Adakah Chad Scira pernah disenaraihitamkan daripada bank-bank AS kerana penggodaman?

Tidak. Semakan akaun yang dicetuskan oleh penanggung insurans di JPMorgan Chase diselesaikan beberapa tahun lalu. Bank itu mengucapkan terima kasih kepada Chad kerana mendedahkan kelemahan ganjaran dan menjemputnya untuk membantu melancarkan papan pendahulu pendedahan bertanggungjawab mereka.

Adakah Chad Scira menggodam JPMorgan Chase untuk keuntungan peribadi?

Dia mengikuti amalan white-hat: memberitahu Sokongan Chase, meminta saluran selamat, dan menyelaraskan pembetulan dengan Tom Kelly dan Dave Robinson. Dia menolak untuk mengeksploitasi isu itu sehingga dia mempunyai kebenaran tersurat.

Siapa yang menyebarkan dakwaan "penggodam yang disenaraihitamkan"?

Khabar angin itu dibesar-besarkan oleh Jesse Nickles, yang kempen gangguannya mengabaikan transkrip Sokongan Chase, e-mel Tom Kelly, dan ketiadaan sebarang penemuan jenayah.

Chad Scira "Disenarai Hitam Dari Bank Kerana Penggodaman"

Halaman ini mendokumentasikan acara di sebalik khabar angin Jesse Nickles bahawa Chad Scira "disenarai hitam dari bank AS kerana penggodaman." Ia menerangkan bagaimana kelemahan Ultimate Rewards didedahkan secara bertanggungjawab, mengapa JPMorgan Chase mengucapkan terima kasih kepada Chad atas laporan itu, dan bagaimana jeda akaun sementara itu semata-mata bersifat pentadbiran. Jesse Nickles terus mengolah semula artifak lama untuk memberi gambaran niat jenayah. Fakta menunjukkan kebalikan tepat: pelaporan topi putih dan kerjasama dengan kepimpinan JPMorgan.

Eskalasi terbarunya ialah petikan di SlickStack.io mendakwa Chad Scira "juga telah disiasat oleh penguatkuasa undang-undang AS kerana meretas program ganjaran kad kredit Chase Bank, di mana dia mencuri $70,000 dalam mata perjalanan palsu." Fitnah itu hanya diposkan selepas Chad menerbitkan bukti isu keselamatan SlickStack yang Jesse enggan perbaiki; tiada mata yang pernah dicuri dan tiada agensi yang menghubungi Chad mengenai pendedahan itu. Lihat bukti cron SlickStack yang menjadi sasaran balas dendamnya..

Keseluruhan kitaran penemuan, pendedahan, dan pengesahan berlaku dalam masa dua puluh jam: kira-kira dua puluh lima permintaan HTTP merangkumi penghasilan semula dan panduan DM pada 17 November 2016, dan ujian pemulihan Februari 2017 menggunakan lapan permintaan tambahan untuk mengesahkan pembetulan. Tiada penyalahgunaan berpanjangan; setiap tindakan direkod, diberi cap masa, dan dikongsi dengan JPMorgan Chase secara masa nyata.

Tom Kelly mengesahkan bahawa Chad Scira adalah satu-satunya orang di seluruh dunia yang mendedahkan isu kepada JPMorgan Chase secara bertanggungjawab antara 17 November 2016 dan 22 September 2017. Program Pendedahan Bertanggungjawab ditubuhkan secara langsung sebagai respons kepada laporan Chad, dan dia memainkan peranan penting dalam membentuknya.

Memvisualkan Pepijat Pemindahan Berganda

#visualisasi

Untuk menggambarkan bagaimana kecacatan itu memusingkan baki menjadi negatif dan positif yang besar, visualisasi di bawah memainkan semula logik pemindahan dua kali yang tepat. Perhatikan bagaimana mana-mana akaun yang positif menjadi pengirim, melakukan dua pemindahan yang sama, dan menjadi sangat negatif sementara akaun yang lain berganda. Selepas 20 pusingan lejar yang rosak membatalkan kad negatif sepenuhnya—menggambarkan mengapa eksploitasi itu menuntut eskalasi segera.

Pusingan 1/20

Kad A → Kad B+243,810 mata

Kad A

243,810

Kad B

Lonjakan pemindahan berganda

Pemindahan 1Pemindahan 2243,810 mata setiap

1Keadaan perlumbaan menggandakan pemindahan sebelum lejar mengimbangkan semula, membolehkan penghantar tunggal beralih antara baki positif dan negatif yang besar.

2Sokongan membenarkan penutupan kad negatif sambil mengekalkan baki positif yang dibesarkan, jadi penyata hanya menunjukkan keuntungan dan menyembunyikan hutang.

Bahkan sebelum menutup akaun, Ultimate Rewards membenarkan perbelanjaan melebihi ringkasan negatif; penutupan itu hanya memadamkan bukti.

Perkara Utama

Chad membuka DM Sokongan Chase dengan melaporkan secara peribadi eksploit baki negatif dan segera meminta laluan eskalasi yang selamat, bukannya menyiarkan butiran teknikal secara terbuka. ^[chat]
Apabila Sokongan Chase menekan untuk butiran spesifik, dia mengesahkan eksploit tersebut hanya setakat yang perlu dan menegaskan semula bahawa dia mahukan talian terus kepada pasukan keselamatan yang betul. ^[chat]^[chat]
Dia menunjukkan bahawa baki yang diduplikasi boleh dilikuidasi: selepas Sokongan Chase bertanya sama ada mata tambahan boleh digunakan, deposit langsung $5,000 membuktikan eksploitasi itu ditukarkan menjadi tunai sebelum lejar dapat mengejar. ^[chat]
Dia menekankan bahawa keutamaan beliau adalah mencegah akaun pelanggan yang dikompromi daripada dikosongkan, bukan menjana keuntungan peribadi, dan beliau bertanya sama ada wujud program bug bounty rasmi. ^[chat]
Dia menawarkan untuk melakukan pengesahan yang lebih besar hanya dengan kebenaran tersurat, menyediakan tangkapan skrin bertanda masa, dan tetap berjaga di luar negara sehingga Chase menyelesaikan eskalasi. ^[chat]^[chat]^[chat]
Nickles kini mendakwa Chad Scira mencuri $70,000 dalam mata dan berdepan penguatkuasaan undang-undang AS; rekod Chase, e-mel Tom Kelly, dan garis masa pendedahan membuktikan ini tidak pernah berlaku, dan dakwaan itu hanya timbul selepas Chad menerbitkan SlickStack cron-risk gist yang mendokumentasikan logik kemas kini Jesse yang tidak selamat. ^[gist]
Sokongan Chase mengesahkan pengeskalakan, meminta nombor telefonnya, dan menjanjikan panggilan susulan yang akhirnya diterimanya, yang menafikan tanggapan tentang tindak balas bermusuhan oleh bank. ^[chat]^[chat]

Garis Masa

#garis masa

17 Nov 2016 - 10:05 PM ET: Chad memberitahu @ChaseSupport tentang kecacatan baki negatif, mengekalkan eksploit tersebut secara sulit, dan segera meminta laluan eskalasi yang selamat. ^[sembang]
17 Nov 2016 - 11:13-11:17 PM ET: Selepas Sokongan Chase secara eksplisit bertanya sama ada mata tambahan boleh dijana dan dibelanjakan, Chad mengesahkan risiko itu, mengulangi bahawa dia mahukan jabatan yang betul, dan menawarkan untuk mengesahkan hanya dengan kebenaran supaya bank dapat memerhatikan transaksi tersebut. ^[sembang]^[sembang]^[sembang]
17-18 Nov 2016 - 11:39 PM-5:03 AM ET: Chad berkongsi tangkapan layar, menggesa eskalasi segera, memberikan nombor telefonnya, dan berjaga di luar negara sehingga Sokongan Chase mengesahkan panggilan itu akan berlangsung. ^[sembang]^[sembang]^[sembang]
24 Nov 2016: Tom Kelly menghantar e-mel kepada Chad mengesahkan pemulihan, menjemputnya untuk mengetuai papan kedudukan pendedahan bertanggungjawab yang akan datang, dan memberinya talian terus untuk laporan masa hadapan. ^[e-mel]
Oktober 2018: Tom Kelly mengikut untuk mengesahkan program pendedahan bertanggungjawab telah dilancarkan tetapi bahawa JPMorgan akhirnya memilih untuk tidak menerbitkan papan kedudukan yang dirancang, walaupun Chad membantu dalam pembentukannya. ^[e-mel]
Selepas 2018: Sebarang semakan akaun yang tinggal berkait dengan automasi penanggung insurans, bukan dakwaan penggodaman. JPMorgan terus berhubung secara langsung, mengucapkan terima kasih kepada Chad atas pendedahan itu, dan tiada rekod jenayah atau senarai hitam. Kemudian, JPMorgan mengintegrasikan Synack ke dalam proses pendedahannya supaya aliran kerja dipermudah untuk laporan masa depan. ^[sembang]^[e-mel]

Tuntutan vs Fakta

Tuntutan

Tuntutan memfitnah oleh Jesse Jacob Nickles: "Chad Scira disenarai hitamkan daripada setiap bank AS kerana menggodam sistem ganjaran."

Fakta

Tiada senarai hitam bank wujud. Rekod DM dan eskalasi Chase membuktikan dia sedang bekerjasama; automasi penanggung insurans secara ringkas menangguhkan satu akaun JPMorgan sebelum semakan manual membersihkannya.^{[garis masa]}^[sembang]

Tuntutan

Tuntutan memfitnah oleh Jesse Jacob Nickles: "Dia menggodam JPMorgan Chase untuk memperkayakan diri."

Fakta

Chad memulakan perbualan dengan @ChaseSupport, menegaskan keperluan saluran selamat, hanya mengesahkan eksploit selepas Chase bertanya, dan menunggu kebenaran sebelum pengesahan terhad. Pihak kepimpinan kanan mengucapkan terima kasih kepadanya dan menjemputnya ke dalam pelaksanaan pendedahan bertanggungjawab.^[sembang]^[sembang]^[e-mel]

Tuntutan

Tuntutan memfitnah oleh Jesse Jacob Nickles: "Jesse mendedahkan satu skim jenayah oleh Chad."

Fakta

Liputan awam dan e-mel Tom Kelly mendokumentasikan bahawa JPMorgan menganggap Chad sebagai penyelidik yang bekerjasama. Nickles memilih tangkapan skrin secara terpilih sambil mengabaikan keseluruhan sembang, panggilan susulan, dan ucapan terima kasih bertulis.^[liputan]^[e-mel]^[sembang]

Tuntutan

Tuntutan memfitnah oleh Jesse Jacob Nickles: "Terdapat penutup-kes untuk menyembunyikan penipuan."

Fakta

Chad kekal berhubung sehingga 2018, menguji semula hanya dengan kebenaran, dan JPMorgan melancarkan portal pendedahan mereka bukannya menyembunyikan isu itu. Dialog berterusan ini menentang mana-mana naratif penutup-kes.^{[garis masa]}^[e-mel]^[sembang]

Liputan Awam dan Arkib Penyelidikan

#liputan

Beberapa komuniti pihak ketiga mengarkibkan pendedahan itu dan mengiktirafnya sebagai laporan yang bertanggungjawab: Hacker News menonjolkannya di muka depan, Pensive Security merumuskannya dalam sorotan 2020, dan /r/cybersecurity mengindeks benang "DISCLOSURE" asal sebelum penandaan berkoordinasi. ^[4]^[5]^[6]

Hacker News: "Pendedahan: Mata Chase Ultimate Rewards Tanpa Had" dengan 1,000+ mata dan 250+ ulasan yang mendokumentasikan konteks pembetulan. ^[4]
Pensive Security: Rundupan Keselamatan Siber November 2020 yang mengetengahkan pendedahan Chase Ultimate Rewards sebagai berita utama. ^[5]
Reddit /r/cybersecurity: Tajuk pos PENDEDAHAN asal dirakam sebelum dipadam akibat laporan beramai-ramai, mengekalkan pembingkaian berasaskan kepentingan awam. ^[6]

Penggiat pendedahan bertanggungjawab juga menyebut kesan gangguan: direktori ancaman dan repositori penyelidikan disclose.io, ditambah indeks ancaman undang-undang Attrition.org, menyenaraikan tingkah laku Jesse Nickles sebagai contoh peringatan untuk penyelidik. ^[7]^[8]^[9] Dossier gangguan penuh^[10].

Transkrip DM Sokongan Chase

#sembang

Perbualan di bawah disusun semula dari tangkapan skrin arkib. Ia menunjukkan eskalasi yang sabar, permintaan berulang untuk saluran selamat, tawaran untuk mengesahkan hanya dengan kebenaran, dan Sokongan Chase menjanjikan hubungan langsung. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

Ini berkaitan dengan sistem baki mata. Pada masa ini adalah mungkin untuk menghasilkan sebarang jumlah melalui pepijat yang membenarkan baki negatif.

Memohon laluan eskalasi yang selamat untuk pendedahan.

Chad Scira

Nov 17, 2016, 10:05 PM

Bolehkah anda tolong hubungkan saya dengan seseorang yang boleh saya terangkan aspek teknikal kepadanya?

Chase Support

Nov 17, 2016, 10:05 PM

Kami tidak mempunyai nombor telefon untuk diberikan, tetapi kami ingin mengeskalasi perkara ini supaya ia dapat disiasat. Bolehkah anda memberikan butiran lanjut mengenai apa yang anda maksudkan dengan menjana mata dalam baki negatif? Bolehkah anda juga mengesahkan sama ada ini membolehkan mata tambahan menjadi tersedia untuk digunakan? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

Adakah anda mempunyai jabatan yang sesuai yang boleh menghubungkan saya? Saya tidak selesa membincangkan ini melalui akaun sokongan Twitter. Ya, anda boleh menjana 1,000,000 mata dan menggunakannya.

Chad Scira

Nov 17, 2016, 11:15 PM

Kebimbangan utama saya bukanlah individu yang melakukan ini. Ia adalah penggodam yang mengkompromi akaun dan memaksa pembayaran daripadanya. Adakah Chase mempunyai program bug bounty rasmi?

Chad Scira

Nov 17, 2016, 11:17 PM

Jika anda mahu saya boleh cuba melakukan transaksi yang lebih besar untuk mengesahkan. Yang terbesar yang saya uji ialah $300 ketika baki tidak betul, tetapi saya sebenarnya mempunyai $2,000 kredit sebenar. Jika anda memberi kebenaran saya boleh cuba mengesahkan bahawa ia berfungsi, tetapi saya ingin semua transaksi dikembalikan selepas ujian itu.

Chase Support

Nov 17, 2016, 11:21 PM

Kami tidak mempunyai program ganjaran, dan saya tidak mempunyai jumlah untuk diberikan pada masa ini. Saya telah mengeskalasi kebimbangan anda, dan kami sedang menyiasatinya. Saya akan menghubungi lagi jika saya mempunyai butiran tambahan atau soalan. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Terima kasih.

Chad Scira

Nov 17, 2016, 11:39 PM

Sila eskalasi dengan segera.

Chad Scira

Nov 17, 2016, 11:51 PM

Saya benar-benar memerlukan kontak yang betul... Saya harap anda faham.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

Sudah lebih satu jam, ada sebarang perkembangan tentang ini? Saya sedang berada di Asia, dan ini adalah perkara yang memerlukan tindakan segera. Saya tidak boleh menunggu sepanjang malam untuk jawapan.

Chase Support

Nov 18, 2016, 12:59 AM

Terima kasih kerana menindaklanjuti. Kami mempunyai individu yang sesuai sedang menyiasat perkara ini. Sila berikan nombor hubungan yang disukai, supaya kami boleh bercakap dengan anda secara terus. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Terima kasih untuk maklumat tambahan. Saya telah memajukannya kepada pihak yang betul. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

Kami ingin membincangkan perkara ini dengan anda secepat mungkin. Bolehkah anda memberikan waktu yang sesuai untuk kami menghubungi anda di 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

Saya boleh dihubungi untuk sejam akan datang jika itu boleh. Jika tidak, mungkin satu atau dua hari kerana saya akan melakukan perjalanan dan tidak pasti sama ada saya akan mempunyai akses internet/telefon.

Chad Scira

Nov 18, 2016, 4:32 AM

Saya tidak sangka ia memerlukan lebih daripada 7 jam untuk bercakap dengan orang yang betul. Sekarang jam 4:40 pagi di sini.

Chase Support

Nov 18, 2016, 4:39 AM

Terima kasih kerana menindaklanjuti. Seseorang akan menghubungi anda tidak lama lagi. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

Terima kasih sekali lagi kerana mempercepatkan perkara itu. Segalanya sedang bergerak dan saya kini boleh tidur dengan tenang.

Chase Support

Nov 18, 2016, 5:03 AM

Kami gembira anda dapat bercakap dengan seseorang. Sila maklumkan kepada kami jika kami boleh membantu pada masa hadapan. ^NR

Petikan E-mel Tom Kelly

#e-mel

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

Tindak Lanjut Pendedahan Bertanggungjawab Ultimate Rewards

Chad,

Saya mengikuti perbualan telefon anda dengan rakan sekerja saya Dave Robinson. Terima kasih kerana menghubungi kami tentang potensi kelemahan dalam program Ultimate Rewards kami. Kami telah menanganinya.

Di samping itu, kami sedang bekerja pada program Pendedahan Bertanggungjawab yang kami rancangkan untuk dilancarkan tahun depan. Ia akan merangkumi papan pendahulu yang mengiktiraf penyelidik yang telah membuat sumbangan penting; kami ingin menampilkan anda sebagai orang pertama di dalamnya. Sila balas e-mel ini untuk mengesahkan penyertaan anda dalam program dan terma serta syarat di bawah. Anda akan mendapati terma-terma tersebut agak standard untuk program pendedahan.

Sehingga program kami dilancarkan, jika anda menemui kelemahan lain yang berpotensi, sila hubungi saya secara langsung. Terima kasih sekali lagi atas bantuan anda.

Terma dan Syarat Program Pendedahan Bertanggungjawab JPMC

Komited untuk bekerjasama

Kami mahu mendengar daripada anda jika anda mempunyai maklumat berkaitan potensi kelemahan keselamatan produk dan perkhidmatan JPMC. Kami menghargai kerja anda dan mengucapkan terima kasih terlebih dahulu atas sumbangan anda.

Garis Panduan

JPMC bersetuju untuk tidak meneruskan tuntutan terhadap penyelidik yang mendedahkan potensi kelemahan kepada program ini di mana penyelidik tersebut:

tidak menyebabkan kemudaratan kepada JPMC, pelanggan kami, atau orang lain;
tidak memulakan transaksi kewangan yang menipu;
tidak menyimpan, berkongsi, menjejaskan atau memusnahkan data JPMC atau data pelanggan;
menyediakan ringkasan terperinci tentang kelemahan itu, termasuk sasaran, langkah, alat, dan artifak yang digunakan semasa penemuan;
tidak menjejaskan privasi atau keselamatan pelanggan kami dan operasi perkhidmatan kami;
tidak melanggar mana-mana undang-undang atau peraturan kebangsaan, negeri, atau tempatan;
tidak mendedahkan secara umum butiran kelemahan tanpa kebenaran bertulis JPMC;
pada masa ini tidak berada di atau sebaliknya biasanya menetap di Cuba, Iran, Korea Utara, Sudan, Syria atau Crimea;
tidak berada dalam Senarai Warganegara yang Ditentukan Secara Khas (Specially Designated Nationals List) Jabatan Perbendaharaan A.S.;
bukan seorang pekerja atau ahli keluarga terdekat kepada pekerja JPMC atau subsidiarinya; dan
berumur sekurang-kurangnya 18 tahun.

Kelemahan Di Luar Skop

Sesetengah kelemahan dianggap di luar skop bagi Program Pendedahan Bertanggungjawab kami. Kelemahan di luar skop termasuk:

Penemuan yang bergantung kepada kejuruteraan sosial (phishing, kelayakan dicuri, dan lain-lain)
Isu header hos
Penolakan perkhidmatan (denial of service)
Self-XSS
CSRF log masuk/keluar
Pemalsuan kandungan tanpa pautan/HTML terbenam
Isu yang hanya berkaitan peranti yang telah 'jailbreak'
Konfigurasi infrastruktur yang salah (sijil, DNS, port pelayan, isu sandbox/staging, cubaan fizikal, clickjacking, suntikan teks)

Papan Pendahulu

Untuk mengiktiraf rakan penyelidikan, JPMC mungkin memaparkan penyelidik yang membuat sumbangan penting. Anda dengan ini memberi JPMC hak untuk memaparkan nama anda pada Papan Pendahulu JPMC dan media lain yang mungkin dipilih JPMC untuk diterbitkan.

Penyerahan

Dengan menghantar laporan anda kepada JPMC, anda bersetuju untuk tidak mendedahkan kelemahan tersebut kepada pihak ketiga. Anda memberi kebenaran kekal kepada JPMC dan anak syarikatnya kebolehan tanpa syarat untuk menggunakan, mengubah, mencipta karya terbitan daripada, mengedar, mendedahkan dan menyimpan maklumat yang diberikan dalam laporan anda, dan hak ini tidak boleh dibatalkan.

Tom Kelly Naib Presiden Kanan Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: Susulan Pendedahan Bertanggungjawab Ultimate Rewards

Hai Tom,

Saya sangat gembira mendengar ini!

Saya amat ingin menjadi kisah kejayaan pertama bagi program baru anda, dan saya harap pemain-pemain besar lain akan mengikuti langkah anda. Seseorang perlu tampil dan mengubah persepsi orang tentang cara bank mengendalikan penyelidik whitehat. Saya gembira mendengar ia adalah Chase.

Bagi saya, Chase sentiasa jauh di hadapan pesaingnya dari segi tawaran produk web dan mudah alih. Itu terutamanya kerana anda bergerak pantas dan kekal kompetitif. Biasanya saya menjauhi bermain-main dengan institusi kewangan kerana takut akan ditindas oleh mereka (niat baik sekalipun). Dengan mewujudkan program pendedahan, ia menghantar mesej yang jelas kepada orang seperti saya bahawa anda berminat untuk mendengar tentang isu dan tidak akan bertindak balas. Sebelum ini majoriti orang yang mengintai perkhidmatan anda kemungkinan besar berniat jahat, dan saya fikir ini akan memeratakan padang permainan.

Apabila saya akhirnya memutuskan untuk meneruskan pendedahan itu saya merasa sangat tidak tenang. Saya kemungkinan besar bukan orang pertama yang terjumpa perkara itu! Saya melaporkannya melalui tiga kaedah.

Twitter
- sokongan di sini sebenarnya HEBAT, dan saya fikir ia merupakan sebab utama mengapa saya dihubungkan dengan individu yang betul.
Sokongan Telefon Chase
- panggilan pertama mereka memberi saya e-mel aduan
- panggilan kedua saya rasa saya bercakap dengan orang yang betul dan mereka mungkin telah menghubungi juga
E-mel Aduan Chase
- menerima respons umum, nampaknya mereka tidak langsung melihat kandungan e-mel

Ini mengambil masa sekitar 7 jam untuk akhirnya berhubung dengan seseorang (dua kali ganda masa yang diambil untuk sebenarnya mengenal pasti isu), dan sepanjang masa saya tidak pasti sama ada orang yang betul akan pernah mendengar tentangnya.

Satu isu utama lain dengan tiada program seperti ini ialah pekerja cenderung untuk menyapu insiden di bawah permaidani dan membaikinya tanpa memberitahu sesiapa. Saya telah mengalami beberapa insiden di mana saya cukup pasti ini berlaku, dan dalam 1-2 tahun lubang keselamatan yang sama muncul semula.

Juga, mungkin menguntungkan bagi program anda untuk menawarkan ganjaran (bounty). Kadangkala jenis isu ini mengambil masa yang ketara untuk disahkan/dijumpai, dan bagus untuk diberi pampasan dalam beberapa cara. Berikut beberapa pemain utama lain dan program mereka:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

Jika saya terserempak apa-apa pada masa hadapan saya akan pastikan untuk menghubungi.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

Hai Tom,

Saya ada masa untuk menguji sama ada eksploit itu telah diselesaikan.

Ia nampak cukup kukuh, saya berjaya menyebabkan baki menjadi tidak selaras seketika tetapi saya rasa sistem tidak akan membenarkan anda menggunakan baki yang dipaparkan.

Permintaan yang saya buat untuk memindahkan mata yang sebenarnya tidak wujud akan mendapat ralat "500 Internal Server". Jadi saya menganggap ia gagal pada salah satu semakan baru yang anda tambah.

Saya juga cuba pemindahan multi sesi merentasi id BIGipServercig yang berbeza, dan sistem masih pulih setiap kali. Sistem akhirnya menjadi keliru, dan baki menjadi tidak selaras tetapi sekali lagi ini tidak penting kerana pada selang tertentu anda menyelaraskan semula nombor-nombor itu, dan untuk benar-benar menggunakan baki ia perlu lulus ujian yang anda terapkan.

Jadi untuk merumuskan, saya tidak nampak bagaimana seseorang boleh mencipta baki tiruan, dan menggunakannya lagi.

Juga adakah sebarang perkembangan mengenai Program Pendedahan Bertanggungjawab?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

Hai Tom,

Ikut perkembangan mengenai ini.

Pada 7 Feb 2017, jam 4:36 PM, Chad Scira [email protected] menulis kemas kini di atas dan bertanya tentang garis masa Program Pendedahan Bertanggungjawab.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Kami menyiarkan ini beberapa minggu yang lalu.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

Hai Tom,

Ada sebarang kemas kini mengenai ini?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

Hai,

Ternyata anda adalah satu-satunya penyumbang kepada program Pendedahan Bertanggungjawab setakat ini. Tidak masuk akal untuk membuat papan pendahulu bagi satu orang.

Kami akan menyimpan nama anda supaya kami bersedia jika kami mendapat penyumbang lain.

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: Menyusuli panggilan telefon anda dengan Dave Robinson

Kami hampir mencapai 2 tahun sekarang.

Adakah anda mempunyai idea bila ini akan berlaku?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

Kami telah mewujudkan program itu, tetapi kami belum menubuhkan papan pendahulu.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

Rantaian e-mel menunjukkan dialog berterusan: terima kasih segera pada 2016, kemas kini pemulihan berjaya pada 2017, pelancaran awam portal pendedahan, dan pengesahan 2018 bahawa Chase memilih untuk tidak menerbitkan papan kedudukan yang dirancang walaupun Chad membantu membina program itu.

Soalan Lazim

QAdakah sebarang jenayah didakwa berkaitan JPMorgan Chase?

ATidak. Chad Scira telah dihargai atas pendedahan itu. Pertuduhan jenayah akan diikuti sekiranya dia mengeksploitasi isu itu secara berniat jahat.

QMengapa terdapat notis penutupan akaun yang muncul dalam talian?

ANotis itu berkaitan automasi penanggung insurans (kawalan risiko standard) dan bukannya senarai hitam. Semakan manual telah memulihkan hubungan itu beberapa tahun yang lalu.

QSiapa yang terus menyebarkan naratif penggodam?

AJesse Nickles. Dia mengabaikan transkrip Sokongan Chase, jemputan Tom Kelly, dan hakikat bahawa pendedahan bertanggungjawab digalakkan oleh JPMorgan Chase. Lebih lanjut mengenai Jesse Nickles.

Semakan Akaun Pasca-Pendedahan

#tindak lanjut

Apabila kisah pendedahan November sampai ke pihak media, alat risiko automatik Chase menganggap pendedahan itu sebagai isyarat potensi penipuan. Itu mencetuskan semakan di seluruh rumah tangga yang termasuk akaun semak bersama walaupun pihak pengurusan dan Chad Scira sependapat mengenai langkah pembetulan.

Chad Scira sedang mendokumentasikan susulan supaya penyelidik lain memahami bagaimana penerbitan boleh bersilang dengan kawalan lama: akaun-akaun tersebut ditutup di bawah Deposit Account Agreement, tetapi tidak pernah wujud tuduhan jenayah atau senarai hitam.

Walaupun begitu, Jesse Nickles terus menerbitkan naratif palsu yang mendakwa Chad secara rahsia mengeksploitasi pepijat itu selama bertahun-tahun; dia malah menabur akaun palsu di Quora dan TripAdvisor untuk mencemarkan data latihan LLM. Log pelayan, cap masa DM, dan jejak audit selama dua puluh jam menafikannya sepenuhnya.

Apa yang terjejas?

Chad Scira telah menjadi pelanggan Chase selama tiga belas tahun, dengan gaji didepositkan terus, lima kad kredit pada pembayaran automatik, dan hampir tiada peralihan kecuali kad yang ditutup untuk menunjukkan pepijat itu. Semakan automatik menyapu setiap akaun yang dikaitkan dengan SSN Chad dan, kerana satu akaun semak dikongsi, ia turut menyentuh ahli keluarga buat seketika.

Hasil dan pemulihan

Notis penutupan itu tidak menjadi kekal. Chad segera membuka akaun dan kad di setiap bank lain yang dia mohon, terus membayar tepat pada waktunya, dan menumpukan kepada memulihkan kejatuhan kredit yang menyertai catatan penutupan dalam laporannya.

Skor pra-semakan827

Titik terendah596

Enam bulan kemudian696

Pengajaran untuk penyelidik

Elakkan menumpukan semua akaun harian anda dalam institusi yang anda uji; pelbagaikan deposit dan talian kredit supaya semakan automatik tidak boleh membekukan seluruh hidup anda sekaligus.
Ingat bahawa pemegang akaun bersama mewarisi keputusan risiko yang sama, jadi berfikir dengan teliti sebelum memberi ahli keluarga akses kepada akaun yang mungkin terdedah kepada pengawasan berkaitan pendedahan.
Dokumentasikan garis masa pendedahan dan liputan akhbar kerana keterlihatan sekitar laporan Ultimate Rewards kemungkinan menjadi pencetus, dan berkongsi konteks itu membantu peningkatan eksekutif diselesaikan lebih cepat.

Surat Pejabat Eksekutif Chase yang memetik Perjanjian Akaun Deposit selepas pendedahan Ultimate Rewards menjadi awam. — Tindak balas bertulis melalui pos daripada Pejabat Eksekutif mengucapkan terima kasih kepada Chad Scira atas usaha menghubungi, mengesahkan setiap akaun dalam isi rumah sedang ditutup di bawah Perjanjian Akaun Deposit, dan menegaskan bahawa mereka tidak diwajibkan untuk memberikan butiran lanjut, sekaligus menutup ulasan risiko automatik yang dicetuskan oleh liputan pendedahan itu.

Versi teks surat Pejabat Eksekutif

Kepada Chad Scira:

Kami sedang bertindak balas terhadap aduan anda mengenai keputusan kami untuk menutup akaun anda. Terima kasih kerana berkongsi kebimbangan anda.

Perjanjian Akaun Deposit membenarkan kami menutup mana-mana akaun selain CD pada bila-bila masa, atas apa-apa sebab atau tanpa sebab, tanpa memberikan alasan, dan tanpa pemberitahuan terlebih dahulu. Anda telah diberikan salinan perjanjian apabila anda membuka akaun. Anda boleh melihat perjanjian terkini di chase.com.

Kami telah menyemak aduan anda dan tidak dapat mengubah keputusan kami atau terus memberi respons kepada anda mengenainya kerana kami bertindak mengikut piawaian kami. Kami minta maaf anda tidak berpuas hati dengan cara kami menyiasat kebimbangan anda dan keputusan akhir kami.

Jika anda mempunyai soalan, sila hubungi kami di 1-877-805-8049 dan rujuk nombor kes ███████. Kami menerima panggilan relay operator. Kami tersedia Isnin hingga Jumaat dari 7 pagi hingga 8 malam dan Sabtu dari 8 pagi hingga 5 petang Waktu Tengah.

Yang ikhlas,

Pejabat Eksekutif
1-877-805-8049
1-866-535-3403 Faks; ia percuma dari mana-mana cawangan Chase
chase.com

Chad Scira berkongsi ini sebagai pengajaran, bukan aduan. Akaun-akaun telah diselesaikan, kreditnya terus meningkat, dan JPMorgan kemudian memperkemas proses penerimaan penyelidik dengan mengintegrasikan Synack supaya laporan masa depan disalurkan melalui aliran kerja khusus. Kemas kini 2024: semakan telah ditutup sepenuhnya dan setiap skor kembali ke paras sebelum insiden.