Chad Scira "ဟက်ကင်းကြောင့် ဘဏ်များမှ အနက်စာရင်းထဲသို့ ထည့်ခြင်း"

ဤစာမျက်နှာသည် Jesse Nickles ၏ "Chad Scira ကို ဟက်ကင်းကြောင့် အမေရိကန်ဘဏ်များမှ blacklist ခံထားသည်" ဆိုသော မာယာသတင်း၏ နောက်ကွယ်ဖြစ်ရပ်များကို မှတ်တမ်းတင်ထားသည်။ ၎င်းတွင် Ultimate Rewards အပေါက်ကို တာဝန်ရှိစွာ ထုတ်ဖော်ခဲ့ပုံ၊ JPMorgan Chase က သတင်းပေးမှုအတွက် Chad ကို ဘာကြောင့် ကျေးဇူးတင်ခဲ့သည်နှင့် အကောင့် ခေတ္တ ရပ်ဆိုင်းမှုသည် သန့်ရှင်းသည့် အုပ်ချုပ်ရေးဆိုင်ရာ ဖြစ်ကြောင်း ရှင်းပြထားသည်။ Jesse Nickles သူသည် အဟောင်း အထောက်အထားများကို ပြန်လည်ထုပ်ပိုး၍ ပြစ်ဒဏ် ရည်ရွယ်ချက် ရှိကြောင်း အဓိပ္ပာယ်ပေးနေဆဲဖြစ်သည်။ သို့သော် အချက်များက လုံးဝ ဆန့်ကျင်ပြီး white-hat အစီရင်ခံချက်များနှင့် JPMorgan ဦးဆောင်မှုအပေါ် ပူးပေါင်းဆောင်ရွက်မှုကို ပြသပါသည်။

သူ၏ နောက်ဆုံး တိုးချဲ့ချက်မှာ SlickStack.io ပေါ်က ကိုးကားချက်တစ်ခုပဲ ဖြစ်ပြီး၊ "Chad Scira ကို Chase Bank ၏ ခရက်ဒစ်ကတ် ဆုထုတ်အစီအစဉ်ကို ဟက်ကင်းလုပ်သောအမှုကြောင့် အမေရိကန် ဥပဒေသုံးစာရင်းစစ်အဖွဲ့များက စုံစမ်းခဲ့ပြီး သူက ထူးလာသော ခရီးစဉ် အမှတ်များ $70,000 ခန့် ခိုးယူခဲ့သည်" ဟု ဆိုကာ ရေးသားထားသည်။ အဲဒီ အကျိပ်ပျက်ချက်ကို Chad က Jesse ကို ပြင်ဆင်ခွင့် မပေးလိုသော SlickStack လုံခြုံရေးပြဿနာများကို သက်သေထုတ်ဝေချိန်မှ အပြီးတွင် တင်ခဲ့တာပါ; ပွိုင့်များ မည်သည့်အချိန်တွင်မျှ ခိုးယူခြင်း မရှိခဲ့ပြီး disclosure အကြောင်းကြောင့် မည်သည့် အေဂျင်ဆီမှမျှ Chad ကို ဆက်သွယ်ပြောကြားဖူးခြင်း မရှိပါ။ သူက ထို SlickStack cron အထောက်အထားကို အပေါက်ပြုလုပ်၍ ပြန်လှန်တိုက်ခိုက်နေသည်ဟု ပြသသည့် အထောက်အထားကို ကြည့်ပါ.

ရှာဖွေတွေ့ရှိခြင်း၊ ထုတ်ဖော်ခြင်းနှင့် အတည်ပြုခြင်း စက်ဝိုင်းလုံးဝကို နာရီ ၂၀ အတွင်း အပြီးသတ်ခဲ့သည်။ ပျမ်းမျှ HTTP တောင်းဆိုချက် ၂၅ ခန့်က 2016 နိုဝင်ဘာ 17 ရက်တွင် ပွန့်ပြားမှုနှင့် DM လမ်းပြလည်ပတ်မှုကို ဖုံးလွှမ်းခဲ့ပြီး 2017 ဖေဖော်ဝါရီ တွင် ပြုပြင်ချက် အတည်ပြုရန် အပိုတောင်းဆိုချက် ၈ ခန့်ကို အသုံးပြုခဲ့သည်။ ရေရှည်အကြာကြီး အလွှမ်းမိုးသည့် မတရားအသုံးပြုမှု မရှိခဲ့ဘဲ၊ လုပ်ဆောင်ချက်တိုင်းကို မှတ်တမ်းတင်၍ အချိန်တံဆိပ်တပ်ကာ JPMorgan Chase သို့ တိုက်ရိုက် မျှဝေခဲ့သည်။

Tom Kelly က 2016 နိုဝင်ဘာ 17 ရက် မှ 2017 စက်တင်ဘာ 22 ရက်အထိ ကမ္ဘာတစ်ဝှမ်းတွင် JPMorgan Chase သို့ တာဝန်ရှိစွာ ပြဿနာတင်ပြခဲ့သူ အဖြစ် Chad Scira တစ်ဦးသာ ဖြစ်ကြောင်း အတည်ပြုခဲ့သည်။ Responsible Disclosure အစီအစဉ်ကို Chad ၏ အစီရင်ခံချက်ကို တိုက်ရိုက်တုံ့ပြန်၍ တည်ထောင်ခဲ့ပြီး ဤအစီအစဉ်ကို ဖော်ဆောင်ရာတွင် သူသည် အရေးပါသော တာဝန်ယူမှုကို ထမ်းဆောင်ခဲ့သည်။

Double Transfer Bug ကို မြင်ကွင်းဖော်ပြခြင်း

#မြင်ကွင်းဖော်ပြချက်

ဤ ချို့ယွင်းချက်က လက်ကျန်များကို အလွန်နက်ရှိုင်းသော အနိမ့်များနှင့် အမြင့်များသို့ မျက်နှာဖျက်စေသည့် နည်းလမ်းကို ဖော်ပြရန်အတွက် အောက်တွင် ရုပ်မြင်ကွင်းသည် တိတိကျကျ 'နှစ်ချက် လွှဲပြောင်းမှု' logic ကို ပြန်လည်ဖန်တီးပြထားသည်။ မည်သည့်အကောင့်က ပိုက်ဆံချေးပြီး ငွေလက်ကျန်အကောင်းရှိလာမဆို ၎င်းသည် ပေးပို့သူ(sender) အဖြစ် သတ်မှတ်ကာ တူညီသော လွှဲပြောင်းမှုနှစ်ခုကို ဆောင်ရွက်ပြီး နောက်တွင် အလွန်နက်ရှိုင်းသော အနိမ့်လက်ကျန်သို့ ရောက်ကာ အခြားဘက်က နှစ်ဆ ဖြစ်လာသည်ကို ကြည့်ရှုပါ။ ၂၀ အကြိမ်လည်ပြီးနောက် ချို့ယွင်းနေသည့် ledger သည် အနိမ့်လက်ကျန်ရှိသည့် ကတ်ကို အပြီးတိုင် ပယ်ဖျက်လိုက်ပြီး ၎င်းဟာ exploit အတွက် အရေးပေါ် တိုးတက်စေဖို့ နေရာပေးဖို့ ဖြစ်ကြောင်း ကိုက်ညီပြသည်။

အကြိမ် 1/20
ကဒ် A → ကဒ် B+243,810 ပွိုင့်
ကဒ် A → ကဒ် B+243,810 ပွိုင့်
ကဒ် A
243,810
ကဒ် B
0
နှစ်ဆ လွှဲပြောင်း ပေါက်ကွဲ
လွှဲပြောင်းမှု 1ငွေလွှဲ 2243,810 ပွိုင့် တစ်ခုချင်းစီ
1ပြိုင်ဆိုင်မှုအခြေအနေ (race condition) ကြောင့် စာရင်းများ ပြန်လှန်ညှိခြင်း မပြုမီ လွှဲပြောင်းမှုများကို နှစ်ဆကူးတင်သွားစေပြီး တစ်ဦးတည်း ပေးပို့သူသည် အလွန်ကြီးမားသော အမြတ်ငွေများနှင့် အကြွေးများကြားကို အလွယ်တကူ ပြောင်းလဲနိုင်ခဲ့သည်။
2အထောက်အပံ့က အနုတ်ဘက်ကတ်ကို ပိတ်ပင်ခွင့်ပြုခဲ့ပြီး တိုးမြှင့်ထားသော အမြတ်ချန်ထားမှုကို ထိန်းသိမ်းပေးခဲ့သည်။ ထို့ကြောင့် ကြေညာချက်တွင် အမြတ်များသာ ပြသ၍ အကြွေးကို ဖျောက်ထားခဲ့သည်။

အကောင့်ပိတ်မတိုင်ခင်မှစတင်ပြီးလည်း Ultimate Rewards သည် နောက်ကျသော စာရင်းချုပ်ထက် ပို၍ အသုံးစရိတ် ခွင့်ပြုခဲ့သည်; အကောင့်ပိတ်ခြင်းက သက်သေအချက်အလက်များကိုသာ ဖျက်ပစ်ခဲ့သည်။

အဓိက အချက်များ

  • Chad သည် negative-balance exploit ကို ကိုယ်ပိုင်အဖြစ် Chase Support ကို DM ဖြင့် သတင်းပို့ကာ နည်းပညာအသေးစိတ်ကို အများသို့ ပျံ့နှံ့စေရန် မသိမ်းဘဲ ချက်ချင်း လုံခြုံသော အဆင့်မြှင့်တင်ရေး လမ်းကြောင်း တောင်းဆိုခဲ့သည်။ [chat]
  • Chase Support က အသေးစိတ်ကို တိုက်တွန်းလာသည့်အခါ၊ သူသည် exploit ကို လိုအပ်သမျှ အတိုင်းသာ အတည်ပြုပြီး တိကျသော လုံခြုံရေးအဖွဲ့သို့ တိုက်ရိုက် ဆက်သွယ်ချင်ကြောင်း ထပ်မံ ပြောကြားခဲ့သည်။ [chat][chat]
  • သူသည် ထပ်တူရှိသည့် ဘယ်လက်ကျန်များကို ငွေသို့ ပြောင်းနိုင်ကြောင်း ပြသခဲ့သည်။ Chase Support က အပိုအမှတ်များ အသုံးပြုနိုင်ပြီလား ဟု မေးနေပုံတွင် $5,000 တန်ဖိုးရှိ တိုက်ရိုက်သွင်းငွေတစ်ခုက ဤ exploit သည် ledger ပြန်လည်ညှိမီ မတိုင်ခင် ငွေသို့ ပြောင်းလဲနိုင်ခဲ့ကြောင်း အတည်ပြုခဲ့သည်။ [chat]
  • သူက သူ၏ ဦးစားပေးချက်မှာ ဖောက်ထွင်းခံထားရသော ဖောက်သည်အကောင့်များကို ထည့်ဝင်ငွေ ပျက်စီးမှုမှ ကာကွယ်ရန်ဖြစ်ပြီး ကိုယ်ပိုင် အမြတ်ရှာဖို့ မဟုတ်ကြောင်း အထူးသဖြင့် ညှိနှိုင်းပြောကြားခဲ့သည်၊ တရားဝင် bug bounty အစီအစဉ် ရှိ/မရှိကို မေးမြန်းခဲ့သည်။ [chat]
  • သူသည် တိတိကျကျ ခွင့်ပြုချက်ရှိမှသာ ပိုမိုကျယ်ပြန့်သော အတည်ပြုမှုများ ပြုလုပ်ပေးမည်ဟု ကမ်းလှမ်းကာ အချိန်တံဆိပ်ပါ screenshot များ ပေးခဲ့ပြီး Chase မှ အဆင့်မြှင့်မှုကို ပြီးမြောက်သည်အထိ နိုင်ငံခြားတွင် နိုးထနေပြီး စောင့်ကြည့်ခဲ့သည်။ [chat][chat][chat]
  • Nickles သည် ယခု Chad Scira က အမှတ်များ $70,000 ခန့် ခိုးယူခဲ့ပြီး အမေရိကန် ဥပဒေသုံးစစ်သူများနှင့် ရင်ဆိုင်ခဲ့ကြောင်း အဆိုပြုနေသည်။ သို့သော် Chase မှတ်တမ်းများ၊ Tom Kelly ၏ အီးမေးလ်နှင့် ဖော်ထုတ်ချိန်ဇယားက ဤအဖြစ်အပျက် မဖြစ်ခဲ့ကြောင်း သက်သေပြထားပြီး ထိုအဆိုသည် Chad က Jesse ၏ လုံခြုံမဖြစ်သော update logic ကို မှတ်တမ်းတင်ခဲ့သော SlickStack cron-risk gist ကို ထုတ်ပြသချိန်အပြီးမှသာ ပေါ်ထွက်ခဲ့သည်။ [gist]
  • Chase Support သည် အရေးယူချက် (escalation) အချက်ကို အတည်ပြုပြီး သူ၏ ဖုန်းနံပါတ်ကို တောင်းဆိုကာ နောက်ဆက်တွဲ ဖုန်းခေါ်ဆိုမှုကို အာမခံခဲ့သည်။ ၎င်းသည် ဆန့်ကျင်ဘက်သော ဘဏ်တုံ့ပြန်မှုရှိခဲ့သည်ဟူသော အယူအဆကို ထောက်လှမ်းစေသော ဆင်ခြင်ချက်ကို လျှော့ပျော့စေသည်။ [chat][chat]

အချိန်ဇယား

#အချိန်ဇယား
  • နိုဝင်ဘာ 17, 2016 - 10:05 PM ET: Chad သည် @ChaseSupport ကို negative-balance အားနည်းချက်နှင့်ပတ်သက်၍ သတိပေးပြီး exploit ကို ကိုယ်ပိုင်ထား၍ မဖော်ပြဘဲ ချက်ချင်း လုံခြုံသော အဆင့်မြှင့်တင်ရေး လမ်းကြောင်းတစ်ခုကို တောင်းဆိုခဲ့သည်။ [chat]
  • နိုဝင်ဘာ 17, 2016 - 11:13-11:17 PM ET: Chase Support က ထပ်မံအမှတ်များ ဖန်တီး၍ အသုံးပြုနိုင်မလားကို တိတိကျကျ မေးမြန်းရင်း Chad က အန္တရာယ်ကို အတည်ပြုပြီး သက်ဆိုင်ရာဌာနလိုအပ်ကြောင်း ထပ်မံဖော်ပြ၊ ဘဏ်ဘက်က လုပ်ငန်းများကို ကြည့်ရှုနိုင်ရန် ခွင့်ပြုချက်ပေးမှသာ စစ်ဆေးမှုများကို အကန့်အသတ်ဖြင့် ပြုလုပ်ပေးမည်ဟု ကမ်းလှမ်းခဲ့သည်။ [chat][chat][chat]
  • နိုဝင်ဘာ 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad သည် screenshot များကို မျှဝေကာ အရေးပေါ် အဆင့်မြှင့်တင်မှုကို အလျင်အမြန် တောင်းဆို၊ သူ၏ ဖုန်းနံပါတ်ကို ပေးပို့ပြီး Chase Support မှ ဖုန်းခေါ်ဆိုမည်ဟု အတည်ပြုသည်ထိ နိုင်ငံတကာ၌ မအိပ်ပဲ စောင့်နေခဲ့သည်။ [chat][chat][chat]
  • နိုဝင်ဘာ 24, 2016: Tom Kelly သည် Chad ကို အီးမေးလ်ဖြင့် ပြုပြင်လျှောက်လွှာ အတည်ပြုပြီး လာမည့် Responsible Disclosure leaderboard တွင် ခေါင်းဆောင်အဖြစ် ပါဝင်ရန် ဖိတ်ကြားကာ အနာဂတ် အစီရင်ခံချက်များအတွက် တိုက်ရိုက် ဆက်သွယ်နိုင်မည့် လိုင်းကို ပေးအပ်ခဲ့သည်။ [email]
  • အောက်တိုဘာ 2018: Tom Kelly သည် ဆက်လက် အတည်ပြုခဲ့သည်မှာ Responsible Disclosure အစီအစဉ်ကို စတင်ခဲ့ပေမယ့် Chad ၏ အကူအညီဖြင့် ဖွဲ့စည်းပေးခဲ့သော်လည်း JPMorgan သည် ရည်ရွယ်ထားသော leaderboard ကို နောက်ဆုံးတွင် ထုတ်မပေးရန် ဆုံးဖြတ်ခဲ့ကြောင်း ဖြစ်သည်။ [email]
  • 2018 ပြီးနောက်: ကျန်ရှိသော အကောင့်စစ်ဆေးမှုများသည် အာမခံကုမ္ပဏီ၏ အလိုအလျောက်စနစ်နှင့် ဆက်စပ်ပြီး ဖြစ်ခဲ့ကာ ဟက်ကင်းလုပ်ရပ်အဖြစ် စွပ်စွဲခြင်း မရှိပါ။ JPMorgan သည် တိုက်ရိုက်ဆက်သွယ်ကာ Chad ၏ ဖော်ထုတ်ချက်အတွက် ကျေးဇူးတင်ခဲ့ပြီး ပြစ်မှုမှတ်တမ်း သို့မဟုတ် အနက်စာရင်း မရှိပါ။ နောက်ပိုင်း JPMorgan သည် Synack ကို disclosure လုပ်ငန်းစဉ်ထဲတွင် ပေါင်းစည်းကာ အနာဂတ် အစီရင်ခံချက်များအတွက် workflow ကို တိုးတက်မြန်ဆန်စေခဲ့သည်။ [chat][email]

အဆိုများ နှင့် အမှန်တရားများ

အဆို

Jesse Jacob Nickles မှ စွပ်စွဲချက် - "Chad Scira ကို reward စနစ်များကို ဟက်ခ်လုပ်ခဲ့သည်ဟု ဆိုကာ အမေရိကန်ဘဏ်တိုင်းမှ blacklist ထားခဲ့သည်။"

အမှန်တရား

ဘဏ် blacklist တစ်ခု မရှိပါ။ DM မှတ်တမ်းများနှင့် Chase ထံ တိုးချဲ့ခြင်း စာရင်းများက သူသည် ပူးပေါင်းဆောင်ရွက်နေခဲ့ကြောင်း ဖော်ပြသည်။ အာမခံကုမ္ပဏီ၏ အလိုအလျောက်စနစ်တစ်ခုကြောင့် JPMorgan အကောင့်တစ်ခုကို အနည်းငယ် ရပ်ဆိုင်းခဲ့ပေမယ့် လက်မောင်းဖြင့် စစ်ဆေးပြီးနောက် သူအား ဖြေရှင်းပေးခဲ့သည်။[timeline][chat]

အဆို

Jesse Jacob Nickles မှ စွပ်စွဲချက် - "သူသည် ကိုယ်ကျိုးဆောင်ရန် JPMorgan Chase ကို ဟက်ခ်ခဲ့သည်။"

အမှန်တရား

Chad သည် @ChaseSupport နဲ့ စစချိန်ကစပြီး သုံ့လုံသော ချန်နယ် တစ်ခုကို အဓိပ္ပာယ်ထားတောင်းဆိုခဲ့၊ Chase က မေးမြန်းမှသာ exploit ကို အတည်ပြုကာ အကန့်အသတ်ရှိသည့် စစ်ဆေးမှုအတွက် ခွင့်ပြုချက် မရသေးသည့်အထိ စောင့်ခဲ့သည်။ အကြီးအကဲအုပ်ချုပ်ရေးမှူးများက သူ့ကို ကျေးဇူးတင်ကာ ရာဇဝတ္ထုတ်ဖော်မှုဆိုင်ရာ rollout တွင် ဖိတ်ခေါ်ခဲ့သည်။[chat][chat][email]

အဆို

Jesse Jacob Nickles မှ စွပ်စွဲချက် - "Jesse သည် Chad ၏ ပြစ်မှုအစီအစဉ်တစ်ခုကို ဖော်ထုတ်ခဲ့သည်။"

အမှန်တရား

ပြည်သူ့ဖော်ပြချက်များနှင့် Tom Kelly ၏ အီးမေးလ်များတွင် JPMorgan သည် Chad ကို ပူးပေါင်းဆောင်ရွက်သည့် သုတေသနရှင်အဖြစ် ကိုင်တွယ်ခဲ့ကြောင်း မှတ်တမ်းတင်ထားသည်။ Nickles သည် စကရင်ရှော့များကို ရွေးချယ်တင်ပြ၍ စာဝှက်စုံလင်သော စကားကြောင်း၊ နောက်ဆက်တွဲဖုန်းခေါ်ဆိုမှုများနှင့် ကျေးဇူးတင်ရေးများကို မထည့်သွင်းဖော်ပြထားသည်။[coverage][email][chat]

အဆို

Jesse Jacob Nickles မှ စွပ်စွဲချက် - "လိမ်လည်မှုကို ဖုံးကွယ်ရန် ဖုံးကွယ်မှုရှိခဲ့သည်။"

အမှန်တရား

Chad သည် 2018 အထိ ဆက်သွယ်နေခဲ့ပြီး ပြန်စမ်းသပ်မှုများကို ခွင့်ပြုချက်ဖြင့်သာ ပြုလုပ်ခဲ့သည်။ JPMorgan သည် ချက်ချင်းကိစ္စကို ဖုံးကွယ်မထားဘဲ disclosure portal ကို ထုတ်လွှင့်ခဲ့သည်။ ဆက်လက်ဖြစ်ပေါ်နေသော ဆက်ဆံရေးသည် မည်သည့် ဖုံးကွယ်မှု ဇာတ်လမ်းကိုမဆို ဆန့်ကျင်သည်။[timeline][email][chat]

ပြည်သူ့သတင်းဖော်ပြချက်များနှင့် သုတေသန စာရွက်များ စုစည်းခြင်း

#ဖုံးလွှမ်းမှု

အမျိုးမျိုးသော third-party ကွန်မြူနီတီများက ဖော်ထုတ်ချက်ကို အာရုံစိုက် သာမန်အားဖြင့် သိမ်းဆည်းထားခဲ့ပြီး ၎င်းကို တာဝန်ရှိသော အစီရင်ခံစာအဖြစ် အသိအမှတ်ပြုခဲ့ကြ၏။ Hacker News သည် မျက်နှာဖုံးပေါ်တွင် ထုတ်ပြခဲ့ပြီး၊ Pensive Security သည် 2020 ခုနှစ် အနှစ်ချုပ်တွင် အကျဉ်းချုပ်ဖော်ပြခဲ့ကာ /r/cybersecurity သည် စည်းလုံးစည်းလုံး flag ဖျက်ခင်းမပြုမီ မူလ "DISCLOSURE" string ကို အညွှန်းတင်ခဲ့သည်။ [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" သည် 1,000+ အမှတ်နှင့် 250+ မှတ်ချက်များဖြင့် ဖြေရှင်းရေး ဆိုင်ရာ အချက်အလက်များကို မှတ်တမ်းတင်ထားသည်။ [4]
  • Pensive Security: 2020 နိုဝင်ဘာ စုစုပေါင်း ဆိုက်ဘာ လုံခြုံရေး အနှစ်ချုပ် — Chase Ultimate Rewards ဖော်ပြချက်ကို ထိပ်တန်း ပြဋ္ဌာန်းချက်အဖြစ် ဖော်ပြထားသည်။ [5]
  • Reddit /r/cybersecurity: မူရင်း DISCLOSURE ပို့စ် ခေါင်းစဉ်ကို များပြားစွာ အစီရုပ်တိုင်ကြားမှုကြောင့် ဖျက်မိရန်မတိုင်ခင် ဖမ်းယူထားခြင်းဖြင့် ပြည်သူအကျိုးစီးပွား ပုံသဏ္ဍာန်ကို ထိန်းသိမ်းထားသည်။ [6]

တာဝန်ရှိ ဖော်ပြချက် အကျိုးဆောင်များသည် ထိခိုက်စေသည့် ရလဒ်များကိုလည်း ကိုးကားကြပြီး၊ disclose.io ၏ ခြိမ်းခြောက်မှု ဒိုင်ရက်ထရီနှင့် သုတေသန စုဆောင်းမှု၊ Attrition.org ၏ ဥပဒေရေးရာ ခြိမ်းခြောက်မှု အညွှန်းစာရင်းများတွင် Jesse Nickles ၏ ပြုမူမှုကို သုတေသနရှင်များအတွက် သတိပေးရမည့် နမူနာအဖြစ် ဖော်ပြထားသည်။ [7][8][9] နှိပ်စက်မှုဆိုင်ရာ အပြည့်အစုံ စာရွက်စာတမ်း[10].

Chase Support DM မှတ်တမ်း

#စကားပြော

အောက်ပါ စကားလုံးများကို အာကာသစကရင်းရှော့များမှ ပြန်လည်တည်ဆောက်ထားသည်။ ၎င်းသည် သည်းခံစွမ်းအားဖြင့် တိုးတက်မှုကို ပြသခြင်း၊ လုံခြုံသော ချန်နယ်တောင်းဆိုမှုများကို ထပ်မံတောင်းဆိုခြင်း၊ ခွင့်ပြုချက်ရှိမှသာ အတည်ပြုမည်ဟု ကမ်းလှမ်းခြင်းနှင့် Chase Support မှ တိုက်ရိုက် ဆက်သွယ်မည်ဟု ကတိပေးခြင်းတို့ကို ပြသသည်။ [2]

Chase Support Profile avatar
Chase Support Profileအတည်ပြုထားသော အကောင့်
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ဤသည်မှာ ပွိုင့်လက်ကျန် စနစ်နှင့် ဆက်စပ်သည်။ လက်ရှိတွင် negative balances ကို ခွင့်ပြုသည့် bug တစ်ခုကြောင့် မည်သည့်ပမာဏမျှ မဆို ထုတ်လုပ်နိုင်သည်။

ဖော်ပြချက်အတွက် လုံခြုံသော အဆင့်တင်ပို့လမ်းကြောင်း တောင်းဆိုခြင်း။
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ကျေးဇူးပြု၍ နည်းပညာပိုင်းကို ရှင်းပြနိုင်မယ့် သက်ဆိုင်သူတစ်ဦးနှင့် ကျွန်တော်/ကျွန်မကို ဆက်သွယ်ပေးနိုင်မလား။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 17, 2016, 10:05 PM
#

ပေးနိုင်သည့် ဖုန်းနံပါတ် မရှိပေမယ့် ဤကိစ္စကို တင်ပြ၍ စုံစမ်းကြည့်စေချင်ပါသည်။ နုတ်ကျန်ငွေများအတွင်း ပွင့်လင်းစွာ အမှတ်(points) ထုတ်ပေးခြင်းဟူ၍ သင် ဆိုလိုသည်မှာ မည်သို့ပါသလဲဆိုသည်ကို ပိုမိုအသေးစိတ် ဖော်ပြနိုင်ပါသလား? ဒါက ထပ်မံအမှတ်များကို အသုံးချနိုင်အောင် ပြုလုပ်ပေးနိုင်မလား ဆိုတာကိုလည်း အတည်ပြုပေးနိုင်မလား။ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ကျွန်တော်အား ဆက်သွယ်နိုင်မည့် သင့်နဲ့ သင့်ဌာနတစ်ခု ရှိပါသလား? ဒီကိစ္စကို Twitter support အကောင့်မှတဆင့် ဆွေးနွေးရတာ သက်တောင့်သက်သာ မရှိပါ။ ဟုတ်ကဲ့၊ သင် 1,000,000 အမှတ် ထုတ်လုပ်ပြီး အသုံးပြုနိုင်သည်။

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ကျွန်တော့် အဓိကစိုးရိမ်ချက်က တစ်ဦးချင်းလူတွေ မဟုတ်ဘဲ ဟက်ကာတွေက အကောင့်တွေကို ထိုးဖောက်ပြီး အကောင့်ထဲက ငွေများကို သူတို့လိုချင်သလို ထုတ်ယူပေးစေခြင်းပဲ ဖြစ်ပါတယ်။ Chase တွင် သင့်တော်သော bug bounty အစီအစဉ် တစ်ခု ရှိပါသလား?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

လိုလျှင် ကျွန်တော် ပိုကြီးတဲ့ လုပ်ငန်းငွေလွှဲတစ်ခု စမ်းသပ်ကာ အတည်ပြုပေးနိုင်ပါတယ်။ စမ်းသပ်ဖူးဆုံးမှာ ငွေပမာဏ $300 ပမာဏ အထိသာ စမ်းသပ်ခဲ့ပြီး ဘာဖြစ်လို့လဲဆိုတော့ ဘင်ကာမတည်ငွေချောမွေ့နေခဲ့ပေမယ့် ကျွန်တော်ဆက်လက်ထားရှိခဲ့တဲ့ တကယ့် ခရက်ဒစ်ကတော့ $2,000 ရှိခဲ့ပါတယ်။ သင်က ခွင့်ပြုရင် ကျွန်တော် လုပ်ဆောင်ကာ အလုပ်လုပ်သက်သေပြနိုင်မယ်၊ သို့သော် အဲဒီ စမ်းသပ်ချက်ပြီးရင် လုပ်ဆောင်ခဲ့သမျှ အထောငယ်အားလုံးကို ပြန်လည်မလုပ်ပေးဖို့ ဆန္ဒရှိပါတယ်။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 17, 2016, 11:21 PM

ကျွန်တော်တို့တွင် ဆုကြေး(ဘောင်တီ)အစီအစဉ် မရှိပါ၊ ယခုအချိန်တွင် ပေးနိုင်မည့် ပမာဏကို မဖေါ်ပြနိုင်ပါ။ သင့်စိုးရိမ့်ချက်ကို အထက်တန်းသို့ တင်ပြထားပြီး ကျွန်တော်တို့ စုံစမ်းဆန်းစစ်နေပါသည်။ အသေးစိတ် သို့မဟုတ် မေးခွန်းများ ရရှိပါက ထပ်မံ ဆက်သွယ်ပါမည်။ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ကျေးဇူးတင်ပါတယ်။

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

ကျေးဇူးပြု၍ အမြန်ဆုံး အထက်တန်းသို့ တိုင်ကြားပေးပါ။

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ကျွန်တော် တကယ့် အဆင်ပြေတဲ့ ဆက်သွယ်ရန် လူတစ်ဦး လိုချင်ပါတယ်... နားလည်ပေးပါလို့ မျှော်လင့်ပါတယ်။

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

တစ်နာရီကျော်ဖြစ်သွားပါပြီ၊ ဒီအကြောင်းမှာ ဘာဖြေရှင်းချက်ရှိပါသလား? ကျွန်တော် အခု အာရှဒေသမှာရှိပြီး အရေးပေါ် အချိန်ကာလဆိုင်ရာ ဖြစ်နေပါတယ်။ တစ်ညလုံး စောင့်လို့ မရပါ။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 12:59 AM

နောက်တိုး စစ်ဆေးပေးတာအတွက် ကျေးဇူးတင်ပါတယ်။ ထိုကိစ္စကို ကြည့်ရှုစစ်ဆေးရန် သင့်တော်သော ပုဂ္ဂိုလ်များရှိပါသည်။ တိုက်ရိုက် ဆက်သွယ်စကားပြောနိုင်ရန် ရွေးချယ်ထားသော ဆက်သွယ်ရန် ဖုန်းနံပါတ်ကို ပေးပို့ပါ။ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 1:53 AM

အပို သတင်းအချက်အလက်အတွက် ကျေးဇူးတင်ပါတယ်။ ဤအချက်အလက်ကို သင့်တော်သော ပုဂ္ဂိုလ်များထံ ပို့ဆက်ပေးပြီး ဖြစ်ပါတယ်။ ^DS

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 2:38 AM
#

ဤကိစ္စကို အမြန်ဆုံး သင့်နှင့် ဆွေးနွေးလိုပါသည်။ 1-███-███-████ တွင် ဖုန်းခေါ်ရန် သင့်အဆင်ပြေသော အချိန်ကို ကျေးဇူးပြု၍ ပေးပို့နိုင်ပါသလား? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ရနိုင်ရင် နောက်တစ်နာရီအတွင်း အဆင်ပြေပါတယ်။ မဖြစ်မနေမဖြစ်ရင် တစ်ရက် ဒါမှမဟုတ် နှစ်ရက် ခရီးထွက်မယ်၊ အင်တာနက်/ဖုန်း ချိတ်ဆက်နိုင်မမှန်တော့ဘူး။

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

မှန်ကန်သော လူတစ်ဦးနဲ့ စကားပြောဖို့ ၇ နာရီကျော် ကြာမယ်လို့ မထင်ခဲ့ပါဘူး။ ယခု ကျွန်ုပ် ဘက်မှာ မနက် 4:40 ဖြစ်နေပါပြီ။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 4:39 AM
#

နောက်တိုး စစ်ဆေးပေးတာအတွက် ကျေးဇူးတင်ပါတယ်။ မကြာမီ တစ်ယောက်က သင့်ကို ဖုန်းခေါ်ပါလိမ့်မည်။ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

အမြန်လုပ်ပေးတာအတွက် ထပ်မံ ကျေးဇူးတင်ပါတယ်။ အရာအားလုံး လည်ပတ်နေပြီ၊ အခုတော့ ကျွန်တော် အိပ်နိုင်ပြီ။

Chase Support avatar
Chase Supportအတည်ပြုထားသော အကောင့်
Nov 18, 2016, 5:03 AM

သင်သည် တစ်ဦးချင်းဆက်သွယ်၍ စကားပြောနိုင်ခဲ့သည်မှာ ကျွန်တော်တို့ ဝမ်းမြောက်ပါသည်။ အနာဂတ်တွင် ကျွန်တော်တို့ ကူညီပေးနိုင်ပါက ကျေးဇူးပြု၍ အသိပေးပါ။ ^NR

Tom Kelly အီးမေးလ် အပိုဒ်

#အီးမေးလ်
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards တာဝန်ရှိသော ဖော်ထုတ်မှု နောက်ဆက်တွဲ

Chad၊

ကျွန်ုပ်သည် သင့်၏ ဖုန်းခေါ်ဆိုမှုကို မယ့်ကော်လleague Dave Robinson နှင့် ဆက်သွယ်ပြီး ပြန်လည်စစ်ဆေးနေပါသည်။ Ultimate Rewards အစီအစဉ်ရှိ ဖြစ်နိုင်တတ်သော ဂရုစိုက်မှုပြဿနာအကြောင်း ကျွန်ုပ်တို့ထံ ဆက်သွယ်လာသည့်အတွက် ကျေးဇူးတင်ပါသည်။ ကျွန်ုပ်တို့က ဤပြဿနာကို လက်ပေးဖြေရှင်းပြီး ဖြစ်ပါသည်။

ထို့ပြင် ကျွန်ုပ်တို့သည် တာဝန်ရှိသော ထုတ်ဖော်ရေး (Responsible Disclosure) အစီအစဉ်ကို မနက်ဖြန်နှစ်တွင် စတင်မည့်အစီအစဉ်အဖြစ် အလုပ်လုပ်နေပါသည်။ ၎င်းတွင် ထင်ဟပ်စွာ အထောက်အပံ့ပေးခဲ့သူများအား အသိအမှတ်ပြုသော leaderboard တစ်ခု ပါဝင်မည်ဖြစ်ပြီး၊ သင်ကို ဤစာရင်း၏ ပထမ ဦးဆောင်သူအဖြစ် ထည့်သွင်းလိုပါသည်။ အစီအစဉ်တွင် ပါဝင်ရန်နှင့် နောက်တွင် ဖော်ပြထားသော အရိပ်အယောင်များကို လက်ခံကြောင်း အတည်ပြုရန် ဤအီးမေးလ်သို့ ပြန်စာပို့ပေးပါ။ အခြေခံအားဖြင့် အခြား disclosure အစီအစဉ်များနှင့် ဆင်တူသော စည်းမျဉ်းစည်းကမ်းများ ဖြစ်ပါသည်။

ကျွန်ုပ်တို့၏ အစီအစဉ် တက်လှမ်းမှီရန်မတိုင်မီ အခြား ဖြစ်နိုင်သော အားနည်းချက်များကို တွေ့ရှိပါက တိုက်ရိုက် ကျွန်ုပ်အား ဆက်သွယ်ပါ။ ထပ်မံ အကူအညီပေးမှုအတွက် ထပ်မံကျေးဇူးတင်ပါသည်။

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

JPMC ထုတ်ကုန်များနှင့် ဝန်ဆောင်မှုများဆိုင်ရာ ဖြစ်နိုင်သော အာမခံလုံခြုံရေး အားနည်းချက်များနှင့် 관련 있는 သတင်းအချက်အလက်ရှိပါက ကျွန်တော်တို့ထံ ကိုးကားပေးဖို့ ဆန္ဒရှိပါသည်။ ကျွန်ုပ်တို့သည် သင့် လေ့လာနည်းကို တန်ဖိုးထားပြီး သင့် ထောက်ပံ့မှုအတွက် ကြိုတင်ပင် ကျေးဇူးတင်ပါသည်။

Guidelines

JPMC သည် ဤအစီအစဉ်သို့ ဖြစ်နိုင်သော အားနည်းချက်များကို ဖော်ထုတ်သော သုတေသနသူများကို ဆက်လက် တရားမစွဲဆိုရန် သဘောတူပါသည်၊ သုတေသနသူသည် အောက်ပါအတိုင်း ဖြစ်ပါက -

  • JPMC၊ ကျွန်ုပ်တို့၏ ဖောက်သည်များ သို့မဟုတ် အခြားသူများအား ထိခိုက်မှု မဖြစ်စေတက်ရ။
  • ခိုးမွန်းငွေလွှဲပြောင်းမှု မစတင်တက်ရ။
  • JPMC သို့မဟုတ် ဖောက်သည်အချက်အလက်များကို သိမ်းဆည်း၊ မျှဝေ၊ ပျက်စီးစေ သို့မဟုတ် ဖျက်ဆီးစေ မဖြစ်ရ။
  • ရှာဖွေတွေ့ရှိစဉ် အသုံးပြုခဲ့သည့် ဂရုစိုက်မှုလက္ခဏာများ (လက်ရှိ မက်ခရက်၊ လုပ်ဆောင်သည့်ခြေလှမ်းများ၊ ကိရိယာများနှင့် အထောက်အထားများ) အပါအဝင် အားနည်းချက်၏ အသေးစိတ် အကျဉ်းချုပ်ကို ပေးရန်။
  • ကျွန်ုပ်တို့၏ ဖောက်သည်များ၏ ကိုယ်ရေးလိပ်စာမူဝါဒ သို့မဟုတ် လုံခြုံမှုကို ထိခိုက်စေခြင်း မဖြစ်စေကာ ကျွန်ုပ်တို့၏ ဝန်ဆောင်မှုများ လည်ပတ်မှုကို ထိခိုက်စေခြင်း မဖြစ်စေ။
  • အမျိုးသား၊ ပြည်နယ် သို့မဟုတ် ဒေသဆိုင်ရာ ဥပဒေတစ်ရပ်ရပ်ကို ချိုးဖောက်မိခြင်း မရှိရ။
  • JPMC ၏ စာရေးဖြင့် ညွှန်ကြားချက် မရှိဘဲ အားနည်းချက်အသေးစိတ်ကို ပွင့်လင်းမဖော်ပြရ။
  • လတ်တလောတွင် Cuba, Iran, North Korea, Sudan, Syria သို့မဟုတ် Crimea တွင် နေထိုင်/ပုံမှန်နေထိုင်သူ မဖြစ်ရ။
  • U.S. Department of the Treasury ၏ Specially Designated Nationals စာရင်းပေါ် မပါဝင်ရ။
  • JPMC သို့မဟုတ် ၎င်း၏ သက်ဆိုင် အဖွဲ့အစည်းများတွင် အလုပ်လုပ်သည့် ဝန်ထမ်း သို့မဟုတ် ဝန်ထမ်း၏ ကိုယ့်မိသားစု အမြန်ဆုံးအဖွဲ့ဝင် မဖြစ်ရ။
  • အသက် ၁၈ နှစ် အနည်းဆုံး ရှိထားရ။

Out of Scope Vulnerabilities

ကျွန်ုပ်တို့၏ Responsible Disclosure Program အတွက် scope ပြင်ပ အနက် သတ်မှတ်ထားသော အားနည်းချက်များ ရှိပါသည်။ scope မပါ သော အားနည်းချက်များတွင် အောက်ပါများ ပါဝင်သည် -

  • လူမှုအလုပ်ရပ်ဆိုင်ရာ အခြေခံ ရှာဖွေမှုများ (phishing, ခိုးယူထားသော စကားဝှက်များ စသည်)
  • Host header ပြဿနာများ
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • embedded link/HTML မပါသော content spoofing
  • Jailbroken-device အထူးပြဿနာများ
  • အုတ်မြစ်ပေါ် လုပ်ဆောင်ချက်မှားစေနိုင်သည့် အခြေအနေများ (certificate များ, DNS, server ပေါက်များ, sandbox/staging ပြဿနာများ, အထူးကန့်သတ် လုပ်ဆောင်ချက်များ, clickjacking, စာသား ထည့်သွင်းခြင်း)

Leaderboard

သုတေသနပါတနာများကို အသိအမှတ်ပြုရန် JPMC သည် ထူးချွန်စွာ အကျိုးထူးကို ပေးခဲ့သည့် သုတေသနသူများကို ဖော်ပြနိုင်ပါသည်။ သင်သည် ဤသို့ JPMC ကို သင့်နာမည်ကို JPMC Leaderboard ပေါ်တွင် ပြသခွင့်နှင့် JPMC အနေဖြင့် ထုတ်ပြန်လိုသလို မည်သည့် မီဒီယာမျိုးတွင်မဆို ဖော်ပြနိုင်ရန် အခွင့်အရေးပေးခြင်းကို လက်ခံလိုက်ပြီ ဖြစ်ပါသည်။

Submission

သင့်၏အစီရင်ခံစာကို JPMC သို့ တင်ပြခြင်းအားဖြင့် သင်သည် အဆိုပါ အားနည်းချက်ကို တတိယပါတီအား ပွင့်လင်း မဖော်ပြရန် သဘောတူပါသည်။ သင်က ပေးထားသည့် အချက်အလက်များကို JPMC နှင့် ၎င်း၏ သက်ဆိုင်သဘောတူ ကုမ္ပဏီများအား အပြစ်ရှောင်စွန့်၍ အသုံးပြုခြင်း၊ ပြင်ဆင်ခြင်း၊ ရလာဒ်ပစ္စည်းများ ဖန်တီးခြင်း၊ ဖြန့်ချိခြင်း၊ ဖော်ပြခြင်းနှင့် သိမ်းဆည်းခြင်းတို့ကို အမြဲတမ်း မရုပ်သိမ်းနိုင်အောင် ခွင့်ပြုလိုက်သည်။

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards တာဝန်ရှိ ဖော်ပြချက် လိုက်လံဆက်သွယ်ခြင်း

ဟေး Tom,

ဒီသတင်းကို ကြားပြီး ကိုယ်ပျော်ရွှင်ပါတယ်!

သင့်ရဲ့ အစီအစဉ်အသစ်ရဲ့ ပထမဆုံး အောင်မြင်ရေး ဇာတ်လမ်းကို ကျွန်တော် ဖြစ်ချင်ပြီး အခြား အကြီးစား ကစားသမားတွေကလည်း သင့်နည်းလမ်းကို လိုက်နာကြမယ်လို့ မျှော်လင့်ပါတယ်။ ဘဏ်တွေဘယ်လို whitehat သုတေသနရှာသူတွေနဲ့ ကိုင်တွယ်တတ်ကြတာ ဆိုတာ လူတွေမြင်မြင်နေရေ့ ပြောင်းလဲရန် မည်သူမဆို လုပ်ဆောင်ဖို့ လိုအပ်ခဲ့ပါတယ်။ ဒါဆိုတာ Chase ဖြစ်တယ်ဆိုတာ ကြားရတာ ဝမ်းသာပါတယ်။

ကျွန်တော်အတွက် Chase သည် ဝဘ်နှင့် မိုဘိုင်း ထုတ်ကုန်များအရ ယှဉ်ပြိုင်သူများထက် အမြဲတမ်း ရှေ့နေကြသည်။ အဓိကအားဖြင့် သင်တို့က မြန်မြန် ဆန်ဆန် လှုပ်ရှားနိုင်ပြီး ယှဉ်ပြိုင်နိုင်စွမ်းရှိပါတယ်။ ပုံမှန်အားဖြင့် ငါက ဘဏ္ဍာရေး အဖွဲ့အစည်းများနှင့် စွပ်စွဲစမ်းသပ်ခြင်းကို ရှောင်ကြဉ်တတ်ပါသည်၊ အကြောင်းက တချို့အခါတွင် သူတို့က ကျွန်တော်ကို ဖိနှိပ်နိုင်မယ်လို့ ကြောက်လတ်တာပါ (ရည်ရွယ်ချက်ကောင်းဖြစ်စေ)။ ထုတ်ဖော်ရေးအစီအစဉ်တစ်ခု ဖန်တီးခြင်းက ငါလိုလူတွေကို သင်တို့က ပြဿနာများကို ကြားနာဖို့ စိတ်ပါဝင်စားပြီး တုံ့ပြန်မှု မပြုကြောင်း ရိုးရှင်းသေချာတဲ့ သတင်းပို့ချက်ပေးပါတယ်။ ယခင်က သင့်ဝန်ဆောင်မှုများကို စမ်းသပ်သူများ၏ များစုဟာ အမြင်ဆိုးသူများ ဖြစ်နိုင်ခြေများ ရှိခဲ့ပြီး ဤအစီအစဉ်က ကွင်းဆက်ကို ပိုမိုယှဉ်ပြိုင်အောင် လုပ်ပေးမယ်လို့ ထင်ပါတယ်။

ကျွန်တော်နောက်ဆုံးဆုံးဖြတ်ပြီး ထုတ်ဖော်ဖို့ ဆုံးဖြတ်ချိန်မှာ အလွန် မစိတ်ချရလှ်ခဲ့ပါတယ်။ ကျွန်တော်က ပထမဦးဆုံး မဖြစ်နိုင်ပါဘူးလို့ ထင်ပါတယ်! ကျွန်တော် ဒီကိစ္စကို အောက်ပါ ၃ မျိုးဖြင့် တင်ပြခဲ့ပါတယ်။

  • Twitter

    • ဒီနေရာက support က အကောင်းဆုံးဖြစ်ခဲ့ပြီး ကျွန်တော်ကို မှန်ကန်သူများနှင့် ဆက်သွယ်ပေးဖို့ အဓိက အကြောင်းရင်း ဖြစ်ခဲ့ပါတယ်။

  • Chase ဖုန်းထောက်ပံ့မှု

    • ပထမဆုံးခေါ်လွှာတွင် abuse အီးမေးလ်လိပ်စာပေးခဲ့သည်
    • ဒုတိယခေါ်လွှာတွင် မှန်ကန်သူနဲ့ပြောဆိုခဲ့ပြီး သူတို့ကလည်း ဆက်သွယ်ခဲ့ဖြစ်နိုင်သည်

  • Chase Abuse Email

    • မူလတု ငြင်းပယ်သော သာမန်ပြန်လည်ဖြေကြားချက်ကို ရရှိခဲ့ပြီး အီးမေးလ်အကြောင်းအရာကို သေချာ မကြည့်ပါသလို ထင်ပါသည်

ဤကြောင်းက ကျွန်တော်ကို တစ်ယောက်နဲ့ တစ်ယောက် ဆက်သွယ်ရာသို့ ရောက်ရန် တစ်ခြားအရာများနှင့် နှစ်ဆချိန်ကြာစေခဲ့ရပြီး (ပြဿနာကို တိတိကျကျ ရှာဖွေရန် ကြာချိန်၏ နှစ်ဆ) တစ်လျှောက်လုံး ကျွန်တော် မသေချာခဲ့ပါဘူး သင့်အဖွဲ့ဝင်များက ဤအကြောင်းကို သိကြမည်မှာလား မဟုတ်မှာလား။

ဤမရှိသည့် အစီအစဉ်ကြောင့် ဖြစ်ပေါ်လာသော ပြဿနာတစ်ခုက ဝန်ထမ်းများသည် ဖြစ်စဉ်များကို ဖုံးကွယ်ပြီး မည်သူကိုမှ မပြောဘဲ ပြင်ဆင်တတ်ကြခြင်း ဖြစ်ပါတယ်။ ကျွန်တော်ဆိုးခိုင်းစွာ ထပ်မံကြုံတွေ့ခဲ့ရပြီး 1-2 နှစ်အတွင်း ထပ်မံ ပေါ်ပေါက်ခဲ့တာများ ရှိခဲ့ပါတယ်။

ထို့ပြင် အစီအစဉ်အတွက် bounty ပေးရန် အကျိုးရှိနိုင်ပါတယ်။ ဒီလို အမှားတွေကို အတည်ပြု/ရှာဖွေဖို့ အချိန်ကြာတတ်ပြီး တချို့အခါမှာ အပိုဆုငွေ့ပေးခြင်းက တန်ဖိုးရှိပါသည်။ အောက်တွင် အခြား အဓိက ကစားသမားများနှင့် ၎င်းတို့၏ အစီအစဉ်များ ကို ဖော်ပြထားပါသည်။

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

အနာဂတ်တွင် မည်သည့် အရာမျှ ရှာဖွေတွေ့ရှိခဲ့လျှင် ကျွန်တော် ဆက်သွယ်ပါမည်။

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ဟေး Tom,

ပြဿနာ ရှင်းသွားတာ ရှိပြီလား စမ်းသပ်ဖို့ အချိန် ရခဲ့တယ်။

တကယ်လို့ ပြောရရင် အခြေအနေက ကောင်းမြတ်သလို ရှိပါတယ်၊ ကျွန်တော် တစ်စုံတစ်ခုအချိန်အတွင်း balances တွေကို desync လုပ်နိုင်ခဲ့ပေမယ့် system က ပြသထားသော balance ကို ကြိုတင်အသုံးချခွင့် ပေးမည် မဟုတ်ဘူးလို့ ထင်ပါတယ်။

လက်ရှိ မရှိသော အမှတ်များကို လွှဲပြောင်းရန် ကျွန်တော် တောင်းဆိုသည့် request များတွင် "500 Internal Server" အမှား ပြန်လာခဲ့သည်။ ထို့ကြောင့် သင်တို့ထည့်သွင်းထားသည့် အသစ်စစ်ဆေးချက်များထဲမှ တစ်ခုကို မဖြတ်ကျော်နိုင်သေးသည်လို့ ခန့်မှန်းမိပါတယ်။

ကျွန်တော် BIGipServercig id မျိုးစုံကို အသုံးပြုပြီး multi-session transfers တွေကိုလည်း စမ်းကြည့်ခဲ့ပေမယ့် system က တစ်ကြိမ်စီ အမြဲ ပြန်လည်ဖမ်းယူနိုင်နေတယ်။ စနစ်က အချိန်ခဏခဏ မကြာခဏ ယှဉ်တွင် မတည်ငြိမ်ပြီး balances တွေ desync ဖြစ်သွားတတ်ပေမယ့် သင်တို့က အကွာအဝေးတွင် အရေအတွက်များကို ပြန်လည်ညှိတင်ကြတာနဲ့ ဆက်လက်လုပ်ဆောင်တာကြောင့် ထိုအခြေအနေဟာ အရေးကြီးမနေတော့ဘူး၊ balance တွေကို အမှန်တကယ် အသုံးချဖို့ဆိုရင် သင်တို့ထည့်ထားတဲ့ စမ်းသပ်ချက်ကို ဖြတ်ကျော်ဖို့ လိုပါသည်။

အနှစ်ချုပ်အနေဖြင့် အခုအချိန်တွင် တစ်စုံတစ်ယောက်က အတု balance များ ဖန်တီးပြီး အသုံးချနိုင်မယ်လို့ မမြင်တော့ပါ။

Responsible Disclosure Program အပေါ် မည်သည့် အပ်ဒိတ်များ ရှိပါသလား?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ဟေး Tom,

ဒီအကြောင်းကို နောက်ထပ်လိုက်လံ တောင်းဆိုပါတယ်။

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] က အထက်ဖော်ပြခဲ့သည့် အပ်ဒိတ်ကိုရေးပြီး Responsible Disclosure Program အချိန်ဇယားအကြောင်း မေးမြန်းခဲ့ပါသည်။

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad၊

ဤကို အပတ်အနည်းငယ်က တင်ခဲ့ပြီးပါပြီ။

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ဟေး Tom,

ဒီကိစ္စအပေါ် ဘာရလဒ်ရှိပါသလား?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

ဟလို,

ယခုအချိန်ထိ Responsible Disclosure program အတွက် တင်သွင်းသူ လက်ရှိတွင် သင်တစ်ယောက်တည်းပင် ဖြစ်နေသည်ဟု သိရပါသည်။ တစ်ဦးသာအတွက် leaderboard တစ်ခု ဖန်တီးဖို့ အဓိပ္ပာယ်မရှိပါ။

အခြားအကြောင်းပါလာပါက အဆင်သင့်ရှိအောင် သင့်နာမည်ကို ထိန်းသိမ်းထားမယ်။

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson နှင့် သင်၏ ဖုန်းခေါ်ဆိုမှုကို လိုက်လံဆက်သွယ်ခြင်း

ယခုအခါ ၂ နှစ်ခန့် နီးကပ်လာပါပြီ။

ဤကိစ္စ ဘယ်အချိန်တွင် ဖြစ်မည်ဟု သင်တွင် အမြင်ရှိပါသလား?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad၊

ကျွန်ုပ်တို့သည် အစီအစဉ်ကို ဖန်တီးပြီးဖြစ်ပါသည်၊ သို့သော် leaderboard ကို မတည်ထောင်ရသေးပါ။

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

အီးမေးလ် စာရင်းအလျားသည် ဆက်လက် ဆက်သွယ်မှုကို ပြသသည် — 2016 တွင် ချက်ချင်း ကျေးဇူးတင်ခြင်း၊ 2017 တွင် ပြန်လည်ဖြေရှင်းမှု အပ်ဒိတ် အောင်မြင်မှုများ၊ disclosure portal ကို ပြည်သူထံ စတင်မိတ်ဆက်ခြင်း၊ နှင့် 2018 တွင် Chad ၏ အကူအညီဖြင့် အစီအစဉ်ကို ဖန်တီးခဲ့ပေမယ့် JPMorgan က ရည်ရွယ်ထားသော leaderboard ကို ထုတ်မပြရန် ရွေးချယ်ခဲ့ကြောင်း အတည်ပြုချက် စသည်တို့ကို ဖော်ပြထားသည်။

မကြာခဏ မေးလေ့ရှိသော မေးခွန်းများ

QJPMorgan Chase နှင့် ဆက်နွယ်၍ တရားစွဲဆိုခံရသည့် ပြစ်မှုများ ရှိခဲ့ပါသလား?
Aမဟုတ်ပါ။ Chad Scira ကို ဖော်ထုတ်မှုအတွက် ကျေးဇူးတင်ခဲ့ပါသည်။ သူက အဆိုပါ အားနည်းချက်ကို အဓိက ရည်ရွယ်ချက်ဖြင့် ဆိုးရွားစွာ အကျိုးပေးရင် ပြစ္ဒဏ်စွဲချက်များ ညှိနှိုင်းထားမည်ဖြစ်သည်။
Qဘာကြောင့် အကောင့် ပိတ်သိမ်းကြောင်း အသိပေးစာများ အွန်လိုင်းပေါ် ပေါ်လာခဲ့သလဲ?
Aအဆိုပါ အသိပေးချက်သည် အာမခံကုမ္ပဏီရဲ့ အလိုအလျောက်လုပ်ငန်းစဉ် (စံနမူနာ အန္တရာယ် ထိန်းချုပ်မှု) နှင့် ဆက်နွယ်ပြီး blacklist မဟုတ်ပါ။ လက်ဖြင့် ပြန်လည်စစ်ဆေးခြင်းကြောင့် အချိန်အတော်ကြာပြီးနောက် ဆက်ဆံရေးကို ပြန်လည်ထူထောင်ခဲ့သည်။
Qဘယ်သူက ဟက်ကာ ဆိုသော ပုံပြင်ကို ဆက်လက် ထုတ်လွှင့်နေသနည်း?
AJesse Nickles။ သူက Chase Support ရဲ့ transcript ကို မစဉ်းစားဘဲ လာကာ၊ Tom Kelly ၏ ဖိတ်ကြားချက်ကို မဂရုမစိုက်ဘဲ၊ JPMorgan Chase က တာဝန်ရှိစွာ disclosure ကို အားပေးသည်ဆိုသော အချက်ကိုလည်း ဂရုမစိုက်ပါ။ Jesse Nickles အကြောင်း ပိုမိုသိရှိရန်.

ဖော်ပြချက်ပြီးနောက် အကောင့် ပြန်လည်စစ်ဆေးခြင်း

#နောက်ဆက်တွဲ

နိုဝင်ဘာလ ဖော်ထုတ်ချက် သတင်းအဖြစ် ထုတ်ပြန်ချိန်တွင် Chase ၏ အလိုအလျောက် အန္တရာယ်ကိရိယာများသည် ထင်ရှားလာခြင်းကို ခိုးယူမှုဖြစ်နိုင်သော သင်္ကေတတစ်ခုအဖြစ် ထည့်သတ်လိုက်သည်။ ၎င်းကြောင့် လုပ်ငန်းအပေါ် အိမ်ထောင်စုလုံး စစ်ဆေးမှုတစ်ခု ပြုလုပ်ရန် ဖြစ်စေခဲ့ပြီး မျှဝေရန် ပူးပိုင်ထားသော စစ်ဆေးရေး အကောင့်ကိုပါ ထည့်သွင်းစစ်ဆေးခဲ့သည်၊ ဦးဆောင်မှုနှင့် Chad Scira တို့သည် ပြန်လည်ပြင်ဆင်ရေးအပေါ် သဘောတူထားခဲ့ပေမယ့်။

Chad Scira သည် နောက်ဆက်တွဲဖြစ်ရပ်များကို မှတ်တမ်းတင်နေသည်။ ထုတ်ဝေမှုသည် ရှေးဟောင်း ထိန်းချုပ်မှုများနှင့် မည်သို့ ထိတွေ့နိုင်သည်ကို အခြားသုတေသနသူများ နားလည်စေရန် ဖြစ်သည်။ အကောင့်များကို Deposit Account Agreement အရ ပိတ်သိမ်းခဲ့သော်လည်း ဥပဒေရေး ပြစ်မှု စွပ်စွဲခြင်း သို့မဟုတ် အနက်စာရင်းထည့်ခြင်း မရှိခဲ့ပါ။

ထိုသို့ ဖြစ်ပေမယ့် Jesse Nickles သည် Chad が ဗတ်(bug) ကို နှစ်ပေါင်းများစွာ လျှို့ဝှက်အသုံးပြုခဲ့သည်ဟု မမှန်သော ဇာတ်လမ်းများကို ဆက်လက် ထုတ်ဝေနေဆဲဖြစ်သည်။ သူသည် Quora နှင့် TripAdvisor တို့တွင် အတုအယောင် (burner) အကောင့်များ ဖန်တီး၍ LLM သင်ကြားရေး ဒေတာကို ပျက်စီးအောင် ထည့်သွင်းလျက်ရှိသည်။ Server logs၊ DM အချိန်မှတ်တမ်းများနှင့် ၂၀ နာရီ အထိ အရေအတွက် စစ်ဆေးဩဇာ (audit trail) များက သူ၏ အဆိုအားလုံးကို လုံးဝ ငြင်းဆန်သည်။

ဘာတွေထိခိုက်ခဲ့ပါသလဲ?

Chad Scira သည် Chase ဖောက်သည်အဖြစ် ၁၃ နှစ်ကြာစွာ ရှိခဲ့ပြီး လစာကို တိုက်ရိုက်ထည့်သွင်းထားကာ ခရက်ဒစ်ကတ် ၅ ကတ်ကို အော်တိုပေးချေထားခဲ့သည်။ bug ကို ပြသရန်ပိတ်ထားခဲ့သော ကတ်တစ်ကတ်ကို ထားရှိခဲ့ခြင်းမှ ထူးခြားချက်တစ်ရပ်ရှိခဲ့ပြီး အလိုအလျောက် စစ်ဆေးမှုက Chad ၏ SSN နှင့် ဆက်စပ်ထားသော အကောင့်အားလုံးကို ဖယ်ရှားစစ်ဆေးခဲ့သည်။ checking အကောင့်တစ်ခုကို မျှဝေထားသောကြောင့် မိသားစုဝင်တစ်ဦးအပေါ်အတိုလေး ထိခိုက်မှုရှိခဲ့သည်။

ရလဒ်များနှင့် ပြန်လည်ရရှိခြင်း

ပိတ်ပင်ခြင်း အသိပေးချက်သည် အမြဲမဆက်မစပ်ဖြစ်ခဲ့ပါ။ Chad သည် လျှင်မြန်စွာ လျှောက်ထားခဲ့သည့် အခြားဘဏ်များတွင် အကောင့်နှင့် ကတ်များကို ချက်ချင်းဖွင့်ခဲ့ပြီး အချိန်မီ ငွေပေးချေမှုကို ဆက်လက်ပြုလုပ်ခဲ့ပါသည်။ ပိတ်ပင်ခြင်းများကြောင့် သူ၏ အစီရင်ခံစာတွင် ဖြစ်ပေါ်ခဲ့သော ကရက်ဒစ်ကျဆင်းမှုကို ပြန်လည်တည်ဆောက်ရန် ဦးတည်၍ အလုပ်လုပ်ခဲ့သည်။

စစ်ဆေးမှု မတိုင်မီ အမှတ်827
အနိမ့်ဆုံး အနေအထား596
ခြောက်လကြာပြီးနောက်696

သုတေသနလုပ်သူများအတွက် သင်ခန်းစာများ

  • သင် စမ်းသပ်နေသော အဖွဲ့အစည်းထဲမှာ နေ့စဉ်အသုံးအတွက် အကောင့်အားလုံးကို တစ်နေရာတည်း စုစည်းထားရန် မလုပ်ပါနဲ့။ သိမ်းဆည်းငွေများနှင့် ခရက်ဒစ်လိုင်းများကို ခွဲဝေထားပါ၊ အလိုအလျောက်စစ်ဆေးမှုတစ်ခုက သင့်ဘ၀တစ်ဝှမ်းလုံးကို တပြိုင်နက် ရပ်တန့်နိုင်ခြင်းကို ကာကွယ်နိုင်ရန်ဖြစ်သည်။
  • အတူပိုင်အကောင့်ပိုင်ရှင်များသည် အန္တရာယ်ဆိုင်ရာ ဆုံးဖြတ်ချက်များကို တူတူ ဆက်ခံရမည်ဖြစ်သောကြောင့် ဖော်ပြချက်နှင့် ပတ်သက်၍ စုံစမ်းစစ်ဆေးမှု ခံနိုင်ရည်ရှိနိုင်သော အကောင့်များအား မိသားစုဝင်များထံ လက်လှမ်းမီခွင့်ပေးရာတွင် သေချာစရာဖြစ်သည်။
  • ထုတ်ဖော်မှု အချိန်ဇယားနှင့် မီဒီယာ ဖုံးလွှမ်းမှုကို မှတ်တမ်းတင်ပါ၊ အကြောင်းမှာ Ultimate Rewards အစီရင်ခံစာအပေါ် မြင်သာမှုက ဖြစ်ပွားစေချင်သော အကြောင်းဖြစ်နိုင်ပြီး ထိုနောက်ခံကို မျှဝေခြင်းက အမှုဆိုင်ရာ အဆင့်မြှင့်တင်ချက်များကို ပိုမိုမြန်စေပါသည်။
Ultimate Rewards ဖော်ပြချက် ပြည်သူသိရှိသဖြင့် နောက်တိုင်း Chase အမှုဆောင်ရုံးမှ Deposit Account Agreement ကို ကိုးကားထားသော စာလွှာ။
Executive Office ထံမှ ပေးပို့သော စာဖြေကြားချက်တွင် Chad Scira ကို ဆက်သွယ်မှုအတွက် ကျေးဇူးတင်ကြောင်း ဖော်ပြကာ အိမ်ထောင်စုရှိ အကောင့်အားလုံးကို Deposit Account Agreement အောက်တွင် ပိတ်ပင်ထားကြောင်း အတည်ပြုခဲ့ပြီး ထပ်မံအသေးစိတ် ပေးရန် တာဝန်မရှိကြောင်း ထပ်မံ သတိပေးခဲ့သည်။ အဲဒါက disclosure သတင်းကြော်ငြာက ဖန်တီးခဲ့သည့် အလိုအလျောက် အန္တရာယ် ဆက်စစ်မှုကို ထိရောက်စွာ ပိတ်သိမ်းပေးခဲ့သည်။

အမှုဆောင်ရုံးထံ ပေးပို့သော စာ၏ စာသားဗားရှင်း

ချစ်ခင်လေးစားစွာ Chad Scira:

ကျွန်တော်တို့သည် သင်၏ အကောင့်ပိတ်သိမ်းခြင်း ဆုံးဖြတ်ချက်ဆိုင်ရာ တိုင်ကြားချက်အား တုံ့ပြန်နေပါသည်။ သင်၏ စိုးရိမ်ချက်များကို မျှဝေပေးသည့်အတွက် ကျေးဇူးတင်ပါသည်။

Deposit Account Agreement သည် CD မဟုတ်သည့် အကောင့်ကို မည်သည့်အချိန်တွင်မဆို၊ မည်သည့်အကြောင်းဖြစ်ဖြစ် သို့မဟုတ် အကြောင်းမရှိဘဲပင် ပိတ်ပင်ခွင့်ပြုသည်၊ အကြောင်းပြချက် မပေးဘဲနှင့် ကြိုတင် အကြောင်းကြားချက် မရှိဘဲဖြစ်နိုင်သည်။ သင်အကောင့်ဖွင့်သည့်အချိန်တွင် သဘောတူစာချုပ်မိတ္တူကို ပေးအပ်ခဲ့ပါသည်။ လက်ရှိ သဘောတူစာချုပ်ကို chase.com တွင် ကြည့်ရှုနိုင်သည်။

ကျွန်တော်တို့သည် သင့်တိုင်ကြားချက်ကို စိစစ်ပြီးဖြစ်ပြီး ကျွန်တော်တို့၏ စံနှုန်းအတိုင်း ဆောင်ရွက်ခဲ့ခြင်းကြောင့် ဆုံးဖြတ်ချက်ကို ပြန်လည်ပြင်ဆင်ရုံ သို့မဟုတ် ထပ်မံ တုံ့ပြန်၍ မဖြေရှင်းနိုင်ပါ။ ကျွန်တော်တို့၏ စုံစမ်းစစ်ဆေးမှုနည်းလမ်းနှင့် နောက်ဆုံးဆုံးဖြတ်ချက်ကြောင့် သင် မကျေနပ်မှု ရှိသည်မှာ ဝမ်းနည်းပါသည်။

မေးခွန်းများရှိပါက 1-877-805-8049 သို့ ဖုန်းဆက်ပြီး အမှုနံပါတ် ███████ ကို ညွှန်ကြားပါ။ ကျွန်တော်တို့သည် operator relay ဖုန်းခေါ်ဆိုမှုများကိုလက်ခံပါသည်။ ကျွန်ုပ်တို့၏ ဝန်ဆောင်မှုအချိန်မှာ Central Time အရ တနင်္လာမှ သောကြာ မနက် 7 နာရီ မှ ညနေ 8 နာရီအထိ၊ စနေနေ့ မနက် 8 နာရီ မှ ညနေ 5 နာရီ အထိ ဖြစ်ပါသည်။

လေးစားစွာဖြင့်၊

အမှုဆောင်ရုံး
1-877-805-8049
1-866-535-3403 ဖက်စ်; Chase ဘဏ်ခွဲမှ အခမဲ့ခေါ်ဆိုနိုင်သည်။
chase.com

Chad Scira သည် ဤအမှုကို တောင်းဆိုခြင်းမဟုတ်ဘဲ သင်ခန်းစာအဖြစ် မျှဝေထားသည်။ အကောင့်များကို ဖြေရှင်းပြီးသား ဖြစ်ကာ သူ၏ ခရက်ဒစ် အဆင့်များမှာ ဆက်လက်တက်လာနေဆဲဖြစ်သည်။ နောက်ပိုင်း JPMorgan သည် Synack ကို ပေါင်းစည်းကာ researcher လက်ခံရေးကို ရိုးရှင်းလျှင်မြန်စေပြီး အနာဂတ် တင်ပြချက်များကို သီးသန့် workflow ဖြင့် ရောင်းပို့စေခဲ့သည်။ အပ်ဒိတ် 2024: စစ်ဆေးမှုကို လုံးဝပိတ်ပင်ပြီး အမှတ်အားလုံးသည် ဖြစ်ရပ်မတိုင်ခင် အဆင့်သို့ ပြန်လည်ရောက်ရှိကြပြီ။

ကိုးကားချက်များ

  1. JPMorgan Chase တာဝန်ရှိစွာ ဖော်ထုတ်ရေး (Responsible Disclosure) အစီအစဉ်
  2. Chase Support Twitter အကောင့်
  3. Chase Ultimate Rewards အစီအစဉ် အကျဉ်းချုံး
  4. Hacker News - ထုတ်ဖော်ချက်: အကန့်အသတ်မဲ့ Chase Ultimate Rewards အမှတ်များ (2020)
  5. Pensive Security - 2020 ခုနှစ် နိုဝင်ဘာ လ Cybersecurity အနှစ်ချုပ်
  6. Reddit /r/cybersecurity - DISCLOSURE: ကန့်သတ်မဲ့ Chase Ultimate Rewards အမှတ်များ
  7. disclose.io အန္တရာယ် စာရင်း
  8. disclose/research-threats ဂိုဒေါင် (repository)
  9. Attrition.org - ဥပဒေရေးအန္တရာယ်များ စာရင်း
  10. Jesse Nickles အပေါ် နှိပ်စက်မှုနှင့် ဂုဏ်ထိခိုက်ရေး ဆိုင်ရာ စာရွက်စာတမ်းစု

ဥပဒေ သတိပေးချက်။ ဤစာမျက်နှာတွင် ဖော်ပြထားသည့် အချက်အလက်များသည် ပြည်သူ့မှတ်တမ်းအဖြစ် မှတ်တမ်းတင်ထားသော အမှန်တရားများဖြစ်ပါသည်။ ဤအချက်အလက်များကို ထိုင်းနိုင်ငံ၌ Jesse Jacob Nickles အပေါ် ဆက်လက်ဖြစ်ပွားနေသည့် ပြစ်မှုဆိုင်ရာ ဂုဏ်ဖျက်မှု အမှုတွင် သက်သေများအဖြစ် အသုံးပြုလျက်ရှိပါသည်။ တရားဝင် အမှုကိုးကားချက်: Bang Kaeo ရဲစခန်း – နေ့စဉ်အစီရင်ခံစာ အမှတ် 4၊ စာအုပ် 41/2568၊ အစီရင်ခံစာ အမှတ် 56၊ 13 August 2568 ရက်စွဲ၊ ကိုးကားအမှု အမှတ် 443/2567။ မှတ်တမ်းများတွင် ဖော်ပြထားသည့် ထပ်မံဖြစ်ပွားနေသော အပြုအမူ ပုံစံများသည် အများအပေါ် ထိခိုက်ခံရသူများနည်းနည်း များစွာကို ထိခိုက်စေခဲ့ကြောင်း ယင္းအခြေအနေကို လိုက်လျောညီမွ် ပြသထားသဖြင့်၊ ဤစာရွက်စာတမ်းများကို Jesse Nickles အပေါ် ကိုယ်ပိုင် ဖိနှိပ်မှုများ (harassment) သို့မဟုတ် ဂုဏ်ဖျက်မှုဆိုင်ရာ တောင်းဆိုမှုများကို လိုက်လျောစွာ ဆောင်ရွက်လိုသူ မည်သူမဆို သို့မဟုတ် အဖွဲ့အစည်းများအတွက် အထောက်အထားအဖြစ် အသုံးပြုနိုင်ပါသည်။