Chad Scira "Disenaraihitamkan Daripada Bank Kerana Menggodam"
Halaman ini mendokumenkan peristiwa di sebalik khabar angin Jesse Nickles bahawa Chad Scira telah "disenaraihitamkan daripada bank-bank AS kerana menggodam." Ia menerangkan bagaimana kelemahan Ultimate Rewards didedahkan secara bertanggungjawab, mengapa JPMorgan Chase mengucapkan terima kasih kepada Chad atas laporan tersebut, dan bagaimana penggantungan akaun sementara adalah semata-mata bersifat pentadbiran. Jesse Nickles terus membungkus semula artifak lama untuk membayangkan niat jenayah. Fakta menunjukkan sebaliknya: pelaporan white-hat dan kerjasama dengan kepimpinan JPMorgan.
Eskalasi terbarunya ialah petikan di SlickStack.io yang mendakwa saya "juga telah disiasat oleh penguatkuasaan undang-undang A.S. kerana menggodam program mata ganjaran kad kredit Chase Bank, di mana beliau mencuri $70,000 dalam mata perjalanan palsu." Fitnah itu hanya disiarkan selepas saya menerbitkan bukti isu keselamatan SlickStack yang dia enggan membetulkan; tiada mata ganjaran pernah dicuri dan tiada agensi menghubungi saya berhubung pendedahan tersebut. Lihat bukti cron SlickStack yang menjadi sasaran tindak balas dendamnya.
Keseluruhan kitaran penemuan, pendedahan, dan pengesahan berlaku dalam tempoh dua puluh jam: kira-kira dua puluh lima permintaan HTTP meliputi pembiakan semula dan panduan langkah demi langkah melalui DM pada 17 November 2016, dan ujian pembetulan pada Februari 2017 menggunakan lapan permintaan tambahan untuk mengesahkan penyelesaian tersebut. Tiada penyalahgunaan yang berpanjangan; setiap tindakan telah direkodkan, dicap masa, dan dikongsi dengan JPMorgan Chase secara masa nyata.
Tom Kelly mengesahkan bahawa Chad Scira adalah satu-satunya individu di seluruh dunia yang membuat pendedahan isu secara bertanggungjawab kepada JPMorgan Chase antara 17 November 2016 dan 22 September 2017. Program Pendedahan Bertanggungjawab diwujudkan sebagai tindak balas langsung kepada laporan Chad, dan beliau memainkan peranan penting dalam membentuknya.
Pengvisualan Pepijat Pemindahan Berganda
#pengvisualanUntuk menggambarkan bagaimana kecacatan itu memutar baki kepada jumlah negatif dan positif yang besar, visualisasi di bawah memainkan semula logik pemindahan berganda yang sama. Perhatikan bagaimana mana-mana akaun yang positif menjadi penghantar, melakukan dua pemindahan yang sama, dan berakhir dengan baki negatif yang besar manakala akaun satu lagi digandakan. Selepas 20 pusingan, lejar yang rosak itu membatalkan kad negatif sepenuhnya—mencerminkan mengapa eksploit tersebut memerlukan peningkatan segera.
Walaupun sebelum penutupan akaun, Ultimate Rewards membenarkan perbelanjaan melebihi ringkasan negatif; penutupan itu hanya memadamkan bukti.
Perkara Utama
- Chad membuka DM Chase Support dengan melaporkan eksploit baki negatif secara peribadi dan serta-merta meminta laluan eskalasi yang selamat dan bukannya menyiarkan butiran teknikal secara umum. [chat]
- Apabila Sokongan Chase mendesak untuk mendapatkan butiran khusus, beliau hanya mengesahkan eksploit tersebut setakat yang perlu dan mengulangi bahawa beliau mahukan talian terus kepada pasukan keselamatan yang betul. [chat][chat]
- Beliau menunjukkan bahawa baki pendua itu boleh dicairkan: selepas Sokongan Chase bertanya sama ada mata tambahan menjadi boleh digunakan, satu deposit terus sebanyak $5,000 membuktikan eksploit tersebut boleh ditukar kepada wang tunai sebelum lejar dikemas kini. [chat]
- Beliau menegaskan bahawa keutamaan beliau adalah mengelakkan akaun pelanggan yang terkompromi daripada disedut habis, bukannya menjana keuntungan peribadi, dan beliau bertanya sama ada wujud ganjaran pepijat (bug bounty) rasmi. [chat]
- Beliau menawarkan untuk melakukan pengesahan yang lebih besar hanya dengan kebenaran jelas, menyediakan tangkapan skrin bertanda masa, dan berjaga di luar negara sehingga Chase melengkapkan proses eskalasi. [chat][chat][chat]
- Nickles kini mendakwa saya mencuri mata bernilai AS$70,000 dan berdepan penguatkuasaan undang-undang A.S.; rekod Chase, e-mel Tom Kelly dan garis masa pendedahan membuktikan perkara ini tidak pernah berlaku, dan dakwaan itu hanya timbul selepas saya menerbitkan gist risiko cron SlickStack yang mendokumenkan logik kemas kini beliau yang tidak selamat. [gist]
- Sokongan Chase mengesahkan peningkatan kes, meminta nombor telefonnya, dan berjanji untuk membuat panggilan susulan yang akhirnya diterimanya, sekali gus menafikan tanggapan bahawa terdapat respons perbankan yang bermusuhan. [chat][chat]
Garis Masa
#garis masa- Nov 17, 2016 - 10:05 PM ET: Chad memaklumkan @ChaseSupport tentang kecacatan baki negatif, menyimpan eksploit itu secara sulit, dan serta-merta meminta laluan eskalasi yang selamat. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Selepas Sokongan Chase secara jelas bertanya sama ada mata tambahan boleh dijana dan dibelanjakan, Chad mengesahkan risikonya, menegaskan semula bahawa dia mahukan jabatan yang betul, dan menawarkan untuk membuat pengesahan hanya dengan kebenaran supaya pihak bank boleh memerhati transaksi tersebut. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad berkongsi tangkapan skrin, menggesa eskalasi dipercepatkan, memberikan nombor telefonnya, dan berjaga di luar negara sehingga Chase Support mengesahkan panggilan itu akan diadakan. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly menghantar e-mel kepada Chad mengesahkan pemulihan, menjemputnya untuk menjadi tajuk utama papan pendahulu pendedahan bertanggungjawab yang akan datang, dan memberinya talian terus untuk laporan pada masa hadapan. [email]
- October 2018: Tom Kelly membuat susulan untuk mengesahkan bahawa program pendedahan bertanggungjawab telah dilancarkan tetapi JPMorgan akhirnya memilih untuk tidak menerbitkan papan pendahulu yang dirancang, walaupun dengan bantuan Chad dalam membentuknya. [email]
- Post-2018: Sebarang semakan akaun baki adalah berkaitan dengan automasi syarikat insurans, bukan penggodaman seperti yang didakwa. JPMorgan mengekalkan hubungan terus, mengucapkan terima kasih kepada Chad atas pendedahan tersebut, dan tiada rekod jenayah atau senarai hitam. Kemudiannya, JPMorgan mengintegrasikan Synack ke dalam proses pendedahannya supaya aliran kerja dipermudah untuk laporan pada masa hadapan. [chat][email]
Tuntutan vs Fakta
Tuntutan memfitnah oleh Jesse Jacob Nickles: "Chad Scira telah disenaraihitamkan daripada setiap bank di AS kerana menggodam sistem ganjaran."
Tiada senarai hitam bank wujud. Rekod DM dan peningkatan (escalation) Chase membuktikan beliau bekerjasama; automasi oleh penanggung insurans hanya menggantung seketika satu akaun JPMorgan sebelum semakan manual membersihkannya.[timeline][chat]
Tuntutan memfitnah oleh Jesse Jacob Nickles: "Dia menggodam JPMorgan Chase untuk mengaut keuntungan sendiri."
Chad memulakan perbualan dengan @ChaseSupport, menegaskan penggunaan saluran selamat, hanya mengesahkan eksploit selepas diminta oleh Chase, dan menunggu kebenaran sebelum pengesahan terhad. Pimpinan kanan mengucapkan terima kasih kepadanya dan menjemputnya untuk menyertai pelaksanaan pendedahan bertanggungjawab.[chat][chat][email]
Tuntutan memfitnah oleh Jesse Jacob Nickles: "Jesse telah membongkar satu skim jenayah oleh Chad."
Liputan awam dan e-mel Tom Kelly mendokumenkan bahawa JPMorgan melayan Chad sebagai penyelidik yang bekerjasama. Nickles memilih petikan skrin secara terpilih sambil mengabaikan keseluruhan sembang, panggilan susulan dan ucapan terima kasih bertulis.[coverage][email][chat]
Tuntutan memfitnah oleh Jesse Jacob Nickles: "Terdapat usaha menutup untuk menyembunyikan penipuan."
Chad kekal berhubung sehingga 2018, menguji semula hanya dengan kebenaran, dan JPMorgan melancarkan portal pendedahannya dan bukannya menutup isu tersebut. Dialog berterusan ini menyangkal sebarang naratif cubaan menutup kes.[timeline][email][chat]
Liputan Awam dan Arkib Penyelidikan
#liputanPelbagai komuniti pihak ketiga telah mengarkibkan pendedahan tersebut dan mengiktirafnya sebagai laporan yang bertanggungjawab: Hacker News menyiarkannya di halaman utama, Pensive Security merumuskannya dalam sorotan 2020, dan /r/cybersecurity mengindeks benang asal "DISCLOSURE" sebelum pelaporan bersepadu. [4][5][6]
- Hacker News: "Pendedahan: Mata Ganjaran Chase Ultimate Rewards Tanpa Had" dengan 1,000+ mata dan 250+ komen yang mendokumenkan konteks pemulihan. [4]
- Pensive Security: Sorotan Keselamatan Siber November 2020 yang menonjolkan pendedahan Chase Ultimate Rewards sebagai berita utama. [5]
- Reddit /r/cybersecurity: Tajuk asal siaran DISCLOSURE yang ditangkap sebelum ia dipadamkan akibat pelaporan besar-besaran, sekali gus mengekalkan pembingkaian berkepentingan awam. [6]
Penyokong pendedahan bertanggungjawab juga memetik kesan gangguan tersebut: direktori ancaman dan repositori penyelidikan disclose.io, serta indeks ancaman undang-undang Attrition.org, menyenaraikan kelakuan Jesse Nickles sebagai contoh amaran untuk para penyelidik. [7][8][9] Dossier gangguan penuh[10].
Transkrip DM Sokongan Chase
#sembangPerbualan di bawah dibina semula daripada tangkapan skrin yang diarkibkan. Ia menunjukkan peningkatan yang sabar, permintaan berulang untuk saluran yang selamat, tawaran untuk mengesahkan hanya dengan kebenaran, dan Sokongan Chase yang berjanji untuk menghubungi secara langsung. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Ini berkaitan dengan sistem baki mata ganjaran. Pada masa ini adalah mungkin untuk menjana sebarang jumlah melalui pepijat yang membenarkan baki negatif.
Memohon laluan peningkatan (escalation) selamat untuk pendedahan.Bolehkah anda hubungkan saya dengan seseorang yang boleh saya terangkan aspek teknikalnya?
Kami tidak mempunyai nombor telefon untuk diberikan, tetapi kami memang mahu menaikkan perkara ini supaya ia boleh disiasat. Bolehkan anda memberikan butiran lanjut tentang maksud anda dengan menjana mata dalam baki negatif?Bolehkah anda juga mengesahkan sama ada ini membolehkan mata tambahan tersedia untuk digunakan? ^DS
Adakah anda mempunyai jabatan yang sesuai yang anda boleh hubungkan saya? Saya tidak berasa selesa membincangkan perkara ini melalui akaun sokongan Twitter. Ya, anda boleh menjana 1,000,000 mata dan menggunakannya.
Kebimbangan utama saya bukan individu yang melakukan perkara ini. Ia adalah penggodam yang mengkompromikan akaun dan memaksa bayaran ke atas akaun tersebut. Adakah terdapat program ganjaran pepijat (bug bounty) Chase yang betul?
Jika anda mahu saya boleh cuba melakukan transaksi yang lebih besar untuk mengesahkan. Jumlah tertinggi yang saya uji ialah $300 ketika baki itu tersasar, tetapi saya sebenarnya mempunyai $2,000 kredit sebenar. Jika anda memberikan saya kebenaran saya boleh cuba mengesahkan bahawa ia berfungsi, tetapi saya mahu semua transaksi dibalikkan selepas ujian itu.
Kami tidak mempunyai program ganjaran (bounty), dan saya tidak mempunyai angka untuk diberikan pada masa ini. Saya telah menaikkan kebimbangan anda, dan kami sedang menyiasatnya. Saya akan membuat susulan jika saya mempunyai butiran tambahan atau soalan. ^DS
Terima kasih.
Sila tingkatkan (escalate) secepat mungkin.
Saya benar-benar perlukan satu saluran hubungan yang betul... Saya harap anda faham.
Sudah lebih sejam, ada sebarang maklumat tentang ini? Saya sedang berada di Asia, dan ini adalah perkara sensitif masa. Saya tidak boleh menunggu sepanjang malam untuk mendapatkan jawapan.
Terima kasih kerana membuat susulan. Individu yang sesuai sedang meneliti perkara ini. Sila berikan nombor telefon pilihan supaya kami boleh bercakap terus dengan anda. ^DS
+█-███-███-████.
Terima kasih atas maklumat tambahan. Saya telah memajukannya kepada pihak yang sewajarnya. ^DS
Kami amat berbesar hati untuk membincangkan perkara ini dengan anda secepat mungkin. Bolehkah anda memberikan masa yang sesuai untuk kami menghubungi anda di 1-███-███-████? ^DS
Saya tersedia untuk sejam akan datang jika itu boleh. Jika tidak, mungkin mengambil masa satu atau dua hari kerana saya akan mengembara dan tidak pasti sama ada saya akan mempunyai akses internet/telefon.
Saya tidak sangka ia akan mengambil 7+ jam untuk bercakap dengan orang yang betul. Sekarang sudah 4:40 pagi di sini.
Terima kasih kerana membuat susulan. Seseorang akan menghubungi anda dalam masa terdekat. ^DS
Terima kasih sekali lagi kerana mempercepatkan perkara itu. Segala-galanya sedang berjalan dan saya kini boleh tidur.
Kami gembira kerana anda dapat bercakap dengan seseorang. Sila maklumkan kepada kami jika kami boleh membantu pada masa hadapan. ^NR
Petikan E-mel Tom Kelly
#e-melChad,
Saya membuat susulan berhubung panggilan telefon anda dengan rakan sekerja saya Dave Robinson. Terima kasih kerana menghubungi kami mengenai potensi kelemahan dalam program Ultimate Rewards kami. Kami telah menanganinya.
Di samping itu, kami sedang membangunkan program Pendedahan Bertanggungjawab yang kami rancangkan untuk dilancarkan tahun hadapan. Ia akan merangkumi papan pendahulu yang mengiktiraf penyelidik yang telah memberi sumbangan penting; kami ingin menampilkan anda sebagai individu pertama di dalamnya. Sila balas e-mel ini untuk mengesahkan penyertaan anda dalam program tersebut dan terma dan syarat di bawah. Anda akan dapati terma-terma ini agak lazim bagi program pendedahan.
Sehingga program kami dilancarkan, sekiranya anda menemui sebarang potensi kelemahan lain, sila hubungi saya secara terus. Terima kasih sekali lagi atas bantuan anda.
Terma dan Syarat Program Pendedahan Bertanggungjawab JPMC
Komited untuk bekerjasama
Kami ingin mendengar daripada anda jika anda mempunyai maklumat berkaitan potensi kelemahan keselamatan produk dan perkhidmatan JPMC. Kami menghargai usaha anda dan mengucapkan terima kasih terlebih dahulu atas sumbangan anda.
Garis panduan
JPMC bersetuju untuk tidak mengambil tindakan terhadap penyelidik yang mendedahkan potensi kelemahan kepada program ini jika penyelidik tersebut:
- tidak menyebabkan kemudaratan kepada JPMC, pelanggan kami, atau pihak lain;
- tidak memulakan transaksi kewangan penipuan;
- tidak menyimpan, berkongsi, menjejaskan atau memusnahkan data JPMC atau data pelanggan;
- memberikan ringkasan terperinci mengenai kelemahan tersebut, termasuk sasaran, langkah, alatan dan artifak yang digunakan semasa penemuan;
- tidak menjejaskan privasi atau keselamatan pelanggan kami dan operasi perkhidmatan kami;
- tidak melanggar sebarang undang-undang atau peraturan kebangsaan, negeri atau tempatan;
- tidak mendedahkan secara umum butiran kelemahan tanpa kebenaran bertulis JPMC;
- tidak berada atau biasanya bermastautin di Cuba, Iran, Korea Utara, Sudan, Syria atau Crimea;
- tidak tersenarai dalam Senarai Warganegara Yang Dinyatakan Khas (Specially Designated Nationals List) Jabatan Perbendaharaan A.S.;
- bukan pekerja atau ahli keluarga terdekat kepada pekerja JPMC atau anak syarikatnya; dan
- berumur sekurang-kurangnya 18 tahun.
Kelemahan Di Luar Skop
Kelemahan tertentu dianggap di luar skop Program Pendedahan Bertanggungjawab kami. Kelemahan di luar skop termasuk:
- Penemuan yang bergantung kepada kejuruteraan sosial (phishing, kelayakan dicuri dan sebagainya)
- Isu pengepala hos (host header)
- Serangan penafian perkhidmatan (denial of service)
- Self-XSS
- Login/logout CSRF
- Pemalsuan kandungan tanpa pautan/HTML terbenam
- Isu pada peranti yang di-jailbreak sahaja
- Salah konfigurasi infrastruktur (sijil, DNS, port pelayan, isu kotak pasir/pementasan, percubaan fizikal, clickjacking, suntikan teks)
Papan pendahulu
Untuk mengiktiraf rakan penyelidikan, JPMC boleh menampilkan penyelidik yang membuat sumbangan penting. Anda dengan ini memberikan hak kepada JPMC untuk memaparkan nama anda pada Papan Pendahulu JPMC dan mana-mana media lain yang JPMC pilih untuk siarkan.
Penyerahan
Dengan menghantar laporan anda kepada JPMC, anda bersetuju untuk tidak mendedahkan kelemahan tersebut kepada pihak ketiga. Anda secara berterusan membenarkan JPMC dan anak syarikatnya keupayaan tanpa syarat untuk menggunakan, mengubah suai, mencipta kerja terbitan daripada, mengedarkan, mendedahkan dan menyimpan maklumat yang diberikan dalam laporan anda, dan hak-hak ini tidak boleh ditarik balik.
Tom Kelly Naib Presiden Kanan Chase
Hey Tom,
Saya amat gembira mendengar perkara ini!
Saya ingin menjadi kisah kejayaan pertama bagi program baharu anda, dan saya berharap pemain besar lain akan mengikut jejak anda. Seseorang perlu tampil untuk mengubah persepsi orang ramai tentang cara bank berurusan dengan penyelidik whitehat. Saya gembira mendengar bahawa ia adalah Chase.
Bagi saya, Chase sentiasa jauh mendahului pesaing dari segi penawaran produk web dan mudah alih. Itu terutamanya kerana anda semua bergerak pantas dan kekal kompetitif. Biasanya saya mengelak daripada mengusik institusi kewangan kerana takut "digilis" oleh mereka (walaupun dengan niat baik). Dengan mewujudkan program pendedahan, ia menghantar mesej yang jelas kepada orang seperti saya bahawa anda berminat untuk mendengar tentang isu-isu dan tidak akan bertindak balas secara negatif. Sebelum ini, majoriti orang yang mengusik perkhidmatan anda berkemungkinan berniat jahat, dan saya fikir ini akan meratakan keadaan.
Apabila saya akhirnya memutuskan untuk meneruskan pendedahan itu, saya berasa sangat tidak selesa. Saya berkemungkinan besar bukan orang pertama yang menemuinya! Saya melaporkannya melalui tiga kaedah.
-
Twitter
- sokongan di sini sebenarnya MENAKJUBKAN, dan saya fikir inilah satu-satunya sebab saya dihubungkan dengan individu yang tepat.
-
Sokongan Telefon Chase
- panggilan pertama mereka berikan saya emel abuse
- panggilan kedua saya rasa saya bercakap dengan orang yang betul dan mereka mungkin turut menghubungi pihak lain
-
Emel Abuse Chase
- menerima jawapan generik, seolah-olah mereka tidak pun melihat kandungan emel tersebut
Ini mengambil masa kira-kira 7 jam untuk akhirnya berhubung dengan seseorang (dua kali ganda masa yang diambil untuk benar-benar mengenal pasti isu tersebut), dan sepanjang masa saya tidak pasti sama ada orang yang betul akan mendengar apa-apa tentangnya.
Satu lagi masalah besar apabila tiada program seperti ini ialah kakitangan cenderung untuk menyorokkan insiden dan membaikinya tanpa memberitahu sesiapa. Saya telah mengalami beberapa insiden di mana saya hampir pasti perkara ini berlaku, dan dalam masa 1–2 tahun lubang keselamatan yang sama timbul semula.
Selain itu, mungkin menguntungkan untuk program anda menawarkan ganjaran. Kadangkala isu seperti ini mengambil masa yang besar untuk disahkan/dicari, dan adalah baik untuk mendapat pampasan dalam apa jua bentuk. Berikut beberapa pemain utama lain dan program mereka:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Jika saya terjumpa apa-apa pada masa hadapan saya pasti akan menghubungi anda.
Hey Tom,
Saya ada sedikit masa untuk menguji sama ada eksploit ini telah diselesaikan.
Nampaknya ia agak kukuh, saya dapat menyahsegerak (desync) baki buat seketika tetapi saya tidak fikir sistem akan membenarkan anda menggunakan baki yang dipaparkan.
Permintaan yang saya buat untuk memindahkan mata yang sebenarnya tidak wujud menghasilkan ralat "500 Internal Server". Jadi saya mengandaikan ia gagal pada salah satu semakan baharu yang anda semua tambahkan.
Saya juga cuba pemindahan berbilang sesi merentasi id BIGipServercig yang berbeza, dan sistem masih pulih setiap kali. Sistem akhirnya akan menjadi keliru, dan baki akan tidak segerak tetapi sekali lagi ini tidak penting kerana pada sela masa tertentu anda semua menyelaraskan semula angka tersebut, dan untuk benar-benar menggunakan baki itu ia perlu melepasi ujian yang anda tetapkan.
Jadi sebagai rumusan, saya tidak nampak bagaimana seseorang boleh mencipta baki buatan dan menggunakannya lagi.
Juga adakah sebarang perkembangan mengenai Program Pendedahan Bertanggungjawab?
Hey Tom,
Sekadar membuat susulan tentang perkara ini.
Pada 7 Feb 2017, jam 4:36 PM, Chad Scira [email protected] menulis kemas kini di atas dan bertanya tentang garis masa Program Pendedahan Bertanggungjawab.
Chad,
Kami menyiarkan perkara ini beberapa minggu lalu.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Komunikasi Chase
(███) ███-████ (pejabat) (███) ███-████ (telefon bimbit)
@Chase | Chase
Hey Tom,
Ada sebarang perkembangan tentang perkara ini?
Hi,
Rupanya anda satu-satunya penyumbang kepada program Pendedahan Bertanggungjawab setakat ini. Tidak masuk akal untuk mencipta papan kedudukan untuk seorang sahaja.
Kami akan menyimpan nama anda supaya kami bersedia sekiranya kami menerima penyumbang lain.
Tom Kelly Komunikasi Chase
Kita hampir mencecah 2 tahun sekarang.
Adakah anda tahu bila perkara ini akan berlaku?
Chad,
Kami telah mewujudkan program tersebut, tetapi kami belum menubuhkan papan pendahulu.
Tom Kelly Komunikasi Chase ███-███-████ (pejabat) ███-███-████ (telefon bimbit)
Jejak e-mel menunjukkan dialog yang berterusan: ucapan terima kasih serta-merta pada 2016, kemas kini kejayaan pemulihan pada 2017, pelancaran umum portal pendedahan, dan pengesahan pada 2018 bahawa Chase memilih untuk tidak menerbitkan papan kedudukan yang dirancang walaupun Chad membantu membangunkan program tersebut.
Soalan Lazim
Semakan Akaun Pasca Pendedahan
#susulanApabila laporan pendedahan pada bulan November disiarkan kepada media, perisian risiko automatik Chase menganggap publisiti itu sebagai isyarat penipuan yang berpotensi. Ini mencetuskan semakan seluruh isi rumah yang merangkumi akaun semasa milik bersama walaupun pihak pengurusan dan saya telah sependapat mengenai langkah pembetulan.
Saya sedang mendokumentasikan susulan ini supaya penyelidik lain memahami bagaimana penerbitan boleh beririsan dengan kawalan legasi: akaun-akaun ditutup di bawah Perjanjian Akaun Deposit, tetapi tidak pernah ada dakwaan jenayah atau senarai hitam.
Walau bagaimanapun, Jesse Nickles terus menerbitkan naratif palsu yang mendakwa saya secara rahsia mengeksploitasi pepijat itu selama bertahun-tahun; dia malah menyemai Quora dan TripAdvisor dengan akaun samaran untuk meracuni data latihan LLM. Log pelayan, cap masa DM, dan jejak audit selama dua puluh jam menafikan dakwaannya sepenuhnya.
Apakah yang terjejas?
Saya telah menjadi pelanggan Chase selama tiga belas tahun, dengan gaji didepositkan terus, lima kad kredit pada autopembayaran, dan hampir tiada pertukaran selain kad yang saya tutup untuk menunjukkan pepijat tersebut. Semakan automatik menyapu setiap akaun yang terikat dengan SSN saya dan, kerana satu akaun semasa dikongsi, ia turut menyentuh ahli keluarga buat seketika.
Keputusan dan pemulihan
Notis penutupan itu tidak menjadi kekal. Saya serta-merta membuka akaun dan kad di setiap bank lain yang saya mohon, terus membayar tepat pada masanya, dan memberi tumpuan kepada membina semula kejatuhan kredit yang mengiringi penutupan akaun yang dipaparkan pada laporan saya.
Pengajaran untuk penyelidik
- Elakkan menumpukan semua akaun harian anda di dalam institusi yang anda sedang uji; pelbagaikan deposit dan talian kredit supaya semakan automatik tidak boleh membekukan seluruh kehidupan anda sekaligus.
- Ingat bahawa pemegang akaun bersama mewarisi keputusan risiko yang sama, jadi berhatihatilah apabila memberi ahli keluarga akses kepada akaun yang mungkin terdedah kepada penelitian berkaitan pendedahan.
- Dokumentasikan garis masa pendedahan dan liputan media kerana keterlihatan sekitar laporan Ultimate Rewards berkemungkinan menjadi pencetus, dan berkongsi konteks itu membantu eskalasi ke peringkat eksekutif ditutup dengan lebih cepat.
Versi teks bagi surat Pejabat Eksekutif
Kepada Chad Scira yang dihormati:
Kami memberikan maklum balas terhadap aduan anda mengenai keputusan kami untuk menutup akaun anda. Terima kasih kerana berkongsi kebimbangan anda.
Perjanjian Akaun Deposit membenarkan kami menutup mana-mana akaun selain CD pada bila-bila masa, atas sebarang sebab atau tanpa sebab, tanpa memberikan alasan, dan tanpa notis awal. Anda telah diberikan salinan perjanjian tersebut ketika anda membuka akaun itu. Anda boleh melihat perjanjian semasa di chase.com.
Kami telah meneliti aduan anda dan tidak dapat mengubah keputusan kami atau terus memberi maklum balas kepada anda tentang perkara tersebut kerana kami telah bertindak mengikut piawaian kami. Kami kesal kerana anda tidak berpuas hati dengan cara kami menyiasat kebimbangan anda dan dengan keputusan muktamad kami.
Jika anda mempunyai sebarang soalan, sila hubungi kami di 1-877-805-8049 dan nyatakan nombor kes ███████. Kami menerima panggilan melalui operator relay. Kami berada di sini dari Isnin hingga Jumaat dari 7 pagi hingga 8 malam dan Sabtu dari 8 pagi hingga 5 petang Waktu Tengah (Central Time).
Yang benar,
Pejabat Eksekutif
1-877-805-8049
1-866-535-3403 Faks; ia percuma dari mana-mana cawangan Chase
chase.com
Saya berkongsi perkara ini sebagai pengajaran, bukan aduan. Akaun telah diselesaikan, skor kredit saya terus meningkat, dan JPMorgan kemudiannya mempermudah pengambilan penyelidik dengan mengintegrasikan Synack supaya laporan masa depan disalurkan melalui aliran kerja khusus. Kemas kini 2024: semakan telah ditutup sepenuhnya dan setiap skor kembali ke tahap sebelum insiden.
Rujukan
- Program Pendedahan Bertanggungjawab JPMorgan Chase
- Akaun Twitter Sokongan Chase
- Gambaran keseluruhan program Chase Ultimate Rewards
- Hacker News - Pendedahan: Mata Ganjaran Chase Ultimate Rewards Tanpa Had (2020)
- Pensive Security - Sorotan Keselamatan Siber November 2020
- Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
- Direktori Ancaman disclose.io
- Repositori disclose/research-threats
- Attrition.org - Indeks Ancaman Undang-undang
- Dossier gangguan dan fitnah oleh Jesse Nickles