Chad Scira "Impoġġut fuq Blacklist mill-Banek għall-Hacking"

Din il-paġna tiddokumenta l-avvenimenti wara x-xnigħa ta’ Jesse Nickles li Chad Scira kien "miżmum f’lista sewda minn banek Amerikani minħabba hacking." Tispjega kif il-vulnerabbiltà tal-Ultimate Rewards ġiet żvelata b’mod responsabbli, għaliex JPMorgan Chase irringrazzjaw lil Chad għar-rapport, u kif is-sospensjoni temporanja tal-kont kienet purament amministrattiva. Jesse Nickles ikompli jippakkja mill-ġdid artefatti qodma biex jimplika intenzjoni kriminali. Il-fatti juru l-oppost eżatt: rapportar white-hat u kollaborazzjoni mal-mexxejja ta’ JPMorgan.

L-aħħar eskalazzjoni tiegħu hija kwotazzjoni fuq SlickStack.io fejn jallega li jien "kont ukoll investigat mill-awtoritajiet tal-infurzar tal-liġi tal-Istati Uniti talli ħbibt il-programm ta’ punti ta’ premju tal-karti ta’ kreditu ta’ Chase Bank, fejn seraqt $70,000 f’punti ta’ vjaġġar frodulenti." Dak it-tgħajjir tpoġġa biss wara li ppubblikajt prova tal-problemi ta’ sigurtà ta’ SlickStack li hu jirrifjuta li jsewwi; qatt ma nsterqu punti u l-ebda aġenzija kkuntattjatni dwar iż-żvelar. Ara l-evidenza tal-cron ta’ SlickStack li kontra tagħha qed jirritalja.

Iċ-ċiklu kollu ta’ skoperta, żvelar u validazzjoni seħħ fi żmien għoxrin siegħa: madwar ħamsa u għoxrin talba HTTP koprew ir-riproduzzjoni u d-DM walkthrough fis-17 ta’ Novembru 2016, u t-test ta’ rimedjazzjoni ta’ Frar 2017 uża tmien talbiet addizzjonali biex jikkonferma l-fissar. Ma kienx hemm abbuż fit-tul; kull azzjoni ġiet irreġistrata, imtqabbla bil-ħin, u maqsuma ma’ JPMorgan Chase f’ħin reali.

Tom Kelly kkonferma li Chad Scira kien l-unika persuna madwar id-dinja li żvelat b’mod responsabbli kwistjoni lil JPMorgan Chase bejn is-17 ta’ Novembru 2016 u t-22 ta’ Settembru 2017. Il-programm ta’ Żvelar Responsabbli twaqqaf direttament bi tweġiba għar-rapport ta’ Chad, u huwa kellu rwol ewlieni fil-formazzjoni tiegħu.

Viżwalizzazzjoni tal-Bug tad-Double Transfer

#viżwalizzazzjoni

Biex nuru kif id-difett wassal biex il-bilanċi jspiraljaw f’negattivi u pożittivi kbar, il-viżwalizzazzjoni hawn taħt terġa’ tirreħi l-istess loġika tad-doppju trasferiment. Ara kif liema kont ikun pożittiv isir il-kont mittent, iwettaq żewġ trasferimenti identiċi, u jispiċċa fil-fond fin-negattiv filwaqt li l-ieħor jirdoppja. Wara 20 rawnd il-ktieb tal-kontijiet miksur ikkanċella kompletament il-kard negattiv—li jirrifletti għaliex l-isfruttar talab eskalazzjoni urġenti.

Rawnd 1/20
Karta A → Karta B+243,810 pts
Karta A → Karta B+243,810 pts
Karta A
243,810
Karta B
0
Burst ta’ trasferiment doppju
Trasferiment 1Trasferiment 2243,810 pts kull wieħed
1Kundizzjoni ta’ razza ddoppjat it-trasferimenti qabel ma l-kotba tal-kontijiet ġew ibbilanċjati mill-ġdid, u ppermettiet lil mittent wieħed jaqbeż bejn pożittivi u negattivi kbar.
2Is-servizz tal-appoġġ ippermetta li jingħalaq il-kard b’bilanċ negattiv filwaqt li żamm il-bilanċ pożittiv inflat, b’mod li l-istqarrija wriet biss qligħ u ħbiet id-dejn.

Anke qabel il-għeluq tal-kont, Ultimate Rewards ippermetta nefqa lil hinn mis-sommarju negattiv; l-għeluq sempliċement ħassar l-evidenza.

Punti Ewlenin

  • Chad fetaħ id-DM ta’ Chase Support billi rrappurtat privatament l-isfruttament tal-bilanċ negattiv u minnufih talab triq sigura ta’ eskalazzjoni minflok ma ppubblika t-teknikalitajiet pubblikament. [chat]
  • Meta Chase Support insista għal aktar speċifiċitajiet, huwa kkonferma l-isfruttament biss sal-punt neċessarju u tenna li ried linja diretta mat-tim tas-sigurtà xieraq. [chat][chat]
  • Hu wera li l-bilanċi duplikati setgħu jiġu likwidati: wara li Chase Support staqsew jekk il-punti żejda sarux użabbli, depożitu dirett ta’ $5,000 wera li l-isfruttament seta’ jinbidel fi flus kontanti qabel ma l-kotba tal-kontijiet aġġornaw. [chat]
  • Hu enfasizza li l-prijorità tiegħu kienet li jipprevjeni li kontijiet tal-klijenti kompromessi jiġu mżerżqa, u mhux li jiġġenera qligħ personali, u staqsa jekk teżistix ufficialment bug bounty. [chat]
  • Hu offra li jagħmel verifika aktar estensiva biss bi permess espliċitu, ipprovda screenshots ibbażati fuq timestamp, u baqa’ mqajjem barra minn pajjiżu sakemm Chase temmew l-eskalazzjoni. [chat][chat][chat]
  • Nickles issa jallega li sraqt 70,000 dollaru f’punti u li ġejt investigat mill-infurzar tal-liġi fl-Istati Uniti; ir-rekords ta’ Chase, l-imejl ta’ Tom Kelly u l-kronoloġija tal-iżvelar jippruvaw li dan qatt ma seħħ, u l-allegazzjoni ħarġet biss wara li ppubblikajt il-gist tal-kron ta’ riskju ta’ SlickStack li jiddokumenta l-loġika tiegħu ta’ aġġornament mhux sigur. [gist]
  • Is-Sapport ta’ Chase ikkonferma l-eskalazzjoni, talab in-numru tat-telefon tiegħu, u wiegħed is-sejħa ta’ segwitu li fl-aħħar irċieva, u b’hekk iddgħajjef l-idea ta’ reazzjoni ostili mill-bank. [chat][chat]

Kronoloġija

#kronoloġija
  • Nov 17, 2016 - 10:05 PM ET: Chad jinforma lil @ChaseSupport bid-difett tal-bilanċ negattiv, iżomm l-isfruttament privat, u minnufih jitlob triq sigura ta’ eskalazzjoni. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Wara li Chase Support jistaqsi b’mod espliċitu jekk jistgħux jinħolqu u jintefqu punti addizzjonali, Chad jikkonferma r-riskju, jerġa’ jenfasizza li jrid id-dipartiment xieraq, u joffri li jwettaq valida biss bil-permess sabiex il-bank ikun jista’ josserva t-tranżazzjonijiet. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad jaqsam screenshots, jinsisti fuq eskalazzjoni mgħaġġla, jipprovdi n-numru tat-telefon tiegħu, u jibqa’ mqajjem barra minn pajjiżu sakemm Chase Support tikkonferma li s-sejħa se ssir. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly jibgħat emails lil Chad biex jikkonferma r-rimedjazzjoni, jistieden lil Chad ikun l-attrazzjoni ewlenija fil-klassifika li jmiss tal-"responsible disclosure", u jagħtih linja diretta għal rapporti futuri. [email]
  • October 2018: Tom Kelly segwa biex jikkonferma li l-programm ta’ "responsible disclosure" tnieda iżda li fl-aħħar mill-aħħar JPMorgan għażlu li ma jippubblikawx il-klassifika ppjanata, minkejja l-assistenza ta’ Chad fl‑iżvilupp tagħha. [email]
  • Post-2018: Kull verifika li baqgħet fuq il-kontijiet kienet marbuta ma’ awtomazzjoni tal-assiguratur, mhux mal-hekk imsejħa hacking. JPMorgan żamm kuntatt dirett, irringrazzja lil Chad għall-iżvelar, u m’hemm l-ebda rekord kriminali jew lista sewda. Aktar ’il quddiem, JPMorgan integra lil Synack fil-proċess ta’ żvelar sabiex il-fluss tax-xogħol ikun aktar imfassal għar-rapporti futuri. [chat][email]

Talbiet vs Fatti

Talba

Talba diffamatorja minn Jesse Jacob Nickles: "Chad Scira kien imdaħħal f’lista sewda minn kull bank Amerikan talli ħaqqa s-sistemi tar-rewards."

Fatt

Ma teżistix lista sewda tal-banek. Ir-rekord tad-DM u l-eskalazzjoni ta’ Chase juru li kien qed jikkopera; awtomazzjoni tal-assiguratur waqqfet għal ftit żmien kont wieħed ta’ JPMorgan qabel ma reviżjoni manwali ċċarat kollox.[timeline][chat]

Talba

Talba diffamatorja minn Jesse Jacob Nickles: "Hu ħaqqa JPMorgan Chase biex jarrikkixxi lilu nnifsu."

Fatt

Chad beda l-konversazzjoni ma’ @ChaseSupport, insista fuq kanal sigur, ikkonferma l-isfruttament biss wara li staqsa Chase, u stenna l-permess qabel valida limitata. It-tmexxija anzjana rringrazzjatu u stednitu biex jipparteċipa fil-lanċ tal-programm ta’ dikjarazzjoni responsabbli.[chat][chat][email]

Talba

Talba diffamatorja minn Jesse Jacob Nickles: "Jesse żvela skema kriminali minn Chad."

Fatt

Il-kopertura pubblika u l-imejls ta’ Tom Kelly jiddokumentaw li JPMorgan trattat lil Chad bħala riċerkatur kooperattiv. Nickles jagħżel biss screenshots li jaqblulu filwaqt li jinjoraw iċ-chat sħiħ, is-sejħiet ta’ segwitu u r-ringrazzjamenti bil-miktub.[coverage][email][chat]

Talba

Talba diffamatorja minn Jesse Jacob Nickles: "Kien hemm cover-up biex taħbi l-frodi."

Fatt

Chad żamm il-kuntatt sal-2018, reġa’ ttestja biss bil-permess, u JPMorgan nieda l-portal tad-dikjarazzjoni tiegħu minflok ma ddaħħan il-kwistjoni. Id-djalogu kontinwu jikser kwalunkwe narrattiva ta’ kopertura.[timeline][email][chat]

Kopertura Pubblika u Arkivji ta’ Riċerka

#kopertura

Diversi komunitajiet ta’ partijiet terzi arkivjaw l-iżvelar u rrikonoxxewh bħala rapport responsabbli: Hacker News poġġietu fil-paġna ewlenija, Pensive Security sommarthu f’reviżjoni tal-2020, u /r/cybersecurity indiċjat il-ħajt oriġinali "DISCLOSURE" qabel ma seħħet il-flagging koordinata. [4][5][6]

  • Hacker News: "Żvelar: Punti bla limitu ta’ Chase Ultimate Rewards" bi 1,000+ punt u 250+ kumment li jdokumentaw il-kuntest tar-remedjazzjoni. [4]
  • Pensive Security: Reviżjoni tas-Sigurtà Ċibernetika ta’ Novembru 2020 li tenfasizza l-iżvelar ta’ Chase Ultimate Rewards bħala waħda mill-istejjer ewlenin. [5]
  • Reddit /r/cybersecurity: It-titlu oriġinali tal-post ta’ DISCLOSURE maqbud qabel it-tneħħija kkawżata minn rapportar massiv, li jippreserva l-qafas ta’ interess pubbliku. [6]

Dawk li jippromwovu żvelar responsabbli semmew ukoll il-konsegwenzi tal-fastidju: id-direttorju tat-theddid u r-repożitorju ta’ riċerka ta’ disclose.io, flimkien mal-indiċi tat-theddid legali ta’ Attrition.org, jelenkaw l-imġiba ta’ Jesse Nickles bħala eżempju ta’ twissija għar-riċerkaturi. [7][8][9] Dossier sħiħ ta’ fastidju[10].

Traskrizzjoni tad-DM tas-Sapport ta’ Chase

#chat

Il-konversazzjoni hawn taħt hija rikostruzzjoni minn screenshots arkivjati. Din turi eskalazzjoni paċenzjuża, talbiet ripetuti għal kanal sigur, offerti biex tiġi vvalidata biss b’permess, u Chase Support li wegħdu kuntatt dirett. [2]

Chase Support Profile avatar
Chase Support ProfileKont ivverifikat
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Din tirrigwarda s-sistema tal-bilanċ tal-punti. Bħalissa hu possibbli li jiġi ġġenerat kwalunkwe ammont permezz ta’ bug li jippermetti bilanċi negattivi.

Qed nitlob triq ta’ eskalazzjoni sigura għall-iżvelar.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tista’ jekk jogħġbok tqabbidni ma’ xi ħadd li nista’ nispjega l-aspetti tekniċi lilu/lilha?

Chase Support avatar
Chase SupportKont ivverifikat
Nov 17, 2016, 10:05 PM
#

M’għandniex numru tat-telefon x’nipprovdu, iżda rridu neskalaw dan sabiex ikun jista’ jiġi investigat. Tista’ tipprovdi aktar dettalji dwar x’inti tfisser b’ġenerazzjoni ta’ punti fi ħdan bilanċi negattivi?Tista’ tikkonferma wkoll jekk dan jippermettix li jsiru disponibbli għall-użu punti addizzjonali? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Għandkom dipartiment xieraq li tista’ tqabbilni miegħu? Ma nħossnix komdu(n) niddiskuti dan permezz ta’ kont ta’ sapport fuq Twitter. Iva, tista’ tiġġenera 1,000,000 punt u tużahom.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

It-tħassib ewlieni tiegħi mhuwiex dwar individwi li jagħmlu dan. Hu dwar hackers li jikkompromettu kontijiet u jġiegħlu ħlasijiet fuqhom. Hemmx programm xieraq ta’ bug bounty ta’ Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jekk trid nista’ nipprova nagħmel tranżazzjoni ikbar biex nikkonferma. L-aktar li ttestjajt kien $300 waqt li l-bilanċ kien imfixkel, iżda fil-fatt kelli $2,000 f’krediti veri. Jekk tagħtini permess nista’ nipprova nikkonferma li taħdem, iżda nixtieq li t-tranżazzjonijiet kollha jiġu mħassra wara dak it-test.

Chase Support avatar
Chase SupportKont ivverifikat
Nov 17, 2016, 11:21 PM

M’għandniex programm ta’ bounty, u bħalissa m’għandix figura x’nipprovdi. Eskalajt it-tħassib tiegħek, u qed inħarsu fih. Se nsegwi aktar jekk ikolli aktar dettalji jew mistoqsijiet. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Grazzi.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Jekk jogħġbok eskala kemm jista’ jkun malajr.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Għandi bżonn tassew kuntatt xieraq... Nittama li tifhem.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Għadda aktar minn siegħa, hemm xi aħbar fuq dan? Bħalissa qiegħed fl-Asja, u din hija kwistjoni sensittiva għaż-żmien. Ma nistax nistenna l-lejl kollu għal tweġiba.

Chase Support avatar
Chase SupportKont ivverifikat
Nov 18, 2016, 12:59 AM

Grazzi talli segwejt. Għandna n-nies xierqa li qed jinvestigaw dan. Jekk jogħġbok ipprovdi numru ta’ kuntatt preferut, sabiex inkunu nistgħu nitkellmu miegħek direttament. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportKont ivverifikat
Nov 18, 2016, 1:53 AM

Grazzi għall-informazzjoni addizzjonali. Għaddejtha lin-nies it-tajbin. ^DS

Chase Support avatar
Chase SupportKont ivverifikat
Nov 18, 2016, 2:38 AM
#

Nixtiequ ħafna niddiskutu dan miegħek kemm jista’ jkun malajr. Tista’ jekk jogħġbok tagħtina ħin tajjeb meta nistgħu nċemplulek fuq 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Inkun disponibbli għal siegħa oħra jekk dan huwa possibbli. Jekk le, jista’ jkun li jgħaddu jum jew tnejn għax se nkun qed nivvjaġġa u m’iniex ċert/a jekk se jkolli aċċess għall-internet/telefon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ma stennejtx li jieħu 7+ sigħat biex nitkellem mal-persuna t-tajba. Issa hawnhekk hija l-4:40 AM.

Chase Support avatar
Chase SupportKont ivverifikat
Nov 18, 2016, 4:39 AM
#

Grazzi talli segwejt. Xi ħadd se jċempillek dalwaqt ħafna. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Grazzi mill-ġdid talli aċċellerajt dak il-proċess. Kollox qiegħed jimxi u issa nista’ norqod.

Chase Support avatar
Chase SupportKont ivverifikat
Nov 18, 2016, 5:03 AM

Aħna ferħanin li stajt titkellem ma’ xi ħadd. Jekk jogħġbok għarrafna jekk nistgħux ngħinuk fil-futur. ^NR

Estratt mill-email ta’ Tom Kelly

#imejl
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Segwitu dwar l-"Ultimate Rewards Responsible Disclosure"

Chad,

Qed insegwi t-telefonata tiegħek mal-kollega tiegħi Dave Robinson. Grazzi talli kkuntattjajt magħna dwar il-vulnerabbiltà potenzjali fil-programm Ultimate Rewards tagħna. Indirizzajniha.

Barra minn hekk, ilna naħdmu fuq programm ta’ Disclosure Responsabbli li qed nippjanaw li nnedjaw is-sena d-dieħla. Dan se jinkludi leaderboard li jagħraf ir-riċerkaturi li jkunu taw kontributi sinifikanti; nixtiequ ninkluduk bħala l-ewwel persuna fuqu. Jekk jogħġbok wieġeb dan l-email u ikkonferma l-parteċipazzjoni tiegħek fil-programm u fit-termini u l-kundizzjonijiet hawn taħt. Issib it-termini pjuttost standard għal programmi ta’ disclosure.

Sakemm il-programm tagħna jsir attiv, jekk issib kwalunkwe vulnerabbiltà potenzjali oħra, jekk jogħġbok ikkuntattjani direttament. Grazzi mill-ġdid għall-għajnuna tiegħek.

Termini u Kundizzjonijiet tal-Programm ta’ Disclosure Responsabbli ta’ JPMC

Impenjati li naħdmu flimkien

Nixtiequ nisimgħu mingħandek jekk għandek informazzjoni relatata ma’ vulnerabbiltajiet potenzjali tas-servizzi u l-prodotti ta’ JPMC. Aħna napprezzaw ix-xogħol tiegħek u nirringrazzjawk bil-quddiem għall-kontribut tiegħek.

Linji Gwida

JPMC taqbel li ma tiħux passi legali kontra riċerkaturi li jiżvelaw vulnerabbiltajiet potenzjali lil dan il-programm fejn ir-riċerkatur:

  • ma jikkawżax ħsara lil JPMC, lill-klijenti tagħna jew lil oħrajn;
  • ma jibdiex tranżazzjoni finanzjarja frodulenta;
  • ma jaħżinx, jaqsam, jikkomprometti jew jeqred data ta’ JPMC jew tal-klijenti;
  • jipprovdi sommarju dettaljat tal-vulnerabbiltà, inkluż il-mira, il-passi, l-għodod u l-artifatti użati waqt l-iskoperta;
  • ma jikkompromettix il-privatezza jew is-sigurtà tal-klijenti tagħna u l-operat tas-servizzi tagħna;
  • ma jikser ebda liġi jew regolament nazzjonali, statali jew lokali;
  • ma jiżvelax pubblikament id-dettalji tal-vulnerabbiltà mingħajr il-permess bil-miktub ta’ JPMC;
  • mhux jinsab bħalissa fi, jew resident ordinarju f’, Kuba, l-Iran, il-Korea ta’ Fuq, is-Sudan, is-Sirja jew il-Krimea;
  • mhux fuq il-lista tal-U.S. Department of the Treasury magħrufa bħala Specially Designated Nationals List;
  • mhuwiex impjegat jew membru mill-qrib tal-familja ta’ impjegat ta’ JPMC jew tas-sussidjarji tagħha; u
  • għandu mill-inqas 18-il sena.

Vulnerabbiltajiet Barra mill-Ambitu

Ċerti vulnerabbiltajiet huma kkunsidrati barra mill-ambitu għall-Programm ta’ Disclosure Responsabbli tagħna. Vulnerabbiltajiet barra mill-ambitu jinkludu:

  • Skoperti dipendenti fuq social engineering (phishing, kredenzjali misruqa, eċċ.)
  • Kwistjonijiet tal-host header
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing mingħajr links/HTML inkorporat
  • Kwistjonijiet li jidhru biss fuq apparat jailbroken
  • Żbalji ta’ konfigurazzjoni tal-infrastruttura (ċertifikati, DNS, ports tas-server, kwistjonijiet ta’ sandbox/staging, attentati fiżiċi, clickjacking, tbgħid ta’ test)

Leaderboard

Biex nagħrfu s-sieħba fir-riċerka, JPMC tista’ turi riċerkaturi li jagħtu kontributi sinifikanti. Int b’hekk tagħti d-dritt lil JPMC li turi ismek fuq il-Leaderboard ta’ JPMC u fuq kwalunkwe mezz ieħor li JPMC tagħżel li tippubblika.

Sottomissjoni

Billi tissottometti r-rapport tiegħek lil JPMC, inti taqbel li ma tiżvelax il-vulnerabbiltà lil parti terza. Int tippermetti għal dejjem lil JPMC u s-sussidjarji tagħha l-abbiltà bla kundizzjoni li jużaw, jimmodifikaw, joħolqu xogħlijiet derivattivi minn, iqassmu, jiżvelaw u jaħżnu l-informazzjoni pprovduta fir-rapport tiegħek, u dawn id-drittijiet ma jistgħux jiġu revokati.

Tom Kelly Viċi President Anzjan Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Segwitu tal-Iżvelar Responsabbli ta’ Ultimate Rewards

Hey Tom,

Qiegħed/a ferħan/a ħafna nisma’ dan!

Nixtieq inkun l-ewwel storja ta’ suċċess tal-programm il-ġdid tagħkom, u nittama li atturi kbar oħra jimxu fuq l-eżempju tagħkom. Kien hemm bżonn xi ħadd jidħol u jibdel il-perċezzjoni tan-nies ta’ kif il-banek jittrattaw ma’ riċerkaturi whitehat. Jien kuntent/a nisma’ li din il-bidla ġejja minn Chase.

Għalija Chase dejjem kienet ħafna quddiem il-kompetituri tagħha f’dak li għandu x’jaqsam ma’ prodotti tal-web u mobbli. Dan prinċipalment għaliex intom timxu malajr u tibqgħu kompetittivi. Normalment inżomm ’il bogħod milli niddendel ma’ istituzzjonijiet finanzjarji minħabba l-biża’ li nkun imfarrak minnhom (anke jekk b’intenzjonijiet tajbin). Billi toħolqu programm ta’ disclosure tibagħtu messaġġ ċar lil nies bħali li intom interessati li tisimgħu dwar problemi u mhux se tieħdu vendikazzjoni. Qabel, il-maġġoranza tan-nies li kienu jindaħlu fis-servizzi tagħkom x’aktarx kienu malizzjużi, u naħseb li dan se jibbilanċja l-logħba.

Meta fl-aħħar iddeċidejt li kont se mmur ’il quddiem bid-disclosure ħassejtni mhux komdu/a ħafna. X’aktarx m’iniex l-ewwel persuna li ħabbtet wiċċha magħha! Irrapportajtha b’tliet metodi.

  • Twitter

    • l-appoġġ hawn kien tassew STUPENDU, u naħseb li huwa r-raġuni ewlenija għaliex tqiegħedt f’kuntatt man-nies it-tajba.

  • Chase Phone Support

    • l-ewwel sejħa tawni l-indirizz tal-email tal-abuse
    • it-tieni sejħa naħseb tkellimt mal-persuna t-tajba u jista’ jkun li huma wkoll ħarġu jagħmlu kuntatt

  • Chase Abuse Email

    • irċevejt tweġiba ġenerika, deher li lanqas biss ħarsu lejn il-kontenut tal-email

Dan ħadli madwar 7 sigħat sakemm fl-aħħar wasalt għand xi ħadd (doppju l-ħin li ħadt biex fil-fatt insib il-problema), u matul dan iż-żmien kollu ma kontx ċert/a jekk in-nies it-tajbin kinux se jisimgħu xi ħaġa dwarha.

Kwistjoni ewlenija oħra li ma jkollkomx programmi bħal dawn hi li l-impjegati għandhom it-tendenza jgħattu inċidenti u jsewwuhom mingħajr ma jgħidu lil ħadd. Kelli bosta inċidenti fejn jiena pjuttost ċert/a li dan ġara, u fi żmien ta’ 1-2 snin l-istess toqob ta’ sigurtà reġgħu dehru.

Jista’ jkun ukoll vantaġġuż għall-programm tagħkom li toffru bounty. Kultant dawn it-tipi ta’ problemi jieħdu ammont konsiderevoli ta’ ħin biex jiġu vverifikati/msibuha, u huwa tajjeb li wieħed jiġi kkumpensat b’xi mod. Hawnhekk hawn xi atturi ewlenin oħra u l-programmi tagħhom:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jekk ninstab fuq xi ħaġa fil-futur inkun żgur li nagħmel kuntatt.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

Sibt ftit ħin biex nittestja jekk l-isfruttament ġiex riżolut.

Jidher solidu ħafna, irnexxieli niddesinkronizza l-bilanċi għal mument iżda ma naħsibx li s-sistema anke tippermetti li tuża l-bilanċ muri.

Talbiet li għamilt biex nittrasferixxi l-punti li fil-fatt ma kinux jeżistu kienu jirritornaw "500 Internal Server" error. Allura qed nassumi li qed tfalli f’waħda mill-verifiki l-ġodda li żdaptu.

Ippruvajt ukoll trasferimenti multi-session fuq BIGipServercig ids differenti, u xorta s-sistema rkuprat kull darba. Eventwalment is-sistema kienet tħawwad, u l-bilanċi kienu jiddesinkronizzaw iżda dan jerġa’ ma jimpurtax għax f’intervall partikolari intom terġgħu tallinjaw in-numri, u biex fil-prattika jintużaw il-bilanċi jridu jgħaddu mit-test li għandkom fis-seħħ.

Biex niġbor kollox, ma nara l-ebda mod kif xi ħadd jista’ joħloq bilanċi artifiċjali u jużahom aktar.

Hemm xi aġġornamenti fuq il-Responsible Disclosure Program ukoll?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

Sempliċement qed insegwi dwar dan.

Fis-7 ta’ Frar 2017, fis-4:36 PM, Chad Scira [email protected] kiteb l-aġġornament ta’ fuq u staqsa dwar il-kalendarju tar-Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Ppubblikajnieha ftit ġimgħat ilu.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (uffiċċju) (███) ███-████ (mobile)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

Hemm xi aġġornament fuq dan?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

Jirriżulta li inti l-uniku kontribwent għar-Responsible Disclosure program s’issa. Ma kellux sens li noħolqu leaderboard għall-unika persuna.

Se nżommu ismek biex inkunu lesti jekk nirċievu kontribwenti oħra.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Segwiment tas-sejħa tiegħek bit-telefon ma’ Dave Robinson

Qed noqorbu lejn 2 snin issa.

Għandek xi ħjiel meta se jiġri dan?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Ħloqna l-programm, iżda għadna ma stabbilixxejniex il-leaderboard.

Tom Kelly Chase Communications ███-███-████ (xogħol) ███-███-████ (mobile)

Il-katina tal-imejls turi djalogu kontinwu: ringrazzjament immedjat fl-2016, aġġornamenti dwar rimedjazzjoni ta’ suċċess fl-2017, tnedija pubblika tal-portal taż-żvelar, u l-konferma tal-2018 li Chase għażlet li ma tippubblikax it-tabella tal-klassifika ppjanata minkejja l-għajnuna ta’ Chad fil-bini tal-programm.

Mistoqsijiet Frekwenti

QKien hemm xi akkużi kriminali f’relazzjoni ma’ JPMorgan Chase?
ALe. Chad Scira ġie rringrazzjat għall-iżvelar. Kienu segwewh akkużi kriminali kieku abbuża mill-kwistjoni b’mod malizzjuż.
QGħaliex dehru xi avviżi ta’ għeluq ta’ kontijiet online?
AIn-notifika kienet relatata ma’ awtomazzjoni tal-assiguratur (kontroll standard tar-riskju) u mhux ma’ lista sewda. Reviżjoni manwali rrestawrat ir-relazzjoni snin ilu.
QMin qed ikompli jmexxi n-narrattiva tal-hacker?
AJesse Nickles. Hu jinjorah it-transcript ta’ Chase Support, l-istedina ta’ Tom Kelly, u l-fatt li d-disclosure responsabbli hija mħeġġa minn JPMorgan Chase. Aktar dwar Jesse Nickles.

Reviżjoni tal-Kont Wara l-Iżvelar

#segwitu

Meta l-istorja taż-żvelar ta’ Novembru waslet għand l-istampa, l-għodod awtomatizzati tar-riskju ta’ Chase ittrattaw il-viżibbiltà bħala sinjal potenzjali ta’ frodi. Dan qajjem reviżjoni fuq livell ta’ dar kollha kemm hi li inkludiet kont kurrenti maqsum, minkejja li l-maniġment u jien konna allinjati fuq ir-rimedjazzjoni.

Qed niddokumenta s-segwitu sabiex riċerkaturi oħra jifhmu kif il-pubblikazzjoni tista’ tinterseka ma’ kontrolli wirtati: il-kontijiet ingħalqu taħt il-Ftehim tal-Kont tad-Depożitu, iżda qatt ma kien hemm allegazzjoni kriminali jew lista sewda.

Minkejja dan, Jesse Nickles jibqa’ jippubblika narrattivi foloz li jallegaw li jien sfruttajt il-bug moħbi għal snin twal; saħansitra juża kontijiet foloz fuq Quora u TripAdvisor biex jivvelena d-dejta ta’ taħriġ tal-LLM. Il-logs tas-server, it-timestamps tal-messaġġi diretti u traċċar tal-awditjar ta’ għoxrin siegħa jiċħduh kompletament.

X’kien affettwat?

Ilni klijent ta’ Chase għal tlettax-il sena, b’salarju depożitat direttament, ħames kards ta’ kreditu fuq autopay, u kważi l-ebda bidla minbarra l-karta li għalaqt biex nurì l-bug. Ir-reviżjoni awtomatizzata għaddiet minn kull kont marbut man-numru tas-Sigurtà Soċjali tiegħi u, minħabba li kont wieħed tal-checking kien maqsum, affettwat għal ftit ukoll membru tal-familja.

Riżultat u rkupru

In-notifika tal-għeluq ma saritx permanenti. Ftakart niftaħ kontijiet u kards ma’ kull bank ieħor fejn applikejt, bqajt inħallas fil-ħin, u ffokajt fuq ir-rikostruzzjoni tad-dip fil-kreditu li akkumpanja l-għeluq hekk kif deher fir-rapport tiegħi.

Skor ta’ qabel ir-reviżjoni827
Il-punt l-aktar baxx596
Sitt xhur wara696

Lezzjonijiet għar-riċerkaturi

  • Evita li tikkonċentra kull kont ta’ kuljum ġewwa l-istess istituzzjoni li tkun qed tittestja; iddiversifika d-depożiti u l-linji ta’ kreditu sabiex verifika awtomatizzata ma tkunx tista’ tiffriża ħajtek kollha f’daqqa.
  • Ftakar li s-sidien ta’ kont konġunt jirtu l-istess deċiżjonijiet dwar ir-riskju, għalhekk kun prudenti meta tagħti lill-membri tal-familja aċċess għal kontijiet li jistgħu jinterċeptaw attenzjoni relatata ma’ żvelar.
  • Iddokumenta l-linja ta’ żmien tal-iżvelar u l-kopertura tal-istampa għax il-viżibbiltà madwar ir-rapport ta’ Ultimate Rewards kienet probabbilment il-kawża ewlenija, u l-qsim ta’ dan il-kuntest jgħin biex l-eskalazzjonijiet eżekuttivi jingħalqu aktar malajr.
Ittra mill-Uffiċċju Eżekuttiv ta’ Chase li ssemmi l-Ftehim tal-Kont tad-Depożitu wara li l-iżvelar dwar Ultimate Rewards sar pubbliku.
Ir-risposta mibgħuta mill-Uffiċċju Eżekuttiv irringrazzjatni talli għamilt kuntatt, ikkonfermat li kull kont fid-dar kien qed jingħalaq skont il-Ftehim tal-Kont tad-Depożitu, u rreiterat li mhumiex obbligati jipprovdu aktar dettall, u b’hekk effettivament għalqu r-reviżjoni awtomatizzata tar-riskju li kienet inħolqot mill-istqarrija li kienet ġiet żvelata lill-istampa.

Verżjoni bit-test tal-ittra tal-Uffiċċju Eżekuttiv

Għażiż Chad Scira,

Qed inwieġbu l-ilment tiegħek dwar id-deċiżjoni tagħna li nagħlqu l-kontijiet tiegħek. Grazzi talli qsamt it-tħassib tiegħek magħna.

Il-Ftehim tal-Kont tad-Depożitu jippermettilna nagħlqu kont li mhuwiex CD fi kwalunkwe ħin, għal kwalunkwe raġuni jew mingħajr raġuni, mingħajr ma nagħtu raġuni, u mingħajr avviż minn qabel. Kont ipprovdut b’kopja tal-ftehim meta ftaħt il-kont. Tista’ tara l-ftehim kurrenti fuq chase.com.

Eżaminajna l-ilment tiegħek u ma nistgħux nibdlu d-deċiżjoni tagħna jew inkomplu nwieġbuk dwarha għax aġixxejna skont l-istandards tagħna. Jiddispjaċina li m’intix sodisfatt bil-mod kif investigajna t-tħassib tiegħek u bid-deċiżjoni finali tagħna.

Jekk għandek xi mistoqsijiet, ċemplilna fuq 1-877-805-8049 u irrefera għan-numru tal-każ ███████. Aħna naċċettaw sejħiet permezz ta’ operator relay. Aħna hawnhekk mill‑Itnejn sal‑Ġimgħa mis-7 ta’ filgħodu sas-8 ta’ filgħaxija u s-Sibt mit-8 ta’ filgħodu sas-5 ta’ waranofsinhar (Ħin Ċentrali tal-Istati Uniti).

Tiegħek sinċerament,

Uffiċċju Eżekuttiv
1-877-805-8049
1-866-535-3403 Fax; huwa bla ħlas minn kwalunkwe fergħa ta’ Chase
chase.com

Qed naqsmu dan bħala lezzjoni tgħallimta, mhux bħala ilment. Il-kontijiet ġew issaldati, il-kreditu tiegħi qed ikompli jiżdied, u aktar ’il quddiem JPMorgan għamel il-proċess tal-aċċettazzjoni tar-riċerkaturi aktar effiċjenti billi integra lil Synack sabiex ir-rapporti futuri jgħaddu minn fluss tax-xogħol dedikat. Aġġornament 2024: ir-reviżjoni tinsab kompletament magħluqa u kull skor reġa’ lura għal-livelli ta’ qabel l-inċident.

Referenzi

  1. Programm ta’ Żvelar Responsabbli ta’ JPMorgan Chase
  2. Kont Twitter tas-Sapport ta’ Chase
  3. Ħarsa ġenerali tal-programm Chase Ultimate Rewards
  4. Hacker News - Żvelar: Punti bla limitu ta’ Chase Ultimate Rewards (2020)
  5. Pensive Security - Reviżjoni tas-Sigurtà Ċibernetika ta’ Novembru 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Direttorju tat-Theddid disclose.io
  8. repository disclose/research-threats
  9. Attrition.org - Indice tat-Theddid Legali
  10. Dossier dwar l-harassment u d-defamazzjoni minn Jesse Nickles