн илчилсэн, JPMorgan Chase нь Чадын тайлангийн төлөө яагаад талархсаныг, мөн түр зуурын дансны зогсолт нь зүгээр л захиргааны шинжтэй байсаныг тайлбарлана. Jesse Nickles хуучин баримтуудыг дахин савлаж, гэмт хэрэгт санаатай үйлдэл байгааг илтгэх гэж оролдсоор байна. Гэвч баримтууд үүний эсрэгийг харуулж байна: цагаан малгайтай судлаачийн илчлэл болон JPMorgan-ын удирдлагатай хамтран ажилласан баримтууд байгаа.
Түүний хамгийн сүүлчийн хурцатгал нь SlickStack.io дээрх ишлэл бөгөөд тэнд Чад Скира "Чейс банкны кредит картын урамшууллын хөтөлбөрт хакер хийж, $70,000-ын хуурамч аяллын оноог хулгайлсан" гэж мэдээлсэн байна. Энэхүү гүтгэлэг нь зөвхөн Чад SlickStack-ийн аюулгүй байдлын асуудлуудын баримтыг нийтэлсний дараа л тавигдсан; оноог хэзээ ч хулгайлаагүй бөгөөд илчлэлтэй холбоотойгоор ямар нэгэн байгууллага Чадтай холбогдоогүй. Тэр өшөө авах үйлдэл хийж байгааг илтгэх SlickStack cron-ийн нотлох баримтыг үзнэ үү..
Нийт нээлт, илчлэл, болон баталгаажуулалтын мөчлөг 20 цагийн дотор өрнөсөн: 2016 оны 11-р сарын 17-ны нөхөн сэргээх ба DM дамжуулалтын явцыг ойролцоогоор 25 HTTP хүсэлт хамарсан бөгөөд 2017 оны 2-р сарын засварын туршилт дээр засварыг баталгаажуулахад нэмэлт 8 хүсэлт ашигласан. Урт удаан хугацааны зөрчил зөрчилдөөн байгаагүй; бүх үйлдлийг бүртгэж, цаг тэмдэглэж, JPMorgan Chase-т бодит цаг хугацаанд хуваалцсан.
Том Келли баталсан нь Чад Скира 2016 оны 11-р сарын 17-ноос 2017 оны 9-р сарын 22-ны хооронд JPMorgan Chase-д асуудлыг хариуцлагатай илчилсэн дэлхий даяарх цорын ганц хүн байсан. Responsible Disclosure хөтөлбөр нь Чадын тайланд шууд хариу болгон үүссэн ба тэр уг хөтөлбөрийг боловсруулахад чухал үүрэг гүйцэтгэсэн.
Давхар шилжүүлгийн алдааг дүрслэн харуулах
#визуализацияАлдаанаас үлдэгдлүүд хэрхэн их хэмжээний сөрөг ба эерэг утгад шилжсэнийг харуулахын тулд доорх визуализаци яг хоёр дахин шилжүүлэх логикийг дахин тоглуулна. Аль данс эерэг байгаа бол тэр нь илгээх тал болж, яг адил хоёр шилжүүлэг гүйцэтгээд эцэст нь нэг нь гүнзгий сөрөг болдог бол нөгөө нь хоёр дахин ихэсдэгийг ажигла. 20 давталтын дараа эвдэрсэн бүртгэл сөрөг картыг бүрэн цуцалж, энэ эксплойт яагаад яаралтай эскалаци шаардсан болохыг илэрхийлнэ.
Данс хаахаас өмнө ч Ultimate Rewards нь сөрөг нийлбэрээс давсан зарцуулалтыг зөвшөөрсөн; хаалт нь зүгээр л нотлох баримтыг арилгасан.
Гол цэгүүд
- Chad нь Chase Support дээр DM нээж сөрөг тэнцвэрийн эксплойтыг хувийн мэдээллээр илгээж, техникийн мэдээллийг олон нийтэд тавихын оронд даруй аюулгүй эскалацийн замыг хүссэн. [chat]
- Chase Support нар илүү тодорхой мэдээлэл шаардах үед тэр зөвхөн шаардлагатай хэмжээгээр эксплойтыг баталж, мөн тохирох аюулгүй байдлын багтай шууд харилцахыг хүсэж байгаагаа дахин хэлсэн. [chat][chat]
- Тэр давхардсан үлдэгдлүүдийг бэлэн мөнгө болгон хөрвүүлэх боломжтойг харуулсан: Chase Support нэмэлт оноонууд ашиглагдаж болох эсэхийг асуусны дараа $5,000 шууд орлого нь эксплойт нь лавдер шинэчлэгдэхээс өмнө мөнгө болгон хувирсан болохыг нотолсон. [chat]
- Тэр өөрийн тэргүүлэх зорилго нь хувийн ашиг олоход биш, алдагдсан хэрэглэгчийн дансуудын хөрөнгийг хоослохоос сэргийлэх явдал байсныг онцолж, албан ёсны bug bounty програм байгаа эсэхийг асуусан. [chat]
- Тэр зөвшөөрөл өгсөн тохиолдолд илүү өргөн баталгаажуулалт хийх санал тавьж, цаг тэмдэгтэй дэлгэцийн агшин зургийг өгсөн бөгөөд Chase өсөлтийг гүйцэтгээд хүртэл гадаадад сэрүүн хэвээр үлдсэн. [chat][chat][chat]
- Никлэс одоо Чад Скира $70,000-ын оноог хулгайлсан бөгөөд АНУ-ын хууль сахиулах байгууллагад шалгагдсан гэж мэдэгдэж байна; Гэвч Chase-ийн бичиг баримт, Том Келлийн имэйл болон илчлэлтийн цагийн дараалал энэ нь болсон явдал биш байсан гэдгийг нотолж байна, мөн энэ шаардлага Чад SlickStack дээр Жессегийн аюулгүй бус шинэчлэлийн логикийг баримтжуулсан cron-risk gist-ийг нийтэлсний дараа л гарч ирсэн. [gist]
- Chase Support нь асуудлыг дээшилүүлсэн гэдгийг баталсан, түүний утасны дугаарыг хүссэн, мөн эцэст нь авсан дагалдах дугаарыг амласан нь банкнаас дайсагнасан хандлага гарсан гэх үзлийг няцааж байна. [chat][chat]
Хронологи
#хронологи- 2016 оны 11-р сарын 17 - 10:05 PM ET: Chad нь @ChaseSupport-д сөрөг үлдэгдлийн алдааны тухай мэдээлж, эксплойтыг нууцалж, даруй аюулгүй эскалацийн замыг хүссэн. [chat]
- 2016 оны 11-р сарын 17 - 11:13-11:17 PM ET: Chase Support тодорхой асуусны дараа нэмэлт оноог үүсгэж ашиглах боломжтой эсэхийг асуухад Chad эрсдлийг баталж, зөв хэлтэст хандахыг дахин хэлж, банк гүйлгээг ажиглахын тулд зөвшөөрөл авсны дараа л баталгаажуулалт хийх санал тавив. [chat][chat][chat]
- 2016 оны 11-р сарын 17-18 - 11:39 PM-5:03 AM ET: Chad дэлгэцийн агшнуудыг хуваалцаж, эскалацыг түргэн шилжүүлэхийг шаардж, утасны дугаараа өгч, Chase Support дуудлага явагдаж байгааг баталгаажталаа гадаадад сэрүүн хэвээр байсан. [chat][chat][chat]
- 2016 оны 11-р сарын 24: Том Келли Чад руу имэйл илгээж засварыг баталсан, ирэх хариуцлагатай илчлэлийн лидербордын толгойлогчоор оролцохыг урьсан, мөн ирээдүйн тайлануудын хувьд түүнд шууд холбогдох шугамыг өгсөн. [email]
- 2018 оны 10-р сарын: Том Келли дахиад хариу өгөхдөө хариуцлагатай илчлэлийн хөтөлбөр эхэлснийг баталж, Гэвч JPMorgan эцэст нь Чадын туслалцаатай байсан хэдий ч төлөвлөсөн лидербордыг нийтлэхгүй байх шийдвэр гаргасан гэдгийг мэдэгдсэн. [email]
- 2018 оноос хойш: Аливаа үлдэгдэл дансны шалгалтууд нь даатгагчийн автоматжуулалтад холбогдсон байсан бөгөөд хакердсан гэх асуудалтай холбоогүй. JPMorgan шууд холбоогоор харьцаж, илчилсэнийх нь төлөө Chad-д талархсан ба эрүүгийн бүртгэл эсвэл хар жагсаалт байгаагүй. Дараа нь JPMorgan Synack-ыг илчилгээний процессдоо нэгтгэж, ирээдүйн тайлангууд тусгай урсгалаар дамжих байдлаар ажлын урсгалыг хялбаршуулав. [chat][email]
Мэдэгдлүүд ба баримтууд
Jesse Jacob Nickles-ээс гаргасан гүтгэлгийн мэдэгдэл: "Chad Scira нь урамшууллын систем рүү халдсан тул АНУ-ын бүх банкаар хар жагсаалтад орсон."
Банкны хар жагсаалт гэж байхгүй. DM бичлэг болон Chase-руу дээшлүүлсэн баримтууд нь тэр хамтран ажиллаж байсан гэдгийг нотолж байна; даатгагчийн автоматжуулалт нэг JPMorgan дансыг түр зогсоосон боловч гараар хийсэн шалгалт түүнийг цэвэрлэсэн.[timeline][chat]
Jesse Jacob Nickles-ээс гаргасан гүтгэлгийн мэдэгдэл: "Тэр өөрийгөө баян болгох үүднээс JPMorgan Chase-ыг хакердсан."
Chad нь @ChaseSupport-тай харилцсан эхлэлийг тавьж, аюулгүй сувгийг шаардаж, эксплойтыг зөвхөн Chase асуусны дараа баталж, хязгаарлагдмал баталгаажуулалт хийхийн өмнө зөвшөөрөл хүлээсэн. Ахлах удирдлага талархаж, хариуцлагатай илчилгээний үйл явцад урагшаа оруулахыг урьсан.[chat][chat][email]
Jesse Jacob Nickles-ээс гаргасан гүтгэлгийн мэдэгдэл: "Jesse нь Chad-ийн гэмт хэргийн схемийг илчилсэн."
Олон нийтийн мэдээлэл болон Tom Kelly-ийн имэйлүүдэд JPMorgan нь Chad-ыг хамтран ажиллаж байсан судлаач мэт харьцсаныг баримтжуулсан байна. Nickles нь дэлгэцийн зургуудыг таарсан хэсгээр сонгон авч, бүх чатын бичвэр, дагалдсан дуудлага болон бичгээр илэрхийлсэн талархлыг үл ойшоосон.[coverage][email][chat]
Jesse Jacob Nickles-ээс гаргасан гүтгэлгийн мэдэгдэл: "Хулгийг нуухын тулд нууц ажиллагаа байсан."
Chad 2018 он хүртэл харилцаагаа хадгалсан, дахин шалгалтыг зөвшөөрөлтэйгээр л хийсэн бөгөөд JPMorgan асуудлыг нуун дарахгүйгээр илчлэлийн портал нээсэн. Үргэлжилсэн харилцан яриа аливаа нуун дарагдуулсны тухай өгүүлэлтэй зөрчилдсөн гэж хэлж болно.[timeline][email][chat]
Олон нийтийн тойм, судалгааны архивууд
#хамрах хүрээОлон гуравдагч талын олон нийтийн платформууд илчлэлтийг архивлаж, үүнийг хариуцлагатай тайлан гэж хүлээн зөвшөөрсөн: Hacker News үүнийг нүүр хуудаснаа онцолсон, Pensive Security үүнийг 2020 оны тоймд нэгтгэсэн, /r/cybersecurity нь зохион байгуулалттай флаглалтаас өмнө эх “DISCLOSURE” утасны бичлэгийг индексжүүлсэн. [4][5][6]
- Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" нь 1,000+ оноо болон 250+ сэтгэгдлээр засварлах үйл явцын нөхцлийг баримтжуулсан. [4]
- Pensive Security: 2020 оны 11 дүгээр сарын кибер аюулгүй байдлын тойм, гол түүх болгон Chase Ultimate Rewards илчлэлийг онцлов. [5]
- Reddit /r/cybersecurity: Олон тооны тайлангийн улмаас устахаас өмнө хүлээн авсан анхны ИЛЧЛЭЛ постын гарчиг нь олон нийтийн ашиг сонирхлыг харуулсан хүрээг хадгалсан. [6]
Хариуцлагатай илчлэлийн төлөөх хүмүүс мөн дарамтын (harassment) үр дагаврыг дурдсан: disclose.io-ийн заналхийллийн лавлах ба судалгааны сан, мөн Attrition.org-ийн хууль ёсны заналхийллийн индекс нь Jesse Nickles-ийн үйлдлийг судлаачдад болгоомжлох жишээ болгон жагсаасан. [7][8][9] Дарамтлан сүрдүүллийн бүрэн досье[10].
Chase Support DM-ийн тэмдэглэл
#чатДоорх яриаг архивласан дэлгэцийн агшинуудаас сэргээн тогтоосон. Энэ нь тэвчээртэйгээр шат ахих явцыг, аюулгүй суваг хүсэх дахин дахин хүсэлтүүдийг, зөвшөөрөлтэйгээр л баталгаажуулах санал болон Chase Support шууд холбогдох амлалтыг харуулж байна. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Энэ нь онооны үлдэгдлийн системтэй холбоотой. Одоогоор сөрөг үлдэгдлийг зөвшөөрдөг алдааны улмаас хүссэн хэмжээний оноог үүсгэх боломжтой байна.
Илчлэлийг аюулгүйгээр дээд шат руу шилжүүлэх замыг хүсэж байна.Техникийн талуудыг тайлбарлаж чадах хүнтэй намайг холбож өгч болох уу?
Бидэнд өгч болох утасны дугаар байхгүй, гэхдээ үүнийг шалгуулахын тулд дээшлүүлэхийг хүсч байна. Сөрөг үлдэгдлийн дотор оноо үүсгэх гэж хэлэхээр чинь яг юу гэж ойлгож байна вэ? Үүний үр дүнд нэмэлт оноонууд ашиглах боломжтой болдог эсэхийг мөн баталгаажуулж өгөх үү? ^DS
Та намайг холбож өгөх зохих хэлтэс бий юү? Би үүнийг Twitter-ийн дэмжлэгийн акаунтаар ярилцахад тухгүй байна. Тийм ээ, та 1,000,000 оноо үүсгээд ашиглаж болно.
Миний үндсэн санаа зовж буй зүйл бол хүмүүс үүнийг хийж байгаа явдал биш. Харин хакерууд данс руу нэвтрэн тэднээс хүчээр мөнгө гаргуулж авах явдал. Chase-д зохистой алдаа илрүүлэх (bug bounty) хөтөлбөр бий юү?
Хүсвэл батлахын тулд би илүү их хэмжээний гүйлгээ хийхийг оролдож болно. Баланс гажигтай үед туршсан хамгийн их хэмжээ нь $300 байсан ч бодит зээлийн дүн нь $2,000 байсан. Надад зөвшөөрөл олговол энэ нь ажилладаг эсэхийг батлахыг оролдох боломжтой, гэхдээ туршилтын дараа бүх гүйлгээг буцааж өгөхийг хүсэж байна.
Бидэнд шагналын програм байхгүй, мөн одоогоор танд өгөх дүн байхгүй. Би таны асуудлыг дээшлүүлсэн бөгөөд үүнийг шалгаж байна. Нэмэлт мэдээлэл эсвэл асуулт гарвал дахин холбогдох болно. ^DS
Баярлалаа.
Түргэвчилж, аль болох хурдан дээд шат руу шилжүүлнэ үү.
Надад үнэхээр зохих харилцах хүн хэрэгтэй... Та үүнийг ойлгох байх гэж найдаж байна.
Нэг цагаас илүү хугацаа өнгөрлөө, энэ талаар ямар нэг мэдээ байна уу? Би одоогоор Ази тивд байгаа бөгөөд энэ нь цаг чухал асуудал. Би шөнөжин хариу хүлээгээд байх боломжгүй байна.
Хөөцөлсөнд баярлалаа. Энэ асуудлыг тохирсон хүмүүс шалгаж байна. Бид танд шууд утсаар холбогдохын тулд та ашиглах дуртай холбоо барих дугаараа өгнө үү. ^DS
+█-███-███-████.
Нэмэлт мэдээлэл өгсөнд баярлалаа. Би үүнийг зохих хүмүүст илгээсэн. ^DS
Бид энэ талаар аль болох яаралтай ярилцахыг хүсч байна. Та 1-███-███-████ дугаараар залгах тохиромжтой цагийг зааж өгч чадах уу? ^DS
Хэрэв боломжтой бол би дараагийн нэг цагт бэлэн байна. Хэрэв боломжгүй бол би аялна, интернет/утасны хандалт байх эсэх нь тодорхойгүй тул нэг, хоёр өдөр дараа холбогдох байх.
Зөв хүнийтэй ярих нь 7+ цаг шаардана гэж би бодоогүй. Энд одоо өглөөний 4:40 байна.
Дараагийн ажиллагааг хөөцөлсөнд баярлалаа. Хэн нэгэн тун удахгүй тан руу залгана. ^DS
Үүнийг түргэсүүлсэнд дахин баярлалаа. Бүх зүйл хөдөлгөөнд орж, би одоо тайван нойрсож чадна.
Хэн нэгэнтэй ярьж чадсанд баяртай байна. Ирээдүйд туслах зүйл байвал бидэнд мэдэгдээрэй. ^NR
Том Келлигийн имэйлээс ишлэл
#имэйлChad,
Таны миний хамтран ажиллагч Dave Robinson-тэй хийсэн утасны ярианд хариуцлагаар хандаж байна. Манай Ultimate Rewards хөтөлбөрт боломжит аюулгүй байдлын эмзэг байдлын талаар бидэнд хандаж өгсөнд баярлалаа. Бид үүнийг шийдсэн.
Мөн бид ирэх жил нээхээр төлөвлөж байгаа Хариуцлагатай Илчлэлийн хөтөлбөр дээр ажиллаж байгаа. Энэ нь ихээхэн хувь нэмэр оруулсан судлаачдыг хүндэтгэн байрлуулсан тэргүүлэх самбар (leaderboard)-ыг оруулах болно; бид танаа эхний хүнээр нь танилцуулахыг хүсэж байна. Доорх нөхцөл, дүрмүүд болон хөтөлбөрт оролцохыг баталгаажуулсан хариуг энэ имэйлд илгээнэ үү. Эдгээр нөхцлүүд нь ийм төрлийн илчлэлийн хөтөлбөрүүдэд нийтлэг байдаг.
Манай хөтөлбөр амжилттай ажиллаж эхлэх хүртэл өөр ямар нэгэн боломжит эмзэг байдал олбол надтай шууд холбоо барина уу. Таны тусламжинд дахин баярлалаа.
JPMC Хариуцлагатай Илчлэлийн хөтөлбөр — Нөхцөл ба Дүрмүүд
Хамтран ажиллахад бид бэлэн
JPMC бүтээгдэхүүн, үйлчилгээнүүдийн боломжит аюулгүй байдлын эмзэг байдлын тухай мэдээлэлтэй бол бид таны мэдээг сонсмоор байна. Бид таны ажлыг үнэлж, урьдчилан өгсөн хувь нэмрийг чин сэтгэлээсээ талархан хүлээн авна.
Зааварчилгаа
JPMC нь дараах нөхцөлт судлаачдын энэ хөтөлбөрт боломжит эмзэг байдлыг илчилсэн тохиолдолд тэдний эсрэг нэхэмжлэл гаргахгүйг зөвшөөрнө, хэрэв судлаач:
- JPMC, манай хэрэглэгчид эсвэл бусдад хохирол учруулахгүй;
- луйварчин санхүүгийн гүйлгээ эхлүүлэхгүй;
- JPMC эсвэл хэрэглэгчийн өгөгдлийг хадгалах, хуваалцах, задруулах буюу устгахгүй;
- илрүүлэлт хийхдээ чиглэсэн объект, алхмууд, ашигласан багаж хэрэгсэл болон олдсон нотолгоог багтаасан эмзэг байдлын нарийвчилсан тайлбарыг өгсөн;
- манай хэрэглэгчдийн нууцлал, аюулгүй байдал болон манай үйлчилгээнүүдийн ажиллагааг эвдэхгүй;
- ямар нэгэн үндэсний, мужийн эсвэл орон нутгийн хууль, дүрмийг зөрчихгүй;
- JPMC-ийн бичгээр өгсөн зөвшөөрөлгүйгээр эмзэг байдлын дэлгэрэнгүйг олон нийтэд ил болгохгүй;
- одоогоор Куба, Иран, Хойд Солонгос, Судан, Сириа эсвэл Крымд оршин сууж байгаа эсвэл ердийн байдлаар тэнд амьдардаг бус байх;
- АНУ-ын Сангийн яамны “Specially Designated Nationals” жагсаалтад ороогүй;
- JPMC болон түүний охин компаниудын ажилтан эсвэл тэдний ойрын гэр бүлийн гишүүн биш; болон
- насанд хүрсэн (18-аас дээш) байх.
Хамрах хүрээнээс гадуурх эмзэг байдал
Манай Хариуцлагатай Илчлэлийн хөтөлбөрт зарим эмзэг байдлууд хамрах хүрээнээс гадуур гэж тооцогдоно. Хамрах хүрээнээс гадуурх эмзэг байдалд дараах зүйлс багтана:
- Нийгмийн инженерчлэлд тулгуурласан олдворууд (фишинг, хулгайлагдсан нэвтрэлтийн мэдээлэл гэх мэт)
- Host header-ийн асуудал
- Үйлчилгээ тасалдах (Denial of service)
- Self-XSS
- Нэвтрэх/гарах CSRF
- Хавсаргагдсан холбоос/HTMLгүй контент хуурмаг нь
- Зөвхөн jailbreak хийсэн төхөөрөмжтэй холбоотой асуудлууд
- Инфраструктурын тохиргооны алдаанууд (гэрчилгээ, DNS, серверийн порт, sandbox/staging асуудал, бие махбодийн оролдлого, clickjacking, текстийн оруулалт)
Тэргүүлэх самбар
Судлаач түншүүдийн хувь нэмрийг үнэлэх зорилгоор JPMC ихээхэн хувь нэмэр оруулсан судлаачдыг онцолж үзэж магадгүй. Та өөрийн нэрийг JPMC Тэргүүлэх самбарт (JPMC Leaderboard) болон JPMC зарлаж болох бусад медиа дээр нийтлэх эрхийг JPMC-д олгож байна.
Илгээх
Тайлангаа JPMC-д илгээх замаар та эмзэг байдлыг гуравдагч этгээдэд задруулахгүй байхыг зөвшөөрч байна. Та JPMC болон түүний охин компаниудад таны тайланд өгсөн мэдээллийг ашиглах, өөрчлөх, авсан бүтээлсээр нь шинэ бүтээл үүсгэх, түгээх, илчлэх, хадгалах нөхцөлгүй эрхийг үүрд өгч байна; эдгээр эрхийг цуцлах боломжгүй.
Tom Kelly Ахлах дэд ерөнхийлөгч Chase
Hey Tom,
Энэ мэдээг сонсоод маш их баярлав!
Таны шинэ програмын анхны амжилттай түүхийн нэг нь би байгаасай гэж хүсэж байна, мөн бусад том тоглолтууд таны даган мөрдөх байх гэж найдаж байна. Хэн нэгэнд оролцож, банкууд white-hat судлаачидтай хэрхэн харьцдаг талаар хүмүүсийн үзэл бодлыг өөрчлөх шаардлагатай байсан. Энэ нь Chase байгаад би баяртай байна.
Надад хувьд Chase вэб болон мобайл бүтээгдэхүүний хувьд өрсөлдөгчдөөсөө илт давуутай байсан. Энэ нь ихэнхдээ та нар хурдан хөдөлж, өрсөлдөөнөө хадгалдагтай холбоотой. Ихэнхдээ би санхүүгийн байгууллагуудтай оролдоод байхгүй, учир нь тэднээр дарагдаж мэдэхээс айдаг (сайн санаатай ч бай). Илчилсний програм бий болгосноор өөртөө төстэй хүмүүст та асуудлуудыг сонсох сонирхолтой бөгөөд муугаар эдгээр асуудлыг хэрэгжүүлсэн тохиолдолд бухимдахгүй гэдгийг илэрхийлсэн. Өмнө нь таны үйлчилгээнүүдийг шалгаж байсан ихэнх хүмүүс магадгүй муу санаатай байсан бөгөөд би бодож байна энэ нь нөхцлийг тэнцвэржүүлэх болно.
Эцэст нь илчилж өгөх гэж шийдсэндээ би маш их санаа зовж байв. Магадгүй би энэ асуудлыг анх нээсэн анхны хүн биш байх. Би үүнийг гурван аргаар мэдэгдсэн.
-
Twitter
- эндхийгийн дэмжлэг үнэхээр ГАЙХАЛТАЙ байсан, мөн энэ нь надад зөв хүмүүстэй холбогдох шалтгаан болсон гэж бодож байна.
-
Chase Утасны дэмжлэг
- эхний дуудлагад надад abuse имэйл өгсөн
- хоёр дахь дуудлагад би зөв хүнтэй ярьсан байх гэж бодож байна, тэд бас холбогдсон байж магадгүй
-
Chase Abuse Имэйл
- ерөнхий хариу авсан, имэйл доторх агуулгыг нь огт хараагүй мэт санагдсан
Энэ нь надад хэн нэгэнтэй холбогдох хүртэл ойролцоогоор 7 цаг зарсан (аслыг тодорхойлоход зарцсан хугацаанаас давсан), ба энэ бүх хугацаанд би зөв хүмүүс энэ тухай огт сонсох юм болов уу гэж итгэлгүй байлаа.
Ийм програм байхгүй байхад бас том асуудал нь ажилтнууд удаан хугацаанд тохиолдлыг нуун дарж, хэн нэгэнд хэлэлгүйгээр засдаг явдал юм. Миний тохиолдлуудын хэд хэдэнд би энэ тохиолдсон гэж итгэлтэй байгаа бөгөөд 1–2 жилийн дотор ижил аюулгүй байдлын нүхүүд дахин гарч ирсэн.
Мөн танай програмд шагнал санал болгодог байх нь давуу талтай байж магадгүй. Заримдаа эдгээр төрлийн асуудал баталгаажуулах/олохын тулд их цаг зарцуулагддаг бөгөөд ямар нэг байдлаар нөхөн олговор авах нь сайхан. Энд хэд хэдэн гол тоглогчид болон тэдний програмууд байна:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Хэрвээ ирээдүйд ямар нэг зүйл олбол би мэдэгдэх болно.
Hey Tom,
Эксплойт шийдэгдсэн эсэхийг шалгах цаг гарсан.
Түүнчлэн ихэнхдээ бат болчихсон мэт санагдлаа, би балансуудыг түр зуур зөрүүтэй болгох боломжтой байсан ч систем нь дэлгэцэн дээрх балансыг ашиглахыг зөвшөөрөхгүй байх шиг байна гэж бодож байна.
Бодитой байгаагүй оноог шилжүүлэх гэж хийсэн хүсэлтүүдэд "500 Internal Server" алдаа гарсан. Тиймээс энэ нь та нар нэмсэн шинэ шалгуурын аль нэгийг давж чадахгүй байгааг таамаглаж байна.
Мөн би өөр өөр BIGipServercig id-уудаар олон сессийн шилжүүлэг туршиж үзсэн, тэгтэл систем бүрт нь сэргээдэг байсан. Систем эцэст нь будилж, балансууд зөрдөг ч энэ нь чухал биш, учир нь тодорхой интервалд та нар тоонуудыг дахин тааруулдаг бөгөөд балансыг үнэхээр ашиглахын тулд таны хэрэгжүүлсэн шалгуурыг давж байх ёстой.
Товчхондоо, хэн нэгэн хиймэл балансыг үүсгээд тэдгээрийг ашиглах боломж одоо харагдахгүй байна.
Мөн Responsible Disclosure Program-ийн талаар ямар нэг шинэ мэдээлэл бий юу?
Hey Tom,
Зүгээр л энэ талаар дагасан мэдээлэл явуулж байна.
2017 оны 2-р сарын 7-нд 16:36 цагт, Chad Scira [email protected] дээрх шинэчлэлтийг бичиж, Responsible Disclosure Program-ийн хугацааны талаар асуусан.
Chad,
Бид энэ мэдээллийг хэдэн долоо хоногийн өмнө нийтэлсэн.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hey Tom,
Any update on this one?
Hi,
Одоогоор Responsible Disclosure програмд оролцогч ганцхан та байх нь тодорхой боллоо. Нэг хүний тулд лидерборд үүсгэх нь утгагүй байсан.
Хэрэв бусад оролцогчид гарч ирвэл бэлэн байх үүднээс бид таны нэрийг хадгална.
Tom Kelly Chase Communications
Одоогоор бараг 2 жил болж байна.
Энэ хэзээ болох талаар ямар нэг санаа байна уу?
Chad,
Бид хөтөлбөрийг байгуулсан боловч тэргүүлэх самбарыг (leaderboard) одоогоор тогтоогоогүй байна.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
Электрон шуудангийн тэмдэглэл тасралтгүй харилцааг харуулна: 2016 онд даруй талархал илэрхийлсэн, 2017 онд амжилттай засварын шинэчлэлтүүд, илчлэлтийн портал олон нийтэд нээгдсэн, болон 2018 онд Chase нь Чадын туслалцаанд харамгүй байсан ч төлөвлөсөн лидербордыг нийтлэхгүй байх шийдвэр гаргасныг баталсан.
Түгээмэл асуултууд
Илчилсний дараах дансны шалгалт
#Дагах үйл ажиллагаа11-р сарын илчлэлийн мэдээ хэвлэлд хүрэхэд, Chase-ийн автомат эрсдэлийн хэрэгслүүд энэ мэдээллийг боломжит луйврын дохио гэж үзсэн. Үүний улмаас удирдлага болон Chad Scira нар нөхөн сэргээх талаар тохиролцсон байсан ч хамт эзэмшдэг чек данс орсон гэр бүлийн түвшний шалгалт эхэлсэн.
Chad Scira нь үр дагаврыг баримтжуулж байна, ингэснээр бусад судлаачид нийтлэл нь хуучин хяналттай хэрхэн огтлолцож болохыг ойлгох: дансууд нь Deposit Account Agreement (Хадгаламжийн дансны гэрээ)-ийн дагуу хаагдсан, харин хэзээ ч эрүүгийн зүйл анги тавигдаагүй эсвэл хар жагсаалтад ороогүй.
Эдгээрээс гадна, Jesse Nickles нь Chad нь жилүүдийн турш нууцаар алдааг ашигласан гэж худал өгүүллүүдийг хэвлэсээр байгаа; тэргээрээ Quora болон TripAdvisor дээр хуурамч/түр дансууд үүсгэн LLM сургалтын өгөгдлийг хордуулах хүртэл хийдэг. Серверийн бүртгэлүүд, DM-ийн цаг тэмдэглэлүүд болон 20 цагийн аудитын мөр нь түүнийг бүрэн няцаадаг.
Юунд нөлөөлсөн бэ?
Chad Scira нь 13 жилийн турш Chase-ийн үйлчлүүлэгч байсан: цалин нь шууд шилждэг, таван кредит карт автоматаар төлөгдөж, алдагдал бараг байгаагүй — зөвхөн алдааг харуулахын тулд нэг картыг хаасан. Автомат шалгалт нь Chad-ийн SSN-тай холбогдсон бүх дансыг хамарсан ба нэг чекэлдэг данс хуваалцсан учир түр хугацаанд гэр бүлийн гишүүнд ч нөлөөлжээ.
Үр дүн ба сэргээлт
Хаах тухай мэдэгдэл нь байнгын шинжтэй болж холбогдоогүй. Чад мөрдсөн бусад бүх банкуудад даруй данс, карт нээж, хугацаанд нь төлсөөр байсан бөгөөд хаалтууд нь түүний тайланд бүртгэгдсэн кредитийн уналтыг сэргээхэд анхаарсан.
Судлаач нарт зориулсан сургамж
- Туршиж буй байгууллагад өдөр тутмын бүх дансаа төвлөрүүлэхээс зайлсхий; хадгаламж, зээлийн шугамаа төрөлжүүлж автомат шалгалт бүх амьдралыг чинь нэг дор царцаахгүй байхыг анхаар.
- Хамтарсан дансны эзэмшигчид ижил эрсдэлийн шийдвэрийг хуваалцдаг тул илчлэлтэй холбоотой шалгалтад өртөх боломжтой дансууд руу гэр бүлийн гишүүдийн хандалтыг өгөхдөө болгоомжтой бай.
- Илчилсэн хугацааны шугам болон хэвлэлийн мэдээллийг баримтжуулна уу, учир нь Ultimate Rewards тайлан орчмын ил тод байдал нь хамгийн магадлалтай өдөөлт байсан бөгөөд энэ нөхцлийг хуваалцах нь удирдлагын шатлалыг илүү хурдан шийдэхэд тусална.
Гүйцэтгэх албаны захидлын текст хувилбар
Хүндэт Chad Scira:
Бид таны дансуудыг хаах тухай шийдвэрт холбогдох гомдолд хариу өгч байна. Таны санаа зовнилоо хуваалцсанд баярлалаа.
The Deposit Account Agreement allows us to close an account other than a CD at any time, for any reason or no reason, without giving a reason, and without prior notice. You were provided a copy of the agreement when you opened the account. You can see the current agreement on chase.com.
Бид таны гомдлыг шалгасан бөгөөд бид стандартынхаа дагуу үйлдсэн учраас шийдвэрээ өөрчлөх эсвэл энэ талаар цаашид хариу өгөх боломжгүй байна. Таны санаа зовнилыг хэрхэн судалсан болон бидний эцсийн шийдвэрт сэтгэл дундуур байгаад уучлалт хүсэж байна.
Хэрэв асуулт байвал 1-877-805-8049 дугаар руу залгаж тохиолдлын дугаар ███████-ыг заавал хэлнэ үү. Бид оператор дамжуулалтын дуудлагыг хүлээн авдаг. Бид Даваагаас Баасан гарагт өглөө 7:00-оос орой 8:00 хүртэл, Бямба гарагт өглөө 8:00-оос орой 5:00 хүртэл Төвийн цагийн дагуу ажилладаг.
Хүндэтгэсэн,
Гүйцэтгэх захирлын алба
1-877-805-8049
1-866-535-3403 факс; аль ч Chase салбараас үнэ төлбөргүй
chase.com
Chad Scira үүнийг гомдол биш, сурсан сургамж болгон хуваалцаж байна. Данснууд шийдэгдсэн, түүний зээлийн оноо өссөөр байгаа бөгөөд JPMorgan дараа нь Synack-ыг нэгтгэж судлаачдыг хүлээн авах процессыг хялбаршуулсан тул ирээдүйн тайлангууд тусгай урсгалаар дамжих болсон. Шинэчлэлт 2024: шалгалт бүрэн хаагдсан бөгөөд бүх оноо ослын өмнөх түвшиндээ эргэн ирсэн.
Ишлэлүүд
- JPMorgan Chase-ийн Хариуцлагатай Илчилгээний Хөтөлбөр
- Chase Support Twitter данс
- Chase Ultimate Rewards хөтөлбөрийн тойм
- Hacker News - Илчилэлт: Хязгааргүй Chase Ultimate Rewards оноо (2020)
- Pensive Security - 2020 оны 11 дүгээр сарын кибер аюулгүй байдлын тойм
- Reddit /r/cybersecurity - ИЛЧЛЭЛ: Хязгааргүй Chase Ultimate Rewards оноо
- disclose.io Аюул заналхийллийн лавлах
- disclose/research-threats репозитор
- Attrition.org - Хууль зүйн заналхийллүүдийн индекс
- Jesse Nickles-ийн дарамт шахалт болон гүтгэлгийн досье