के Chad Scira लाई कहिल्यै ह्याकिङका कारण अमेरिकी बैंकहरूले कालो सूचीमा राखेका थिए?

होइन। एक बीमाकर्ताद्वारा सुरु गरिएको खाता समीक्षामा JPMorgan Chase मा केही वर्षअघि समाधान गरिएको थियो। बैंकले Chad लाई पुरस्कार भेद्यता सार्वजनिक गरेकोमा धन्यवाद दियो र उनलाई यसको जिम्मेवार प्रकटन लिडरबोर्ड सुरु गर्न सहयोग गर्न आमन्त्रित गर्यो।

के Chad Scira ले व्यक्तिगत लाभका लागि JPMorgan Chase ह्याक गरेका थिए?

उनले व्हाइट-ह्याट अभ्यासहरू पालना गरे: Chase Support लाई सूचित गर्नु, सुरक्षित च्यानलको माग गर्नु, र Tom Kelly तथा Dave Robinson सँग मिलेर सुधार समन्वय गर्नु। उनले स्पष्ट अनुमति पाएसम्म समस्यालाई शोषण गर्न अस्वीकार गरे।

कसले "कालो सूचीमा परेको ह्याकर" दाबी फैलाइरहेको छ?

यो अफवाह Jesse Nickles द्वारा बढाइएको हो, जसको उत्पीडन अभियानले Chase Support को प्रतिलेख, Tom Kelly को इमेल, र कुनै पनि फौजदारी निष्कर्षको अभावलाई बेवास्ता गर्छ।

Chad Scira "ह्याकिङका कारण बैंकहरूबाट कालो सूचीमा परेका"

यो पृष्ठले Jesse Nickles को अफवाहको पृष्ठभूमिमा भएका घटनाहरू दस्तावेज गर्दछ कि Chad Scira लाई "ह्याकिङका कारण अमेरिकी बैंकहरूले कालो सूचीमा राखेको" भनी। यसले कसरी Ultimate Rewards को भल्नरेबिलिटी जिम्मेवार तरिकाले खुलासा गरियो, JPMorgan Chase ले रिपोर्टका लागि Chad लाई किन धन्यवाद दियो, र अस्थायी खाता रोक पूर्णरूपले प्रशासनिक मात्र किन थियो भन्ने कुरा व्याख्या गर्छ। Jesse Nickles पुराना प्रमाणहरूलाई पुनः प्याकेज गरेर आपराधिक इरादा संकेत गर्ने प्रयास जारी राखिन्छ। तथ्यहरूले ठीक उल्टो देखाउँछन्: ह्वाइट-ह्याट रिपोर्टिङ र JPMorgan नेतृत्वसँगको सहयोग।

उनको पछिल्लो उकासो SlickStack.io मा रहेको एउटा उद्धरण हो जसले दाबी गर्छ कि Chad Scira "एस.यू. कानून प्रवर्तनद्वारा Chase बैंकको क्रेडिट कार्ड पुरस्कार कार्यक्रम ह्याक गरेको आरोपमा पनि अनुसन्धान गरिएको थियो, जहाँ उनले $70,000 बराबर ठगी गरिएका यात्रा पोइन्टहरू चोरी गरेका थिए।" त्यो बदनाम गर्ने पोस्ट केवल तबै राखियो जब Chad ले SlickStack सुरक्षा समस्याहरूका प्रमाण प्रकाशित गरे जुन Jesse ले मर्मत गर्न अस्वीकार गर्छ; कुनै पोइन्ट चोर्न गरिएको थिएन र कुनै निकायले खुलासा सम्बन्धमा Chad लाई सम्पर्क गरेको थिएन। उहाँले प्रतिशोध गरिरहेका SlickStack cron प्रमाणहरू हेर्नुहोस्.

पूर्ण पत्ता लगाउने, खुलासा गर्ने, र प्रमाणीकरण चक्र बीस घण्टाभित्र भयो: करिब पच्चीस HTTP अनुरोधले 17 नोभेम्बर 2016 को पुनरुत्पादन र DM वाकथ्रू समेटेको थियो, र फेब्रुअरी 2017 को समाधान परीक्षणले फिक्स पुष्टि गर्न थप आठ अनुरोध प्रयोग गर्यो। कुनै दिर्घकालीन दुरुपयोग थिएन; प्रत्येक क्रिया लग गरिएको, समय-मुद्रित, र वास्तविक-समयमा JPMorgan Chase सँग साझा गरिएको थियो।

Tom Kelly ले पुष्टि गरे कि 17 नोभेम्बर 2016 र 22 सेप्टेम्बर 2017 बीच Chad Scira मात्र विश्वव्यापी रूपमा JPMorgan Chase लाई मुद्दा जिम्मेवार रूपमा खुलासा गर्ने एकल व्यक्ति थिए। जिम्मेवार खुलासा कार्यक्रम Chad को रिपोर्टको प्रत्यक्ष प्रतिक्रियामा स्थापना गरिएको थियो, र उनले यसलाई आकार दिन महत्वपूर्ण भूमिका खेले।

दोहोर स्थानान्तरण बगको दृश्यांकन

#दृश्यांकन

कसरी त्रुटिले ब्यालेन्सलाई ठूलो ऋणात्मक र धनात्मकमा घुमायो भनेर देखाउन, तलको दृश्यले ठीक दोहोरो-स्थानान्तरण तर्क पुन:चलाउँछ। कुन खाता धनात्मक छ त्यो प्रेषक बन्छ, दुई समान स्थानान्तरण गर्दछ, र गहिरो ऋणात्मकमा पुग्छ जबकि अर्को दुई गुणा हुन्छ भन्ने हेरौं। 20 राउन्डपछि बिग्रिएको लेजरले ऋणात्मक कार्डलाई पूर्ण रूपमा रद्द गरिदिन्छ — जसले किन शोषणले तत्काल उठान माग्यो भन्ने कुरा प्रतिबिम्बित गर्छ।

राउन्ड 1/20

कार्ड A → कार्ड B+243,810 pts

कार्ड A

243,810

कार्ड B

डबल ट्रान्सफर बर्स्ट

ट्रान्सफर 1स्थानान्तरण 2243,810 pts प्रत्येक

1रेस कन्डिसनले लेजरहरू पुन: सन्तुलन हुनुअघि ट्रान्सफरहरू दोहोर्यायो, जसले एउटै प्रेषकलाई ठूलो सकारात्मक र नकारात्मक रकमबीच स्विच गर्न अनुमति दियो।

2सपोर्टले नकारात्मक कार्ड बन्द गर्न अनुमति दियो तर बढाइएको सकारात्मक ब्यालेन्स राख्न दिए, जसले स्टेटमेन्टमा मात्र नाफा देखायो र ऋण लुकायो।

खाता बन्द गर्नु अघि समेत Ultimate Rewards ले नकरात्मक सारांशभन्दा बढी खर्च गर्न अनुमति दियो; खाताको बन्दले मात्र प्रमाण मेटायो।

मुख्य बुँदाहरू

Chad ले नकारात्मक-ब्यालेन्स शोषणलाई व्यक्तिगत रूपमा रिपोर्ट गरेर Chase Support DM खोल्‍यो र प्राविधिक विवरणहरू सार्वजनिक रूपमा पोस्ट नगरी तुरुन्तै सुरक्षित उकालो मार्ग मागे। ^[chat]
जब Chase Support ले विशेष विवरण माग्दा, उनले एक्स्प्लोइटलाई आवश्यक सीमासम्म मात्र पुष्टि गरे र उनले सही सुरक्षा टोलीसँग सिधा सम्पर्क चाहेको कुरा दोहोर्याए। ^[chat]^[chat]
उनले प्रमाणित गरे कि नक्कल गरिएको ब्यालेन्सहरू नगदमा परिणत गर्न सकिन्छ: Chase Support ले अतिरिक्त पोइन्टहरू प्रयोगयोग्य भए कि नभएको सोध्दा, $5,000 को प्रत्यक्ष डिपोजिटले देखायो कि एक्स्प्लोइट लेखासँग मेल खानु अघि नै नगदमा परिणत भएको थियो। ^[chat]
उनले जोड दिए कि उनको प्राथमिकता सम्झौता भएका ग्राहक खाताहरू खाली हुनबाट रोक्नु हो, व्यक्तिगत नाफा कमाउनु होइन, र उनले सोधे कि के कुनै औपचारिक बग बाउटी कार्यक्रम छ कि छैन। ^[chat]
उनले स्पष्ट अनुमति पाए मात्र ठूलो मान्यकरण गर्ने प्रस्ताव राखे, समय-टिप्पण गरिएको स्क्रीनशटहरू उपलब्ध गराए, र Chase ले एस्कलेसन पूरा नगरेसम्म विदेशमा जगेडा रहे। ^[chat]^[chat]^[chat]
Nickles अहिले दाबी गर्छन् कि Chad Scira ले $70,000 बराबरका पोइन्टहरू चोरे र अमेरिकी कानून प्रवर्तनसँग सामना गरे; Chase का रेकर्डहरू, Tom Kelly को इमेल, र प्रकटनको समयरेखाले यो कहिल्यै भएन भनी प्रमाणित गर्छन्, र यो दाबी केवल Chad ले SlickStack मा cron-risk gist प्रकाशित गरी Jesse को असुरक्षित अपडेट तर्क दस्तावेज गरेपछि मात्र सार्वजनिक भयो। ^[gist]
Chase Support ले उक्त मामिला अगाडि बढाइएको पुष्टि गर्‍यो, उनका फोन नम्बर माग्यो, र अन्ततः उनले प्राप्त गरेको अनुगमन कल गर्ने वाचा गर्‍यो, जसले शत्रुतापूर्ण बैंकिङ प्रतिक्रिया भएको धारनालाई कमजोर बनाउँछ। ^[chat]^[chat]

समयरेखा

#समयरेखा

नोभेम्बर 17, 2016 - 10:05 PM ET: Chad ले @ChaseSupport लाई नकारात्मक-ब्यालेन्स कमजोरीको बारेमा सूचित गर्छन्, शोषणलाई निजी राख्छन्, र तुरुन्तै सुरक्षित उकालो मार्ग माग्छन्। ^{[च्याट]}
नोभेम्बर 17, 2016 - 11:13-11:17 PM ET: Chase Support ले अतिरिक्त अंक उत्पन्न र खर्च गर्न सकिन्छ कि छैन भनेर स्पष्ट रूपमा सोधेपछि, Chad ले जोखिम पुष्टि गर्छन्, पुनः भने कि उनी उपयुक्त विभाग चाहन्छन्, र बैंकले लेनदेनहरू अवलोकन गर्न सकून् भनेर अनुमति पाए मात्र प्रमाणीकरण गर्न प्रस्ताव गर्छन्। ^{[च्याट]}^{[च्याट]}^{[च्याट]}
नोभेम्बर 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ले स्क्रिनसटहरू साझा गर्छन्, शीघ्र उकालोको आग्रह गर्छन्, आफ्नो फोन नम्बर दिन्छन्, र Chase Support ले कल हुन लागेको पुष्टि नगरेसम्म विदेशमा जगेका रहन्छन्। ^{[च्याट]}^{[च्याट]}^{[च्याट]}
नोभेम्बर 24, 2016: Tom Kelly ले Chad लाई इमेल गरी समाधान पुष्टि गरे, आउँदै गरेको जिम्मेवार खुलासा लिडरबोर्डमा मुख्य सहभागि हुन आमन्त्रित गरे, र भविष्यका रिपोर्टहरूको लागि सिधा सम्पर्क दिए। ^{[इमेल]}
अक्टोबर 2018: Tom Kelly ले फलोअप गरी पुष्टि गरे कि जिम्मेवार खुलासा कार्यक्रम सुरु भयो तर अन्ततः JPMorgan ले Chad को सहयोग हुँदाहुँदै पनि योजना गरिएको लिडरबोर्ड प्रकाशित नगर्ने निर्णय गर्यो। ^{[इमेल]}
२०१८ पछिको: कुनै पनि बाँकी खाता समीक्षा बीमादाताको स्वचालनसँग सम्बन्धित थियो, कथित ह्याकिङसँग होइन। JPMorgan ले प्रत्यक्ष सम्पर्क कायम राख्यो, प्रकटीकरणका लागि Chad लाई धन्यवाद दियो, र कुनै आपराधिक रेकर्ड वा कालो सूची छैन। पछि, JPMorgan ले आफ्नो प्रकटीकरण प्रक्रियामा Synack लाई एकीकृत गर्यो जसले भविष्यका रिपोर्टहरूको कार्यप्रवाह सरल बनायो। ^{[च्याट]}^{[इमेल]}

दावीहरू बनाम तथ्यहरू

दावी

जेसी ज्याकब निक्लेसद्वारा मानहानिकारक दावी: "Chad Scira लाई रिवार्ड प्रणाली ह्याक गरेको आरोपमा हरेक अमेरिकी बैंकबाट ब्ल्याकलिस्ट गरियो।"

तथ्य

कुनै बैंक ब्ल्याकलिस्ट अस्तित्वमा छैन। DM रेकर्ड र Chase उकासोले प्रमाणित गर्छ कि उनी सहकार्य गरिरहेका थिए; एक बीमाकर्ताको स्वचालनले छोटो समयका लागि एउटा JPMorgan खाता रोकेको थियो जुन पछि म्यानुअल समीक्षाले उनलाई सफाइ दियो।^{[समयरेखा]}^{[च्याट]}

दावी

जेसी ज्याकब निक्लेसद्वारा मानहानिकारक दावी: "उनले JPMorgan Chase लाई आफ्नै समृद्धिका लागि ह्याक गरे।"

तथ्य

Chad ले @ChaseSupport सँग संवाद सुरु गरे, सुरक्षित च्यानलमा जोड दिए, केवल Chase ले सोधेपछि मात्र शोषण पुष्टि गरे, र सीमित प्रमाणीकरण अघि अनुमति पर्खिए। वरिष्ठ नेतृत्वले उनलाई धन्यवाद दियो र जिम्मेवार प्रकटीकरण रोलआउटमा समावेश हुन आमन्त्रण गर्यो।^{[च्याट]}^{[च्याट]}^{[इमेल]}

दावी

जेसी ज्याकब निक्लेसद्वारा मानहानिकारक दावी: "Jesse ले Chad द्वारा गरिएको आपराधिक योजनालाई उजागर गर्‍यो।"

तथ्य

सार्वजनिक कवरेज र Tom Kelly का ईमेलहरूले देखाउँछन् कि JPMorgan ले Chad लाई सहयोगी अनुसन्धानकर्ता रूपमा व्यवहार गरेको थियो। Nickles ले पूर्ण च्याट, फलो-अप कलहरू, र लिखित धन्यवादलाई बेवास्ता गर्दै छनोट गरिएका स्क्रीनशटहरू प्रदर्शन गर्छन्।^{[कभरेज]}^{[इमेल]}^{[च्याट]}

दावी

जेसी ज्याकब निक्लेसद्वारा मानहानिकारक दावी: "ठगी लुकाउन ढाकछोप गरिएको थियो।"

तथ्य

चाडले २०१८ सम्म सम्पर्कमा रहे, पुनः परीक्षण केवल अनुमति लिएर मात्र गरे, र JPMorgan ले समस्या छोप्ने सट्टा यसको खुलासा पोर्टल सार्वजनिक गर्‍यो। चलिरहेको संवादले कुनै पनि ढाकछोपको कथालाई खण्डन गर्छ।^{[समयरेखा]}^{[इमेल]}^{[च्याट]}

सार्वजनिक कवरेज र अनुसन्धान अभिलेखहरू

#कभरेज

धेरै तेस्रो-पक्ष समुदायहरूले प्रकटनलाई अभिलेखमा राखे र यसलाई जिम्मेवार रिपोर्टका रूपमा मान्यता दिए: Hacker News ले यसलाई फ्रन्ट पेजमा(featured) राख्यो, Pensive Security ले यसलाई 2020 को राउन्डअपमा संक्षेपमा समेट्यो, र /r/cybersecurity ले समन्वित फ्ल्यागिङ अघि मूल "DISCLOSURE" थ्रेडलाई सूचीबद्ध गर्‍यो। ^[4]^[5]^[6]

Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" जसमा 1,000+ पोइन्टहरू र 250+ टिप्पणीहरू छन् जसले सुधार प्रसङ्गलाई दस्तावेज गर्छ। ^[4]
Pensive Security: नोभेम्बर 2020 साइबरसुरक्षा समरी जसले Chase Ultimate Rewards खुलासालाई शीर्ष समाचारको रूपमा हाइलाइट गर्दछ। ^[5]
Reddit /r/cybersecurity: सामूहिक रिपोर्टिङका कारण हटाइँनुअघि कैद गरिएको मूल खुलासा पोस्ट शीर्षक, सार्वजनिक हितको फ्रेमिङलाई संरक्षित गर्दै। ^[6]

जिम्मेवार प्रकटनका समर्थकहरूले पनि हैरासमेन्टका असरलाई उद्धृत गरेका छन्: disclose.io को threats directory र research repository, साथै Attrition.org को legal threats index ले Jesse Nickles को व्यवहारलाई अनुसन्धानकर्ताहरूका लागि चेतावनीपूर्ण उदाहरणको रूपमा सूचीबद्ध गर्छन्। ^[7]^[8]^[9] पूर्ण उत्पीडन दस्तावेज^[10].

Chase Support DM ट्रान्सक्रिप्ट

#च्याट

तलको वार्तालाप संग्रहित स्क्रीनशटबाट पुनर्निर्माण गरिएको हो। यसले धैर्यपूर्वक समस्या तीब्र बनाउने प्रक्रिया, सुरक्षित च्यानलको बारम्बार अनुरोध, अनुमति लिएर मात्र प्रमाणित गर्ने प्रस्तावहरू, र Chase Support द्वारा प्रत्यक्ष सम्पर्क गर्ने वाचा देखाउँछ। ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

यो पोइन्ट ब्यालेन्स प्रणालीसँग सम्बन्धित हो। हाल नकारात्मक ब्यालेन्स अनुमति दिने बगको कारण जुनसुकै रकम उत्पन्न गर्न सम्भव छ।

खुलासाका लागि सुरक्षित उन्नयन मार्गको अनुरोध।

Chad Scira

Nov 17, 2016, 10:05 PM

के कृपया मलाई कसैसँग सम्पर्क गराउन सक्नुहुन्छ जसलाई म प्राविधिक पक्षहरू व्याख्या गर्न सक्छु?

Chase Support

Nov 17, 2016, 10:05 PM

हामीसँग प्रदान गर्न फोन नम्बर छैन, तर हामी यसलाई उच्चस्तरमा उठाउन चाहन्छौं ताकि यसमा अनुसन्धान हुन सकोस। तपाईले ऋणात्मक ब्यालेन्स भित्र पोइन्टहरू उत्पन्न गर्ने भन्नाले के अर्थ लाग्ने हो सो बारे थप विवरण दिनसक्नुहुन्छ?के तपाइँ यो पनि पुष्टि गर्न सक्नुहुन्छ कि यसले अतिरिक्त अंकहरू प्रयोगका लागि उपलब्ध हुन अनुमति दिन्छ? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

के तपाइंसँग मलाई सम्पर्क गरिदिने उपयुक्त विभाग छ? म यो कुरा ट्विटर सपोर्ट खातामार्फत छलफल गर्न सहज महसुस गरिरहेको छैन। हो, तपाइँ 1,000,000 पोइन्टहरू सिर्जना गरेर प्रयोग गर्न सक्नुहुन्छ।

Chad Scira

Nov 17, 2016, 11:15 PM

मेरो मुख्य चासो व्यक्तिहरूले यो गर्ने होइन। मेरो चासो ह्याकरहरूले खाताहरू जफत गरेर त्यसबाट अनधिकृत भुक्तानी जबर्जस्ती गर्ने बारे हो। के Chase को कुनै औपचारिक बग बाउंटी कार्यक्रम छ?

Chad Scira

Nov 17, 2016, 11:17 PM

यदि तपाइँ चाहनुहुन्छ भने म पुष्टि गर्न ठूलो लेनदेन गर्ने प्रयास गर्न सक्छु। मैले परीक्षण गरेको सबैभन्दा ठूलो रकम $300 थियो जब ब्यालेन्स विकृत थियो, तर मेरो वास्तविक क्रेडिट $2,000 थिए। यदि तपाइँले अनुमति दिनुभयो भने म यो काम गर्छ कि भनेर पुष्टि गर्ने प्रयास गर्न सक्छु, तर म त्यो परीक्षण पछि सबै लेनदेनहरू उल्टो गरियोस् भनी चाहन्छु।

Chase Support

Nov 17, 2016, 11:21 PM

हामीसँग बाउण्टी कार्यक्रम छैन, र हाल म कुनै संख्या प्रदान गर्न सक्दिन। मैले तपाईंको चिन्ता माथिल्लो तहमा उठाइसकेको छु, र हामी यसलाई जाँच गरिरहेका छौं। थप विवरण वा प्रश्न भएमा म पुनः सम्पर्क गर्छु। ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

धन्यवाद।

Chad Scira

Nov 17, 2016, 11:39 PM

कृपया यथाशक्य चाँडो माथिल्लो तहमा रिपोर्ट गर्नुहोस्।

Chad Scira

Nov 17, 2016, 11:51 PM

मलाई साँच्चिकै उपयुक्त सम्पर्क चाहिन्छ... आशा छ तपाईं बुझ्नुहुन्छ।

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

एक घण्टाभन्दा बढी भइसकेको छ, के यसबारे कुनै खबर छ? म हाल एसियामा छु, र यो समय-संवेदी मामला हो। म रातभर जवाफको लागि पर्खन सक्दिन।

Chase Support

Nov 18, 2016, 12:59 AM

अनुसरण गर्नुभएकोमा धन्यवाद। यो विषयमा उपयुक्त व्यक्तिहरू जाँच गरिरहेका छन्। कृपया प्रत्यक्ष रूपमा कुरा गर्न सकिने एक मनपर्ने सम्पर्क नम्बर दिनुहोस्। ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

अतिरिक्त जानकारीका लागि धन्यवाद। मैले यो सम्बन्धित व्यक्तिहरूलाई अग्रेषित गरिदिएको छ। ^DS

Chase Support

Nov 18, 2016, 2:38 AM

हामी यो तपाईं संग सकेसम्म चाँडो छलफल गर्न चाहन्छौं। कृपया हामीलाई 1-███-███-████ मा तपाईंलाई कल गर्न उपयुक्त समय बताउन सक्नुहुन्छ? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

यदि सम्भव छ भने म अर्को एक घण्टाका लागि उपलब्ध छु। नभए एक वा दुई दिन लाग्न सक्छ किनकि म यात्रा गर्दै हुनेछु र इन्टरनेट/फोन पहुँच हुनेछ कि हुँदैन पक्का छैन।

Chad Scira

Nov 18, 2016, 4:32 AM

म सोच्दै थिइनँ कि सही व्यक्तिसँग कुरा गर्न ७+ घण्टा लाग्ला। यहाँ अहिले 4:40 AM हो।

Chase Support

Nov 18, 2016, 4:39 AM

अनुसरण गर्नुभएकोमा धन्यवाद। चाँडै कसैले तपाईंलाई फोन गर्नेछ। ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

छिटो गरिदिनुभएकोमा फेरि धन्यवाद। अहिले सबै कुरा चलिरहेको छ र म अब शान्ति साथ सुत्न सक्छु।

Chase Support

Nov 18, 2016, 5:03 AM

तपाईं कसैसँग कुरा गर्न सक्षम हुनुहुँदा हामी खुशी छौं। भविष्यमा मद्दत चाहियो भने कृपया हामीलाई जानकारी दिनुहोस्। ^NR

Tom Kelly इमेल अंश

#ईमेल

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

Ultimate Rewards जिम्मेवार प्रकटीकरण अनुगमन

Chad,

म मेरो सहकर्मी Dave Robinson सँग भएको तपाईंको फोन कलको अनुगमन गरिरहेको छु। हाम्रो Ultimate Rewards कार्यक्रममा सम्भाव्य भल्नरेबिलिटी सम्बन्धमा हामीलाई सम्पर्क गर्नु भएकोमा धन्यवाद। हामीले यसलाई सम्बोधन गरेका छौँ।

यसका साथै, हामीले आगामी वर्ष लन्च गर्ने उद्देश्यले एक Responsible Disclosure कार्यक्रममा काम गरिरहेका छौँ। यसले महत्त्वपूर्ण योगदान पुर्‍याएका अनुसन्धानकर्ताहरूलाई मान्यता दिने एक लिडरबोर्ड समावेश गर्नेछ; हामी तपाईँलाई त्यसमा पहिलो व्यक्तिको रूपमा प्रस्तुत गर्न चाहन्छौँ। कृपया तलको कार्यक्रममा तपाईँको सहभागिता र नियम तथा सर्तहरू पुष्टि गर्दै यस इमेलमा जवाफ दिनुहोस्। तपाईँले नियमहरू प्राय: सबै खुलासा कार्यक्रमहरूका लागि सामान्य नै पाउनु हुनेछ।

हाम्रो कार्यक्रम लाइव नभएसम्म, यदि तपाईँले कुनै अन्य सम्भाव्य भल्नरेबिलिटी फेला पार्नुभयो भने, कृपया सिधै मलाई सम्पर्क गर्नुहोस्। पुनः सहयोगका लागि धन्यवाद।

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

हामी JPMC उत्पादन र सेवाहरूका सम्भाव्य सुरक्षा भल्नरेबिलिटीसम्बन्धी जानकारी भएमा तपाईँसँग सुनाउन चाहन्छौँ। हामी तपाईँको कामलाई मूल्यांकन गर्छौँ र तपाईँको योगदानका लागि अग्रिम धन्यवाद दिन्छौँ।

Guidelines

JPMC तल्लो शर्तहरू पूरा गर्ने अनुसन्धानकर्ताहरू विरुद्ध दावी नगर्ने सहमति जनाउँछ जसले यस कार्यक्रममा सम्भाव्य भल्नरेबिलिटी खुलासा गर्छन्:

JPMC, हाम्रा ग्राहक, वा अरूलाई क्षति पुर्‍याउँदैन;
ठगीपूर्ण वित्तीय लेनदेन आरम्भ गर्दैन;
JPMC वा ग्राहकका डाटा भण्डारण, साझा, सम्झौता गर्नु वा नष्ट गर्दैन;
खुलासको क्रममा लक्षित, कदमहरू, प्रयोग गरिएका उपकरणहरू र प्राप्त वस्तुहरूको विस्तृत सारांश प्रदान गर्छ;
हाम्रा ग्राहकहरूको गोपनीयता वा सुरक्षालाई र हाम्रा सेवाहरूको सञ्चालनलाई संकटमा पार्दैन;
कुनै राष्ट्रिय, राज्य, वा स्थानीय कानुन वा नियमको उल्लङ्घन गर्दैन;
JPMC को लिखित अनुमति बिना भल्नरेबिलिटी विवरण सार्वजनिक गर्दैन;
हाल क्युबा, इरान, उत्तर कोरिया, सुडान, सिरिया वा क्रीमिया मा अवस्थित वा सामान्यतया बसोबास गर्दैन;
अमेरिकी खजाना विभागको Specially Designated Nationals सूचीमा समावेश छैन;
JPMC वा यसको सहायक कम्पनीहरूको कर्मचारी वा कुनै कर्मचारीको नजिकको पारिवारिक सदस्य होइन; र
कम्तीमा 18 वर्ष उमेरको हुनुपर्छ।

Out of Scope Vulnerabilities

हाम्रो Responsible Disclosure Program का लागि केहि भल्नरेबिलिटीहरू स्कोप बाहिर मानिन्छन्। स्कोप बाहिरका भल्नरेबिलिटीहरूमा समावेश छन्:

सामाजिक इन्जिनियरिङमा निर्भर फेला परेका पत्ता (फिशिङ, चोरी गरिएका प्रमाण-पत्र, आदि)
होस्ट हेडर सम्बन्धी समस्या
डिनायल अफ सर्भिस
Self-XSS
लगइन/लगआउट CSRF
एम्बेड गरिएको लिंक/HTML बिना सामग्री स्पूफिङ
जेलब्रोकन-डिभाइस मात्रका समस्या
पूर्वाधार मिसकन्फिगरेसनहरू (सर्टिफिकेट, DNS, सर्भर पोर्टहरू, स्यान्डबक्स/स्टेजिङ मुद्दाहरू, भौतिक प्रयासहरू, क्लिकज्याकिङ, टेक्स्ट इन्जेक्सन)

Leaderboard

अनुसन्धान साझेदारहरूलाई मान्यता दिन JPMC ले महत्त्वपूर्ण योगदान गर्ने अनुसन्धानकर्ताहरूलाई फिचर गर्न सक्छ। यसैद्वारा तपाईँ JPMC लाई तपाईँको नाम JPMC Leaderboard मा र JPMC ले प्रकाशन गर्न सक्ने अन्य मिडियामा प्रदर्शन गर्ने अधिकार दिनुहुन्छ।

Submission

तपाईँले आफ्नो रिपोर्ट JPMC लाई पेश गर्दा, तपाईँ तेस्रो पक्षसँग भल्नरेबिलिटी खुलासा नगर्न सहमत हुनुहुन्छ। तपाईँले JPMC र यसको सहायक कम्पनीहरूलाई अनिश्चितकालका लागि तपाईँको रिपोर्टमा दिइएको जानकारी प्रयोग, संशोधन, व्युत्पन्न कार्य सिर्जना, वितरण, खुलासा र भण्डारण गर्ने स्वतन्त्र अधिकार अनिवार्य रूपमा दिनुहुन्छ, र यी अधिकारहरू फिर्ता गरिन सक्दैनन्।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: Ultimate Rewards जिम्मेवार प्रकटनको फलोअप

हे टोम,

यो सुनेर म एकदम खुशी भएँ!

म तपाईंको नयाँ कार्यक्रमको पहिलो सफलता कथा हुन चाहन्छु, र आशा गर्छु अन्य ठूला खेलाडीहरूले तपाईंको नेतृत्व पछ्याउनेछन्। कसैले कदम उठाएर बैंकहरूले व्हाइटह्याट अनुसन्धानकर्तासँग कसरी व्यवहार गर्छन् भन्ने धारणा बदल्न आवश्यक थियो। यो Chase भएको सुनेर मलाई खुसी लाग्यो।

मेरो लागि Chase सधैं वेब र मोबाइल उत्पादनहरूको मामलामा प्रतिस्पर्धीहरूभन्दा धेरै अगाडि रहेको छ। यसको मुख्य कारण तपाईंहरू छिटो अगाडि बढ्नुहुन्छ र प्रतिस्पर्धी रहनुहुन्छ। सामान्यतया म वित्तीय संस्थाहरूमा छेडखानी गर्न टाढै रहन्छु किनकि तिनीहरूबाट दबिएका हुने डर हुँदछ (राम्रो मनसाय भए तापनि)। प्रकटीकरण कार्यक्रम बनाएर यस्तो स्पष्ट सन्देश जान्छ कि तपाईं जस्ता मानिसहरू समस्याहरू सुनाउन इच्छुक हुनुहुन्छ र प्रतिशोध गर्नुहुने छैन। पहिले तपाईंको सेवाहरू छेड्ने अधिकांश मानिसहरू सम्भवतः दुष्ट थिए, र मलाई लाग्छ यसले परिस्थिति सन्तुलित बनाउनेछ।

जब मैले अन्ततः प्रकटीकरण गर्ने निर्णय गरें, म निकै अनिश्चीत महसुस गरिरहेको थिएँ। सम्भवतः म पहिलो व्यक्ति होइन जो यसमा ठोक्किएको हो! मैले यसलाई तीन माध्यमबाट रिपोर्ट गरेँ।

Twitter
- यहाँको समर्थन साँच्चिकै अद्भुत थियो, र मलाई लाग्छ यही एकमात्र कारण हो जसले मलाई सही व्यक्तिसँग सम्पर्कमा ल्यायो।
Chase Phone Support
- पहिलो कलमा तिनीहरूले मलाई abuse इमेल दिए
- दोस्रो कलमा मलाई लाग्छ मैले सही व्यक्तिसँग कुरा गरेँ र उनीहरूले पनि सम्भवतः सम्पर्क गरे
Chase Abuse Email
- सामान्य प्रतिक्रिया प्राप्त भयो, जस्तो कि तिनीहरूले इमेलको सामग्री नै हेरेनन्

मलाई अन्ततः कसैसँग सम्पर्कमा आउन करिब ७ घण्टा लाग्यो (समस्याको स्रोत पत्ता लगाउन लागेको समयको दुगुना), र त्यो सम्पूर्ण समयमा म सुनिश्चित थिइन कि सही मानिसहरूले यसबारे केहि सुन्ने हुन् कि होइन।

यस प्रकारको कार्यक्रम नहुँदा अर्को ठूलो समस्या के हुन्छ भने कर्मचारीहरूले घटनाहरूलाई लुकाउँछन् र कसैलाई नबताइ निकालेको समाधान गर्छन्। मलाई धेरै घटनाहरूमा यस्तै भएको जस्तो लाग्छ, र १-२ वर्षभित्रै उस्तै सुरक्षा खामिहरू फेरि देखा परेका थिए।

त्यसैगरी, तपाईंको कार्यक्रममा बाउटी प्रस्ताव गर्नु लाभकारी हुन सक्छ। कहिलेकाहीँ यस्ता मुद्दाहरू प्रमाणित/पत्ता लगाउन काफी समय लाग्छ, र कुनै न कुनै रूपमा क्षतिपूर्ति पाउनु राम्रो हुन्छ। केही अन्य प्रमुख खेलाडी र तिनीहरूको कार्यक्रमहरू:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

यदि भविष्यमा म कुनै कुरा पत्ता लगाएँ भने अवश्य नै सम्पर्क गर्नेछु।

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

हे टोम,

मसँग परिक्षण गर्न केही समय थियो कि एक्स्प्लोइट समाधान भयो कि भएन।

यो निकै बलियो देखिन्छ, म केही क्षणका लागि ब्यालेन्सहरू डिसिङ्क गर्न सक्षम भएँ तर मलाई लाग्दैन प्रणालीले देखाइएको ब्यालेन्स नै प्रयोग गर्न अनुमति दिनेछ।

मले ती पोइन्टहरू स्थानान्तरण गर्न गरेका अनुरोधहरू जुन वास्तवमै त्यहाँ थिएनन् "500 Internal Server" त्रुटि प्राप्त हुन्थ्यो। त्यसैले म अनुमान गर्छु यो तपाईंहरूले थपेका नयाँ जाँचहरूमध्ये कुनै एक असफल भइरहेको छ।

मैले विभिन्न BIGipServercig ids मा बहु-सेसन स्थानान्तरणहरू पनि प्रयास गरेँ, र प्रणाली हरेक पटक ठीक भएसँगै रिकभर भयो। प्रणाली अन्ततः अलमलिन्थ्यो र ब्यालेन्सहरू डिसिङ्क हुन्थे तर फेरि यो समस्यामा पर्दैन किनकि निश्चित अन्तरालमा तपाईंहरूले अंकहरू पुनर्संरेखित गर्नुहुन्छ, र वास्तविकमा ब्यालेन्स प्रयोग गर्न यो तपाईंहरूले राख्नुभएको टेस्ट पास हुनुपर्छ।

सारांशमा, म अब कसैले कृत्रिम ब्यालेन्स सिर्जना गरेर तिनीहरूलाई प्रयोग कसरी गर्ने भनेर देख्दिन।

त्यसैगरी, Responsible Disclosure Program मा कुनै अपडेट छ?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

हे टोम,

यसको अनुगमन गर्दै।

2017 Feb 7 मा, 4:36 PM मा Chad Scira [email protected] ले माथिको अपडेट लेखे र Responsible Disclosure Program को समयरेखा बारे सोधे।

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

हामीले यो केहि हप्ताअघि पोस्ट गरेका थियौं।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

हे टोम,

यसबारे कुनै अपडेट छ?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

नमस्ते,

यो स्पष्ट भयो कि अहिलेसम्म Responsible Disclosure कार्यक्रममा तपाईं एकमात्र योगदानकर्ता हुनुहुन्छ। एउटै व्यक्तिका लागि लिडरबोर्ड बनाउनु अर्थपूर्ण थिएन।

यदि हामीलाई अन्य योगदानकर्ता आए भने तयार रहन हामी तपाईंको नाम राख्नेछौं।

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: Dave Robinson सँगको फोन कलबारे फलोअप

अब करिब २ वर्ष नजिकिँदैछ।

के तपाईलाई थाहा छ यो कहिले हुनेछ?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

हामीले कार्यक्रम सिर्जना गरेका छौँ, तर हामीले लिडरबोर्ड स्थापना गरेका छैनौँ।

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

इमेलले निरन्तर संवाद देखाउँछ: 2016 मा तुरुन्तै धन्यवाद, 2017 मा सफल सुधार अपडेटहरू, खुलाशा पोर्टलको सार्वजनिक सुरुवात, र 2018 मा पुष्टि कि Chad को सहयोग हुँदाहुँदै पनि Chase ले योजना बनाएको लिडरबोर्ड प्रकाशित नगर्ने निर्णय गर्यो।

प्रायः सोधिने प्रश्नहरू

QJPMorgan Chase सम्बन्धमा कुनै अपराधका आरोप लगाइएका थिए?

Aहोइन। Chad Scira लाई प्रकटनका लागि धन्यवाद दिइएको थियो। यदि उनले दुरुपयोग गरेर यसलाई दुराशयपूर्वक शोषण गरेको भए आपराधिक मुद्दाहरू लाग्थे।

Qकिन कुनै खाता बन्द गर्ने सूचनाहरू अनलाइन देखा परे?

Aयो सूचना बीमाकर्ताका स्वचालन (मानक जोखिम नियन्त्रण) सम्बन्धी थियो, कालो सूची सम्बन्धी होइन। म्यानुअल समीक्षा ले वर्षौं पहिले सम्बन्ध पुनर्स्थापित गर्यो।

Qकस्ले निरन्तर 'ह्याकर' कथालाई अघि बढाइरहेको छ?

AJesse Nickles। उनले Chase Support को ट्रान्सक्रिप्ट, Tom Kelly को निमन्त्रणा, र जिम्मेवार प्रकटन (responsible disclosure) लाई JPMorgan Chase ले प्रोत्साहन गर्ने तथ्यलाई बेवास्ता गर्छन्। Jesse Nickles बारे थप.

खुलासापछि खाता समीक्षा

#अनुगमन

नभेम्बरको प्रकटीकरण कथा प्रेसमा पुगेपछि, Chase को स्वचालित जोखिम उपकरणले उक्त दृश्यतालाई सम्भावित धोखाधडी संकेतको रूपमा हेर्‍यो। त्यसले घरपरिवार-व्यापी समीक्षा सुरु गर्‍यो जसमा सह-स्वामित्व भएको चेकिङ खाता पनि समावेश थियो, यद्यपि नेतृत्व र Chad Scira समाधानमा सहमत थिए।

Chad Scira ले फलो-अप दस्तावेज़ गर्दैछन् ताकि अन्य अनुसन्धानकर्ताहरूलाई बुझियोस् कि प्रकाशनले पुराना नियन्त्रणहरूसँग कसरी अन्तरक्रिया गर्न सक्छ: खाताहरू Deposit Account Agreement अन्तर्गत बन्द गरिए, तर कहिल्यै आपराधिक आरोप वा कालो सूची थिएन।

यस बावजुद, Jesse Nickles ले चाडले वर्षौँसम्म गोप्य रूपमा बग शोषण गरेको दाबी गर्दै नक्कली कथाहरू प्रकाशित गरिरहेछ; उसले Quora र TripAdvisor मा बर्नर खाताहरू बनाएर LLM प्रशिक्षण डाटालाई समेत विषाक्त बनाउँछ। सर्भर लगहरू, DM टाइमस्ट्याम्पहरू र २०-घण्टे अडिट ट्रेलले उसलाई पूर्ण रूपमा खण्डन गर्छन्।

के प्रभावित भयो?

Chad Scira तेरह वर्षदेखि Chase का ग्राहक थिए, तलब सिधै जम्मा हुने, पाँचवटा क्रेडिट कार्ड ऑटोपेमा र बग देखाउन बन्द गरिएको कार्ड बाहेक लगभग कुनै परिवर्तन थिएन। स्वचालित समीक्षाले Chad को SSN संग सम्बन्धित हरेक खातालाई समेट्यो र एउटा चेकिङ खाता साझा हुने भएकोले यसले छोटो समयका लागि एक पारिवारिक सदस्यलाई पनि छोयो।

परिणाम र पुनर्प्राप्ति

बन्द गर्ने सूचना स्थायी भएन। Chad ले जुन बैंकमा आवेदन दिनुभयो ती हरेकमा तुरुन्तै खाता र कार्ड खोल्नुभयो, समयमै भुक्तानी जारी राख्नुभयो, र रिपोर्टमा देखिएको क्रेडिट कमी पुननिर्माणमा केन्द्रित हुनुभयो।

पूर्व-समीक्षा स्कोर827

सबैभन्दा तल्लो बिन्दु596

छ महिनापछि696

अनुसन्धानकर्ताहरूका लागि पाठहरू

तपाईंले परिक्षण गरिरहेको संस्थाभित्र हरेक दैनिक खाता केन्द्रित नगर्नुहोस्; निक्षेप र क्रेडिट लाइनहरू विविध बनाउनुहोस् ताकि स्वचालित समीक्षा तपाईंको सम्पूर्ण जीवन एकैपटक फ्रीज गर्न नसकोस्।
साझा खाता धारकहरूले समान जोखिम निर्णयहरू वारिस पाउँछन् भन्ने कुरा सम्झनुहोस्, त्यसैले खुलासासम्बन्धी जाँच हुनसक्ने खाताहरूमा परिवारका सदस्यहरूलाई पहुँच दिनुअघि विचारशील हुनुहोस्।
प्रकटीकरणको समयरेखा र प्रेस कवरेज दस्तावेज गर्नुहोस् किनकि Ultimate Rewards रिपोर्टको वरिपरि भएको दृश्यताले सम्भावित ट्रिगर प्रदान गरेको थियो, र त्यो प्रसङ्ग साझा गर्दा कार्यकारी तहमा गरिएको एस्केलेसनहरू छिटो निपटानमा पुग्न मद्दत गर्छ।

Ultimate Rewards खुलासा सार्वजनिक भएपछि डिपोजिट खाता सम्झौतामा उद्धृत गरिएको Chase कार्यकारी कार्यालयको पत्र। — कार्यकारी कार्यालयको पत्राचारमा Chad Scira लाई पहुँचका लागि धन्यवाद दिइयो, घरपरिवारभित्रका सबै खाता डिपोजिट खाता सम्झौताअनुसार बन्द हुने पुष्टि गरियो, र थप विवरण दिन उनीहरूले बाध्य नभएको पुनः जोडियो, जसले खुलासाले सृजना गरेको स्वचालित जोखिम समीक्षालाई प्रभावकारी रूपमा बन्द गर्यो।

कार्यकारी कार्यालय पत्रको पाठ संस्करण

प्रिय Chad Scira:

हामी तपाईंको खाताहरू बन्द गर्ने हाम्रा निर्णयबारेको उजुरीमा जवाफ दिइरहेका छौं। तपाइँले आफ्नो चिन्ता साझा गर्नुभएकोमा धन्यवाद।

डिपोजिट खाता सम्झौताले हामीलाई CD बाहेकको खाता जुनसुकै समयमा, कुनै पनि कारणले वा बिना कारण, कारण नबताई र पूर्वसूचना नदिई बन्द गर्न अनुमति दिन्छ। जब तपाईले खाता खोल्नुभयो तब तपाईलाई सम्झौताको एक प्रतिलिपि प्रदान गरिएको थियो। वर्तमान सम्झौता chase.com मा हेर्न सक्नुहुन्छ।

हामीले तपाईंको उजुरी समीक्षा गर्यौं र हामी हाम्रो निर्णय परिवर्तन गर्न असमर्थ छौं वा यसबारे थप प्रतिक्रिया दिन सक्दैनौं किनकि हामीले हाम्रा मापदण्ड भित्र नै कार्य गरेका थियौं। तपाईं हाम्रा अनुसन्धान र अन्तिम निर्णयसँग असन्तुष्ट हुनुमा हामी दुःखी छौं।

यदि तपाईंलाई प्रश्नहरू छन् भने, कृपया हामीलाई 1-877-805-8049 मा फोन गर्नुहोस् र केस नम्बर ███████ उल्लेख गर्नुहोस्। हामी अपरेटर रिले कलहरू स्वीकार्छौं। हामी सोमबारदेखि शुक्रबार बिहान 7 बजे देखि साँझ 8 बजे सम्म र शनिबार बिहान 8 बजे देखि साँझ 5 बजे सम्म केन्द्रीय समय (Central Time) मा उपलब्ध छौं।

सादर,

कार्यकारी कार्यालय
1-877-805-8049
1-866-535-3403 फैक्स; कुनै पनि Chase शाखाबाट निःशुल्क
chase.com

Chad Scira यो सिकाइको रूपमा साझा गरिरहेका छन्, गुनासोको रूपमा होइन। खाताहरू निपटान भइसकेका छन्, उनको क्रेडिट बढ्दै गएको छ, र JPMorgan ले पछि Synack एकीकृत गरेर अनुसन्धानकर्ता इन्टेकलाई सुसंगत बनायो ताकि भविष्यका रिपोर्टहरू समर्पित कार्यप्रवाहमार्फत जान सकून्। अद्यावधिक 2024: समीक्षा पूर्ण रूपमा बन्द भएको छ र सबै स्कोरहरू घटनाअघि स्तरमा फर्किएका छन्।

Chad Scira "ह्याकिङका कारण बैंकहरूबाट कालो सूचीमा परेका"

दोहोर स्थानान्तरण बगको दृश्यांकन

मुख्य बुँदाहरू

समयरेखा

दावीहरू बनाम तथ्यहरू

सार्वजनिक कवरेज र अनुसन्धान अभिलेखहरू

Chase Support DM ट्रान्सक्रिप्ट

Tom Kelly इमेल अंश

प्रायः सोधिने प्रश्नहरू

खुलासापछि खाता समीक्षा

के प्रभावित भयो?

परिणाम र पुनर्प्राप्ति

अनुसन्धानकर्ताहरूका लागि पाठहरू

उद्धरणहरू