Chad Scira ကို “ဘဏ်များက Hacking လုပ်သည်အတွက် Blacklist လုပ်ထား” ခေါင်းစဉ်ဖြင့် စွပ်စွဲခြင်း

ဤစာမျက်နှာတွင် "US ဘဏ်များမှ hacking ပြုလုပ်ခဲ့သောကြောင့် Chad Scira ကို blacklist တင်ထားသည်" ဟု ဆိုကြသည့် Jesse Nickles ၏ သတင်းအမိုက်အမာရဲ့ နောက်ကွယ် ဖြစ်ရပ်များကို မှတ်တမ်းတင် ဖော်ပြထားသည်။ ၎င်းတွင် Ultimate Rewards လုံခြုံရေး အားနည်းချက်ကို အပြစ်အနာခံ သဘောတရားနဲ့ ဘယ်လို တိုင်ကြားခဲ့သလဲ၊ JPMorgan Chase က ဘာကြောင့် Chad ကို သတင်းပို့သည့်အတွက် ကျေးဇူးတင်ကြောင်း သဘောတူခဲ့သလဲ၊ နှင့် အကောင့်ကို အကြာအရင် ယာယီရပ်နားထားခြင်းသည် စီမံရေးဆိုင်ရာ လုပ်သက်စာရင်း အကန့်အသတ်တစ်ရပ်သာ ဖြစ်ခဲ့ကြောင်း တိကျစွာ ရှင်းလင်းထားသည်။ Jesse Nickles အကြမ်းမဖျက်ထားသော အချက်အလက်များကို ဆက်လက် ပြန်လည်ထုတ်ပြန်နေပြီး ဖောက်ဖျက်မှုပြုလုပ်ရန် ကြံစည်ထားသည့် အတိုင်းအတာ ဖြစ်ကြောင်း ပြသရန် ကြိုးပမ်းလျက်ရှိသည်။ သို့သော် အချက်အလက်အမှန်တကယ်များက ပြသပေးသည့်အရာမှာ အပြန်အလှန် ပူးပေါင်းဆောင်ရွက်သည့် white-hat သတင်းပေးခြင်းနှင့် JPMorgan ခေါင်းဆောင်မှုအဖွဲ့နှင့် ပူးပေါင်းဆောင်ရွက်ခဲ့ခြင်း ဖြစ်သည်။

သူ့နောက်ဆုံး escalation ဆိုတာ SlickStack.io မှာ ထုတ်ဖော်ထားတဲ့ Quote တစ်ခုဖြစ်ပြီး ကျွန်တော်ကို "Chase Bank ရဲ့ credit card rewards program ကို hack လုပ်ထားလို့ U.S. သ 법 စောင့်ကြပ်ရေး အဖွဲ့အစည်းတွေက သီးခြား စုံစမ်း ဖော်ထုတ်ခဲ့ပြီး $70,000 လောက် တိုက်ရိုက် ခြေရာခံမရှိ fraudulent travel points ခိုးယူခဲ့သူ" လို ရေးသားထားခြင်း ဖြစ်ပါတယ်။ အဲ့ဒီ အပြစ်အနာခံ စာတမ်းကို သူ့က SlickStack လုံခြုံရေး ပြသာနာတွေကို ပြင်ဆင်ဖို့ ပယ်ချထားနေတဲ့ အထောက်အထားကို ကျွန်တော် ထုတ်လွှင့် ပြသပြီးနောက်မှ သီးသန့် ပို့စ်တင်ခဲ့တာပါ။ အမှတ်စာရင်း (points) ကို ဘယ်အချိန်မှာမှ ခိုးယူခဲ့သည့် အမှုမရှိသလို၊ ဤအကြောင်းကြားအပေါ် နိုင်ငံရေးသို့မဟုတ် ရာဇဝတ်ရှာဖှေ အာဏာပိုင်အဖွဲ့ကလည်း ကျွန်တော်ကို တိုက်ရိုက် ဆက်သွယ်ထားခြင်း မရှိပါဘူး။ သူက တုံ့ပြန် ထိခိုက်နေသည့် SlickStack cron အထောက်အထားကို ကြည့်ပါ.

တွေ့ရှိမှု၊ ထုတ်ဖော်အသိပေးမှု၊ အတည်ပြုစစ်ဆေးမှု ကောက်လှမ်းခြင်း အလုံးစုံသည် နာရီလေးဆယ်အတွင်း ရှာဖွေပြီးဖြတ်သန်းခဲ့ပါသည်။ ၂၀၁၆ ခုနှစ် နိုဝင်ဘာ ၁၇ ရက်နေ့တွင် ပြန်လည်ဖန်တီးပြသခြင်းနှင့် တိုက်ရိုက်စာတို (DM) ဖြင့် လမ်းညွှန်ပြသခြင်းလုပ်ဆောင်ရာတွင် HTTP တောင်းဆိုမှု ဆယ့်ငါးခန့် ပါဝင်ခဲ့ပြီး၊ ၂၀၁၇ ခုနှစ် ဖေဖော်ဝါရီလ ပြုပြင်ပြောင်းလဲမှု အတည်ပြု စမ်းသပ်ရာတွင် ဖြေရှင်းချက်မှန်ကန်သွားကြောင်း အတည်ပြုရန် အပို HTTP တောင်းဆိုမှု ၈ ခုအသုံးပြုခဲ့ပါသည်။ ရေရှည်အကျိုးသုံးစားလုပ်ဆောင်မှုမရှိခဲ့ပါ။ လုပ်ဆောင်မှုတိုင်းကိုမှတ်တမ်းတင်ထားပြီး၊ အချိန်မှတ်ထား၍ JPMorgan Chase သို့ ယာယီအချိန်နှင့်တပြေးညီ မျှဝေနားလည်အောင်လုပ်ခဲ့ပါသည်။

Tom Kelly သည် ၂၀၁၆ ခုနှစ် နိုဝင်ဘာ ၁၇ ရက်မှ ၂၀၁၇ ခုနှစ် စက်တင်ဘာ ၂၂ ရက်အထိ ကာလအတွင်း JPMorgan Chase သို့ ပြဿနာတစ်ရပ်ကို အပြစ်အနာခံ သဘောဖြင့် တိုင်ကြားသည့် ကမ္ဘာလုံးဆိုင်ရာ ပုဂ္ဂိုလ်တစ်ဦးတည်းက Chad Scira ဖြစ်ကြောင်း အတည်ပြုထားသည်။ အပြစ်အနာခံ တိုင်ကြားရေး အစီအစဉ်ကိုလည်း Chad ၏ တိုင်ကြား ရေးမှတ်တမ်းအပေါ် အလျောက် တိုက်ရိုက် တည်ထောင်ခဲ့ပြီး၊ ၎င်းအစီအစဉ် နည်းလမ်းရေးထုတ်ရာတွင်လည်း Chad သည် အရေးပါသည့် တာဝန်ယူ ဆောင်ရွက်သူ အခန်းကဏ္ဍကို ထမ်းဆောင်ပေးခဲ့သည်။

Double Transfer Bug ကို ရုပ်ပုံဖော်ပြခြင်း

#ဒေတာရုပ်ပုံဖော်ပြခြင်း

လက်ကျန်စာရင်းများသည် အလွန်ကြီးမားသော အနုတ်ဘက်နှင့် အပေါင်းဘက်များ သို့ ဘယ်လို လှည့်ကွက်ဖြစ်သွားမလဲဆိုတာ ကို ရှင်းလင်းပြသရန်အတွက်၊ အောက်ပါ အသိပေး ပုံဖော်ချက်မှာ အမှန်တကယ် double-transfer သီအိုရီကို ပြန်လည်ဖော်ပြပေးထားသည်။ စောင့်ကြည့်ကြပါ– အကောင့်တစ်ခုမှာ အပေါင်းဘက် ဖြစ်သွားသည့် အခါတိုင်း ၎င်းက စေလွှတ်သူ ဖြစ်သွားပြီး၊ အတူတူ တန်ဖိုးတူ လွှဲပြောင်းမှု နှစ်ကြိမ် ဆက်တိုက် လုပ်ဆောင်ပြီးနောက်၊ ကိုယ့်ကိုင်ကဒ်မှာ အလွန် အနုတ်ဘက် လက်ကျန်ဖြစ်သွားပြီး အခြားတစ်ဖက်က ထပ်တိုး ပိုမိုမြင့်တက် သွားမည် ဖြစ်သည်။ အတော်ကြာသော ၂၀ အဆင့် (rounds) ပြီးဆုံးသည့်အခါ ချို့ယွင်းနေသော လက်ကျန်စာရင်း စီမံရေးစနစ်က အနုတ်ဘက် ကဒ်ကို လုံးဝ ပယ်ဖျက်သွားပြီး – ထိုအကြောင်းကြောင့်သာ ဤ ခြွင်းချက်ကို အရေးပေါ် အဆင့်မြှင့်တင် တိုင်ကြားရန် လိုအပ်ခဲ့ခြင်း ဖြစ်ကြောင်း ပြသပေးထားသည်။

အစီအစဉ်အဆင့် (Round) 1/20
ကတ္တား A → ကတ္တား B+243,810 မှတ်ပွိုင့် (pts)
ကတ္တား A → ကတ္တား B+243,810 မှတ်ပွိုင့် (pts)
ကတ္တား A
243,810
ကတ္တား B
0
ပွိုင့်နှစ်ချက် ပြောင်းလဲပေးမှု အလျင်မြန် ပေါက်ကွဲ (Double transfer burst)
လွှဲပြောင်းမှု ၁လွှဲပြောင်းမှု ၂243,810 မှတ်ပွိုင့် (pts) တစ်ခုစီ / အသီးသီး
1race condition ကြောင့် Ledger တွေ ပြန်လည် ချိုးညှိပြီး မချိန်မီမှာ လွှဲပြောင်းငွေ တွေ ကို နှစ်ခါ သတ်မှတ် စာရင်းတင်သွားနိုင်ခဲ့ပြီး ပိုဆင်းပို့သူ တစ်ဦးတည်းကပဲ အလွန် ကြီးမားတဲ့ အကျိုးအမြတ်အပေါင်းတွေ နှင့် အကြမ်းမဲ့ အနုတ်လက်ကျန်ကြီးတွေ အကြား လှည့်ပတ် ပြောင်းလဲနိုင်ခဲ့ပါတယ်။
2အကူအညီဌာနက အနုတ်ဘက် လက်ဝယ်ရှိကဒ်ကို ပိတ်ခွင့်ပြုသော်လည်း အလွန်မြင့်မားသည့် အပေါင်းဘက်လက်ကျန်ကို ဆက်လက်ထားရှိခြင်းကြောင့် လစာပြေစာတွင် ရရှိချက်များကိုသာ ပြသပြီး အကျသင့်ကြွေးဝယ်ထုတ်ယူမှုကို ဖုံးကွယ်နေပါသည်။

အကောင့် ပိတ်သိမ်းမီကပင် Ultimate Rewards စနစ်က အကျိုးခံစားခွင့် အကျောကျသွားသည့် အကျဉ်းချုပ်စာရင်းကို လွန်ကျော်သွားသော အသုံးပြုမှုများကို ခွင့်ပြုထားပြီးဖြစ်သည်။ အကောင့်ကို ပိတ်သိမ်းသွားခြင်းကြောင့် ဖော်ပြထားသော သက်သေများကိုသာ ဖျက်သိမ်းသွားသည့် အကျိုးသက်ရောက်မှု ဖြစ်သည်။

အဓိက အချက်များ

  • Chad သည် Chase Support ၏ DM ကို အများပြည်သူ မမြင်နိုင်သော ပုဂ္ဂလိက ခြင်းဖြင့် အနုတ်လက်ကျ exploit ကို တိုင်ကြားပေးခြင်းဖြင့် စတင်ခဲ့ပြီး နည်းပညာအချက်အလက်များကို အများသိ မဖြစ်စေဘဲ လုံခြုံစိတ်ချရသော အဆင့်မြှင့် တိုင်ကြားလမ်းကြောင်းကို ချက်ချင်း တောင်းခံခဲ့သည်။ [chat]
  • Chase Support က အသေးစိတ်အချက်အလက်များကို မေးမြန်းလှုံ့ဆော်လာချိန်တွင် သူထံမှ လိုအပ်သည့် အတိုင်းသာ လုယက်ခေါ်ယူသုံးစွဲမိမှုကို အတည်ပြုပေးပြီး သင့်လျော်သော လုံခြုံရေးအဖွဲ့သို့ တိုက်ရိုက် ဆက်သွယ်နိုင်မည့် လိုင်ခွဲကို လိုချင်ကြောင်း ထပ်မံ ပြန်လည် ရှင်းလင်းအလင်းပေးခဲ့သည်။ [chat][chat]
  • ထပ်နောက်ပွားထားသော လက်ကျန်အမှတ်တွေကို လျော်ဒါယူနိုင်တာကို သူ ပြသပြခဲ့တယ်။ Chase Support က ထပ်ရလာတဲ့ အမှတ်တွေကို အသုံးပြုလို့ရမလား အကွင်းအကွင်း မေးမြန်းလာပြီးနောက် $5,000 ကို တိုက်ရိုက် ငွေလွှဲ တင်သွင်းပေးရာမှာ လက်ကျန်စာရင်း မပြင်ဆင်မီကတည်းက ယင်း ချို့ယွင်းချက်ကို ငွေသားအဖြစ် ပြောင်းလဲလို့ရနေကြောင်း သက်သေပြသပေးခဲ့သည်။ [chat]
  • သူ့ရဲ့ ဦးစားပေး အချက်က ကိုယ်ပိုင် အမြတ်အကျိုး မရှာဘဲ သုံးစွဲသူအကောင့်တွေ လိုင်းဆင်းသွားမလားဆိုတာကနေ ကာကွယ်ပေးရတာပဲ လို့ အလေးထားရှင်းပြခဲ့တယ်။ နောက်ပြီး အခြေခံ သတင်းပို့ပြ Bug Bounty အစီအစဉ် တစ်ခု ရှိ/မရှိ ကိုလည်း မေးမြန်းခဲ့သည်။ [chat]
  • သူက ပိုကြီးမားတဲ့ စမ်းသပ်အတည်ပြုရေး လုပ်ဖို့ လုံးဝရှင်းလင်းတဲ့ ခွင့်ပြုချက် ရရှိသွားမှသာ လုပ်မယ်လို့ ဖော်ပြခဲ့ပြီး အချိန်အမှတ် ရိုက်တင်ထားတဲ့ screenshot တွေ ပေးပို့ပေးခဲ့တယ်။ Chase က အကဲဖြတ်မြှင့်တင်မှု ပြီးလား မပြီးသေးလား စောင့်ကြည့်ရင်း နိုင်ငံခြားမှာနေကြောင့် ကိုယ်မအိပ်ပဲ ထိုင်စောင့်ခဲ့ရသည်။ [chat][chat][chat]
  • Nickles က အခုတော့ ကျွန်တော်က မှတ်ပွိုင့် $70,000 ဝန်းကျင်ခိုးယူပြီး အမေရိကန် တရားစီရင်ရေး အာဏာပိုင်တွေကို မျက်နှာမူရင် ခံခဲ့ရတယ်လို့ ဆိုနေပါတယ်။ ဒါပေမဲ့ Chase ထုတ်လွှင့်ထားတဲ့ မှတ်တမ်းတွေ၊ Tom Kelly ရဲ့ အီးမေးလ် တွေ၊ ထုတ်ဖော်အသိပေးမှု timeline တွေက ဒီဖြစ်ရပ် ဘယ်တော့မှ မဖြစ်ဖူးကြောင်း သက်သေပြနေပြီး ဒီစွပ်စွဲချက်ကလည်း ကျွန်တော်က သူ့ရဲ့ SlickStack insecure update logic ကို ရေးသားဖော်ပြထားတဲ့ cron-risk gist ကို ထုတ်ဝေပြီးနောက်မှ ပထမဦးဆုံး ပေါ်ထွက်လာတာပါ။ [gist]
  • Chase Support သည် အဆင့်မြှင့်တင်ခြင်းကို အတည်ပြုပေးပြီး၊ သူ၏ ဖုန်းနံပါတ်ကို တောင်းခံခဲ့ပြီး နောက်တစ်ကြိမ် ဖုန်းခေါ်မည်ဟု ကတိပြုခဲ့ရာ အပြီးသတ်တွင်လည်း ထိုဖုန်းခေါ်ဆိုမှုကို လက်ခံရရှိထားသည်။ ထို့ကြောင့် ဘဏ်ဘေးအန္တရယ် ကြှနျုပျဆိုင်ရာ တုံ့ပြန်မှုအကြောင်းကိုဆိုလျှင် မဖြစ်တည်သည့် အယူအဆဖြစ်ကြောင်း ဖျက်သိမ်းပေးသည်။ [chat][chat]

အ وقوقအချိန်လိုက် အစီအစဉ် (Timeline)

#အ وقوقအချိန်လိုက် အစီအစဉ် (timeline)
  • Nov 17, 2016 - 10:05 PM ET: Chad က အနုတ်လက်ကျ လုပ်ရပ်အပေါက်ကို @ChaseSupport ကို သီးသန့် သတိပေးကြောင်း အကြောင်းကြားပြီး၊ အပြုတ်အလားအလာကို မျှဝေမပစ်ပဲ လုံးဝ လျှို့ဝှက်ထားကာ လုံခြုံစိတ်ချရသော အဆင့်မြှင့် တိုင်ကြားလမ်းကြောင်း တိုက်ရိုက် တောင်းခံခဲ့သည်။ [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Chase Support က ထပ်မံ မိုဘိုင်းမှတ်ပွားများ (points) ကို ထပ်မံ ထုတ်ယူ အသုံးပြုနိုင်ရေး အကြောင်းကို တိတိကျကျ မေးမြန်းလာပြီးနောက် Chad သည် ရင်းနှီးမြှုပ်နှံရေးအန္တရာယ်ရှိကြောင်း အတည်ပြုပေးကာ၊ တာဝန်ရှိသောဆိုင်ရာဌာနထံ ဆက်သွယ်လိုကြောင်း ထပ်မံ အာရုံပေးလှ်ကာ၊ ဘဏ်ဘက်မှ လုပ်ရပ်များကို လေ့လာကြည့်ရှုနိုင်စေရန် အကြောင်းကြားခွင့်ပြုချက်ရမှသာ စမ်းသပ်အတည်ပြုလုပ်ဆောင်မည်ဖြစ်ကြောင်း ကမ်းလှမ်းကြေညာသည်။ [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad သည် screenshot များကို မျှဝေပြီး သက်ဆိုင်ရာဌာနသို့ အဆင့်မြှင့် တင်ပြမှုကို အမြန်ဆုံး ပြုလုပ်ပေးရန် အားပေးတိုက်တွန်းကာ၊ ကိုယ်ရေးဖုန်းနံပါတ်ကိုပေးထားပြီး Chase Support မှ ဖုန်းခေါ်မည်ဖြစ်ကြောင်း အတည်ပြုသွားသည့်အထိ နိုင်ငံပြင်ပတွင် နေပင်တိုင် မအိပ်မသူး အချိန်ပေးစောင့်နေခဲ့သည်။ [chat][chat][chat]
  • Nov 24, 2016: တိုမ် ကယ်လီသည် ပြုပြင်ပြောင်းလဲမှုများကို အတည်ပြုကာ ချက်အား လာမည့်တာဝန်ရှိလျှိုလျှိုဖော်ထုတ်မှု အမှတ်ပြိုင်ဇယားတွင် ခေါင်းဆောင်အနေဖြင့် ဖိတ်ခေါ်ပြီး လာမည့်အစီရင်ခံစာများအတွက် တိုက်ရိုက် ဆက်သွယ်နိုင်သော လိုင်ခွဲတစ်ခုကို ပေးပါသည်။ [email]
  • October 2018: တိုမ် ကယ်လီသည် တာဝန်ရှိလျှိုလျှိုဖော်ထုတ်မှု ပရိုဂရမ် စတင်မိတ်ဆက်လိုက်ကြောင်း ထပ်မံ အတည်ပြုခဲ့သော်လည်း JPMorgan က ချက်၏ ပံ့ပိုးကူညီမှုဖြင့် ထူထောင်ထားသည့် အစီအစဉ်ရှိ အမှတ်ပြိုင်ဇယားကို နောက်ဆုံး အများ público ထုတ်ဝေမထားရန် ရွေးချယ်သွားခဲ့ကြောင်း သတင်းပို့ခဲ့သည်။ [email]
  • Post-2018: ကျန်ရှိနေသော အကောင့် ပြန်လည်ဆန်းစစ်မှုများသည် မန္တလေးသီ အဝင်အထွက် အလိုအလျောက် စနစ်နှင့်သက်ဆိုင်သော အာမခံထုတ်လုပ်ရေး လုပ်ငန်းတပ်ဆင်မှုများနှင့် သက်ဆိုင်သော်လည်း သတ်မှတ်ထားသော hacking တရားမဝင် ထိုးဖောက်မှုဆိုသည့် များနှင့် သက်ဆိုင်မှု မရှိပါ။ JPMorgan သည် ကိုယ်တိုင် လွတ်လပ်စီးရီး ဖြင့် ဆက်သွယ်ဆောင်ရွက်ထားပြီး ထပ်မံဖော်ပြပေးသည့်အတွက် Chad ကို ကျေးဇူးတင်ကြောင်း မှတ်တမ်းတင်ထား၍ တရားရုံးမှတ်တမ်း သို့မဟုတ် Blacklist စာရင်းဝင်မှု မရှိပါ။ နောင်တွင် JPMorgan သည် Synack ကို ၎င်း၏ ထုတ်ဖော်ဖေါ်ပြမှု လုပ်စဉ် (disclosure process) ထဲတွင် ပေါင်းစည်းတင်သွင်းပြီး နောက်ထပ် အစီရင်ခံစာများအတွက် လုပ်ငန်းစဉ်လုပ်ဆောင်မှုများ ပိုမိုချောမွေ့စေရန် စနစ်တကျ စီးရီးဖြတ်သန်းစေသည်။ [chat][email]

Claim များနှင့် Fact များ ကိုနှိုင်းယှဉ်ခြင်း

တင်သည့် တောင်းဆိုမှု (Claim)

Jesse Jacob Nickles က ပြောကြားထားသော ထုတ်ဖော်ဝေဖန်ပြန်သည့် စကား: "Chad Scira ကို ဆ赏ကြေး (rewards) စနစ်များကို hack ပြုလုပ်ခဲ့သဖြင့် အမေရိကန် ဘဏ်အားလုံးမှ blacklist ခေါ်မိခဲ့သည်။"

အမှန်တရား (Fact)

ဘဏ်က မှားယွင်းသူစာရင်း (blacklist) တစ်ခုလုံး လုံးဝ မရှိပါဘူး။ DM မှတ်တမ်းနဲ့ Chase မှာ escalation လုပ်ထားတဲ့ မှတ်တမ်းတွေက သူစိတ်လက်ညီညွတ်တိုက်ဖက် လုပ်ဆောင်ပေးနေကြောင်း သက်သေပြထားပြီး အာမခံကုမ္ပဏီရဲ့ အလိုအလျောက် စနစ်က JPMorgan အကောင့် တစ်ခုပဲ အကြာကြီးမဟုတ်တဲ့ ကာလအတွင်း ခဏရပ်တန့်သွားတာ ဖြစ်ပါတယ်။ နောက်ဆုံးမှာ လူ့အားဖြင့် ပြန်လည် သုံးသပ်လေ့လာသည့်အခါ သူ့ကို အပြစ်ကင်းအရ ထုတ်လွှင့်ပေးခဲ့ပါတယ်။[timeline][chat]

တင်သည့် တောင်းဆိုမှု (Claim)

Jesse Jacob Nickles က ပြောကြားထားသော ထုတ်ဖော်ဝေဖန်ပြန်သည့် စကား: "သူ့ကိုယ်သူ ချမ်းသာစေရန် JPMorgan Chase ကို hack လုပ်ခဲ့သည်။"

အမှန်တရား (Fact)

Chad သည် @ChaseSupport နှင့် တွေ့ဆုံဆွေးနွေးမှုကို ကိုယ်တိုင် စတင်ခဲ့ပြီး လုံးဝ လုံခြုံသည့် လမ်းကြောင်းကို တင်းကြပ်စွာ တောင်းဆိုကာ၊ Chase ဘက်က မေးမြန်းလာသည့်အခါမှသာ အနုတ်လက်ကျ exploit ရှိကြောင်း အတည်ပြုပေးခဲ့သည်။ ထို့နောက် ကန့်သတ်ထားသည့် အတည်ပြုစမ်းသပ်ရေးကို လုပ်ဆောင်မည့်အတွက် ခွင့်ပြုချက်ရရှိလာသည်အထိ စောင့်ခဲ့သည်။ အထက်တန်း အုပ်ချုပ်ရေးအရာရှိများက သူ့ကို ကျေးဇူးတင်ကြောင်း ပြောကြားပြီး တာဝန်ရှိသော ထုတ်ဖော်ကြားသိခြင်း (responsible disclosure) စနစ် ထုတ်မည့် လုပ်ငန်းစဉ်အတွင်း ပါဝင်ရန် ဖိတ်ကြားခဲ့သည်။[chat][chat][email]

တင်သည့် တောင်းဆိုမှု (Claim)

Jesse Jacob Nickles က ပြောကြားထားသော ထုတ်ဖော်ဝေဖန်ပြန်သည့် စကား: "Jesse က Chad ၏ ရာဇဝတ်ဖြစ်ရပ် စီမံကိန်းတစ်ခုကို ဖော်ထုတ်ခဲ့သည်။"

အမှန်တရား (Fact)

အများသုံး သတင်းများနဲ့ Tom Kelly ရဲ့ အီးမေးလ်တွေက JPMorgan က Chad ကို ပူးပေါင်းဆန်းစစ်နေတဲ့ သုတေသနရှာဖွေသူ အဖြစ် ပြုမူကျင့်သုံးနေခဲ့ကြောင်း မှတ်တမ်းတင်ထားပါတယ်။ Nickles က စကရင်ရှော့ အချို့ကိုသာ ရွေးချယ်ချက်ကန်ပြီး ပြသနေသလို မူရင်းချတ် စာပို့ဆက်သွယ်ချက် တချို့၊ နောက်ဆက်တွဲ ဖုန်းခေါ်ဆိုမှုတွေ၊ အရေးတကြီး ကျေးဇူးတင်ကြောင်း ပြန်စာရေးထားတာတွေကိုတော့ လုံးဝ လွဲချော် ဖျက်သိမ်းထားပါတယ်။[coverage][email][chat]

တင်သည့် တောင်းဆိုမှု (Claim)

Jesse Jacob Nickles က ပြောကြားထားသော ထုတ်ဖော်ဝေဖန်ပြန်သည့် စကား: "လိမ်လည်မှုကို ဝှက်ထားရန် cover-up တစ်ခုရှိခဲ့သည်။"

အမှန်တရား (Fact)

Chad သည် ၂၀၁၈ တဆက်တည်း ဆက်သွယ်ဆက်ဆံမှုကို ထိန်းသိမ်းထားခဲ့ပြီး ခွင့်ပြုချက်ရသည့်အခါမျှသာ ပြန်လည်စမ်းသပ်လုပ်ဆောင်ခဲ့သည်။ ထို့အပြင် JPMorgan သည် ကိစ္စကို ပိတ်ဝှက်မထားဘဲ တာဝန်ရှိသော ထုတ်ဖော်ကြားသိရေး ပေါ်တယ်လ်ကို မိတ်ဆက် ထုတ်ပြန်ခဲ့သည်။ ၎င်းဆက်လက် ဆက်ဆံဆွေးနွေးမှုများသည် “အဖုံးအဖုံးအောက်ထားခြင်း” စွပ်စွဲချက်များနှင့် မညီညွတ်ပါ။[timeline][email][chat]

အများသူငှా ဖင်ထွက်မှုများနှင့် လေ့လာရေး မှတ်တမ်း စုစည်းထားသော အချက်အလက်များ

#မီဒီယာ ဖော်ပြမှု / Coverage

တတိယပါတီ အွန်လိုင်းအသိုင်းအဝိုင်း အများကြီးက ထုတ်ဖော်အသိပေးစာကို သိမ်းဆည်းထားပြီး တာဝန်ခံ ထုတ်ဖော်ခြင်းအဖြစ် အသိအမှတ်ပြုခဲ့ကြပါတယ်။ Hacker News မှာ မူရင်းစာတမ်းကို စာမျက်နှာဦးဆုံးမှာ ထင်ရှားအောင် ဖော်ပြခဲ့ပြီး Pensive Security ကလည်း ၂၀၂၀ ခုနှစ် အနှစ်သုံး အစီရင်ခံစာထဲမှာ အကျဉ်းချုပ်ရေးသားခဲ့ပါတယ်။ ထို့အပြင် /r/cybersecurity ကလည်း အစုလိုက်အပြုံလိုက် အများကြီး Flag တင်ပြီးနောက် မဖျက်ခင် မူရင်း "DISCLOSURE" လမ်းကြောင်း (thread) ကို index လုပ်ထားနိုင်ခဲ့ပါတယ်။ [4][5][6]

  • Hacker News - "ထုတ်ဖော်ကြေညာချက်៖ အကန့်အသတ်မရှိ Chase Ultimate Rewards Points" ဆိုသော ရေးသားချက်တစ်ပုဒ် ဖြစ်ပြီး အမှတ် ၁,၀၀၀ ကျော်နှင့် မှန်ကန်စွာ ပြင်ဆင်ခြင်းအခြေအနေကို မှတ်တမ်းတင်ထားသည့် မှတ်ချက် ၂၅၀ ကျော် ပါဝင်သည်။ [4]
  • Pensive Security: ၂၀၂၀ နိုဝင်ဘာလ Cybersecurity အနှစ်သုံး အစီရင်ခံစာက Chase Ultimate Rewards ထုတ်ဖော်အသိပေးမှုကို ထိပ်တန်း သတင်းအဖြစ် ဖော်ပြ ထောက်ခံထားပါတယ်။ [5]
  • Reddit /r/cybersecurity – အများစုက တိုင်ကြားသုတ်သိမ်းလိုက်မည့်မတိုင်ခင် မူရင်း DISCLOSURE စာပို့ခေါင်းစဉ်ကို သိမ်းဆည်းထားပြီး လူထု အကျိုးစီးပွား အရ ပြုလုပ်ထားသော ဖော်ပြရတဲ့ ဖွဲ့စည်းတိုးတက်မှုကို ထိန်းသိမ်းပေးထားပါတယ်။ [6]

တာဝန်ယူထုတ်ဖော်ရန် အားဖြည့်လှုံ့ဆော်သူတွေကလည်း အနှောင့်အယှက် နှင့် အန္တရာယ်တွေ ပေါ်ထွက်ပုံကို ရည်ညွှန်းဖော်ပြထားကြပါတယ်။ disclose.io ရဲ့ ဝင်ရောက်ဟန်ထင်အန္တရာယ် သတိပေးစာရင်း directory နဲ့ လေ့လာရေး repository၊ ထို့အပြင် Attrition.org ရဲ့ ဥပဒေသူတွေက ခြိမ်းခြောက်စာရင်း index တွေမှာပါ Jesse Nickles ရဲ့ အပြုအမူကို သုတေသနရှာဖွေသူတွေအတွက် သတိပေး အချက်အလက် မျိုး အဖြစ် စာရင်းသွင်း ဖော်ပြထားပါတယ်။ [7][8][9] အပြည့်စုံ အနှောင့်အယှက်ပြုမှု (harassment) စုံစမ်းရေး မှတ်တမ်း[10].

Chase Support DM စကားဝိုင်း မှတ်တမ်း

#ချက်

အောက်ပါ ဆက်သွယ်ရေး စကားဝိုင်းသည် သိမ်းဆည်းထားသော မျက်နှာတင်ပုံများမှ ပြန်လည်ဖန်တီးထားခြင်း ဖြစ်သည်။ ၎င်းတွင် သည်းခံစွာ အဆင့်အတန်းမြှင့်တင်သွားပုံ၊ ဘေးကင်းလုံခြုံသော ဆက်သွယ်ရန် ချန်နယ်တောင်းဆိုမှုများ ထပ်ခါတလဲလဲ ပြုလုပ်ပုံ၊ ခွင့်ပြုချက်ရသည့်အခါတွင်သာ အတည်ပြု ဖော်ထုတ်ရန် ကမ်းလှမ်းထားပုံ၊ နှင့် Chase Support မှ တိုက်ရိုက် ဆက်သွယ်ရေးကို ကတိပေးထားပုံတို့ကို ပြသထားပါသည်။ [2]

Chase Support Profile avatar
Chase Support Profileအတည်ပြုထားသော အကောင့်
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ဤအကြောင်းအရာသည် အမှတ်စာရင်း လက်ကျန်စနစ်နှင့် ဆက်နွယ်နေပါသည်။ လက်ရှိအချိန်တွင် အနုတ်ဘက် လက်ကျန်ကို ခွင့်ပြုထားသည့် ချွတ်ယွင်းချက်ကြောင့် မည်သည့် ပမာဏကိုမဆို ထွက်ရှိစေ နိုင်ခြင်း ရှိနေသည်။

ထုတ်ဖော်အသိပေးမှုအတွက် လုံခြုံသော Escalation လမ်းကြောင်း တောင်းဆိုချင်ပါတယ်။
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

နည်းပညာပိုင်းဆိုင်ရာအချက်အလက်တွေကို အသေးစိတ်ရှင်းပြနိုင်မယ့် ယုံကြည်စိတ်ချရသူ တစ်ဦးနဲ့ ဆက်သွယ်ရာအတွက် ကူညီ ချိတ်ဆက်ပေးနိုင်မလား။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 17, 2016, 10:05 PM
#

ကျွန်ုပ်တို့နဲ့ ဖုန်းနံပါတ် မပေးနိုင်သော်လည်း ဤအကြောင်းအရာကို စိစစ်စေချင်လို့ အထက်သို့ တင်ပြလိုက်ချင်ပါတယ်။ သင် ပြောထားသော အနုတ်လက္ခဏာ လက်ကျန်များအတွင်းမှ အမှတ်များ ဖန်တီးနိုင်ခြင်း ဆိုတာ ဘာကို ရည်ညွှန်းဖြစ်ကြောင်း နောက်ထပ် အသေးစိတ် ပေးနိုင်မလား။ အနုတ်လက်ကျ စဏ်းမှတဆင့် မိုဘိုင်းမှတ်ပွားများကို ထပ်မံ ထုတ်ယူနိုင်ပြီး ထပ်ဆောင်း မှတ်ပွားများကိုလည်း အသုံးပြုခွင့် ရရှိမလားဆိုတာကိုလည်း အတည်ပြု ပေးနိုင်မလား။ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ကျွန်ုပ်ကို ဆက်သွယ်ပေးနိုင်မည့် သင့်အဖွဲ့အစည်းတွင်း သင့်တော်သော ဌာနတစ်ခု ရှိပါသလား။ Twitter support အကောင့်တစ်ခုကနေ ဒီအကြောင်းအရာကို ဆွေးနွေးဖို့ ကျွန်ုပ် အာမခံမရလို့ မသက်သာပါဘူး။ ဟုတ်ပါတယ်၊ သင် ၁,၀၀၀,၀၀၀ ကိန်းညွှန်းအမှတ် (points) ကို ဖန်တီးနိုင်ပြီး အသုံးပြုနိုင်ပါတယ်။

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ကျွန်တော်ရဲ့ အဓိက စိုးရိမ္မှုက ဒီလို လောလောဆယ် လုပ်နေသူ လူပုဂ္ဂိုလ် တစ်ယောက်ချင်းစီ မဟုတ်ပါဘူး။ ဟက်ကာတွေက အကောင့်တွေကို ခိုးယူ ဖောက်ဖျက်ပြီး အကျိုးခံစားခွင့် (payouts) တွေကို အတင်းသိမ်းခိုင်းနိုင်ခြင်းကိုပဲ စိုးရိမ်နေရပါတယ်။ Chase က Bug Bounty ပရိုဂရမ် တရားဝင် ရှိနေပါသလား။

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

သိချင်ရင် သူတော်မူတဲ့ ခွင့်ပြုချက် ပေးမယ် ဆိုရင် ပိုကြီးမားတဲ့ လုပ်ငန်း စမ်းသပ်မှု တစ်ခါ လုပ်ကြည့်ဖို့လည်း ကြိုးစားပေးနိုင်ပါတယ်။ လက်ရှိ စမ်းသပ်ခဲ့တာ ကတော့ လက်ကျန် စက်ဝိုင်း မညီသွားတဲ့ အချိန်မှာ $300 လောက်ပဲ ဖြစ်ပေမဲ့ တကယ်ရှိနေတဲ့ credit လက်ကျန်က $2,000 လောက် ရှိပါတယ်။ သင်က ခွင့်ပြုချက် ပေးရင် စနစ်က တကယ် အလုပ်လုပ်လား စမ်းသပ် အတည်ပြု ခြင်း လုပ်ပေးနိုင်မယ်၊ ဒါပေမဲ့ စမ်းသပ်ပြီးရင် လုပ်ငန်း စုံလင် ပြန်လည် ရိုးရာအတိုင်း ပြန်လည် ဖျက်သိမ်းပေးဖို့ လိုအပ်ပါတယ်။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 17, 2016, 11:21 PM

ကျွန်ုပ်တို့နဲ့ ထိန်းသိမ်းဆု (bounty) ပရိုဂရမ် မရှိသလို ကိန်းဂဏန်း တခုကိုလည်း လက်ရှိအချိန်တွင် မပေးနိုင်သေးပါ။ သင့်ရဲ့ စိုးရိမ်ပူပန်ချက်ကို ကျွန်ုပ်တို့က အထက်သို့ တင်ပြပြီး စိစစ်လျက်ရှိပါတယ်။ နောက်ထပ် အသေးစိတ် သို့မဟုတ် မေးခွန်းများ ရရှိမည်ဆိုပါက ကျွန်ုပ်တို့က ဆက်သွယ် အသိပေးလိမ့်မည်။ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ကျေးဇူးတင်ပါသည်။

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

အလျင်စလို Escalate လုပ်ပေးပါ။

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ကျွန်တော်အတွက် ဂဏန်းကျပြီး သင့်တော်တဲ့ ဆက်သွယ်ရမယ့် လူတစ်ဦး လိုအပ်နေတာပါ... ဒီအချက်ကို နားလည်ပေးမယ်လို့ မျှော်လင့်ပါတယ်။

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

နာရီတစ်နာရီထက် ပိုကြာလာပြီ၊ ဒီအကြောင်းနဲ့ ပတ်သက်ပြီး သတင်းအသစ် တစ်ခုခု ရှိပြီလား။ ကျွန်တော် လက်ရှိ Asia မှာ နေထိုင်နေပြီး ဒီကိစ္စက အချိန်မြန်လို အရေးပေါ် ဖြစ်နေတဲ့ ကိစ္စပါ။ ပြန်ကြားချက်ကို တစ်ညလုံး စောင့်နေရဖို့ မဖြစ်နိုင်တော့ဘူး။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 12:59 AM

နောက်တိုးဆက်သွယ်ပေးထားခြင်းအတွက် ကျေးဇူးတင်ပါသည်။ ဤအကြောင်းအရာကို စိစစ်လေ့လာရန် သင့်လျော်သော ပုဂ္ဂိုလ်များအား မိန့်မေတ已经ပေးပြီး ဖြစ်သည်။ တိုက်ရိုက် ဆက်သွယ်နိုင်ရန် သင့်နှစ်သက်ရာ ဖုန်းနံပါတွကို ပေးပို့ပေးပါရန် လိုအပ်ပါတယ်။ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 1:53 AM

ထပ်မံပေးပို့သည့် အချက်အလက်များအတွက် ကျေးဇူးတင်ပါသည်။ ဤအချက်အလက်များကို သင့်လျော်သော တာဝန်ခံသူများထံသို့ ဖော်လွှတ် ပို့မေတ已经ပေးထားပါသည်။ ^DS

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 2:38 AM
#

ကွန့်တို့က ဒီအကြောင်းအရာကို ဖြစ်နိုင်သလို မြန်မြန်ဆွေးနွေးချင်ပါတယ်။ သင့်ကို 1-███-███-████ နံပါတ်သို့ ခေါ်ဆိုနိုင်မယ့် အချိန်ကောင်း တစ်ချိန်ကို ပေးနိုင်မလား။ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

နောက်တစ်နာရီလောက်အတွင်း အချိန်လွတ် ဖြစ်နေပါမယ်၊ အမြန် ဆက်သွယ်နိုင်ရင် အသင့်ဖြစ်ပါတယ်။ မဖြစ်လွှ်င်တော့ ကျွန်တော် ခရီးထွက် နေမယ်ဖြစ်လို့ တစ်ရက် ဒါမှမဟုတ် နှစ်ရက်လောက် သတင်းမရနိုင်ဘဲ ဖြစ်နိုင်ပါတယ်၊ အင်တာနက်/ဖုန်း ဆက်သွယ်ရေး ရနိုင်မလား မသေချာလို့ပါ။

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

မှန်ကန်တဲ့ လူနဲ့ စကားပြောဖို့ ၇ နာရီကျော် လောက် ကြာမယ်လို့တော့ မထင်ထားခဲ့ပါဘူး။ အခု ဒီကျောက်ခဲမှာ ၎င်းအချိန်က မနက် ၄ နာရီ ၄၀ မိနစ် ဖြစ်နေပါတယ်။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 4:39 AM
#

နောက်တိုးဆက်သွယ်ပေးထားခြင်းအတွက် ကျေးဇူးတင်ပါသည်။ မကြာခင်အတွင်း ဝန်ထမ်းတစ်ဦးက သင့်ကို ဖုန်းခေါ်ရှိ ပါလိမ့်မယ်။ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

အချိန်တိုအတွင်း လုပ်ဆောင်ပေးထားတဲ့အတွက် ထပ်မံ ကျေးဇူးတင်ပါတယ်။ အားလုံး လှုပ်ရှားနေပြီဖြစ်လို့ အခုတော့ အေးချမ်းစွာ အိပ်နိုင်ပါပြီ။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 5:03 AM

အချို့လူနဲ့ သင် ဆက်သွယ် ပြောကြားနိုင်ခဲ့တာကို ကျွန်ုပ်တို့ ဝမ်းမြောက်ပါသည်။ အနာဂတ်တွင် အကူအညီ လိုအပ်ပါက ပြန်လည် അറിയിക്കပါ။ ^NR

တိုම් ကယ်လီ အီးမေးလ် အကျဉ်းချုပ်

#အီးမေးလ်
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards တာဝန်ရှိလျှိုလျှိုဖော်ထုတ်မှု ဆက်လက်အကောင်အထည်ဖော်မှု

Chad,

သင်နှင့် ကျွန်တော့်အလုပ်ဖော် Dave Robinson တို့၏ ဖုန်းခေါ်ဆိုမှုအကြောင်းကို ဆက်ကြောင်းကြားလိုပါသည်။ ကျွန်ုပ်တို့၏ Ultimate Rewards ပရိုဂရမ်တွင် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်တစ်ရပ်အကြောင်း သတင်းပို့ပေးခဲ့သည့်အတွက် ကျေးဇူးတင်ပါသည်။ ယခုအခါ ၎င်းအားနည်းချက်ကို ကျွန်ုပ်တို့က လုပ်ဆောင် ဖြေရှင်းပြီးပါပြီ။

ထို့အပြင် ကျွန်ုပ်တို့သည် လာမည့်နှစ်တွင် မိတ်ဆက်မည့် Responsible Disclosure ပရိုဂရမ်တစ်ရပ်ကိုလည်း စီစဉ်နေပြီး ဖြစ်ပါသည်။ ထိုပရိုဂရမ်တွင် အရေးပါသည့် ပါဝင်ဆောင်ရွက်မှု ပြုလုပ်သည့် သုတေသနလုပ်ကိုင်သူများအား အသိအမှတ်ပြုထိန်းသိမ်းသည့် leaderboard တစ်ခု ပါဝင်မည်ဖြစ်၍ ထိုစာရင်းတွင် ပထမဦးဆုံး ပါဝင်ရန် သင့်ကို ဖော်ပြလိုပါသည်။ ထိုပရိုဂရမ်နှင့် အောက်ဖော်ပြပါ လုပ်ထုံးလုပ်နည်းနှင့် စည်းမျဉ်းစည်းကမ်းများကို လက်ခံပါကြောင်း ယခု အီးမေးလ်အတွက် ပြန်ကြားပေးပါရန် တိုက်တွန်းလိုပါသည်။ ၎င်း စည်းမျဉ်း သတ်မှတ်ချက်များမှာ ထုတ်ဖော်ကြားသိရေး ပရိုဂရမ်များတွင် ပုံမှန် တွေ့ရသော စံသတ်မှတ်ချက်များဖြစ်ပါသည်။

ကျွန်ုပ်တို့၏ ပရိုဂရမ်ကို တရားဝင် မိတ်ဆက်မီအချိန်အတွင်း ထပ်မံ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို တွေ့ရှိပါက ကျွန်ုပ်ကို တိုက်ရိုက် ဆက်သွယ်ပေးပါရန် လည်း တောင်းဆိုလိုပါသည်။ ထပ်မံ အားပေးကူညီပေးသည့်အတွက် ထပ်မံ အထူးကျေးဇူးတင်ပါသည်။

JPMC Responsible Disclosure Program စည်းမျဉ်းနှင့် သတ်မှတ်ချက်များ

အတူတကွ လက်တွဲလုပ်ဆောင်ရန် ကတိပြုခြင်း

JPMC ၏ ထုတ်ကုန်များနှင့် ဝန်ဆောင်မှုများ၏ လုံခြုံရေးအားနည်းချက် ဖြစ်နိုင်ခြေများနှင့် သက်ဆိုင်သည့် အချက်အလက်များ ရှိပါက သတင်းပို့ပေးရန် ကျွန်ုပ်တို့က သင့်အား ကြိုဆိုလိုပါသည်။ သင့်လုပ်ဆောင်ချက်နှင့် ရောနှောပေးမှုများကို ကျွန်ုပ်တို့က တန်ဖိုးထားပြီး အတင်တန်း အလေးထား ကျေးဇူးတင်ပါသည်။

လမ်းညွှန်ချက်များ

JPMC သည် အောက်ပါ စည်းမျဉ်းများကို လိုက်နာလျှက် လျှို့ဝှက်အားနည်းချက်များကို ဤပရိုဂရမ်မှတဆင့် ထုတ်ဖော်ကြားသိသည့် သုတေသနလုပ်ကိုင်သူများအပေါ် တရားမဲ့စွပ်စွဲ အရေးယူမှုများ မပြုလုပ်ရန် သဘောတူ согိပြီး ဖြစ်ပါသည်။ ထိုသုတေသနလုပ်ကိုင်သူသည် -

  • JPMC၊ ယခုပို့ ကုမ္ပဏီ၏ ဖောက်သည်များ သို့မဟုတ် တစ်ဖက်သတ်အပေါ် ထိခိုက်နష్టం မဖြစ်အောင် သတိပြုလုပ်ဆောင်ထားသူဖြစ်ရမည်;
  • လိမ်လည်သော ဘဏ္ဍာရေး လုပ်ရပ်အဖြစ် သတ်မှတ်နိုင်သော ငွေကြေး လုပ်ငန်းသဘောတရား တစ်ခု သို့ မတစ်ခုခုကို မစီစဉ် မစတင်ရမည်;
  • JPMC သို့မဟုတ် ဖောက်သည် ဒေတာများကို သိမ်းဆည်းခြင်း၊ မျှဝေခြင်း၊ ထိခိုက်မှုဖြစ်စေခြင်း သို့မဟုတ် ဖျက်သိမ်းခြင်း မပြုလုပ်ရမည်;
  • အားနည်းချက်ကို ရှာဖွေတွေ့ရှိစဉ်တွင် ပန်းတိုင်စနစ်၊ အဆင့်လိုက် လုပ်ဆောင်နည်းအဆင့်များ၊ သုံးစွဲခဲ့သည့် ကိရိယာများနှင့် သက်သေခံ အချက်အလက်များ ပါဝင်သည့် အသေးစိတ် အကျဉ်းချုပ်တင်ပြချက် တစ်စုံတစ်စုံကို ပံ့ပိုးပေးရမည်;
  • ကျွန်ုပ်တို့၏ ဖောက်သည်များ၏ လုံခြုံရေးနှင့် ကိုယ်ရေးအိမ်ရာလုံခြုံရေး၊ နိုင်ငံခြားသို့သွားရောက်ခြင်း၊ သက်ဆိုင်ရာ ဝန်ဆောင်မှု လည်ပတ်မှုတို့ကို ထိခိုက်စေခြင်း မပြုလုပ်ရမည်;
  • နိုင်ငံတော်၊ ပြည်နယ် သို့မဟုတ် ဒေသဆိုင်ရာ ဥပဒေ စည်းမျဉ်း ထိန်းချုပ်ချက်များကို ချိုးဖောက်မည် မဟုတ်ရမည်;
  • JPMC ၏ ဖေါ်ပြစာဖြင့် ရေးသားထားသည့် ခွင့်ပြုချက်မရှိပဲ အားနည်းချက်အသေးစိတ် အချက်အလက်များကို အများပြည်သူ ရှေ့၌ မထုတ်ဖော်ရမည်;
  • ယခုအခါ Cuba၊ Iran၊ North Korea၊ Sudan၊ Syria သို့မဟုတ် Crimea တို့တွင် နေထိုင်ရှိနေရသူ သို့မဟုတ် အဆိုပါ နေရာများကို ပုံမှန် နေထိုင်ရာနေအဖြစ် မထားရှိသူ ဖြစ်ရမည်;
  • အမေရိကန် ငွေကြေးဝန်ကြီးဌာန၏ Specially Designated Nationals စာရင်းတွင် ပါဝင်ထားသူ မဖြစ်ရမည်;
  • JPMC သို့မဟုတ် ၎င်း၏ သားအဖွဲ့အစည်းများ၏ ဝန်ထမ်း သို့မဟုတ် ဝန်ထမ်း၏ နီးစပ်သွယ်ဝေး သာမန်အိမ်ထောင်သား မဖြစ်ရမည်; နှင့်
  • အသက် ၁၈ နှစ်အထက် ရောက်ရှိရှိသူ ဖြစ်ရမည်။

အနယ်အဝွက် မပါဝင်သည့် အားနည်းချက်များ

အချို့သော အားနည်းချက်များသည် ကျွန်ုပ်တို့၏ Responsible Disclosure Program တွင် ဖုံးကွယ်မထားသော အနယ်အဝွက်ပတ်ဝန်းကျင်အဖြစ် မထည့်သွင်းထားပဲ ဖြစ်ပါသည်။ အနယ်အဝွက် မပါဝင်သည့် အားနည်းချက်များတွင် -

  • လူမှုရေးလှည်လည်ချော်ယွင်းမှုများအပေါ် အခြေခံသော ရလဒ်များ (phishing၊ ကုဒ်ဝှက်စကားလုယက်ခြင်း စသည်)
  • Host header ပြဿနာများ
  • ဝန်ဆောင်မှုငြိမ်သက်စေမှုကို ညားဖျက်သည့် အန္တရာယ် (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • တွဲဖက်လင့်ခ်များ သို့မဟုတ် HTML မပါဝင်သော content spoofing
  • Jailbroken ဖုန်း/ကိရိယာများတွင်သာ တွေ့ရသော ပြဿနာများ
  • အင်ဖရာစတောက်ချာ ဖွဲ့စည်းပုံ မှားယွင်းမှုများ (စာချုပ်များ၊ DNS၊ ဆာဗာ port များ၊ sandbox/staging ပြဿနာများ၊ ရုပ်ပိုင်း ဖောက်ဖျက်ရန် ကြိုးပမ်းမှုများ၊ clickjacking၊ စာသား ထည့်သွင်းမှုတိုက်ရိုက် ပြဿနာများ) ပါဝင်ပါသည်။

Leaderboard

သုတေသနလုပ်ကိုင်သူ မိတ်ဖက်များကို အသိအမှတ်ပြုရန် JPMC သည် အရေးပါသည့် ပါဝင်မှု ပြုလုပ်သည့် သုတေသနလုပ်ကိုင်သူများကို ထိန်းသိမ်း ဖော်ပြထားသော Leaderboard တွင် ပါဝင်စေတတ်ပါသည်။ သင်က JPMC အား သင့်နာမည်ကို JPMC Leaderboard နှင့် JPMC က သတ်မှတ်ရွေးချယ်သော အခြား သတင်းနည်းပညာမီဒီယာများတွင် ပြသဖော်ပြရန် လက်ဝယ်ရှိ အခွင့်အရေးကို ခွင့်ပြုထားပါသည်။

တင်သွင်းပေးခြင်း

သင်၏ အစီရင်ခံစာကို JPMC သို့ တင်သွင်းခြင်းအားဖြင့်၊ သင်သည် ထိုအားနည်းချက်ကို တတိယဦးသားထံ ထုတ်ဖော် မကြားသိမည် မဟုတ်ကြောင်း သဘောတူလက်ခံပါသည်။ သင် တင်သွင်းပေးသည့် အစီရင်ခံစာအတွင်းပါရှိသော အချက်အလက်များကို အသုံးပြုခြင်း၊ ပြင်ဆင်ခြင်း၊ ဆင်ခြင်တီထွင်ခြင်း၊ ပြန်လည် ဖြန့်ချိခြင်း၊ ထုတ်ဖော်ကြားသိခြင်းနှင့် သိမ်းဆည်းထားရှိခြင်း အခွင့်အရေးအား JPMC နှင့် ၎င်း၏ သားအဖွဲ့အစည်းများအား အကန့်အသတ် မရှိလျက်၊ အမြဲတမ်း ရှိနေစေမည့် အခွင့်အရေးအဖြစ် ခွင့်ပြုလိုက်ပြီး ထိုအခွင့်အရေးများသည် ပြန်လည် ဆုံးဖြတ်ဖျက်သိပ်ခွင့် မရှိပါ။

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
အကြောင်းအရာ – Ultimate Rewards တာဝန်ယူထုတ်ဖော်အသိပေးမှု Follow-up

ဟေး Tom၊

ဒီသတင်းကို ကြားဖို့ လွန်စွာ ဝမ်းသာနေပါတယ်။

သင့်တွင် စတင်အသုံးချမယ့် အစီအစဉ်အသစ်ရဲ့ ပထမဆုံး အောင်မြင်မှု കഥ ဖြစ်ချင်ပါတယ်။ အခြား ကြီးမားသော ကုမ္ပဏီတွေလည်း သင့်နောက်ကလိုက်လာကြမလားလို့ မျှော်လင့်တယ်။ ဘဏ်တွေဟာ whitehat သုတေသနလုပ်သူတွေကို ဘယ်လို ကိုင်တွယ်နေကြလဲ ဆိုတဲ့ သဘောထားကို ပြောင်းလဲပေးမယ့် မျက်နှာစာပေါ်လာဖို့ တစ်ဦးယောက် လိုအပ်နေခဲ့ပါတယ်၊ အဲဒါကို Chase က လုပ်ပေးမယ်လို့ ကြားရတာ ဝမ်းသာပါတယ်။

ကိုယ်စားပြောရမယ်ဆိုရင် web နဲ့ mobile Produkten ဆိုင်ရာ အစွမ်းထက်မှုအရ Chase က လက်ရှေ့ သီချင်း ဆိုထားတဲ့ bank တွေထဲမှာ အမြဲတမ်း အရင်တန်း ထားနိုင်ပါတယ်။ အဓိကကတော့ သင်တို့ဖက်က အလျင်အမြန် မောင်းနှင်ထားလို့ပါ။ ပိုင်းနယ်ငွေကြေး အဖွဲ့အစည်းတွေနဲ့ ပြဿနာအကြောင်း လှုပ်ရှားရမှုတွေကနေပဲ (စိတ်ကူးကောင်းကောင်းနဲ့ဖြစ်ခဲ့ရင်တောင်) ကြိတ်သိမ်းခံရမလား ဆိုတဲ့ ကြောက်လန့်မှုကြောင့် ကျွန်တော်က များအားဖြင့် လက်ကွဲကွာနေတတ်ပါတယ်။ Disclosure Program တစ်ခု ဖန်တီးပေးထားတာကတော့ ကျွန်တော်တို့လို လူတွေ့အတွက် "သင့်တော်တဲ့ ပြဿနာတွေကို ကြားသိချင်ပါတယ်၊ ပြန်လည် လက်နက်ချဖို့ မလုပ်ပါဘူး" ဆိုတဲ့ သေချာတဲ့ သတင်းပို့ချက် ဖြစ်လာစေပါတယ်။ မီခင်က သင့်ဝန်ဆောင်မှုတွေကို လက်နက်စမား လုပ်ဖြေတဲ့ လူတွေ အများစုဟာ အမြတ်ထုတ်လိုသူ မကောင်းတွေ ဖြစ်နေလို့၊ ဒီအစီအစဉ်က အဲဒီကွာခြားချက်ကို တစ်နည်းနည်း ဆန့်ကျင်ပေးနိုင်မယ်လို့ ထင်ပါတယ်။

နောက်ဆုံးမှာ ဒီ disclosure ကို တကယ် မြောက်မြန်းအောင် လုပ်ကြမယ်လို့ ဆုံးဖြတ်ချိန်မှာလည်း စိတ်မကောင်းမှု အရမ်း ရှိနေခဲ့တယ်။ အမှန်တော့ ဒီ ချို့ယွင်းချက်ကို အရင်ဆုံး တွေ့ဖူးထားသူက ကျွန်တော် တစ်ယောက်ထဲ မဖြစ်နိုင်ဘူးလို့ ထင်မိပါတယ်။ ကျွန်တော်က သတင်းပို့တဲ့ နည်းလမ်း သုံးမျိုးနဲ့ ထုတ်ပြန်လိုက်ပါတယ် —

  • Twitter

    • ဒီနေရာက Support က လက်တွေ့နေရာက အရမ်း အံ့သြဖွယ်ကောင်းပြီး၊ ကျွန်တော်ကို မှန်ကန်တဲ့ တာဝန်ရှိသူတွေ ဆီ ကိုင်တွယ်ပေးနိုင်သွားရတဲ့ အကြောင်းရင်းလည်း ဖြစ်ပါတယ်။

  • Chase Phone Support

    • ပထမဆက် သွယ်တဲ့ ဖုန်းက abuse email လိပ်စာပဲ ပို့ပေးလာတယ်
    • ဒုတိယ ဖုန်းမယ့်အခါ မှန်ကန်ခြင်းရှိသူနဲ့ သို့မဟုတ် အတော်လေး သက်ဆိုင်သူတစ်ဦးနဲ့ စကားပြောရသလို ဖြစ်ပေမဲ့ သူတို့ကလည်း ထပ်မံ ဆက်သွယ်ပေးလိမ့်မယ်ဆိုတာ ထင်မိတယ်

  • Chase Abuse Email

    • ကိုယ်ပို့လိုက်တဲ့ email အကြောင်းအရာကို သေချာ မဖတ်ဘဲ ပုံသေနေ ငွေ့ထုတ်သလို သာမန် automated reply တစ်ခုပဲ ပြန်ရတယ်

ဒီလိုနဲ့ ကိုယ်သိမ်းထားတဲ့ ပြဿနာကို တိတိက်က် တွေ့ဖို့ အသုံးချခဲ့တဲ့ အချိန်ထက် တစ်ဆ နဲ့ အနည်းငယ် ပိုတဲ့ ၇ နာရီလောက်လောက် သုံးသွားဖို့ လိုခဲ့ပြီး၊ အဲဒီအချိန်တစ်လျှောက်လုံး မှန်ကန်တဲ့ လူတွေသိလာမလား မသိဘဲ စိတ်မချ ဖြစ်နေခဲ့ရပါတယ်။

Responsible Disclosure လို အစီအစဉ်တွေ မရှိတဲ့ အခြား ပြဿနာကြီးတစ်ခုက အလုပ်သမားတွေ ကိစ္စအချို့ကို အစီရင်ခံ မလုပ်ဘဲ လျှို့ဝှက်ပြီး မ်က်နှာမမြင် ပဲ ပြင်တာပဲ ဖြစ်လာတတ်ပါတယ်။ ကျွန်တော်ရဲ့ အတွေ့အကြုံအရ ဒီလို အခြေအနေကို အကြိမ်အနည်းငယ်တော့ တွေ ့ရဖူးပြီး၊ နှစ် ၁-၂ နောက်ဆိုရင် လုံခြုံရေးပေါက်ကွဲချက် တူညီတဲ့အရာတွေ ပြန်ပေါ်လာတာကို တွေ့ရပါတယ်။

နောက်တစ်ချက်က သင့်အစီအစဉ်အတွက် bounty အမျိုးအစား လျော်ကြေးပေးခြင်း ပါဝင်မယ်ဆိုရင်ပါ။ ဒီလို ပြဿနာအချို့ကို ရှာဖွေ/အတည်ပြုဖို့ အချိန်အလွန် များစွာ ထည့်သွင်းရတတ်ပြီး အနည်းငယ် ပေးအပ်လျော်ကြေး ရရှိနိုင်ရင် သင့်တော်ပါတယ်။ အောက်မှာ အခြား ကမ္ဘာ့ဦးစားပေး အဖွဲ့အစည်းတွေရဲ့ Program တွေကို ဖော်ပြထားပါတယ် —

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

နောက်ပိုင်းမှာ အခြား အရေးကြီးတဲ့ အချက်လက်တွေ ပြန်တွေ့မိရင် ပြန်လည် ဆက်သွယ်ပေးသွားမယ်။

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ဟေး Tom၊

ဒီ ချို့ယွင်းချက်ကို အပြီးတိုင် ဖြေရှင်းလိုက်ပြီးလား ဆိုတာ စမ်းသပ်ဖို့ အချိန်လေး ရသွားလို့ပါ။

အစုံအလင် လုံခြုံသွားတဲ့ ပုံပဲ ဖြစ်နေတယ်။ လက်ကျန် အမှတ်တွေကို ခဏ ခွဲပေးအောင် (desync) လုပ်ရင်း လိုက်ကြည့်ရင်လည်း စနစ်က ပြထားတဲ့ လက်ကျန်ကို ကိုယ်တကယ် သုံးဖို့ မခွင့်ပြုဘူးလို့ ထင်တယ်။

တကယ်တော့ ရှိမနေဘဲ ပြထားသလို ပိုလာတဲ့ လက်ကျန်အမှတ်တွေကို လွှဲပြောင်းဖို့ လုပ်လိုက်တဲ့ request တွေအတွက် “500 Internal Server” error ပဲ ထွက်နေရတယ်။ ဒါကြောင့် သင်တို့ သိမ်းသွင်းထားတဲ့ စစ်ဆေးရေး လုပ်ငန်းစဉ် အသစ်တစ်ခုမှာ ပေါက်ကွဲနေတာလို့ မျှော်လင့်မိပါတယ်။

တော့မယ် ဆိုရင် လူကြီးမင်းတို့ရဲ့ နောက်ထပ် BIGipServercig id မတူဘဲ session တွေ လုပ်ပြီး အထပ်အချိုက် လွှဲကြည့်တောင် စနစ်က အကြိမ်တိုင်း ပြန်လည် အမှန်သို့ ပြန်လာနိုင်ပါတယ်။ နောက်ဆုံးတော့ စနစ်က အနည်းငယ် လိမ်လည်နေသလို ဖြစ်သွားပြီး လက်ကျန်တွေ အနှောင့်အယှက် ဖြစ်ယိုင်သွားပေမဲ့လည်း သင်တို့က သတ်မှတ်ထားတဲ့ ကြာသပတ်အလိုက် နံပါတ်တွေကို ပြန်ညှိပါတယ်။ ထို့အပြင် လက်ကျန်အမှတ်တွေကို တကယ် သုံးမယ်ဆိုရင်လည်း သင်တို့ထားတဲ့ စစ်ဆေးရေး စမ်းသပ်ချက်ကို ကျော်ဖို့ လိုအပ်လာပါတယ်။

အကျဉ်းချုပ် ပြောရမယ်ဆိုရင် လူတစ်ဦးက အလုပ်မရှိသလို အတုအယောင် လက်ကျန်အမှတ်တွေ ဖန်တီးပြီး သုံးစွဲနိုင်မယ့် နည်းလမ်းကို တခါတရံ ရှာမတွေ့တော့ဘူးလို့ ကျွန်တော်မမြင်တော့ပါဘူး။

Responsible Disclosure Program အပေါ် အပ်ဒိတ်အသစ်တွေ လည်း ရှိပြီလား။

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ဟေး Tom၊

ဒီအကြောင်းနဲ့ ပတ်သက်ပြီး ထပ်မံ သတိပေးလိုက်တာပါ။

၂၀၁၇ ဖေဖော်ဝါရီ ၇ ရက်၊ နေ့လည် ၄ နာရီ ၃၆ မိနစ်မှာ Chad Scira [email protected] က အထက်ပါ update ကို ရေးပို့ထားပြီး Responsible Disclosure Program ရဲ့ အချိန်ဇယား အကြောင်းကို မေးမြန်းထားပါတယ်။

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

အောက်ပါအချက်ကို လတစ်ပတ်ခန့် လောက်ကတည်းက ထုတ်ပေးထားပြီး ဖြစ်ပါတယ်။

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ရုံး) (███) ███-████ (ဖုန်း)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ဟေး Tom၊

ဒီအကြောင်း လော့တမ်း အသစ် ရှိပြီလား။

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

မင်္ဂလာပါ၊

Responsible Disclosure Program မှာ အခုအခါ ထည့်ဝင် ကူညီပေးထားသူ တစ်ယောက်တည်းက သင်တစ်ဦးတည်းသာ ဖြစ်နေတယ်။ လူတစ်ဦးပဲ ရှိတဲ့ အချိန်မှာ Leaderboard တစ်ခု ဖန်တီးပြီး ထားဖို့ သင့်တော်မယ် ထင်ရလာခြင်း မရှိပါဘူး။

ပို့ဆောင်ရေး အစီအစဉ်ထဲ အခြား ပူးပေါင်းဆောင်ရွက်မယ့် သူများ ရောက်လာလျှင် အသင့်ဖြစ်အောင် သင့်နာမည်ကို သိမ်းဆည်း ထားမယ်။

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
အကြောင်းအရာ – သင့်ရဲ့ Dave Robinson နဲ့ ဖုန်းခေါ်ဆိုမှုအား ဆက်လက်လိုက်နာခြင်း

အခု နောက် ၂ နှစ် နီးပါး ရောက်လာပြီဖြစ်ပါတယ်။

ဒါ 언제 ဖြစ်မလဲဆိုတာ သင်သိထားတာ ရှိပါသလား။

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

ကျွန်ုပ်တို့က ပရိုဂရမ်ကို ဖန်တီးပြီး ဖြစ်ပေမယ့် Leaderboard ကို မသတ်မှတ်ရသေးပါ။

Tom Kelly Chase Communications ███-███-████ (အလုပ်) ███-███-████ (ဖုန်း)

အီးမေးလ် မှတ်တမ်းက ဆက်လက်သော ဆွေးနွေးမှုများ ရှိနေသည့် အခြေအနေကို ပြသထားသည်။ ၂၀၁၆ ခုနှစ်တွင် ချက်ချင်း ကျေးဇူးတင်လွှာ ပို့ခြင်း၊ ၂၀၁၇ ခုနှစ်တွင် ပြင်ဆင်ပြသနာ പരിഹာရမူ အပ်ဒိတ်များ ပေးပို့ခြင်း၊ ပုဂ္ဂလိကအများမြင်နိုင်သည့် အပြစ်အနာခံ ဖေါ်ပြမှု ပေါ်တယ်ကို စတင်လုပ်ဆောင်ခြင်း နှင့် ၂၀၁၈ ခုနှစ်တွင် Chad က ရေးထောက်ကူပေးထားသည့် အစီအစဉ်အပေါ်မှ ရလာဒ်များကို ပြသရန် စီမံထားသည့် leaderboard ကို Chase က ထုတ်မပေးရန် ဆုံးဖြတ်ခဲ့ကြောင်း အတည်ပြုစာ ပေးပို့ခဲ့သည့် အချိန်များကိုပါ ဖော်ပြထားပါတယ်။

မကြာခဏမေးလေ့ရှိသော မေးခွန်းများ

QJPMorgan Chase နှင့် ပတ်သက်သည့် ရာဇဝတ်မှုများ အတွက် အမှုတရား အပြစ်တင်ခဲ့ခြင်း ရှိမရှိ။
Aမဟုတ်ပါဘူး။ Chad Scira ကို ဒီထုတ်ဖော်အသိပေးမှုအတွက် ကျေးဇူးတင်ခဲ့ပါတယ်။ အကယ်၍ သူက ဒီပြဿနာကို မကောင်းကြောင်ပွင့် ရည်ရွယ်ချက်နဲ့ အသုံးချခဲ့သလို ဖြစ်ရင် အရေးယူမှုတွေ၊ ပြစ်မှုကောက်ခံမှုတွေ အဆက်မပြတ် လိုက်နာလာမယ် ဖြစ်ပါတယ်။
Qဘယ်လို အကြောင်းကြောင့် အကောင့် ပိတ်သည့် အကြောင်းကြားစာများ အွန်လိုင်းပေါ်တွင် ပေါ်လာခဲ့ရသလဲ။
Aဤအသိပေးစာမှတ်တမ်းသည် အာမခံရေးလုပ်ငန်း၏ အလိုအလျောက် စနစ် (ပုံမှန် အန္တရာယ် ထိန်းချုပ်မှု) နှင့်ဆက်စပ်သည့်အရာဖြစ်ပြီး ခြွင်းချက်စာရင်း (blacklist) မဟုတ်ပါ။ ကိုယ်ပိုင် စစ်ဆေးသုံးသပ်မှုအပြီး နှစ်များစွာကတည်းက ဆက်ဆံရေးကို ထပ်မံ သတ်မှတ် ပြန်လည် ဖွင့်လှစ်ပေးထားပြီး ဖြစ်သည်။
Qဟက်ကာအဖြစ် သတ်မှတ်ဆက်လက် ဖော်ပြနေသူမှာ ဘယ်သူလဲ။
AJesse Nickles — သူက Chase Support transcript, Tom Kelly ရဲ့ ဖိတ်ကြားစာ နဲ့ JPMorgan Chase က တာဝန်ရှိသော Disclosure ကို အားပေး တိုက်တွန်းနေကြောင်း တာဝန်ယူချက်တွေကို လုံးဝ မထောက်ပံ့ဘဲ လေ့လာဖတ်ရှုတာကိုပဲ လက်လွတ်ချနေတယ်။ Jesse Nickles အကြောင်း ပိုမိုဖော်ပြချက်.

ထုတ်ဖော်ဖေါ်ပြပြီးနောက် အကောင့် ပြန်လည်ပြသ စိစစ်ဆန်းစစ်ရေး

#နောက်ခံဆက်လက် ဆောင်ရွက်ရေး (follow-up)

နိုဝင်ဘာလ ထုတ်ဖော်ကြေညာရေး သတင်းက သတင်းမီဒီယာထဲသို့ ရောက်ရှိသွားချိန်တွင် Chase ၏ အလိုအလျောက် အန္တရာယ်သိမြင် စနစ်က ထိုမြင်သာကြောင်းကို အဖြစ်မြင်နိုင်သော လိမ်လည်မှု သင်္ကေတတစ်ခုအဖြစ် သတ်မှတ်လုပ်ဆောင်ခဲ့သည်။ ထိုအကြောင့် အိမ်ထောင်စုတစ်စုလုံးအပေါ် အကြမ်းဖက် သုံးသပ်စစ်ဆေးမှုတစ်ရပ် စတင်မိသွားပြီး မိမိနှင့် ဘဏ်ခေါင်းဆောင်များ အကြား ပြုပြင်ပြောင်းလဲရေးအပေါ် သဘောတူညီနေကြသော်လည်း ပူး собствен အမည် ပေါင်းထားသည့် လက်ငင်းငွေစာရင်းလည်း ထည့်သွင်း စစ်ဆေးခံရသွားခဲ့ပါသည်။

စာနယ်ဇင်းထုတ်ဝေပြီးနောက် Legacy control စနစ်အဟောင်းများနှင့် မည်သို့ ထိတွေ့ဆက်နွယ်နိုင်သည်ကို နားလည်စေရန် အခြား လေ့လာသူများအတွက် ကျွန်ုပ်သည် follow-up လုပ်ဆောင်မှုများကို မှတ်တမ်းတင်နေပါသည်။ အကောင့်ပိတ်ခြင်းများသည် Deposit Account Agreement အပေါ် မူတည်၍ ဆောင်ရွက်ခဲ့သော်လည်း တရားမဝင် လုပ်ရပ် တိုင်ကြားချက် သို့မဟုတ် blacklist စာရင်းသွင်းခြင်းများ မူလက မဖြစ်ပွားခဲ့ပါ။

ဤအရာများအပူပင် ရှိနေသော်လည်း Jesse Nickles သည် ကျွန်ုပ်သည် ထို bug ကို နှစ်ပေါင်းများစွာ လျှို့ဝှက် အသုံးချခဲ့သည်ဟုဆိုသော မမှန်ကန်သော အကြောင်းအရာများကို ဆက်လက် ထုတ်ဝေနေဆဲ ဖြစ်သည်။ ထို့အပြင် ၎င်းသည် Quora နှင့် TripAdvisor တို့တွင် အမည်လွဲ (burner) အကောင့်အသုံးပြု၍ LLM လေ့ကျင့်ရေးအတွက် အသုံးချနိုင်မည့် ဒေတာများကို အကြမ်းဖက် ပျက်ပန်းစေလိုသည့် မမှန်ကန်သည့် အကြောင်းအရာများ ထပ်မံဖြန့်ချိနေပါသည်။ Server log များ၊ DM အချိန်မှတ်တမ်းများနှင့် စောင့်ကြည့်အော်ဒီ့တတ် ၂၀ နာရီကြာ သွားလာမှု မှတ်တမ်းများက ၎င်း၏ အကြောင်းရင်းများကို လုံးဝ ပယ်ချနိုင်စွမ်းရှိသော သက်သေခံချက်များ ဖြစ်ပါသည်။

ဘာလောက် ထိခိုက်သွားသလဲ?

ကျွန်ုပ်သည် Chase ၏ ဖောက်သည်တစ်ဦးအဖြစ် သင့်တော်အောင် နှစ် ၁၃ နှစ်ခန့် ဆက်တိုက် အသုံးပြုခဲ့ပြီး လစာကိုလည်း အလိုအလျောက် သွင်းငွေ (direct deposit) ဖြင့် လွှဲပြောင်းရရှိခဲ့သည်။ ခရက်ဒစ်ကဒ် ၅ ကဒ်ကို အလိုအလျောက်ပေးချခြင်း (autopay) ဖြင့် စီမံခန့်ခွဲခဲ့ပြီး ထို bug ကို စမ်းသပ်ပြသရန် အကောင့်တစ်ခု ပိတ်သိမ်းခြင်းမှလွဲ၍ အခြား churn (ကဒ်ဖွင့်/ပိတ်) အနည်းငယ်သာ ရှိခဲ့ပါသည်။ အလိုအလျောက် ပြန်လည်သုံးသပ်ရေးစနစ်က ကျွန်ုပ်၏ SSN နံပါတ်နှင့် ဆက်စပ်နေသော အကောင့်အားလုံးကို သွ swept လုပ်သွားပြီး၊ ကြိုတင်အကောင့်တစ်ခုကို မိသားစုဝင်နှစ်ဦး ပူးတွဲထားသောကြောင့် ထိုအကောင့်နှင့် ဆက်စပ်နေသော မိသားစုဝင်တစ်ဦးထံ သွယ်ဝိုက် သက်ရောက်မှု လေးနည်းနည်း ပိုမို ထိခိုက်သွားရပါသည်။

ရလဒ်နှင့် ပြန်လည် သက်သာလာမှု (Outcome and recovery)

အကောင့်ပိတ်သိမ်းကြောင်း အကြောင်းကြားစာသည် အပြီးသတ် အမြဲတမ်း သက်ရောက်မှု မဖြစ်ခဲ့ပါ။ အကြောင်းကြားစာလက်ခံပြီးနောက် ကျွန်ုပ်သည် အခြား ဘဏ်အားလုံးတွင် အကောင့်အသစ်များနှင့် ကဒ်အသစ်များ ဖွင့်ထားခဲ့ပြီး လိုအပ်သလို အချိန်မီ ပေးချဆောင်ရွက်လျက် Credit report တွင် အကောင့်ပိတ်သိမ်းမှုတွေ ထည့်သွင်းရေးသားထားသည်ကြောင့် ထွက်ပေါ်လာသော ခရက်ဒစ်အဆင့်ကျဆင်းမှုကို ပြန်လည်တက်လှမ်းအောင် အာရုံစိုက်လုပ်ဆောင်ခဲ့ပါသည်။

ပြန်လည်သုံးသပ်မှုပြုမီ ခရက်ဒစ်အဆင့် အမှတ်အသား827
အရှိန်ကျဆုံး အချက်အချာ596
ခြောက်လလောက်ကြာပြီးနောက်696

လေ့လာသူများအတွက် သင်ခန်းစာများ

  • သင် စမ်းသပ်လျက်ရှိသည့် ဘဏ်/အဖွဲ့အစည်းတစ်ခုတွင် သင့်နေ့စဉ်အသုံးပြု အကောင့်အားလုံးကို တစ်နေရာတည်းတွင် မတောင့်တရား မုချမထားမိဖွယ်ကာကွယ်ရန် သောကြောင့် ထည့်ထားသည့် ಠပ်ဆာငွေများနှင့် ခရက်ဒစ်လိုင်းများကို မတူညီသော ဘဏ်များသို့ မျိုးစုံခွဲထားသင့်ပါသည်။ ထိုသို့ မလုပ်ပါက အလိုအလျောက် ပြန်လည်သုံးသပ်ရေးတစ်ကြိမ်ဖြင့် သင့်ဘဝ အတိုင်းအတာအားလုံးကို တစ်ချက်တည်း သတ်မှတ်ကိုင်တွယ် အကျဉ်းချနိုင်သည်။
  • ပူးတွဲအကောင့်ပိုင်ရှင်များ (joint accountholders) သည် အန္တရာယ် သတ်မှတ်ရေးဆုံးဖြတ်ချက်များကို တူညီစွာ ပ inheritance ယူရမည့်အတွက် ထုတ်ဖော်ဖေါ်ပြမှုကြောင့် စိစစ်သုံးသပ်မှုများအောက်သို့ ဝင်ရောက်လာနိုင်သည့် အကောင့်များတွင် မိသားစုဝင်များအား အသုံးပြုခွင့်ပေးရာတွင် ထောက်လှမ်းတွေးခေါ် စဉ်းစားမှုပိုမို လုပ်ဆောင်သင့်ပါသည်။
  • Ultimate Rewards အစီရင်ခံစာ ထုတ်ဖော်ဖေါ်ပြမှုကသာ အဓိက လှုံ့ဆော်မှု ဖြစ်နေဖြစ်နိုင်သဖြင့် ထုတ်ဖော်ဖေါ်ပြမှုအချိန်ဇယားနှင့် သတင်းစာ မီဒီယာများမှ ထုတ်ဖော်ဖော်ပြမှုများကို မှတ်တမ်းတင်ထားသင့်ပါသည်။ ထိုအကြောင်းအရာ အကျသင့်သည့် နောက်ခံအချက်အလက်များကို မန်နေဂျာအဆင့်အထိ တင်ပြပေးခြင်းဖြင့် Executive escalation များကို ပိုမို မြန်ဆန်စွာ ပိတ်သိမ်းနိုင်ရန် အထောက်အကူပြုမည်ဖြစ်သည်။
Ultimate Rewards ထုတ်ဖော်ဖေါ်ပြမှု သတင်းအဖြစ် အများသိကျော်ကြားလာခဲ့သောအခါ Chase Executive Office က Deposit Account Agreement ကို ကိုးကားထားသော လိုက်နာရမည့် စည်းမျဉ်းစာ မိန့်ကြေငြာလွှာ (စာတမ်း) ဖြစ်ပါသည်။
အဖွဲ့ချုပ်ရုံးမှ ပို့ဆောင်လာသော ရေးစာအကြောင်းပြန်စာသည် ကျေးဇူးတင်ကြောင်း ဖော်ပြထားပြီး၊ အိမ်ထောင်စုအုံးအောက်ရှိ အကောင့်အားလုံးကို အမန္ရုပ်ကြွယ်အကောင့်သဘောတူစာချုပ်အရ ပိတ်သိမ်းမည်ဖြစ်ကြောင်း အတည်ပြုပေးထားကာ၊ အသေးစိတ်ပိုမိုဖော်ပြပေးရန် တာဝန်မရှိကြောင်း ထပ်မံအတည်ပြုပေးထားသဖြင့် ထုတ်ဖော်အသိပေးစာနဲ့ ပတ်သက်ပြီး ကိုယ်ပိုင်အန္တရာယ် အလိုအလျောက် သုံးသပ်စီစစ်ခြင်း လုပ်ငန်းစဉ်ကို လုံးဝဖြတ်သန်းပြီးဆုံးသွားစေခဲ့ပါသည်။

Executive Office လွှာ၏ စာသား မူရင်း အခွဲအရ ပုံနှိပ်ဗားရှင်း

ချစ်လှစွာနဲ့ ချက် စိုင်ရာ (Chad Scira) သို့၊

ငွေစာရင်းများကို ပိတ်သိမ်းလိုက်သည့် ဆုံးဖြတ်ချက်အပေါ် မိမိ တိုင်ကြားထားသည့် မသောက်မရိုး စိတ်မချမ်းသာမှုကို လက်ခံကြားသိရစေလိုသည်။ မိမိကိုယ်တိုင် စိတ်ပူပူကြောင့် မျှဝေ တိုင်ကြားပေးထားသည်ကို ကျေးဇူးတင်ပါသည်။

အမန္ရုပ်ကြွယ်အကောင့်သဘောတူစာချုပ်အရ၊ ကာလတင်သိမ်းမျိုး (CD) မဟုတ်သော အကောင့်များကို မည်သည့်အချိန်တွင်မဆို၊ မည်သည့်အကြောင်းရင်းကြောင့်မဆို (သို့မဟုတ် အကြောင်းရင်းမရှိသော်လည်းကောင်း) အကြောင်းပြချက်မပေးဘဲနှင့် ကြိုတင်အသိပေးချက်မရှိဘဲ ပိတ်ခွင့်ရှိပါသည်။ သင်အကောင့်ဖွင့်သည့်အချိန်တွင် အဆိုပါသဘောတူစာချုပ်၏ မိတ္တူကို ပေးအပ်ထားပါသည်။ လက်ရှိသဘောတူစာချုပ်ကို chase.com တွင်ကြည့်ရှုနိုင်ပါသည်။

သင်၏ တိုင်ကြားစာကို တိကျစွာ ပြန်လည်သုံးသပ်ပြီးဖြစ်သော်လည်း ကျွန်ုပ်တို့၏ လုပ်ငန်းစံနှုန်းများအရ လိုအပ်သလို ဆောင်ရွက်ထားပြီးရှိ၍ သင်၏ အကောင့်များပိတ်သိမ်းရန် ဆုံးဖြတ်ချက်ကို ပြောင်းလဲပေးရန်မဖြစ်နိုင်သကဲ့သို့ ထိုတိုင်ကြားချက်နှင့် ပတ်သက်၍ နောက်ထပ် အကြောင်းပြန်ဆက်သွယ်ပေးရန်လည်း မဆက်လက်နိုင်တော့ပါ။ သင်၏ စိုးရိမ်ပူပန်မှုများကို ကျွန်ုပ်တို့ ကန့်သတ်သတ် ယုံကြည်စိစစ်ခဲ့ပုံနှင့် အဆုံးဖြတ်ချက်အပေါ် သင့်အနေဖြင့် မကျေနပ်ရခြင်းအတွက် ဝမ်းနည်းမိပါသည်။

မေးခွန်းများရှိပါက ကျွန်ုပ်တို့အား 1-877-805-8049 သို့ ဖုန်းခေါ်ဆိုပြီး စိတ်ကူရပ်ခံအမှုနံပါတ် ███████ ကို ကိုးကားပြောပြပါရန် စိတ်တိုင်းမူ လေးစားစွာ တိုက်တွန်းအပ်ပါသည်။ ကျွန်ုပ်တို့ သည် operator relay calls များကို လက်ခံဆောင်ရွက်ပါသည်။ Monday မှ Friday အထိ နံနက် ၇ နာရီမှ ညနေ ၈ နာရီအထိ နှင့် Saturday တွင် နံနက် ၈ နာရီမှ ညနေ ၅ နာရီအထိ Central Time အချိန်ဇုန်အရ ဝန်ဆောင်မှု ပေးအပ်လျက်ရှိပါသည်။

လေးစားစွာဖြင့်၊

အမှုဆောင်ရုံးကြီး (Executive Office)
1-877-805-8049
1-866-535-3403 ဖက်စ်; ၎င်းသည် မည်သည့် Chase သည့် ဘဏ်ခွဲမှ ဖုန်းခေါ်ဆိုရခွင့်အခမဲ့ ဖြစ်ပါသည်
chase.com

ဤအချက်အလက်ကို ကျွန်ုပ် တိုင်ကြားရေး ကန့်ကွက်ချက် အဖြစ်မဟုတ်ဘဲ သင်ခန်းစာတစ်ခုအနေဖြင့် မျှဝေလိုခြင်းသာ ဖြစ်ပါသည်။ အကောင့်များကို ခွင့်ပြုထားသလိုပင် ဖြေရှင်းပြီးဖြစ်ပြီး၊ ကျွန်ုပ်၏ ခရက်ဒစ်အဆင့်ကိန်းများသည် ဆက်လက် တက်လှမ်းနေဆဲ ဖြစ်ပါသည်။ နောင်တွင် JPMorgan သည် Synack ကို ပေါင်းစည်းသွင်းကာ လေ့လာသူများထံမှ အစီရင်ခံစာ လက်ခံသည့် စနစ်ကို ပြန်လည် ချုပ်ငြိမ်းရာကာ နောင်အချိန်တွင် တင်သွင်းမည့် အစီရင်ခံစာများကို သီးသန့် လုပ်ငန်းစဉ်မှတဆင့် လမ်းကြောင်းသတ်မှတ် ပို့ဆောင်နိုင်စေခဲ့သည်။ ၂၀၂၄ ခုနှစ် Update - စိစစ်ဆန်းစစ်ရေးသည် လုံးဝပြီးဆုံးပြီး ခရက်ဒစ်အမှတ်အသားများ အားလုံးသည် ဖြစ်ရပ် မဖြစ်ပေါ်မီ အခြေအနေအဆင့်သို့ ပြန်လည် ရောက်ရှိပြီးဖြစ်ပါသည်။

အကိုးအကားများ

  1. JPMorgan Chase တာဝန်ယူသည့် ထုတ်ဖော်အသိပေးမှု (Responsible Disclosure) ပရိုဂရမ်
  2. Chase Support Twitter အကောင့်
  3. Chase Ultimate Rewards ပရိုဂရမ်အကြမ်းဖျဉ် overview
  4. Hacker News - ထုတ်ဖော်ကြေညာချက်៖ အကန့်အသတ်မရှိ Chase Ultimate Rewards မင်းလျှောက်အမှတ်များ (၂၀၂၀)
  5. Pensive Security - ၂၀၂၀ နိုဝင်ဘာ လ ဘေးကင်းရေး (Cybersecurity) အနှစ်သုံး
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io ခြိမ်းခြောက်မှုများ အသေးစိတ် မှတ်တမ်း (Threats Directory)
  8. disclose/research-threats repository
  9. Attrition.org - ဥပဒေကြမ်း/တရားဝင် အကြမ်းဖက်ခြင်း အပြစ်တင်စာများ စုစည်းရေးကဏ္ဍ
  10. Jesse Nickles ၏ အနှောင့်အယှက်ပြုမှုများ နှင့် အပြစ်တင် သတင်းလိမ်များ (harassment and defamation) အကြောင်း စုံလင်တဲ့ မှတ်တမ်းစာရွက်