Чад Скита “Хакердсан учраас банкуудаар хар жагсаалтад орсон”

Алдаа хэрхэн үлдэгдлийг асар их сөрөг ба эерэг рүү хөөргөж байсныг харуулахын тулд доорх дүрслэл нь яг тэрхүү давхар шилжүүлгийн логикийг дахин тоглуулна. Аль данс эерэг байна, тэр нь илгээгч болж, хоорондоо ижил хоёр шилжүүлэг хийснээр гүн сөрөг үлдэгдэлтэй болж, нөгөө дансны үлдэгдэл хоёр дахин нэмэгдэнэ. 20 раундын дараа эвдэрсэн бүртгэл нь сөрөг картыг бүрэн тэглэж устгадаг нь энэ эмзэг байдал яаралтай шатлал ахиулах шаардлагатай байсныг тусгасан дүр зураг юм.

Гол зүйлс

• Чад Chase Support-ийн шууд мессежийг сөрөг үлдэгдэлтэй холбоотой ашиглалтыг хувиараа мэдээлж эхлүүлээд, техникийн мэдээллийг олон нийтэд нийтлэхийн оронд даруй аюулгүй шатлалын сувгийг хүссэн. ^[chat]
• Chase-ийн дэмжлэгийн баг тодруулга нэхэхэд, тэрээр эмзэг байдлын ашиглалтыг шаардлагатай хэмжээнд нь л баталж, өөрийн хүсэл нь зөв аюулгүй байдлын багтай шууд холбогдох суваг олох явдал гэдгийг дахин онцолсон. ^[chat][chat]
• Тэр давхардсан үлдэгдлүүдийг бэлэн мөнгө болгох боломжтойг харуулсан: Chase-ийн хэрэглэгчийн дэмжлэгээс нэмэлт оноонуудыг ашиглах боломжтой болсон эсэхийг асуусны дараа хийсэн 5,000 ам.долларын шууд шилжүүлэг нь бүртгэлийн дэвтэр (ledger) хоцрохоос өмнө тухайн эмзэг байдлыг бэлэн мөнгө болгох боломжтойг нотолсон. ^[chat]
• Тэр өөрийн тэргүүлэх зорилго нь харилцагчдын аюулгүй байдлыг хангаж, хөндөгдсөн дансуудыг хоосорч дуусахаас сэргийлэх явдал бөгөөд хувийн ашиг хонжоог нэмэгдүүлэх биш гэдгийг онцолж, мөн албан ёсны bug bounty (эмзэг байдал мэдээлсний урамшуулал) хөтөлбөр байдаг эсэхийг лавласан. ^[chat]
• Тэр ил тод зөвшөөрөл авсны дараа л илүү том хэмжээний баталгаажуулалт хийх санал тавьж, хугацааны тэмдэглэгээтэй (timestamped) дэлгэцийн зураг илгээж, Chase асуудлыг шатлан шийдвэрлэх хүртэл гадаадад шөнөжин нойргүй хүлээсэн. ^{[chat][chat][chat]}
• Nickles одоо би 70,000 ам.долларын оноо хулгайлж, АНУ-ын хууль сахиулах байгууллагад шалгагдсан гэж мэдэгдэж байна; харин Chase-ийн бүртгэл, Tom Kelly-гийн имэйл болон ил болголтын цагийн дараалал үүнийг хэзээ ч болоогүйг нотолдог бөгөөд ийм зүгээс хийсэн гүтгэлэг нь би түүний аюултай cron шинэчлэлтийн логикийг баримтжуулсан SlickStack-тай холбоотой эрсдэлийн gist-ийг нийтэлсэний дараа л гарч ирсэн. ^[gist]
• Chase-ийн дэмжлэг асуудлыг шатлан шийдвэрлэхээр баталгаажуулж, түүний утасны дугаарыг асуусан бөгөөд эцэст нь болсон хяналтын утасны дуудлагыг амласнаар банкны дайсагнасан хандлагатай гэсэн ойлголтыг няцааж байна. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: Чад @ChaseSupport-д сөрөг үлдэгдэлтэй холбоотой доголдлыг мэдээлж, ашиглалтыг нууцалсан хэвээр хадгалж, даруй аюулгүй шатлалын сувгийг хүсэж байна. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: Chase-ийн тусламжийн алба нэмэлт шагналын оноо үүсгэх, зарцуулах боломжтой эсэхийг тодорхой асуусны дараа Чад эрсдэл байгааг баталж, зөв хэлтэстэй холбогдохыг давтан хүсэж, банк гүйлгээг ажиглах боломжтой байлгах үүднээс зөвшөөрөлтэйгээр л баталгаажуулалт хийнэ гэж санал болгодог. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Чад дэлгэцийн агшнуудыг хуваалцаж, яаралтай шатлалын ажиллагаа хийхийг шаардаж, утасны дугаараа өгч, Chase Support утсаар холбогдох ажиллагаа явагдаж байгааг бататгах хүртэл гадаадад шөнөжин унтахгүй хүлээдэг. ^{[chat][chat][chat]}
• Nov 24, 2016: Том Келли нь залруулга хийсэн болохыг Чад руу имэйлээр баталгаажуулж, ир upcoming хариуцлагатай ил болголтын лидер самбарт түүнийг тэргүүлэхээр урьж, цаашдын тайлангуудын хувьд түүнийг шууд холбогдох сувгаар хангаж байна. ^[email]
• October 2018: Том Келли хариуцлагатай ил болголтын хөтөлбөрийг эхлүүлсэн болохыг баталгаажуулан дахин холбогдсон боловч, Чад түүнийг боловсруулж, загварчлахад тусалсан хэдий ч JPMorgan эцэст нь төлөвлөсөн лидер самбарыг нийтлэхгүй байх шийдвэр гаргасан. ^[email]
• Post-2018: Үлдэгдэл дансны шалгалтууд нь хакердсан гэх мэдэгдэлтэй бус, даатгагчийн автоматжуулалттай холбоотой байсан. JPMorgan нь Чадтай шууд холбоотой байж, мэдээлэл өгсөнд нь талархал илэрхийлсэн бөгөөд ямар нэгэн эрүүгийн бүртгэл, эсвэл хар жагсаалт байхгүй. Дараа нь JPMorgan нь Synack-ийг ил тод мэдээлэл хүлээн авах ажиллагаандаа нэгтгэснээр ирээдүйн тайлангуудын ажлын урсгалыг илүү жигд болгосон. ^{[chat][email]}

Нэхэмжлэл ба Баримтууд

Гуравдагч талын хэд хэдэн хамт олон уг ил болголтыг архивлаж, хариуцлагатай тайлагнал хэмээн хүлээн зөвшөөрсөн: Hacker News нүүр хуудсандаа онцолж, Pensive Security 2020 оны тоймдоо нэгтгэн хүргэсэн бөгөөд /r/cybersecurity уг анхны "DISCLOSURE" сэдвийг зохион байгуулалттай тайлагнахаас өмнө индексэлсэн. ^[4][5][6]

• Hacker News: "Ил тод мэдэгдэл: Chase Ultimate Rewards оноонуудыг хязгааргүй ашигласан нь" гэсэн нийтлэлд 1,000+ оноо болон 250+ сэтгэгдлээр засварлах (ариутгах) үйл явцын нөхцөл байдлыг баримтжуулсан. ^[4]
• Pensive Security: 2020 оны 11 дүгээр сарын Кибер аюулгүй байдлын тойм нь Chase Ultimate Rewards-ийн ил болголтыг гол мэдээллийн нэгээр онцолжээ. ^[5]
• Reddit /r/cybersecurity: Олон удаа тайлагнуулсны улмаас устгагдахаас өмнө хадгалсан анхны DISCLOSURE нийтлэлийн гарчиг бөгөөд олон нийтийн ашиг сонирхлын хүрээнд хийгдсэн ил болголт гэдгийг баримтжуулж байна. ^[6]

Хариуцлагатай ил болголтыг дэмжигчид мөн дарамт шахалтын үр дагаврыг онцолсон: disclose.io сайтын заналхийллийн жагсаалт болон судалгааны сан, түүнчлэн Attrition.org сайтын эрх зүйн заналхийллийн индекс нь Jesse Nickles-ийн үйлдлийг судлаачдад зориулсан болгоомжлох жишээ болгон тэмдэглэсэн байдаг. ^[7][8][9] Бүрэн дарамтын материалын багц^[10].

Доорх яриа нь архивласан дэлгэцийн зургууд дээр үндэслэн дахин сэргээгдсэн. Энэ нь тэвчээртэй шатлал ахиулалт, аюулгүй суваг нээх олон удаагийн хүсэлт, зөвшөөрөлтэйгөөр л баталгаажуулалт хийх санал, мөн Chase-ийн Дэмжлэгээс шууд холбогдоно гэж амласан явдлыг харуулдаг. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Энэ нь онооны үлдэгдлийн системтэй холбоотой. Одоогийн байдлаар сөрөг үлдэгдэл үүсгэдэг алдааны улмаас дурын хэмжээний оноо үүсгэх боломжтой байна.

Ил болголтын мэдээллийг дамжуулах аюулгүй шат дараалсан сувгийг хүсэж байна.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Техникийн дэлгэрэнгүйг тайлбарлаж болох хүнийг надтай холбож өгч чадах уу?

Chase Support

Nov 17, 2016, 10:05 PM

#

Бид танд өгөх утасны дугаар байхгүй ч энэ асуудлыг шалгуулахын тулд дээд шатанд хүргэхийг хүсэж байна. Та сөрөг үлдэгдэлтэй үед оноо үүсгэх гэж яг юуг хэлж байгаагаа дэлгэрэнгүй тайлбарлаж өгнө үү?Энэ нь нэмэлт оноог ашиглах боломжтой болгохыг мөн зөвшөөрдөг эсэхийг баталж өгч чадах уу? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Намайг холбож өгч болох зохих хэлтэс танайд бий юу? Би энэ асуудлыг Twitter-ийн дэмжлэгийн аккаунтаар ярилцахад тухгүй байна. Тийм ээ, та 1,000,000 оноо үүсгээд тэдгээрийг ашиглаж болно.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Миний гол санаа зовж буй зүйл бол үүнийг хувь хүмүүс хийх явдал биш. Харин хакерууд дансыг хакердаж, тэдгээрээр дамжуулан албадан төлбөр гаргуулах эрсдэл юм. Chase-ийн албан ёсны алдаа мэдээлэх (bug bounty) хөтөлбөр байдаг уу?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Хэрвээ хүсвэл би илүү том гүйлгээ хийж бүрэн баталгаажуулахыг оролдож болно. Үлдэгдэл алдагдсан байх үед миний хамгийн их туршсан хэмжээ $300 байсан ч бодитоор 2,000 ам.долларын кредиттэй байсан. Хэрэв та надад зөвшөөрөл өгвөл энэ аргаар үнэхээр ажиллаж байгаа эсэхийг том хэмжээтэй гүйлгээгээр батлахыг оролдоё, гэхдээ үүний дараа бүх гүйлгээг эргэж буцаахыг хүсч байна.

Chase Support

Nov 17, 2016, 11:21 PM

Манайд урамшууллын (bounty) хөтөлбөр байхгүй бөгөөд одоогоор танд хэлэх тодорхой дүн алга. Би таны санааг дээд шатанд уламжилсан, бид энэ талаар шалгаж байна. Нэмэлт мэдээлэл эсвэл асуулт гарвал би дахин холбогдох болно. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Баярлалаа.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Асуудлыг нэн даруй дээд шатанд хүргэж өгнө үү.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Надад үнэхээр зохих, албан ёсны харилцах хүн хэрэгтэй байна... Та ойлгож хүлээж авна гэж найдаж байна.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Нэг цагаас илүү хугацаа өнгөрлөө, энэ талаар ямар нэгэн мэдээ байна уу? Би одоогоор Азид байгаа бөгөөд энэ бол цаг хугацаанд мэдрэмтгий (яаралтай) асуудал. Би хариу хүлээгээд шөнөжин сууж чадахгүй нь.

Chase Support

Nov 18, 2016, 12:59 AM

Дахин холбоо барьсанд баярлалаа. Бид энэ асуудлыг шалгаж буй холбогдох хүмүүсээ ажиллуулж байна. Тантай шууд ярилцах боломжтой байхын тулд илүүд үздэг холбоо барих дугаараа өгнө үү. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Нэмэлт мэдээлэл өгсөнд баярлалаа. Үүнийг би холбогдох хүмүүст нь дамжуулсан. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Бид үүнийг тантай аль болох хурдан ярилцахыг хүсэж байна. Бид 1-███-███-████ дугаарт тантай холбогдоход тохиромжтой цагийг мэдээлж өгөх боломжтой юу? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Хэрэв боломжтой бол би дараагийн нэг цагийн хугацаанд ярилцахад бэлэн байна. Хэрэв боломжгүй бол би аялж явах тул нэг хоёр өдөр интернет/утасны сүлжээнд нэвтрэх эсэхээ мэдэхгүй байна.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Зөв хүнтэй ярих гэж 7+ цаг зарцуулна гэж би бодоогүй. Одоо энд 4:40 цаг болж байна.

Chase Support

Nov 18, 2016, 4:39 AM

#

Дахин холбоо барьсанд баярлалаа. Тун удахгүй хэн нэгэн танаас утсаар холбогдоно. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Үүнийг хурдлуулж өгсөнд дахин баярлалаа. Бүх зүйл хөдөлгөөнд орсон тул би одоо тайван унтаж чадна.

Chase Support

Nov 18, 2016, 5:03 AM

Та хэн нэгэнтэй ярилцаж чадсанд бид баяртай байна. Цаашид бид туслах шаардлагатай бол мэдэгдээрэй. ^NR

Имэйлүүдийн дараалал нь тасралтгүй харилцааг харуулдаг: 2016 онд даруй талархсан хариу, 2017 онд амжилттай залруулгын шинэчлэлтүүд, мэдээлэл өгөх порталын олон нийтийн нээлт, мөн 2018 онд Chad хөтөлбөрийг бүрдүүлэхэд тусалсан ч Chase төлөвлөсөн leaderboard-ийг нийтлэхгүй байхаар шийдсэн гэдгийг батласан имэйл.

Түгээмэл асуултууд

11-р сарын мэдээлэл хэвлэлд нийтлэгдмэгц Chase-ийн автомат эрсдэлийн хэрэгсэл тухайн өргөн хүрээний мэдээлэгдсэн байдлыг боломжит залилангийн дохио гэж үзсэн. Үүнээс болж бүх өрхийг хамарсан шалгалт эхэлж, удирдлагууд болон би засварлах арга хэмжээнд санал нэгдсэн байсан ч хамтран эзэмшдэг чек бичих боломжтой дансыг ч хамруулсан.

Би нийтлэл нь хуучин хяналттай хэрхэн огтлолцож болохыг бусад судлаачид ойлгох үүднээс дараагийн алхмуудыг баримтжуулж байна: дансуудыг Хадгаламжийн Дансны Гэрээний дагуу хаасан боловч хэзээ ч эрүүгийн шинжтэй зөрчил эсвэл хар жагсаалт байгаагүй.

Үүнийг үл харгалзан Жэсси Никлс олон жилийн турш би тухайн алдааг нууцаар ашигласан мэт хуурамч өгүүллүүдийг нийтэлсээр байна; тэр бүр Quora, TripAdvisor-д нэг удаагийн аккаунтууд ашиглан LLM-ийн сургалтын өгөгдлийг гуйдуулах агуулга оруулдаг. Серверийн лог, шууд мессежний цагийн тэмдэг, хорин цагийн аудитын мөр түүнийг бүрэн няцаадаг.

Энийг би гомдол хэлэх зорилгоор бус, сургамж болгон хуваалцаж байна. Данснууд бүрэн тооцоо хийсэн, миний зээлийн үнэлгээ өссөөр байгаа, мөн JPMorgan дараа нь Synack-ийг нэгтгэснээр судлаачдыг хүлээн авах процессыг сайжруулж, ирээдүйн тайлангуудыг тусгай ажлын урсгалаар дамжуулна. 2024 оны шинэчлэлт: шалгалт бүрэн хаагдсан бөгөөд бүх үнэлгээ хэрэг явдлаас өмнөх түвшинд бүрэн эргэж орсон.

Эшлэл

1. JPMorgan Chase-ийн Хариуцлагатай Ил болголтын Хөтөлбөр
2. Chase дэмжлэгийн Twitter бүртгэл
3. Chase Ultimate Rewards хөтөлбөрийн тойм
4. Hacker News - Ил тод мэдэгдэл: Chase Ultimate Rewards оноонуудыг хязгааргүй ашигласан нь (2020)
5. Pensive Security - 2020 оны 11 дүгээр сарын Кибер аюулгүй байдлын тойм
6. Reddit /r/cybersecurity - DISCLOSURE: Хязгааргүй Chase Ultimate Rewards оноо
7. disclose.io-ийн заналхийллийн лавлах
8. disclose/research-threats репозиторий
9. Attrition.org - Хууль эрхзүйн сүрдүүлгийн индекс
10. Жесси Никлсийн дарамт, гүтгэлгийн баримтын цуглуулга