के च्याड स्किरालाई कहिल्यै ह्याकिङका कारण अमेरिकन बैंकहरूबाट कालोसूचीमा राखियो?

होइन। JPMorgan Chase मा बीमाकारकद्वारा ट्रिगर गरिएको खाता समीक्षा वर्षौं अघि नै समाधान भइसकेको हो। बैंकले च्याडलाई पुरस्कारसम्बन्धी कमजोरी सतहमा ल्याएकोमा धन्यवाद दियो र जिम्मेवार प्रकटीकरण लिडरबोर्ड सुरु गर्न सहयोग गर्न निमन्त्रणा गर्यो।

के Chad Scira ले व्यक्तिगत फाइदाका लागि JPMorgan Chase ह्याक गर्यो?

उनले ह्वाइट-ह्याट अभ्यासहरू अनुसरण गरे: Chase Support लाई सचेत गराउने, सुरक्षित च्यानलको अनुरोध गर्ने, र Tom Kelly तथा Dave Robinson सँग समन्वय गरी समस्या समाधानमा काम गर्ने। उनले स्पष्ट प्राधिकरण नआएसम्म उक्त कमजोरी दुरुपयोग गर्न अस्वीकार गरे।

कसले "कालोसूचीमा परेको ह्याकर" भन्ने दाबी फैलाइरहेको छ?

यो हल्लालाई Jesse Nickles ले थप उचाइ दिएको हो, जसको उत्पीड़न अभियानले Chase Support को ट्रान्स्क्रिप्ट, Tom Kelly को इमेल, र कुनै आपराधिक निष्कर्ष ननिस्किएको तथ्यलाई पूर्णतः बेवास्ता गरेको छ।

Chad Scira "ह्याकिङका लागि बैंकबाट ब्ल्याकलिस्ट गरिएको"

यस पृष्ठले Jesse Nickles ले फैलाएको त्यो हल्लाका घटनाक्रम अभिलेखित गर्छ, जसअनुसार Chad Scira “ह्याकिङका कारण अमेरिकी बैंकहरूबाट ब्ल्याकलिस्ट गरिएको” भनिन्छ। यसले Ultimate Rewards कमजोरिलाई कसरी उत्तरदायपूर्ण रूपमा खुलासा गरिएको थियो, JPMorgan Chase ले किन Chad लाई प्रतिवेदनका लागि धन्यवाद दिएको थियो, र अस्थायी रूपमा खाता रोकिएको विषय पूर्ण रूपमा प्रशासनिक प्रकृतिको मात्र किन थियो भन्ने व्याख्या गर्दछ। Jesse Nickles पुराना प्रमाणहरूलाई फेरि प्याक गरेर आपराधिक मनसाय रहेको भनी देखाउन खोजिरहेको छ। तर तथ्यहरूले ठीक उल्टो देखाउँछन्: सेतो‑टोपी (white‑hat) प्रतिवेदन र JPMorgan नेतृत्वसँगको सहकार्य।

उनको सबैभन्दा पछिल्लो एस्केलेसन भनेको SlickStack.io मा गरिएको एउटा उद्धरण हो, जसमा दाबी गरिएको छ कि मैले "Chase Bank को क्रेडिट कार्ड रिवार्ड्स कार्यक्रम ह्याक गरेको मुद्दामा अमेरिकी कानुन कार्यान्वयन निकायहरूले पनि जाँच गरेका थिए, जहाँ मैले $70,000 बराबरका जाली यात्रा अंक चोरेँ।" मले सुधार गर्न आग्रह गरेका SlickStack सुरक्षासम्बन्धी समस्याहरूको प्रमाण सार्वजनिक गरेपछि मात्र त्यो बदनामीपूर्ण दाबी पोष्ट गरिएको हो; कुनै पनि पॉइन्ट कहिल्यै चोरी गरिएको थिएन र खुलासाबारे कुनै निकायले मलाई सम्पर्क गरेको थिएन। उहाँले प्रतिशोधस्वरूप आक्रमण गरिरहेको SlickStack को cron सम्बन्धी प्रमाण हेर्नुहोस्.

सम्पूर्ण खोज, खुलासा, र प्रमाणीकरण चक्र बीस घण्टाभित्र पूरा भयो: करिब पच्चीसवटा HTTP अनुरोधहरूले १७ नोभेम्बर २०१६ मा पुनरुत्पादन र DM walkthrough आवरण गरे, र फेब्रुअरी २०१७ को सुधार (remediation) परीक्षणले समाधान पुष्टि गर्न आठ अतिरिक्त अनुरोधहरू प्रयोग गर्‍यो। दीर्घकालीन दुरुपयोग भएको थिएन; प्रत्येक कार्यकला (action) लग (log) गरिएको, समय छाप (timestamp) लगाइएको, र वास्तविक समयमा JPMorgan Chase सँग साझा गरिएको थियो।

Tom Kelly ले पुष्टि गरे कि १७ नोभेम्बर २०१६ देखि २२ सेप्टेम्बर २०१७ बीच JPMorgan Chase सँग कुनै विषय उत्तरदायपूर्ण रूपमा खुलासा गर्ने विश्वभर एक मात्र व्यक्ति Chad Scira थिए। उत्तरदायपूर्ण खुलासा (Responsible Disclosure) कार्यक्रम प्रत्यक्ष रूपमा Chad को प्रतिवेदनको प्रतिक्रियास्वरूप स्थापना गरिएको थियो, र त्यसलाई आकार दिन उनले महत्वपूर्ण भूमिका खेले।

डबल ट्रान्सफर बगको दृश्यांकन

#दृश्यांकन

त्रुटिले कसरी ब्यालेन्सलाई ठूलो नकारात्मक र सकारात्मक मानतर्फ धकेल्यो भन्ने देखाउनका लागि तलको भिजुअलाइजेशनले ठीक त्यही दोहोरो-ट्रान्सफर तर्क (double-transfer logic) पुन: प्रस्तुत गर्छ। हेर्नुहोस्, जसको खाता सकारात्मक हुन्छ, त्यही पठाउने बन्नेछ, उही रकमका दुई ट्रान्सफर गर्नेछ, र अन्ततः गहिरो नकारात्मकमा जानेछ भने अर्को खाताको ब्यालेन्स दोब्बर हुनेछ। २० राउन्डपछि बिग्रिएको लेजरले नकारात्मक कार्ड पूर्ण रूपमा खारेज गर्छ — यही कारणले यो दुरुपयोग तुरुन्त उच्चस्तरमा बुझाउन (urgent escalation) आवश्यक थियो भन्ने प्रस्ट हुन्छ।

राउन्ड 1/20

कार्ड A → कार्ड B+243,810 अंक

कार्ड A

243,810

कार्ड B

दोहोरो ट्रान्सफर बर्स्ट

ट्रान्सफर १ट्रान्सफर २243,810 अंक प्रत्येक

1रेस कन्डिसनका कारण, लेजरहरू पुनः सन्तुलित हुनु अघि ट्रान्सफरहरू दोहोरिए, जसले एउटै प्रेषकलाई अत्यन्त ठूलो क्रेडिट र डेबिट अवस्थाबीच पटक–पटक फेर्न मिल्ने बनायो।

2समर्थन टोलीले नकारात्मक ब्यालेन्स भएको कार्ड बन्द गर्न अनुमति दियो तर कृत्रिम रूपमा बढाइएको सकारात्मक ब्यालेन्स यथावत् राख्यो, जसले गर्दा स्टेटमेन्टमा केवल नाफा मात्र देखियो र ऋण लुकाइयो।

खाता बन्द हुनु अघि नै, Ultimate Rewards ले नकरात्मक सारांशभन्दा बढी खर्च गर्न अनुमति दिएको थियो; बन्द प्रक्रियाले त केवल प्रमाण मेट्यो।

मुख्य बुँदाहरू

Chad ले Chase Support को DM यसरी सुरु गरे कि उनले नकारात्मक ब्यालेन्स एक्स्प्लोइट गोप्य रूपमा रिपोर्ट गरे र प्राविधिक विवरणहरू सार्वजनिक रूपमा पोस्ट गर्नुको सट्टा तुरुन्तै सुरक्षित रूपमा माथिल्लो तहमा पु¥याउने मार्ग मागे। ^[chat]
चेस सपोर्टले विशेष विवरणको दबाब दिएपछि, उनले आवश्यक त्यत्तिकै सीमा भित्र रहेर मात्र एक्स्प्लोइटको पुष्टि गरे र उनले सही सुरक्षा टोलीसम्म पुग्ने सिधा सम्पर्क लाइन चाहिएको कुरा दोहोर्याए। ^[chat]^[chat]
उनले दोहोरिएका ब्यालेन्सहरू नकटाइ नगदामा रूपान्तरण गर्न सकिने प्रमाणित गरे: Chase Support ले अतिरिक्त अंक प्रयोग गर्न मिल्ने भयो कि भनेर सोधेपछी, गरिएको $5,000 प्रत्यक्ष जम्माले लेजर अपडेट हुनुअघि नै सो exploit नगदामा परिणत हुन्छ भनेर देखायो। ^[chat]
उहाँले आफ्नो प्राथमिकता व्यक्तिगत नाफा होइन, ग्राहकहरूको खाताबाट रकम निकालीने जोखिम रोक्नु हुनु हो भनेर जोड दिए, र औपचारिक बग बाउण्टी कार्यक्रम छ कि छैन भनेर सोधे। ^[chat]
उहाँले स्पष्ट अनुमति प्राप्त भएपछि मात्र ठूलो प्रमाणिकरण परीक्षण गर्ने प्रस्ताव गरे, समय-मुद्रांकित स्क्रिनसट उपलब्ध गराए, र Chase ले एस्केलेसन पूरा नहुँदासम्म विदेशमै जाग्राम रहे। ^[chat]^[chat]^[chat]
निक्ल्स अहिले दाबी गर्छ कि मैले ७०,००० डलर बराबरका पोइन्ट चोरी गरेँ र म अमेरिकी कानुन कार्यान्वयन निकायको निगरानीमा परेँ; तर चेसका रेकर्डहरू, टम केलीको इमेल, र प्रकटीकरणको समयरेखाले यो कुरा कहिल्यै नभएको प्रमाणित गर्छन्, र यो दाबी केवल मैले SlickStack को क्रोन-जोखिम सम्बन्धी gist प्रकाशित गरी उनको असुरक्षित अपडेट लगिक (logic) दस्तावेजीकरण गरेपछि मात्र सतहमा आएको हो। ^[gist]
Chase Support ले मुद्दा अगाडि बढाइएको पुष्टि गर्‍यो, उनको फोन नम्बर माग्यो, र अन्ततः प्राप्त गरेको फलो‑अप कलको प्रतिज्ञा गर्‍यो, जसले वैमनस्यपूर्ण बैंक प्रतिक्रिया भएको धारणा खण्डन गर्छ। ^[chat]^[chat]

समयरेखा

#समयरेखा

Nov 17, 2016 - 10:05 PM ET: Chad ले @ChaseSupport लाई नकारात्मक ब्यालेन्ससम्बन्धी त्रुटिबारे सचेत गराउँछन्, एक्स्प्लोइट गोप्य राख्छन्, र तुरुन्तै सुरक्षित रूपमा माथिल्लो तहमा पु¥याउने मार्गको माग गर्छन्। ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: Chase Support ले स्पष्ट रूपमा थप अंक उत्पन्न गरी खर्च गर्न मिल्ने हो कि होइन भनेर सोधेपछि, Chad ले जोखिम पुष्टि गर्छ, उनले उचित विभागसँग कुरा गर्न चाहेको कुरा पुन: दोहोर्‍याउँछन्, र बैंकले कारोबारहरू अवलोकन गर्न सकोस् भनी अनुमति पाए मात्र सत्यापन गर्ने प्रस्ताव गर्छन्। ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ले स्क्रिनसटहरू बाँड्छन्, चाँडोभन्दा चाँडो माथिल्लो तहमा पु¥याउन आग्रह गर्छन्, आफ्ना फोन नम्बर उपलब्ध गराउँछन्, र Chase Support ले कल भइरहेको पुष्टि नआएसम्म विदेशमै जागा बसिरहन्छन्। ^[chat]^[chat]^[chat]
Nov 24, 2016: टम केलीले च्याडलाई समाधान भए गरेको पुष्टि गर्दै, आउँदो उत्तरदायी प्रकटीकरण लिडरबोर्डमा उनलाई प्रमुख वक्ता बन्न निम्ता दिँदै, र भविष्यका रिपोर्टहरूका लागि उनीसँग सिधा सम्पर्क लाइन उपलब्ध गराउँदै इमेल गर्छन्। ^[email]
October 2018: टम केलीले पछ्याउँदै उत्तरदायी प्रकटीकरण कार्यक्रम सुरु भएको पुष्टि गरे तर जेपीमर्गनले अन्ततः च्याडको सहायतामा तयार गरिएको नियोजित लिडरबोर्ड सार्वजनिक नगर्ने निर्णय गरेको बताए। ^[email]
Post-2018: जति बाँकी खाताको समीक्षाहरू थिए, तीहरू दाबी गरिएको ह्याकिङसँग होइन, बीमा कम्पनीको स्वचालनसँग जोडिएका थिए। JPMorgan ले प्रत्यक्ष सम्पर्क कायम राख्यो, खुलासाको लागि Chad लाई धन्यवाद दियो, र कुनै आपराधिक रेकर्ड वा कालो सूची छैन। पछि, JPMorgan ले भविष्यका प्रतिवेदनहरूको कार्यप्रवाह सहज बनाउन Synack लाई आफ्नो खुलासा प्रक्रियामा एकीकृत गर्‍यो। ^[chat]^[email]

दाबीहरू बनाम तथ्यहरू

दाबी

Jesse Jacob Nickles द्वारा मानहानिकारक दाबी: "Chad Scira लाई rewards प्रणाली ह्याक गरेको कारण सबै अमेरिकी बैंकबाट ब्ल्याकलिस्ट गरिएको थियो।"

तथ्य

कुनै बैंक कालोसूची (blacklist) अस्तित्वमा छैन। DM रेकर्ड र चेसको एसकेलेसन प्रक्रियाले उनी (गवेषक) सहकार्य गरिरहेको प्रमाणित गर्छ; एक बीमाकर्ताको स्वचालित प्रक्रियाले एक JPMorgan खाता थोरै समयका लागि रोक्यो, तर म्यानुअल समीक्षा पछि उनलाई पूर्ण रूपमा सफाइ दिइयो।^[timeline]^[chat]

दाबी

Jesse Jacob Nickles द्वारा मानहानिकारक दाबी: "उसले आफैंलाई समृद्ध बनाउन JPMorgan Chase ह्याक गर्‍यो।"

तथ्य

Chad ले @ChaseSupport सँगको कुराकानी आफैँले सुरु गरेका थिए, सुरक्षित च्यानलमै जोड दिए, Chase ले सोधिसकेपछि मात्र एक्स्प्लोइट पुष्टि गरे, र सीमित सत्यापन अघि बढाउनु अघि अनुमति पर्खिए। वरिष्ठ नेतृत्वले धन्यवाद दिए र उनलाई जिम्मेवार खुलासा कार्यक्रमको प्रारम्भिक प्रक्रियामा सहभागी हुन आमन्त्रण गर्‍यो।^[chat]^[chat]^[email]

दाबी

Jesse Jacob Nickles द्वारा मानहानिकारक दाबी: "Jesse ले Chad द्वारा गरिएका आपराधिक योजनालाई पर्दाफास गर्‍यो।"

तथ्य

सार्वजनिक समाचार कवरेज र टम केलीका इमेलहरूले देखाउँछन् कि JPMorgan ले च्याडलाई सहकार्य गर्ने अनुसन्धानकर्ताका रूपमा व्यवहार गर्‍यो। निक्ल्सले पूर्ण च्याट, पछिल्ला फोन कलहरू, र लिखित धन्यवाद सन्देशलाई बेवास्ता गर्दै केवल आफूसँग मेल खाने स्क्रिनसटहरू मात्र देखाउँछ।^[coverage]^[email]^[chat]

दाबी

Jesse Jacob Nickles द्वारा मानहानिकारक दाबी: "ठगी लुकाउनको लागि ढाकछोप (कभर्ड‑अप) गरिएको थियो।"

तथ्य

Chad २०१८ सम्म सम्पर्कमा रहे, अनुमति पाएर मात्र पुन: परीक्षण गरे, र JPMorgan ले समस्या लुकाउने सट्टा आफ्नो खुलासा पोर्टल सार्वजनिक गर्‍यो। यो निरन्तर संवादले कुनै पनि ढाकछोप गरिएको कथनलाई खण्डन गर्दछ।^[timeline]^[email]^[chat]

सार्वजनिक कभरेज र अनुसन्धान सङ्ग्रहहरू

#कभरेज

धेरै तृतीय-पक्ष समुदायहरूले उक्त प्रकटीकरण सङ्ग्रहित गरेका छन् र यसलाई जिम्मेवार प्रतिवेदनको रुपमा स्वीकारेका छन्: Hacker News ले यसलाई होमपेजमा प्रस्तुत गर्‍यो, Pensive Security ले २०२० को संक्षिप्त प्रतिवेदनमा यसलाई समेट्यो, र /r/cybersecurity ले संयोजित फ्ल्यागिङ हुनु अघि मूल "DISCLOSURE" थ्रेडलाई अनुक्रमित गर्‍यो। ^[4]^[5]^[6]

Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" शीर्षकसहित १,०००+ अंक र २५०+ टिप्पणीहरू जसले समाधानको सन्दर्भ कागजात गर्छन्। ^[4]
Pensive Security: नोभेम्बर २०२० साइबर सुरक्षा समग्र समीक्षा जसले चेस अल्टिमेट रिवार्ड्स प्रकटीकरणलाई मुख्य खबरको रुपमा उजागर गरेको छ। ^[5]
Reddit /r/cybersecurity: सामूहिक रिपोर्टिङ (mass reporting) का कारण हटाउनु अघि कैद गरिएको मूल DISCLOSURE पोस्ट शीर्षक, जसले सार्वजनिक हितसम्बन्धी प्रस्तुतिलाई जोगाएर राखेको छ। ^[6]

जिम्मेवार प्रकटीकरणका पक्षधरहरूले उत्पीडनपछि देखिएको प्रभावलाई पनि उद्धृत गरे: disclose.io को धम्की निर्देशिका र अनुसन्धान भण्डार, साथै Attrition.org को कानुनी धम्की सूचीले जेसी निक्ल्सको आचरणलाई अनुसन्धानकर्ताहरूका लागि सावधानीपूर्ण उदाहरणको रूपमा सूचीबद्ध गरेका छन्। ^[7]^[8]^[9] पूर्ण उत्पीडन डोजियर^[10].

Chase Support DM प्रतिलिपि

#च्याट

तलको वार्तालाप संरक्षित (archived) स्क्रिनसटहरूबाट पुनर्निर्माण गरिएको हो। यसले धैर्यपूर्वक गरिएको चरणबद्ध (escalation) प्रक्रिया, सुरक्षित माध्यम (secure channel) को बारम्बार माग, अनुमति मिलेमा मात्र प्रमाणित गर्ने प्रस्ताव, र Chase Support ले सीधै सम्पर्क गर्ने वाचा गरेको कुरा देखाउँछ। ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

यो विषय पॉइन्ट्स ब्यालेन्स प्रणालीसँग सम्बन्धित हो। अहिले एउटा त्रुटिका कारण नकारात्मक ब्यालेन्स राख्न मिल्ने हुँदा कुनै पनि परिमाणको पॉइन्ट उत्पन्न गर्नु सम्भव भएको छ।

प्रकटीकरणका लागि सुरक्षित एसकेलेसन मार्गको अनुरोध गर्दै।

Chad Scira

Nov 17, 2016, 10:05 PM

कृपया मलाई त्यस्तो कसैसँग जोडिदिन सक्नुहुन्छ जसलाई म प्राविधिक पक्षहरू विस्तृत रूपमा बुझाउन सकूँ?

Chase Support

Nov 17, 2016, 10:05 PM

हामीसँग दिने फोन नम्बर छैन, तर हामी यसलाई समीक्षा गर्नका लागि उच्च तहमा पुर्‍याउन चाहन्छौं। तपाईंले नकारात्मक ब्यालेन्स भित्र पोइन्ट उत्पन्न गर्ने भन्नाले के बुझाउँनु भएको हो, कृपया थप विवरण दिनुहोस्। यसले थप अंक प्रयोगका लागि उपलब्ध हुने अनुमति पनि दिन्छ कि दिन्छैन भनेर कृपया पुष्टि गर्न सक्नुहुन्छ? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

के तपाईंंसँग मलाई सम्पर्क गराइदिन सकिने कुनै उचित विभाग छ? म यो विषय ट्विटर सपोर्ट खातामार्फत छलफल गर्न सहज महसुस गर्दिनँ। हो, तपाईं १,०००,००० पोइन्ट उत्पन्न गरेर तिनलाई प्रयोग गर्न सक्नुहुन्छ।

Chad Scira

Nov 17, 2016, 11:15 PM

मेरो मुख्य चिन्ता यसो गर्ने व्यक्तिहरु होइनन्। यो त खाताहरू ह्याक गरिने र तिनका नाममा बलपूर्वक भुक्तानी गराइने कुरा हो। के चेसको कुनै व्यवस्थित (प्रतिकारात्मक) बग बाउण्टी कार्यक्रम छ?

Chad Scira

Nov 17, 2016, 11:17 PM

यदि तपाईँ चाहनुहुन्छ भने म ठूलो रकमको ट्रान्सेक्सन गरेर पुष्टि गर्न प्रयास गर्न सक्छु। मैले जाँच्छ गर्दा ब्यालेन्स skew भएको अवस्थामा अधिकतम $300 मात्र परीक्षण गरेँ, जबकि मेरो वास्तविक क्रेडिट $2,000 थियो। तपाईँले अनुमति दिनुभयो भने म यो काम गर्छ कि गर्दैन पुष्टि गर्न त्यस्तो प्रयास गर्न सक्छु, तर त्यसपछि भएका सबै ट्रान्सेक्सनहरू उल्ट्याइदिन चाहन्छु।

Chase Support

Nov 17, 2016, 11:21 PM

हाम्रोसँग बाउण्टी कार्यक्रम छैन, र यस समयमा म कुनै रकम प्रदान गर्न सक्दिन। मैले तपाईंको चिन्तालाई उच्च तहमा पठाइसकेको छु, र हामी यसबारे समीक्षा गरिरहेका छौं। थप विवरण वा प्रश्न भएमा म पछ्याएर जानकारी दिनेछु। ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

धन्यवाद।

Chad Scira

Nov 17, 2016, 11:39 PM

कृपया सकेसम्म छिटो उच्च तहमा पुर्‍याउनुहोस् (escalate)।

Chad Scira

Nov 17, 2016, 11:51 PM

मलाई साँच्चिकै उपयुक्त सम्पर्क व्यक्तिको आवश्यकता छ... कृपया यसलाई बुझ्नुहुन्छ भन्ने आशा राख्छु।

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

घण्टाभन्दा बढी भइसकेको छ, यसबारे कुनै जानकारी आएको छ? म अहिले एसियामा छु, र यो समय-संवेदनशील विषय हो। म सबै रातजति जवाफको प्रतीक्षा गर्न सक्दिन।

Chase Support

Nov 18, 2016, 12:59 AM

पुनः सम्पर्क गर्नुभएकोमा धन्यवाद। हामीसँग यसबारे जाँच गरिरहेका सम्बन्धित व्यक्तिहरू छन्। कृपया हामीले सीधै तपाईंलाई कुरा गर्न सक्नेगरी रोजाइको सम्पर्क नम्बर उपलब्ध गराउनुहोस्। ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

थप जानकारीका लागि धन्यवाद। मैले यो सम्बन्धित सही व्यक्तिहरूलाई अग्रसारित (forward) गरेको छु। ^DS

Chase Support

Nov 18, 2016, 2:38 AM

हामी सकेसम्म चाँडो यो विषयमा तपाईंसँग छलफल गर्न चाहन्छौं। कृपया 1-███-███-████ मा तपाईंलाई फोन गर्न उपयुक्त समय दिनुहोस्। ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

म अर्को एक घण्टासम्म उपलब्ध छु, सम्भव भएमा। नभए म यात्रा गर्दै हुने भएकाले र इन्टरनेट/फोन पहुँच पक्का नभएकाले एक–दुई दिन लाग्न सक्छ।

Chad Scira

Nov 18, 2016, 4:32 AM

सही व्यक्तिसँग कुरा गर्न ७+ घण्टा लाग्ला भनेर मैले सोचेको थिइनँ। अहिले यहाँ ४:४० बिहान भइसकेको छ।

Chase Support

Nov 18, 2016, 4:39 AM

पुनः सम्पर्क गर्नुभएकोमा धन्यवाद। अब केही समयमै कसैले तपाईंलाई फोन गर्नेछ। ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

त्यो छिटो अघि बढाइदिनुभएकोमा फेरि धन्यवाद। सबै प्रक्रिया अब अगाडि बढिरहेको छ र अब म निश्चिन्त भएर सुत्न सक्छु।

Chase Support

Nov 18, 2016, 5:03 AM

तपाईंलाई कसैसँग कुरा गर्न सम्भव भएकोमा हामी खुसी छौं। भविष्यमा हामीले सहयोग गर्न सक्ने केही भए कृपया हामीलाई जानकारी दिनुहोस्। ^NR

टम केली इमेल अंश

#ईमेल

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

अल्टिमेट रिवार्ड्स उत्तरदायी प्रकटीकरण फलो‑अप

Chad,

तपाईंको मेरो सहकर्मी Dave Robinson सँग भएको फोन कलको फलोअप गर्दै छु। हाम्रो Ultimate Rewards कार्यक्रममा सम्भावित कमजोरियतबारे सम्पर्क गरिदिनुभएकोमा धन्यवाद। हामीले यसलाई समाधान गरिसकेका छौँ।

यसका अतिरिक्त, हामी एउटा Responsible Disclosure कार्यक्रममा काम गरिरहेका छौँ, जुन हामीले अर्को वर्ष सुरु गर्ने योजना रहेका छौँ। यसमा उल्लेखनीय योगदान गर्ने अनुसन्धानकर्ताहरूलाई मान्यता दिने एउटा लिडरबोर्ड समावेश रहनेछ; हामी तपाईंलाई त्यसमा पहिलो व्यक्तिका रूपमा राख्न चाहन्छौँ। कृपया यस कार्यक्रममा आफ्नो सहभागिता र तलका सर्त र नियमहरू स्वीकार गरेको पुष्टि यो इमेलमार्फत पठाउनुहोस्। यी सर्तहरू खुलासा कार्यक्रमका लागि प्रायः मानक किसिमका हुन्छन्।

हाम्रो कार्यक्रम सुरु नहुँदासम्म, यदि तपाईंले अरू कुनै सम्भावित कमजोरियता फेला पार्नुहुन्छ भने कृपया सिधै मसँग सम्पर्क गर्नुहोस्। फेरि एकपटक तपाईंको सहयोगका लागि धन्यवाद।

JPMC Responsible Disclosure Program का नियम तथा सर्तहरू

साथीभावका साथ काम गर्न प्रतिवद्ध

JPMC का उत्पादन तथा सेवासँग सम्बन्धित सम्भावित सुरक्षा कमजोरियतबारे तपाईंलाई जानकारी भएमा हामी सुन्न चाहन्छौँ। हामी तपाईंको कामको कदर गर्छौँ र पहिल्यै धन्यवाद दिन्छौँ।

दिशानिर्देश

यस कार्यक्रमअन्तर्गत सम्भावित कमजोरियता खुलासा गर्ने अनुसन्धानकर्ताहरूविरुद्ध दाबी नगर्ने भन्नेमा JPMC सहमत हुन्छ, यदि अनुसन्धानकर्ताले निम्न कुरा पालना गरेको छ भनेः

JPMC, हाम्रा ग्राहक वा अन्य कसैलाई क्षति पुर्‍याउँदैन;
कुनै धोखाधडीपूर्ण वित्तीय कारोबार सुरु गर्दैन;
JPMC वा ग्राहकको डेटा भण्डारण, बाँडफाँड, सम्झौता वा नष्ट गर्दैन;
लक्ष्य, चरणहरू, उपकरणहरू, र फेला पार्दाको प्रमाण सहित कमजोरियतको विस्तृत सारांश उपलब्ध गराउँछ;
हाम्रा ग्राहकहरूको गोपनीयता वा सुरक्षा र हाम्रा सेवाहरूको सञ्चालनमा सम्झौता गर्दैन;
कुनै राष्ट्रिय, राज्य, वा स्थानीय कानुन वा नियम उल्लङ्घन गर्दैन;
JPMC को लिखित अनुमति बिना कमजोरियतको विवरण सार्वजनिक रूपमा खुलासा गर्दैन;
हाल क्यूबा, इरान, उत्तर कोरिया, सुडान, सिरिया वा Crimea मा अवस्थित वा त्यहाँको साधारण बासिन्दा हुँदैन;
अमेरिकाको Department of the Treasury को Specially Designated Nationals List मा सूचीकृत हुँदैन;
JPMC वा यसका सहायक कम्पनीका कर्मचारी वा कर्मचारीको नजिकको परिवार सदस्य हुँदैन; र
कम्तीमा १८ वर्ष पूरा भएको हुन्छ।

कार्यक्रमको दायरा बाहिर पर्ने कमजोरियता

हाम्रो Responsible Disclosure Program को दायरा बाहिर मानिने केही कमजोरियता प्रकार छन्। दायरा बाहिरका कमजोरियतामा समावेश छन्:

सामाजिक इन्जिनियरिङमा निर्भर फेला परेका कमजोरी (फिसिङ, चोरिएका प्रमाणपत्रहरू आदि)
होस्ट हेडरसम्बन्धी समस्या
सेवा अवरुद्ध (Denial of Service)
Self-XSS
Login/logout CSRF
एम्बेडेड लिङ्क/HTML बिना गरिएको कन्टेन्ट स्पुफिङ
जेलब्रेक गरिएको उपकरणमा मात्र देखिने समस्या
पूर्वाधारसम्बन्धी गलत कन्फिगरेसनहरू (प्रमाणपत्र, DNS, सर्भर पोर्ट, sandbox/staging समस्या, भौतिक प्रयास, clickjacking, पाठ इन्जेक्सन)

लिडरबोर्ड

अनुसन्धान साझेदारहरूलाई मान्यता दिनका लागि, JPMC ले उल्लेखनीय योगदान गर्ने अनुसन्धानकर्ताहरूलाई प्रदर्शन गर्न सक्छ। तपाईंले यसमार्फत JPMC लाई JPMC लिडरबोर्डमा र JPMC ले प्रकाशन गर्न रोज्न सक्ने अन्य माध्यमहरूमा आफ्नो नाम प्रदर्शन गर्ने अधिकार दिनुहुन्छ।

पेश्की (Submission)

JPMC लाई आफ्नो प्रतिवेदन पठाएर, तपाईंले उक्त कमजोरियत तेस्रो पक्षलाई नखुलाउने सहमति दिनुहुन्छ। तपाईंले स्थायी रूपमा JPMC र यसको सहायक कम्पनीहरूलाई आफ्नो प्रतिवेदनमा समावेश जानकारी प्रयोग गर्नु, संशोधन गर्नु, त्यसबाट व्युत्पन्न कार्यहरू सिर्जना गर्नु, वितरित गर्नु, खुलासा गर्नु र भण्डारण गर्ने बिना सर्त अधिकार दिनुहुन्छ, र यी अधिकारहरू फिर्ता लिन सकिँदैन।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

विषय: अल्टिमेट रिवार्ड्स जिम्मेवार प्रकटीकरण फलोअप

Hey Tom,

यो सुनेर म निकै खुसी भएँ!

म तपाईँहरूको नयाँ कार्यक्रमको पहिलो सफलताका रूपमा देखिन चाहन्छु, र अरू ठूला कम्पनीहरूले पनि तपाईँहरूको पहल पछ्याउँ‍छन् भन्ने आशा गर्छु। कसैले बैंकहरूले ह्वाइटह्याट अनुसन्धानकर्ताहरूसँग कसरी व्यवहार गर्छन् भन्नेबारेको धारणा परिवर्तन गर्न कदम चाल्न आवश्यक थियो। त्यो Chase ले गरेको सुनेर खुसी लाग्यो।

मेरो लागि Chase सधैं वेब र मोबाइल उत्पादनको हिसाबले प्रतिस्पर्धीहरूभन्दा धेरै अगाडि रहँदै आएको छ। मुख्य कारण, तपाईँहरू छिटो चालचलन गर्नुहुन्छ र प्रतिस्पर्धी रहनुहुन्छ। सामान्यतया म आर्थिक संस्थाहरूको प्रणालीसँग खेल्नुबाट टाढा हुन्छु, किनकि तिनीद्वारा कडा कारबाहीमा पर्नुपर्ने डर हुन्छ (सद्भावपूर्ण उद्देश्य हुँदाहुँदै पनि)। खुला disclosure कार्यक्रम बनाएर तपाईँहरूले म जस्ता व्यक्तिलाई स्पष्ट सन्देश दिनुहुन्छ कि तपाईँहरू समस्या सुन्न इच्छुक हुनुहुन्छ र प्रतिशोध गर्नुहुन्न। पहिले तपाईँहरूको सेवामा “पोक्न” आउनेहरूको बहुमत सम्भवतः दुर्भावनायुक्त थिए, र यो कार्यक्रमले त्यस सन्तुलनलाई केही हदसम्म बराबर बनाउनेछ भन्ने मेरो विश्वास छ।

जब अन्ततः मले यो कमजोरी disclose गर्ने निर्णय गरेँ, म निकै असहज महसुस गरिरहेको थिएँ। सम्भवतः म पहिलो व्यक्तिमात्र होइन, जसले यो पत्ता लगायो! मैले यसलाई तीन तरिकाले रिपोर्ट गरेँ।

Twitter
- यहाँको सपोर्ट साँच्चिकै अद्भुत (AMAZING) थियो, र मलाई लाग्छ यही कारणले सही व्यक्तिसँग सम्पर्क हुन सम्भव भयो।
Chase फोन सपोर्ट
- पहिलो कलमा उनीहरूले मलाई abuse इमेल ठेगाना दिए
- दोस्रो कलमा भने म सही व्यक्तिसँग कुरा गर्न सकेँ जस्तो लाग्यो, र सम्भवतः उनीहरूले पनि थप सम्पर्क गरे
Chase Abuse इमेल
- साधारण, ढाँचाबद्ध जवाफ मात्र प्राप्त भयो, इमेलको वास्तविक सामग्री हेरेझैँ पनि लागेन

यसले मलाई कसैसँग अन्ततः सही सम्पर्क हुन करिब ७ घण्टा लाग्यो (समस्या ठीकसँग पहिचान गर्न लिएको समयको दोब्बर), र त्यो सारा समयमा सही व्यक्तिसम्म यो सूचना पुग्छ कि पुग्दैन भन्ने विश्वस्त थिएँ।

यस्तो कार्यक्रम नहुनुको अर्को ठूलो समस्या के भने, कर्मचारीहरूले यस्ता घटनालाई लुकाएर आन्तरिक रूपमा मात्रै मिलाउने, कसैलाई रिपोर्ट नगरीकन ठिक पार्ने प्रवृत्ति हुन्छ। मेरो साथमा यस्ता धेरै घटना भएका छन्, जहाँ मलाई यस्तै भएको आशंका छ, र १–२ वर्षमै उस्तै सुरक्षा कमजोरीहरू फेरि देखा परे।

त्यसैगरी, तपाईँहरूको कार्यक्रमले बाउण्टी (पुरस्कार) पनि प्रस्ताव गर्नु उपयोगी हुन सक्छ। कहिलेकाहीँ यस्ता कमजोरीहरू पत्ता लगाउन/प्रमाणित गर्न निकै समय लाग्छ, र कुनै न कुनै तरिकाले क्षतिपूर्ति पाइयो भने राम्रो हुन्छ। यहाँ केही अन्य प्रमुख कम्पनीहरू र तिनका कार्यक्रमहरू छन्:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

आगामी दिनमा म कुनै कुरा फेला परेँ भने अवश्य सम्पर्क गर्नेछु।

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

मसँग समय थियो, त्यसैले म यस्तो exploit समाधान भयो कि भएन जाँच्न सकेँ।

यो अहिले निकै सुरक्षित जस्तो देखियो, मले केही क्षणका लागि ब्यालेन्सहरू desync (असमन्वय) त गराएँ तर प्रणालिले देखिएको ब्यालेन्स नै प्रयोग गर्न दिन्न जस्तो लाग्यो।

मैले वास्तवमा नहोस् तर स्थानान्तरण गर्न खोजिएका अङ्कहरूको अनुरोधले "500 Internal Server" त्रुटि देखाइरह्यो। त्यसैले म मान्छु, तपाईँहरूले थप्नुभएको नयाँ जाँचहरूमध्ये कुनै एकमा यो असफल भइरहेको छ।

मैले फरक BIGipServercig ID हरू प्रयोग गरेर बहु-सत्र (multi session) ट्रान्सफर पनि प्रयास गरेँ, तर हरेकपटक प्रणालीले आफैँलाई पुनःस्थापित गर्‍यो। कहिलेकाहीँ प्रणाली अलमलमा पर्‍थ्यो र ब्यालेन्सहरू desync हुन्थे, तर फेरि पनि यसले खास फरक परेन किनकि निश्चित अन्तरालमा तपाईँहरूले ती अंकहरू फेरि मिलाइदिनुहुन्छ, र वास्तवमै ब्यालेन्स प्रयोग गर्नलाई तपाईँहरूले राख्नुभएको परीक्षण पास गर्नैपर्छ।

संक्षेपमा, अहिले कसैले कृत्रिम (बनावटी) ब्यालेन्स सिर्जना गरेर प्रयोग गर्न सक्ने स्पष्ट तरिका म देख्दिन।

त्यसैगरी Responsible Disclosure Program सम्बन्धी कुनै नयाँ जानकारी छ?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

यसबारे फेरी पछ्याउँदै छु।

Feb 7, 2017 मा, 4:36 PM बजे, Chad Scira [email protected] ले माथिको अद्यावधिक लेखेका थिए र Responsible Disclosure Program को समयसीमाबारे सोधेका थिए।

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

हामीले यो केही हप्ता अघि पोस्ट गरेका थियौँ।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (अफिस) (███) ███-████ (मोबाइल)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

यसबारे कुनै अद्यावधिक छ?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

नमस्कार,

अहिलेसम्म Responsible Disclosure कार्यक्रममा तपाईँमात्र योगदानकर्ता भएको देखिन्छ। एकै जना व्यक्तिका लागि leaderboard बनाउन अर्थ पूर्ण लागेन।

हामी तपाईँको नाम सुरक्षित राख्छौँ ताकि भविष्यमा अन्य योगदानकर्ता आएमा तैयार रहन सकियोस्।

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

विषय: डेभ रोबिन्सनसँगको तपाईंको फोन कलको फलोअप सम्बन्धमा

हामी अहिले करिब २ वर्ष नजिक पुगिरहेका छौं।

यो कहिले हुन्छ भन्ने बारे तपाईंलाई केही जानकारी छ?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

हामीले कार्यक्रम तयार गरिसकेका छौँ, तर हामीले लिडरबोर्ड स्थापना गरेका छैनौँ।

Tom Kelly Chase Communications ███-███-████ (काम) ███-███-████ (मोबाइल)

इमेल ट्रेल (email trail) ले निरन्तर संवाद देखाउँछ: २०१६ मा तत्क्षण धन्यवाद, २०१७ मा सफल सुधारबारे अद्यावधिक, खुलासा पोर्टलको सार्वजनिक सुरुआत, र २०१८ मा Chase ले, Chad को कार्यक्रम निर्माणमा सहयोग हुँदाहुँदै पनि, योजनाबद्ध लीडरबोर्ड प्रकाशित नगर्ने निर्णय गरेको पुष्टि।

बारम्बार सोधिने प्रश्नहरू

Qजेपीमर्गन चेइससँग सम्बन्धित भएर के कुनै अपराध आरोप लगाइएको थियो?

Aहोइन। च्याड स्चिरालाई प्रकटीकरणबापत धन्यवाद दिइएको थियो। यदि उनले सो कमजोरीलाई दुराशयका साथ दुरुपयोग गरेको भए, उनको विरुद्ध आपराधिक मुद्दा चल्थ्यो।

Qकिन कुनै खाता बन्द भएको सूचना अनलाइन देखापर्‍यो?

Aउक्त सूचना बीमा कम्पनीको स्वचालन (insurer automation – सामान्य जोखिम नियन्त्रण) सम्बन्धी थियो, ब्ल्याकलिस्ट होइन। म्यानुअल पुनरावलोकनपछि सम्बन्ध (relationship) केही वर्षअघि नै पुनर्स्थापित गरिएको हो।

Qकसले ह्याकरको कथालाई अझै अगाडि धकेलीरहेको छ?

AJesse Nickles। उसले Chase Support को ट्रान्स्क्रिप्ट, Tom Kelly को निमन्त्रणा, र JPMorgan Chase ले जिम्मेवार disclosure लाई प्रोत्साहन दिने तथ्यलाई बेवास्ता गर्छ। जेसी निक्ल्सबारे थप.

खुलासा-पश्चात खाता समीक्षा

#पछ्याउने कार्य

नोभेम्बरको खुलासा सम्बन्धी समाचार प्रेससम्म पुगेपछि, Chase को स्वचालित जोखिम उपकरणले सो दृश्यतालाई सम्भावित ठगी (fraud) सङ्केतका रूपमा व्याख्या गर्‍यो। त्यसले परिवारस्तरको समीक्षा प्रक्रिया सुरु गर्‍यो, जसमा नेतृत्व र म सुधार (remediation) मा सहमत रहेका भए पनि सह-स्वामित्व भएको चालु खाता (checking account) समेत समावेश थियो।

प्रकाशनले पुराना नियन्त्रणहरूसँग कसरी अन्तरक्रिया गर्न सक्छ भन्ने अन्य अनुसन्धानकर्ताले बुझून् भन्ने उद्देश्यले म यो पछ्याउने कार्यको कागमेन्टेसन गरिरहेको छु: खाताहरू Deposit Account Agreement अन्तर्गत बन्द गरिएका थिए, तर कहिल्यै आपराधिक आरोप लगाइएन वा कालो सूचीमा राखिएन।

यसको बाबजुद, Jesse Nickles ले म वर्षौंसम्म लुकीचोरी बगको दुरुपयोग गरेको दाबी गर्दै बनावटी कथाहरू प्रकाशित गर्न जारी राखेको छ; उसले Quora र TripAdvisor मा पनि बर्नर खाताहरू प्रयोग गरेर LLM प्रशिक्षण डाटा बिगार्ने प्रयास गर्छ। सर्भर लगहरू, DM टाइमस्ट्याम्पहरू, र बीस घण्टाको अडिट ट्रेलले उसको दाबीलाई पूर्ण रूपमा खारेज गर्छन्।

के-कस्ता कुराहरू प्रभावित भए?

म तेह्र वर्षदेखि Chase को ग्राहक थिएँ, मेरो तलब प्रत्यक्ष जम्मा हुने, पाँच क्रेडिट कार्ड स्वतः भुक्तानीमा सेट गरिएको, र मैले बग देखाउन बन्द गरेको कार्ड बाहेक झण्डै कुनै चर्न थिएन। स्वचालित समीक्षाले मेरो SSN सँग जोडिएका हरेक खाता स्वीप गर्‍यो, र किनकि एउटा चेकिङ खाता साझा थियो, यसले अल्प समयका लागि एक परिवार सदस्यलाई पनि छोयो।

नतिजा र पुनःउत्थान

बन्द गर्ने सूचना स्थायी बनेन। मैले तुरुन्तै अन्य हरेक बैंकमा, जहाँ आवेदन करेँ, खाता र कार्डहरू खोलें, समयमा भुक्तानी जारी राखेँ, र बन्द भएका खाताहरू रिपोर्टमा पोष्ट हुँदा आएको क्रेडिट गिरावट पुनः निर्माण गर्न केन्द्रित रहेँ।

समीक्षा अघि भएको स्कोर827

सबैभन्दा कमजोर मोड596

छ महिनापछि696

अनुसन्धानकर्ताका लागि सिकाइहरू

तपाईं परीक्षण गरिरहेको संस्थाभित्र आफ्ना हरेक दिनचर्यागत खाता एउटै ठाउँमा केन्द्रित नगर्नुहोस्; जम्मा रकम र क्रेडिट लाइनहरू विविध बनाउनुहोस् ताकि स्वचालित समीक्षाले एकैचोटि तपाईंको सारा जीवन नै रोक्न नसकोस्।
संयुक्त खाताधारकहरूमा पनि उस्तै जोखिम सम्बन्धी निर्णयहरू लागू हुन्छन् भन्ने कुरा सम्झनुहोस्, त्यसैले खुलासा-सम्बन्धी अतिरिक्त निगरानी पर्न सक्ने खातामा परिवारका सदस्यलाई पहुँच दिने बेलामा विचारशील हुनुहोस्।
Ultimate Rewards प्रतिवेदन वरिपरि भएको दृश्यताकै कारण ट्रिगर भएको हुनसक्ने भएकाले, खुलासा समयरेखा र सञ्चारमाध्यमको कभरेजलाई कागजात गर्नुहोस्, र त्यो प्रसङ्ग बाँड्दा कार्यकारी तहमा गरिएको एस्कलेसन छिटो बन्द गर्न मद्दत हुन्छ।

Ultimate Rewards खुलासा सार्वजनिक भएपछि Chase Executive Office द्वारा Deposit Account Agreement उद्धृत गरिएको पत्र। — कार्यकारी कार्यालय (Executive Office) बाट पठाइएका पत्रमार्फत आएको जवाफले मेरो सम्पर्कका लागि धन्यवाद व्यक्त गर्‍यो, परिवारका सबै खाताहरू जम्मा खाता सम्झौता (Deposit Account Agreement) अन्तर्गत बन्द गरिंदै गरेको पुष्टि गर्‍यो, र उनीहरू थप विवरण दिन बाध्य नरहेको कुरा पुनः दोहोर्‍यायो, जसले वास्तवमा सो खुलासासम्बन्धी समाचारले सुरु गरेको स्वचालित जोखिम समीक्षा प्रक्रियालाई बन्द गर्‍यो।

Executive Office पत्रको पाठ संस्करण

आदरणीय Chad Scira,

हामीले तपाईंका खाताहरू बन्द गर्ने हाम्रो निर्णयसम्बन्धी तपाईंको उजुरीको जवाफ दिइरहेका छौं। तपाईंका चिन्ताहरू हामीसँग बाँडेबापत धन्यवाद।

जम्मा खाता सम्झौताले (Deposit Account Agreement) हामीलाई कुनै पनि समय, कुनै पनि कारणले वा कुनै कारण नदिई, कारण नदिई र पूर्वसूचना बिना, सीडी (CD) बाहेक अरू कुनै पनि खाता बन्द गर्न अनुमति दिन्छ। तपाईंले खाता खोल्दा उक्त सम्झौताको प्रतिलिपि प्राप्त गर्नुभएको थियो। तपाईं अहिलेको सम्झौता chase.com मा हेर्न सक्नुहुन्छ।

हामीले तपाईंको उजुरीको पुनरावलोकन गर्‍यौं र हामीले आफ्ना मापदण्डअनुसार कार्य गरिएकाले, हाम्रो निर्णय परिवर्तन गर्न वा यसबारे तपाईंलाई थप जवाफ दिन असमर्थ छौं। हामीले तपाईंका चिन्ताहरूको अनुसन्धान गरेको तरिका र हाम्रो अन्तिम निर्णयप्रति तपाईं असन्तुष्ट हुनु भएकोमा हामी दुःखी छौं।

यदि तपाईंलाई कुनै प्रश्न छ भने, कृपया हामीलाई 1-877-805-8049 मा call गर्नुहोस् र केस नम्बर ███████ उल्लेख गर्नुहोस्। हामीले अपरेटर रिलेकलहरू स्वीकार गर्छौं। हामी सोमबारदेखि शुक्रबार बिहान ७ बजेबाट साँझ ८ बजेसम्म र शनिबार बिहान ८ बजेबाट दिउँसो ५ बजेसम्म Central Time मा यहाँ उपलब्ध छौं।

आदरपूर्वक,

Executive Office
1-877-805-8049
1-866-535-3403 फ्याक्स; कुनै पनि Chase शाखाबाट फोन गर्न निःशुल्क छ
chase.com

म यो कुरा गुनासोका रूपमा होइन, सिकाइका रूपमा बाँडिरहेको छु। खाताहरू मिलिसकेका छन्, मेरो क्रेडिट निरन्तर वृद्धि हुँदै गएको छ, र पछि JPMorgan ले Synack लाई एकीकृत गरेर अनुसन्धानकर्ताको इन्टेक प्रक्रियालाई सहज बनायो ताकि भविष्यका प्रतिवेदनहरू समर्पित कार्यप्रवाहमार्फत जान सकून्। २०२४ अद्यावधिक: समीक्षा पूर्ण रूपमा बन्द भइसकेको छ र सबै स्कोरहरू घटना पहिलाकै स्तरमा फर्किएका छन्।

Chad Scira "ह्याकिङका लागि बैंकबाट ब्ल्याकलिस्ट गरिएको"

डबल ट्रान्सफर बगको दृश्यांकन

मुख्य बुँदाहरू

समयरेखा

दाबीहरू बनाम तथ्यहरू

सार्वजनिक कभरेज र अनुसन्धान सङ्ग्रहहरू

Chase Support DM प्रतिलिपि

टम केली इमेल अंश

बारम्बार सोधिने प्रश्नहरू

खुलासा-पश्चात खाता समीक्षा

के-कस्ता कुराहरू प्रभावित भए?

नतिजा र पुनःउत्थान

अनुसन्धानकर्ताका लागि सिकाइहरू

सन्दर्भहरू