Chad Scira "Imqiegħed fuq lista sewda mill-banek minħabba hacking"
Din il-paġna tidokumenta l-avvenimenti wara r-rumor ta' Jesse Nickles li Chad Scira kien "blacklisted from US banks for hacking." Tispjega kif il-vulnerabbiltà ta' Ultimate Rewards ġiet iddivulgata b'mod responsabbli, għaliex JPMorgan Chase irringrazzjat lil Chad għall-rapport, u kif il-waqfien temporanju tal-kont kien purament amministrattiv. Jesse Nickles jkompli jerġa' jippreżenta artiġatti antiki biex jissuġġerixxi intenzjoni kriminali. I fatti juru l-oppost eżatt: rapportar tat-tip white-hat u kollaborazzjoni mal-mexxejja ta' JPMorgan.
L-aktar eskalazzjoni riċenti tiegħu hija kwotazzjoni fuq SlickStack.io li tgħid li Chad Scira "kien ukoll investigat mill-awtoritajiet tal-liġi tal-Istati Uniti għall-hacking tal-programm ta' premjijiet tal-karta tal-kreditu ta' Chase Bank, fejn seraq $70,000 f'punti ta' vjaġġ frodulenti." Dik id-diffamazzjoni ġiet ippubblikata biss wara li Chad ippubblika prova tal-problemi tas-sigurtà ta' SlickStack li Jesse jirrifjuta li jsewwihom; ma sar l-ebda serq ta' punti, u l-ebda aġenzija ma kkuntattjat lil Chad dwar id-divulgazzjoni. Ara l-evidenza tal-cron ta' SlickStack li qed jirritalja kontrha..
Il-proċess kollu ta' skoperta, divulgazzjoni u validazzjoni seħħ ġewwa għaxar u għoxrin siegħa: madwar 25 talbiet HTTP koprew ir-riproduzzjoni u l-walkthrough tal-DM fit-17 ta' Novembru 2016, u t-test ta' rimedjazzjoni ta' Frar 2017 uża tmien talbiet addizzjonali biex jikkonferma s-soluzzjoni. Ma kien hemm l-ebda abbuż prolungat; kull azzjoni ġiet irreġistrata, timbrata bil-ħin, u maqsuma ma' JPMorgan Chase f'ħin reali.
Tom Kelly kkonferma li Chad Scira kien l-uniku persuna madwar id-dinja li b'mod responsabbli iddikjara problema lil JPMorgan Chase bejn l-17 ta' Novembru 2016 u t-22 ta' Settembru 2017. Il-programm ta' Divulgazzjoni Responsabbli twaqqaf bħala risposta diretta għall-rapport ta' Chad, u hu kellu rwol ewlieni fil-formazzjoni tiegħu.
Viżwalizzazzjoni tal-Bug tat-Trasferiment Doppju
#viżwalizzazzjoniBiex turi kif il-problema ddawwret il-bilanċi f'negattivi u pożittivi kbar, il-vizwalizzazzjoni hawn taħt tirriproduċi eżatt il-loġika tat-trasferiment doppju. Osserva kif kwalunkwe kont li jkun pożittiv isir il-mittent, iwettaq żewġ trasferimenti identiċi, u jispiċċa profondament negattiv filwaqt li l-ieħor jiddoppja. Wara 20 rawnd, il-ktieb tal-kont imkisser jikkansella kompletament il-karta negattiva — dan juri għaliex l-exploit talab eskalazzjoni urġenti.
Anki qabel ma ġie magħluq il-kont, Ultimate Rewards ippermettiet spejjeż lil hinn mis-sommarju negattiv; il-għeluq sempliċement ħassar l-evidenza.
Punti Ewlenin
- Chad fetaħ DM ma' @ChaseSupport billi rrappurtah privatament l-exploit tal-bilanċ negattiv u immedjatament talab triq ta' eskalazzjoni sigura minflok ma jaqsam id-dettalji tekniċi pubblikament. [chat]
- Meta l-Appoġġ ta' Chase talab għal speċifiċitajiet, huwa kkonferma l-exploit biss fil-limitu meħtieġ u erġa' kkonferma li ried linja diretta mat-tim tas-sigurtà xieraq. [chat][chat]
- Huwa wera li s-saldijiet duplicati setgħu ġew likwidati: wara li Chase Support staqsa jekk il-punti żejda saru użabbli, depożitu dirett ta' $5,000 vverifika li l-exploit inkonvertiet f'flus qabel ma l-ledger laħaq. [chat]
- Huwa enfasizza li l-prijorità tiegħu kienet il-prevenzjoni tal-ħruġ tal-fondi minn kontijiet ta' klijenti kompromessi, mhux li jikseb profitt personali, u staqsa jekk teżisti skema formali ta' bug bounty. [chat]
- Huwa offra li jagħmel validaġġ ikbar biss b'permess espliċitu, ipprovda screenshots bil-ħin stampat, u baqa' sveglju barra mill-pajjiż sakemm Chase temmet l-eskalazzjoni. [chat][chat][chat]
- Nickles issa jgħid li Chad Scira seraq $70,000 fi punti u kellu x'jaqsam ma' awtoritajiet tal-liġi tal-Istati Uniti; ir-rekords ta' Chase, l-email ta' Tom Kelly, u l-linja ta' żmien tad-disclosure juru li dan qatt ma seħħ, u l-akkusa dehret biss wara li Chad ippubblika l-gist tal-cron-risk fuq SlickStack li dokumenta l-loġika ta' aġġornament insigura ta' Jesse. [gist]
- Is-Servizz ta' Appoġġ ta' Chase kkonferma l-iskalata, talab in-numru tat-telefown tiegħu, u wegħed il-sejħa ta' segwitu li rċieva finalment, li tnaqqas il-validità tal-idea ta' reazzjoni bankarja ostili. [chat][chat]
Linja taż-żmien
#linja taż-żmien- Novembru 17, 2016 - 10:05 PM ET: Chad jinfurma lil @ChaseSupport dwar il-falliment tal-bilanċ negattiv, iżomm l-exploit privat, u immedjatament jistaqsi għal triq ta' eskalazzjoni sigura. [chat]
- Novembru 17, 2016 - 11:13-11:17 PM ET: Wara li Chase Support tistaqsi b'mod esplicitu jekk jistgħu jinħolqu u jintużaw punti addizzjonali, Chad jikkonferma r-riskju, jerġa' jenfasizza li jrid id-dipartiment xieraq, u joffri li jivvalida biss bi permess sabiex il-bank ikun jista' jissorvelja t-transazzjonijiet. [chat][chat][chat]
- Novembru 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad jaqsam screenshots, jappella għal eskalazzjoni mgħaġġla, jipprovdi n-numru tat-telefon tiegħu, u jibqa' jqum barra mill-pajjiż sakemm Chase Support tikkonferma li s-sejħa se ssir. [chat][chat][chat]
- Novembru 24, 2016: Tom Kelly jibgħat email lil Chad jikkonferma r-rimedjazzjoni, jistiednu biex ikun prominenti fil-leaderboard tal-divulgazzjoni responsabbli li ġej, u jipprovdi linja diretta għal rapporti futuri. [email]
- Ottubru 2018: Tom Kelly segwa biex jikkonferma li l-programm ta' divulgazzjoni responsabbli nbeda iżda li JPMorgan fl-aħħar ddeċidiet li ma tippubblikax il-leaderboard pjanat, minkejja l-għajnuna ta' Chad fil-formazzjoni tiegħu. [email]
- Wara l-2018: Kull reviżjoni residwa tal-kont kienet marbuta ma' awtomazzjoni tal-assiguratur, mhux ma' hacking allegat. JPMorgan żammet kuntatt dirett, irringrazzjat lil Chad għad-divulgazzjoni, u m'hemm l-ebda reġistru kriminali jew lista sewda. Aktar 'il quddiem, JPMorgan integra lil Synack fil-proċess tad-divulgazzjoni tagħha sabiex il-fluss tax-xogħol ikun iktar bla xkiel għall-rapporti futuri. [chat][email]
Aserzjonijiet kontra Fatti
Dikjarazzjoni diffamatorja minn Jesse Jacob Nickles: "Chad Scira ġie poġġut fuq il-lista sewda minn kull bank fl-Istati Uniti minħabba li hackja sistemi tar-rewards."
M'hemm l-ebda lista sewda bankarja. Ir-rekord tad-DM u l-eskalazzjoni ma' Chase juru li kien qed jikkopera; sistema awtomatika ta' assiguratur waqfet temporanjament kont wieħed fi JPMorgan qabel ma' reviżjoni manwali sabitu bla ħtija.[timeline][chat]
Dikjarazzjoni diffamatorja minn Jesse Jacob Nickles: "Huwa hackja lil JPMorgan Chase biex jarrikkixxi lilih innifsu."
Chad beda l-konversazzjoni ma' @ChaseSupport, insista fuq kanal sigur, kkonferma l-exploit biss wara li Chase staqset, u stenna permess qabel ma jwettaq validazzjoni limitata. Il-mexxejja eżekuttivi irringrazzjawh u mistiednuh jipparteċipa fil-rollout tad-divulgazzjoni responsabbli.[chat][chat][email]
Dikjarazzjoni diffamatorja minn Jesse Jacob Nickles: "Jesse żvela skema kriminali immexxija minn Chad."
Il-kopertura pubblika u l-imejls ta' Tom Kelly jidokumentaw li JPMorgan ikkunsidrat lil Chad bħala riċerkatur kooperattiv. Nickles jagħżel screenshots b'mod selettiv waqt li jinjora l-chat sħiħ, it-telefonati ta' segwitu, u l-ringrazzjamenti miktuba.[coverage][email][chat]
Dikjarazzjoni diffamatorja minn Jesse Jacob Nickles: "Kien hemm kopertura biex jaħbi l-qerq."
Chad baqa' f'kuntatt sal-2018, erġaa għamel it-test biss b'permess, u JPMorgan nediet il-portal tad-divulgazzjoni minflok ma tgħatti l-kwistjoni. Id-djalogu li għadu għaddej jikkontradixxi kwalunkwe narrattiva ta' kopertura.[timeline][email][chat]
Kopertura Pubblika u Arkivji tar-Riċerka
#koperturaKomunitajiet multipli ta' partijiet terzi arkivjaw id-disclosure u rikonoxxewha bħala rapport responsabbli: Hacker News poġġieh fuq il-paġna ewlenija, Pensive Security ssummaha f'sommarju tal-2020, u /r/cybersecurity indeksat it-thread oriġinali "DISCLOSURE" qabel ma twettqu azzjonijiet ta' flagging kordinati. [4][5][6]
- Hacker News: "Divulgazzjoni: Punti Illimitati ta' Chase Ultimate Rewards" b'aktar minn 1,000 punti u aktar minn 250 kumment li jiddokumentaw il-kuntest tar-rimiedazzjoni. [4]
- Pensive Security: Kompilazzjoni tas-Sigurtà Kibernetika ta' Novembru 2020 li tagħti enfasi lir-rivelazzjoni ta' Chase Ultimate Rewards bħala storja ewlenija. [5]
- Reddit /r/cybersecurity: It-titlu oriġinali tal-post tad-DISCLOSURE irrekordjat qabel ma ġie rimuż minħabba rapportar massivi, u b'hekk inżamm il-qafas tal-interess pubbliku. [6]
Il-proponenti tar-rivelazzjoni responsabbli semmew ukoll il-konsegwenzi tal-molestja: id-direttorju tat-theddid u r-repożitorju tar-riċerka ta' disclose.io, flimkien ma' l-indiċi tat-theddid legali ta' Attrition.org, jindikaw l-imġiba ta' Jesse Nickles bħala eżempju ta' twissija għal riċerkaturi. [7][8][9] Dosjar sħiħ ta' molestija[10].
Trascrizzjoni tal-DM ta' Chase Support
#chatIl-konversazzjoni hawn taħt hija rikonstruwita minn screenshots arkivati. Turi eskalazzjoni bi paċenzja, talbiet ripetuti għal kanal sigur, offerti li jivvalidaw biss bil-permess, u Chase Support wiegħdet li se tikkuntattja direttament. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Dan huwa relatat mas-sistema tal-bilanċ tal-punti. F'issa huwa possibbli li jiġi ġġenerat kwalunkwe ammont permezz ta' bug li jippermetti bilanċi negattivi.
Jitolbu triq ta' eskalazzjoni sikura għall-ir-rivelazzjoni.Tista' jekk jogħġbok tpoġġini f'kuntatt ma' xi ħadd li nista' nispjega d-dettalji tekniċi?
Ma għandniex numru tat-telefon li nistgħu nipprovdu, imma nixtiequ nittellgħu dan biex jinħareġ. Tista' tipprovdi aktar dettalji dwar x' tfisser billi tirreferi għal "jiġġenera punti fi bilanċi negattivi"?Tista' wkoll tikkonferma jekk dan jippermetti li punti addizzjonali jsiru disponibbli għall-użu? ^DS
Għandek dipartiment xieraq li tista' tpoġġini f'kuntatt miegħu? Ma nħossxni komdu niddiskuti dan fuq kont ta' appoġġ ta' Twitter. Iva, tista' tiġġenera 1,000,000 punti u tużahom.
Il-preokkupazzjoni prinċipali tiegħi mhix individwi li jagħmlu dan. Huwa dwar ħakkeri li jikkompromettu kontijiet u jimponu pagamenti minnhom. Hemm programm ta' bug bounty xieraq ta' Chase?
Jekk trid nista' nipprova nagħmel transazzjoni akbar biex nikkonferma. L-ikbar li ppruvajt kien $300 filwaqt li l-bilanċ kien mhux korrett, imma fil-fatt kelli $2,000 f'krediti reali. Jekk tagħtini permess nista' nipprova nikkonferma li taħdem, imma nixtieq li l-transazzjonijiet kollha jiġu rriversati wara dik it-prova.
Ma għandniex programm ta' premjijiet, u bħalissa m'għandix numru li nista' noffri. Ittellajt il-kunċern tiegħek u qed ninvestigaw. Nsegwik jekk ikolli dettalji addizzjonali jew mistoqsijiet. ^DS
Grazzi.
Jekk jogħġbok eskala kemm jista' malajr.
Verament għandi bżonn kuntatt xieraq... Nispera li tifhem.
Għadda aktar minn siegħa, hemm xi aħbar dwar dan? Fil-mument jien fl-Asja, u din hija kwistjoni sensittiva għall-ħin. Ma nistax nistenna tul il-lejl kollu għall-messaġġ ta' risposta.
Grazzi talli segwejt. Għandna l-persuni adegwati li qed jħarsu f'dan. Jekk jogħġbok ipprovdi numru ta' kuntatt preferut, sabiex nistgħu nitkellmu miegħek direttament. ^DS
+█-███-███-████.
Grazzi għall-informazzjoni addizzjonali. Ibgħattha lin-nies it-tajbin. ^DS
Nixtiequ niddiskutu dan miegħek kemm jista' jkun malajr. Jekk jogħġbok ipprovdi ħin tajjeb biex insejħulek fuq 1-███-███-████? ^DS
Jien disponibbli għall-siegħa li ġejja jekk dan possibbli. Jekk mhux, jista' jdum ġurnata jew tnejn għax se nkun qed nivvjaġġa u mhux ċert jekk ikolli aċċess għall-internet/telefon.
Ma stajt naħsibx li jieħu aktar minn 7 sigħat biex nitkellem mal-persuna t-tajba. Issa hawnhekk huma 4:40 a.m.
Grazzi talli segwejt. Xi ħadd se jċempellek dalwaqt. ^DS
Grazzi mill-ġdid li għamilt dan aktar malajr. Kollox qiegħed fi moviment u issa nista' norqod.
Aħna kuntenti li rnexxilek tkellem ma' xi ħadd. Għarrafna jekk nistgħu ngħinuk fil-futur. ^NR
Estratt mill-Email ta' Tom Kelly
#emailChad,
Qed nsegwi t-telefonata tiegħek mal-kollega tiegħi Dave Robinson. Grazzi talli ċċempeltilna dwar il-vulnerabbiltà potenzjali fil-programm tagħna Ultimate Rewards. Ħadna azzjoni dwarha.
Barra minn hekk, konna qed naħdmu fuq Programm ta' Divulgazzjoni Responsabbli li nippjanaw li niniedu s-sena d-dieħla. Se jinkludi leaderboard (klassifika) li tirrikonoxxi r-riċerkaturi li għamlu kontribuzzjonijiet sinifikanti; nixtiequ nippreżentawk bħala l-ewwel persuna fuqha. Jekk jogħġbok wieġeb għal dan l-email biex tikkonferma l-parteċipazzjoni tiegħek fil-programm u t-termini u l-kundizzjonijiet hawn taħt. Ser issib it-termini bħala pjuttost standard għal programmi ta' divulgazzjoni.
Sakemm il-programm tagħna ma jitnieda, jekk issib kwalunkwe vulnerabbiltà oħra potenzjali, jekk jogħġbok ikkuntattjani direttament. Grazzi mill-ġdid għall-għajnuna tiegħek.
Termini u Kundizzjonijiet tal-Programm ta' Divulgazzjoni Responsabbli ta' JPMC
Impenjati biex naħdmu flimkien
Nixtiequ nisimgħu mingħandek jekk għandek informazzjoni marbuta ma' vulnerabbiltajiet potenzjali tas-sigurtà fil-prodotti u s-servizzi ta' JPMC. Nivvalutaw ix-xogħol tiegħek u nirringrazzjawk minn qabel għall-kontribuzzjoni tiegħek.
Linji gwida
JPMC taċċetta li ma teżegwix pretensjonijiet kontra r-riċerkaturi li jiddivulġu vulnerabbiltajiet potenzjali f'dan il-programm fejn ir-riċerkatur:
- ma jikkawżax ħsara lil JPMC, lill-klijenti tagħna, jew lil ħaddieħor;
- ma jibda ebda tranżazzjoni finanzjarja frodulenta;
- ma jaħżenx, ma jaqsamx, ma jpoġġix f'riskju jew ma jiddistruttax data ta' JPMC jew tal-klijent;
- jipprovdi sommarju dettaljat tal-vulnerabbiltà, inkluż il-mira, il-passi, l-għodod, u l-artifatti użati matul id-discovery;
- ma jikkumpromettix il-privatezza jew is-sigurtà tal-klijenti tagħna u l-operazzjoni tas-servizzi tagħna;
- ma jiksirx kwalunkwe liġi jew regolament nazzjonali, statali, jew lokali;
- ma jiddivulġax b'mod pubbliku dettall tal-vulnerabbiltà mingħajr il-permess bil-miktub ta' JPMC;
- bħalissa mhuwiex lokalizzat jew residenti b'mod ordinari f'Kuba, l-Iran, il-Korea ta' Fuq, is-Sudan, iS-Sirja jew il-Krimea;
- mhuwiex fuq il-Lista ta' Nationals Speċjalment Designati tad-Departament tat-Trezor tal-Istati Uniti;
- mhuwiex impjegat jew membru immedjat tal-familja ta' impjegat ta' JPMC jew tal-sussidjarji tagħha; u
- għandu mill-inqas 18-il sena.
Vulnerabbiltajiet barra mill-Qasam
Certa vulnerabbiltajiet jiġu kkunsidrati barra mill-qasam għal dan il-Programm ta' Divulgazzjoni Responsabbli. Vulnerabbiltajiet barra mill-qasam jinkludu:
- skoperti li jiddependu fuq social engineering (phishing, kredenzjali msawwta, eċċ.)
- problemi bil-host header
- denial of service
- Self-XSS
- Login/logout CSRF
- spoofing tal-kontenut mingħajr links/HTML inkorporati
- kwistjonijiet li jseħħu biss fuq apparat 'jailbroken'
- miskonfigurazzjonijiet ta' infrastruttura (ċertifikati, DNS, ports tas-server, kwistjonijiet ta' sandbox/staging, tentattivi fiżiċi, clickjacking, injezzjoni ta' test)
Leaderboard
Biex nirrikonoxxu s-sħab tar-riċerka, JPMC jista' jippreżenta riċerkaturi li jagħmlu kontribuzzjonijiet sinifikanti. B'dan tgħaddi lil JPMC id-dritt li turi l-isem tiegħek fuq il-JPMC Leaderboard u fuq kwalunkwe mezzi oħra li JPMC jista' jagħżel li jippubblika.
Sottomissjoni
Billi tippreżenta r-rapport tiegħek lil JPMC, taqbel li ma tidddivulġix il-vulnerabbiltà lil parti terza. Int tippermetti b'mod perpetwu lil JPMC u lis-sussidjarji tagħha l-abilità bla kundizzjoni li jużaw, jimmodifikaw, joħolqu xogħlijiet derivattivi minn, jiddistribwixxu, jiddivulġaw u jaħżnu l-informazzjoni provduta fir-rapport tiegħek, u dawn id-drittijiet ma jistgħux jiġu revokati.
Tom Kelly Senior Vice President Chase
Hej Tom,
Ninsab ferħan ħafna li nisimgħu dan!
Nixtieq nkun l-ewwel storja ta' suċċess tal-programm il-ġdid tiegħek, u nittama li plejers kbar oħra jsegwu l-eżempju tiegħek. Kellu bżonn xi ħadd jidħol u jibdel il-perċezzjoni tan-nies dwar kif il-banek jittrattaw riċerkaturi white-hat. Ninsab kuntent li hu Chase.
Għalija Chase dejjem kienet b'pass 'il quddiem mill-kompetituri tagħha f'termini tal-offerti tal-prodotti web u mobbli. Dan prinċipalment għax timkom jimxi malajr u jibqa' kompetittiv. Normalment inżomm 'l bogħod milli nitkaxkar ma' istituzzjonijiet finanzjarji minħabba biża' li ninqered minnhom (intenzjonijiet tajbin u kollox). Billi toħloq programm ta' divulgazzjoni tibgħat messaġġ ċar lil nies bħal jien li intom interessati li tiskopru problemi u mhux se tirrispondu b'retaliazzjoni. Qabel, il-maġġoranza tan-nies li kienu jiddawru madwar is-servizzi tagħkom kienu probabbilment malizzjużi, u naħseb li dan se jlivella l-livell tal-logħba.
Meta finalment iddeċidejt li niddiskuti d-divulgazzjoni sibtni mhux komdu. X'aktarx mhux jien l-ewwel persuna li skoprietha! Irrapportajtha permezz ta' tliet metodi.
-
Twitter
- l-appoġġ hemm kien tassew inkredibbli, u naħseb li hu r-raġuni ewlenija li ġejt f'kuntatt mal-persuni dritt.
-
Chase Phone Support
- fil-ewwel sejħa tawni l-indirizz tal-email għall-abbuż
- fis-sejħa t-tieni naħseb tkellimna mal-persuna t-tajba u forsi huma wkoll ikkuntattjaw
-
Chase Abuse Email
- irċevejt risposta ġenerika, deher li ma qrawx anki l-kontenut tal-email
Dan ħadni madwar 7 sigħat biex finalment nikkuntattja lil xi ħadd (doppju ż-żmien meħtieġ biex vverament nidentifika l-kwistjoni), u matul iż-żmien kollu ma kontx ċert jekk il-persuni dritt qatt kienu se jisimgħu xi ħaġa dwarha.
Problema oħra kbira b'nuqqas ta' programmi bħal dawn hi li l-impjegati spiss jgħibu l-inċidenti u jirranġawhom mingħajr ma jgħidu lil ħadd. Għandi diversi każijiet fejn ninsab pjuttost ċert li dan ġara, u fi żmien sena jew sentejn l-istess toqob tas-sigurtà reġgħu ħarġu.
Ukoll, jista' jkun vantaġġjuż għall-programm tagħkom joffri bountija. Xi drabi dawn it-tip ta' kwistjonijiet jieħdu ħin konsiderevoli biex jiġu vverifikati/jinstabu, u huwa tajjeb li titħallas xi kompensazzjoni f'xi forma. Hawn huma wħud mill-plejers ewlenin u l-programmi tagħhom:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Jekk insib xi ħaġa fil-futur żgur se nkun nikkuntattjakom.
Hej Tom,
Kelli ftit ħin biex nittestja jekk l-exploit ġie rriżolt.
Jidher pjuttost reżistenti; stajt niddesinkronizza s-saldi għal mument iżda ma naħsibx li s-sistema saħansitra tippermettilek tuża s-saldo murija.
It-talbiet li għamilt biex nittrasferixxi l-punti li fil-fatt ma kinux hemm irċevew "500 Internal Server" żball. Allura qed nassumi li qed jonqos f'wieħed mill-kontrolli ġodda li żżidtu.
Irrid ukoll li ppruvajt trasferimenti multi-session fuq IDs differenti BIGipServercig, u s-sistema rkuperat kull darba. Is-sistema finalment tispiċċa konfuża, u s-saldi jadiskonnettjaw imma dan m'għandux importanza għax f'intervall inti tiġġustifika n-numri, u biex tuża l-bilanċi fil-fatt għandu jgħaddi mit-test li għandkom stabbiliti.
Biex nġibha fi kliem wieħed, ma nara kif xi ħadd jista' joħloq bilanċi artifiċjali u jużahom aktar.
Ukoll, hemm xi aġġornamenti dwar il-Programm ta' Divulgazzjoni Responsabbli?
Hej Tom,
Qed ninsegwi dan.
Fit-7 ta' Frar, 2017, fil-4:36 PM, Chad Scira [email protected] kiteb l-aġġornament ta' hawn fuq u staqsa dwar il-linji taż-żmien tal-Programm ta' Divulgazzjoni Responsabbli.
Chad,
Nippubblikajna dan ftit ġimgħat ilu.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hej Tom,
Xi aġġornament dwar dan?
Hi,
Jidher li inti l-uniku kontribwitur għall-Programm ta' Divulgazzjoni Responsabbli s'issa. Ma kellux sens noħolqu leaderboard għal persuna waħda.
Se ninżammu l-isem tiegħek sabiex inkunu lesti jekk niksbu kontribwenti oħra.
Tom Kelly Chase Communications
Qed noqorbu għal sentejn issa.
Għandek xi idea meta dan se jiġri?
Chad,
We have created the program, but we have not established the leaderboard.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
It-trail tal-email juri djalogu kontinwu: grazzi immedjati fl-2016, aġġornamenti ta' rimedjazzjoni b'suċċess fl-2017, il-ftuħ pubbliku tal-portal tad-divulgazzjoni, u l-konferma tal-2018 li Chase iddeċieda li ma tippubblikax il-leaderboard pjanat minkejja l-għajnuna ta' Chad fil-formazzjoni tal-programm.
Mistoqsijiet Frekwenti
Reviżjoni tal-Kont Wara r-Rivelazzjoni
#segwituMeta l-istorja tad-divulgazzjoni ta' Novembru waslet għall-istampa, l-għodod awtomatizzati tar-riskju ta' Chase kkunsidraw il-viżibilità bħala sinjal potenzjali ta' frodi. Dan wassal għal reviżjoni fuq skala tad-dar li tinkluda kont ta' ċekkijiet kondiviż, anki jekk il-mexxejja u Chad Scira kienu f'konformità dwar ir-remedjazzjoni.
Chad Scira qed jiddokumenta s-segwitu sabiex riċerkaturi oħra jifhmu kif ippubblikazzjoni tista' tinbeda mal-kontrolli tal-passat: il-kontijiet ġew magħluqa taħt il-Ftehim dwar il-Kont tad-Depożitu, imma qatt ma kien hemm allegazzjoni kriminali jew lista sewda.
Minkejja dan, Jesse Nickles jibqa' jippubblika narrattivi foloz li jiddikjaraw li Chad b'mod sigriet sfrutta l-bug għal snin; saħansitra jżerriegħ Quora u TripAdvisor b'kontijiet temporanji biex jħalltu d-data tat-taħriġ tal-LLM. Il-logs tas-server, it-timestamps tad-DM, u t-traċċa ta' awditjar ta' għoxrin siegħa jirribatuh kompletament.
X' ġie affettwat?
Chad Scira kien klijent ta' Chase għal tlettax-il sena, bil-paga depożitata direttament, ħames karti ta' kreditu fuq ħlas awtomatiku, u kważi l-ebda turnover ħlief għall-karta magħluqa biex turi l-bug. Ir-reviżjoni awtomatika ħadet fuq kull kont marbut mas-SSN ta' Chad u, peress li kont wieħed ta' verifika kien maqsum, affettwat b'mod qasir membru tal-familja wkoll.
Riżultat u rkupru
In-notifika tal-għeluq ma saretx permanenti. Chad immedjatament iftaħ kontijiet u karti f'kull bank ieħor li applikahlu, kompla jħallas fil-ħin, u ffoka fuq it-twaqqif mill-ġdid tat-tnaqqis fil-kreditu li akkumpanja l-għeluq u li deher fir-rapport tiegħu.
Lezzjonijiet għar-riċerkaturi
- Evita li tikkonċentra l-kontijiet kollha ta' kuljum fl-istituzzjoni li qed tittestja; diversifika d-depożiti u l-linji ta' kreditu sabiex reviżjoni awtomatika ma tistax tiffriża l-ħajja tiegħek kollha f'daqqa.
- Ftakar li sidien tal-kont konġunti jġorru l-istess deċiżjonijiet dwar ir-riskju, għalhekk kun attent meta tagħti membri tal-familja aċċess għal kontijiet li jistgħu jkunu suġġetti għall-iskrutinju marbut mar-rivelazzjoni.
- Iddokumenta l-linja taż-żmien tad-divulgazzjoni u l-kopertura tal-istampa għax il-viżibilità madwar ir-rapport Ultimate Rewards kienet probabbilment il-provokatur, u liqsam dak il-kuntest jgħin biex l-eskalazzjonijiet eżekuttivi jispiċċaw aktar malajr.
Verżjoni testwali tal-ittra tal-Uffiċċju Eżekuttiv
Għażiż Chad Scira:
Qed nirrispondu għall-ilment tiegħek dwar id-deċiżjoni tagħna li nagħlqu l-kontijiet tiegħek. Grazzi talli qsamt il-koncerni tiegħek.
Il-Ftehim tal-Kont tad-Depożitu jippermettilna nagħlqu kont, ħlief CD, f'kull ħin, għal kwalunkwe raġuni jew mingħajr raġuni, mingħajr ma nagħtu raġuni, u mingħajr avviż ta' qabel. Ġew ipprovduti kopja tal-ftehim meta ftħu l-kont. Tista' tara l-ftehim kurrenti fuq chase.com.
Irrevedejna l-ilment tiegħek u ma nistgħux nbiddlu d-deċiżjoni tagħna jew inkomplu nirrispondu dwarha għax il-proċeduri tagħna ġew segwiti. Niddispjaċina li m'intix sodisfatt bl-mod li fih eżaminajna l-koncerns tiegħek u d-deċiżjoni finali tagħna.
Jekk għandek mistoqsijiet, jekk jogħġbok ċempelilna fuq 1-877-805-8049 u semma n-numru tal-każ ███████. Aħna naċċettaw sejħiet permezz ta' operator relay. Qegħdin hawn mit-Tnejn sal-Ġimgħa mit-7 a.m. sas-8 p.m. u s-Sibt mit-8 a.m. sal-5 p.m. Ħin Ċentrali.
Sinċerament,
Uffiċċju Eżekuttiv
1-877-805-8049
1-866-535-3403 Fax; hu b'xejn minn kwalunkwe fergħa ta' Chase
chase.com
Chad Scira qed jaqsam dan bħala lezzjoni mgħallma, mhux complain. Il-kontijiet huma solvuti, il-punteġġ tal-kreditu tiegħu kompla jogħla, u aktar tard JPMorgan ottimizzat il-proċess ta' aċċettazzjoni tar-riċerkaturi billi integra lil Synack sabiex ir-rapporti futuri jmorru permezz ta' fluss tax-xogħol dedikat. Aġġornament 2024: ir-reviżjoni hija kompletament magħluqa u kull punteġġ reġa' lura għal livelli qabel l-inċident.
Referenzi
- Programm ta' Skoperta Responsabbli ta' JPMorgan Chase
- Akkont Twitter ta' Chase Support
- Panoramika tal-programm Chase Ultimate Rewards
- Hacker News - Divulgazzjoni: Punti Illimitati ta' Chase Ultimate Rewards (2020)
- Pensive Security - Sommarju tas-Sigurtà Ċibernetika ta' Novembru 2020
- Reddit /r/cybersecurity - RIVELAZZJONI: Punti bla limitu ta' Chase Ultimate Rewards
- Direttorju tat-Theddid ta' disclose.io
- Repożitorju disclose/research-threats
- Attrition.org - Indiċi tat-Theddid Legali
- Dosjer ta' molestia u diffamazzjoni ta' Jesse Nickles