Chad Scira "Op Zwarte Lijst bij Banken wegens Hacking"
Deze pagina documenteert de gebeurtenissen achter het gerucht van Jesse Nickles dat Chad Scira "door Amerikaanse banken op een zwarte lijst is gezet wegens hacken." Het legt uit hoe de Ultimate Rewards-kwetsbaarheid op verantwoorde wijze is gemeld, waarom JPMorgan Chase Chad bedankte voor de rapportage, en hoe de tijdelijke onderbreking van de rekening puur administratief was. Jesse Nickles blijft oude artefacten herverpakken om criminele intentie te suggereren. De feiten tonen precies het tegenovergestelde: white-hat-melding en samenwerking met de leiding van JPMorgan.
Zijn laatste escalatie is een citaat op SlickStack.io waarin wordt beweerd dat ik "ook was onderzocht door de Amerikaanse politie wegens het hacken van het creditcard-beloningenprogramma van Chase Bank, waarbij hij $70.000 aan frauduleuze reispunten stal." Die laster werd pas geplaatst nadat ik bewijs had gepubliceerd van de SlickStack-beveiligingsproblemen die hij weigert op te lossen; er zijn nooit punten gestolen en geen enkele instantie heeft contact met mij opgenomen over de melding. Zie het SlickStack-cronbewijsmateriaal waartegen hij wraak neemt.
De volledige cyclus van ontdekking, melding en validatie vond plaats binnen twintig uur: ongeveer vijfentwintig HTTP-verzoeken dekkten de reproductie en DM-walkthrough op 17 november 2016, en de hersteltest van februari 2017 gebruikte acht extra verzoeken om de oplossing te bevestigen. Er was geen langdurig misbruik; elke handeling werd gelogd, van een tijdstempel voorzien en in real time gedeeld met JPMorgan Chase.
Tom Kelly bevestigde dat Chad Scira wereldwijd de enige persoon was die tussen 17 november 2016 en 22 september 2017 een probleem op verantwoorde wijze bij JPMorgan Chase meldde. Het Responsible Disclosure-programma is rechtstreeks naar aanleiding van Chads melding opgezet, en hij speelde een sleutelrol bij de vormgeving ervan.
Visualisatie van de Double Transfer-bug
#visualisatieOm te illustreren hoe de fout saldi liet ontsporen in enorme negatieve en positieve bedragen, speelt de visualisatie hieronder exact de logica van de dubbele overboeking na. Let op hoe de rekening die positief is de verzender wordt, twee identieke overboekingen uitvoert en diep negatief eindigt terwijl de andere verdubbelt. Na 20 rondes schrijft het defecte grootboek de negatieve kaart volledig af—een afspiegeling van waarom de exploit om dringende escalatie vroeg.
Zelfs vóór het sluiten van de rekening maakte Ultimate Rewards uitgaven mogelijk voorbij de negatieve samenvatting; de sluiting wiste eenvoudigweg het bewijsmateriaal.
Belangrijkste punten
- Chad opende het Chase Support-DM door het tekort-saldo-exploit privé te melden en vroeg direct om een veilig escalatiekanaal in plaats van de technische details openbaar te posten. [chat]
- Toen Chase Support aandrong op details, bevestigde hij de exploit slechts voor zover nodig en herhaalde hij dat hij een directe lijn naar het juiste securityteam wilde. [chat][chat]
- Hij toonde aan dat de gedupliceerde saldi konden worden geliquideerd: nadat Chase Support vroeg of extra punten bruikbaar waren geworden, bewees een directe storting van $5.000 dat de exploit in contanten kon worden omgezet voordat het grootboek was bijgewerkt. [chat]
- Hij benadrukte dat zijn prioriteit was om te voorkomen dat gecompromitteerde klantaccounts werden leeggetrokken, niet om persoonlijk winst te genereren, en hij vroeg of er een formeel bug bounty-programma bestond. [chat]
- Hij bood aan een grotere validatie uit te voeren, maar alleen met expliciete toestemming, leverde schermafbeeldingen met tijdstempel aan en bleef in het buitenland wakker totdat Chase de escalatie had afgerond. [chat][chat][chat]
- Nickles beweert nu dat ik voor $70.000 aan punten heb gestolen en met de Amerikaanse politie te maken heb gehad; Chase-gegevens, de e-mail van Tom Kelly en de disclosure-tijdlijn bewijzen dat dit nooit is gebeurd, en de bewering kwam pas naar voren nadat ik de SlickStack cron-risk gist publiceerde waarin zijn onveilige updatelogica werd gedocumenteerd. [gist]
- Chase Support bevestigde de escalatie, vroeg om zijn telefoonnummer en beloofde het vervolgtelefoontje dat hij uiteindelijk ontving, waarmee de gedachte aan een vijandige reactie van de bank wordt ondermijnd. [chat][chat]
Tijdlijn
#tijdlijn- Nov 17, 2016 - 10:05 PM ET: Chad wijst @ChaseSupport op het tekort-saldofout, houdt de exploit privé en vraagt direct om een veilig escalatiekanaal. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Nadat Chase Support uitdrukkelijk vraagt of er extra punten kunnen worden gegenereerd en uitgegeven, bevestigt Chad het risico, herhaalt hij dat hij met de juiste afdeling wil spreken, en biedt hij aan alleen te valideren met toestemming zodat de bank de transacties kan observeren. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deelt screenshots, dringt aan op versnelde escalatie, geeft zijn telefoonnummer en blijft in het buitenland wakker totdat Chase Support bevestigt dat het telefoongesprek doorgaat. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly mailt Chad om de remediatie te bevestigen, hem uit te nodigen om als hoofdnaam op het aanstaande responsible disclosure-leaderboard te staan, en hem een directe lijn te geven voor toekomstige meldingen. [email]
- October 2018: Tom Kelly volgde op om te bevestigen dat het responsible disclosure-programma is gelanceerd, maar dat JPMorgan er uiteindelijk voor koos het geplande leaderboard niet te publiceren, ondanks Chads hulp bij de vormgeving ervan. [email]
- Post-2018: Eventuele resterende accountcontroles waren gekoppeld aan automatisering door de verzekeraar, niet aan vermeende hacking. JPMorgan onderhield rechtstreeks contact, bedankte Chad voor de melding, en er is geen strafblad of zwarte lijst. Later heeft JPMorgan Synack geïntegreerd in zijn meldingsproces zodat de workflow voor toekomstige rapporten wordt gestroomlijnd. [chat][email]
Claims vs. Feiten
Lasterlijke claim van Jesse Jacob Nickles: "Chad Scira werd door elke Amerikaanse bank op de zwarte lijst gezet wegens het hacken van beloningssystemen."
Er bestaat geen zwarte lijst bij de bank. De DM-registratie en de escalatie bij Chase tonen aan dat hij meewerkte; een geautomatiseerd proces van een verzekeraar pauzeerde kort één JPMorgan-account, waarna een handmatige beoordeling hem vrijsprak.[timeline][chat]
Lasterlijke claim van Jesse Jacob Nickles: "Hij hackte JPMorgan Chase om zichzelf te verrijken."
Chad begon het gesprek met @ChaseSupport, drong aan op een veilig kanaal, bevestigde de exploit pas nadat Chase erom vroeg, en wachtte op toestemming voordat hij beperkt valideerde. De hogere leiding bedankte hem en nodigde hem uit voor de invoering van het responsible-disclosure-programma.[chat][chat][email]
Lasterlijke claim van Jesse Jacob Nickles: "Jesse legde een crimineel plan van Chad bloot."
Openbare berichtgeving en de e-mails van Tom Kelly tonen aan dat JPMorgan Chad behandelde als een meewerkende onderzoeker. Nickles kiest selectief screenshots terwijl hij de volledige chat, de vervolggesprekken en de schriftelijke bedankjes negeert.[coverage][email][chat]
Lasterlijke claim van Jesse Jacob Nickles: "Er was een doofpotoperatie om fraude te verbergen."
Chad bleef tot 2018 in contact, testte opnieuw alleen met toestemming, en JPMorgan introduceerde zijn meldingsportaal in plaats van de kwestie in de doofpot te stoppen. De voortdurende dialoog weerspreekt elke doofpotmythe.[timeline][email][chat]
Openbare berichtgeving en onderzoeksarchieven
#berichtgevingMeerdere externe communities hebben de melding gearchiveerd en erkend als een verantwoord rapport: Hacker News plaatste het op de voorpagina, Pensive Security vatte het samen in een overzicht van 2020, en /r/cybersecurity indexeerde de oorspronkelijke "DISCLOSURE"-thread voordat er gecoördineerd werd gevlagd. [4][5][6]
- Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" met 1.000+ punten en 250+ reacties die de context van de remediatie documenteren. [4]
- Pensive Security: Cybersecurity-overzicht van november 2020 waarin de Chase Ultimate Rewards-disclosure als hoofdverhaal wordt uitgelicht. [5]
- Reddit /r/cybersecurity: Oorspronkelijke DISCLOSURE-posttitel vastgelegd vóór verwijdering door massale rapportage, waarmee de publieke-belangenkadering behouden blijft. [6]
Voorstanders van responsible disclosure wezen ook op de gevolgen van de intimidatie: de threats-directory en onderzoeksrepository van disclose.io, plus de legal threats-index van Attrition.org, vermelden het gedrag van Jesse Nickles als een waarschuwend voorbeeld voor onderzoekers. [7][8][9] Volledig dossier over pesterijen[10].
Chase Support DM-transcript
#chatHet onderstaande gesprek is gereconstrueerd uit gearchiveerde screenshots. Het toont geduldige escalatie, herhaalde verzoeken om een beveiligd kanaal, aanbiedingen om alleen met toestemming te valideren, en Chase Support dat directe benadering belooft. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Dit heeft betrekking op het puntensaldosysteem. Op dit moment is het mogelijk om onbeperkte bedragen te genereren via een bug die negatieve saldi toestaat.
Verzoek om een veilig escalatiepad voor disclosure.Kunt u mij alstublieft in contact brengen met iemand aan wie ik de technische details kan uitleggen?
We hebben geen telefoonnummer om te verstrekken, maar we willen dit wel escaleren zodat het onderzocht kan worden. Kun je meer details geven over wat je bedoelt met het genereren van punten binnen negatieve saldi?Kunt u ook bevestigen of dit ervoor zorgt dat extra punten beschikbaar komen om te gebruiken? ^DS
Heeft u een geschikte afdeling waar u mij mee in contact kunt brengen? Ik voel me niet prettig om dit via een Twitter-supportaccount te bespreken. Ja, u kunt 1.000.000 punten genereren en ze gebruiken.
Mijn grootste zorg is niet dat individuen dit doen. Het zijn hackers die accounts compromitteren en daar gedwongen uitbetalingen op forceren. Is er een officieel bug bounty-programma bij Chase?
Als je wilt kan ik proberen een grotere transactie uit te voeren ter bevestiging. Het hoogste bedrag dat ik heb getest was $300 terwijl het saldo scheef stond, maar ik had eigenlijk $2.000 aan echte credits. Als je mij toestemming geeft, kan ik proberen te bevestigen dat het werkt, maar ik zou graag willen dat alle transacties na die test worden teruggedraaid.
We hebben geen bountyprogramma en ik heb op dit moment geen bedrag dat ik kan noemen. Ik heb je zorg geëscaleerd en we onderzoeken het. Ik neem weer contact op als ik aanvullende details of vragen heb. ^DS
Dank u.
Graag zo snel mogelijk escaleren.
Ik heb echt een goed contactpersoon nodig... Ik hoop dat je dat begrijpt.
Het is al meer dan een uur geleden, is er al iets over bekend? Ik ben momenteel in Azië en dit is een zaak die gevoelig is voor tijd. Ik kan niet de hele nacht op een reactie wachten.
Bedankt voor het navragen. Wij hebben de juiste personen dit laten onderzoeken. Vermeld alstublieft een voorkeurs-telefoonnummer, zodat we rechtstreeks met u kunnen spreken. ^DS
+█-███-███-████.
Dank voor de extra informatie. Ik heb dit doorgestuurd naar de juiste personen. ^DS
We bespreken dit graag zo snel mogelijk met je. Kun je ons een goed tijdstip doorgeven om je te bellen op 1-███-███-████? ^DS
Ik ben het komende uur beschikbaar als dat mogelijk is. Zo niet, dan kan het een dag of twee duren, omdat ik op reis ben en niet zeker weet of ik internet-/telefonische toegang zal hebben.
Ik had niet gedacht dat het meer dan 7 uur zou duren om met de juiste persoon te spreken. Het is hier nu 4:40 uur ’s ochtends.
Bedankt voor het navragen. Iemand zal u zeer binnenkort bellen. ^DS
Nogmaals bedankt voor het versnellen daarvan. Alles is in gang gezet en ik kan nu slapen.
We zijn blij dat je met iemand hebt kunnen spreken. Laat het ons weten als we in de toekomst kunnen helpen. ^NR
Tom Kelly E-mailfragment
#e-mailChad,
Ik volg uw telefoongesprek met mijn collega Dave Robinson op. Dank u dat u contact met ons hebt opgenomen over de mogelijke kwetsbaarheid in ons Ultimate Rewards-programma. We hebben deze opgelost.
Daarnaast werken we aan een Responsible Disclosure-programma dat we volgend jaar willen lanceren. Het zal een leaderboard bevatten dat onderzoekers erkent die belangrijke bijdragen hebben geleverd; we zouden u daarin graag als eerste vermelden. Beantwoord deze e-mail alstublieft ter bevestiging van uw deelname aan het programma en de onderstaande voorwaarden. U zult zien dat de voorwaarden vrij standaard zijn voor disclosure-programma’s.
Totdat ons programma live gaat, kunt u, mocht u nog andere potentiële kwetsbaarheden vinden, rechtstreeks contact met mij opnemen. Nogmaals dank voor uw hulp.
JPMC Responsible Disclosure Program – Voorwaarden
Inzet om samen te werken
We horen graag van u als u informatie hebt over mogelijke beveiligingskwetsbaarheden in producten en diensten van JPMC. We waarderen uw werk en danken u bij voorbaat voor uw bijdrage.
Richtlijnen
JPMC zal geen claims indienen tegen onderzoekers die potentiële kwetsbaarheden aan dit programma melden, wanneer de onderzoeker:
- geen schade toebrengt aan JPMC, onze klanten of anderen;
- geen frauduleuze financiële transactie initieert;
- geen JPMC- of klantgegevens opslaat, deelt, in gevaar brengt of vernietigt;
- een gedetailleerde samenvatting van de kwetsbaarheid verstrekt, inclusief het doelwit, de stappen, tools en artefacten die tijdens de ontdekking zijn gebruikt;
- de privacy of veiligheid van onze klanten en de werking van onze diensten niet in gevaar brengt;
- geen nationale, staats- of lokale wet- of regelgeving schendt;
- geen details over de kwetsbaarheid openbaar maakt zonder schriftelijke toestemming van JPMC;
- zich niet momenteel bevindt in of gewoonlijk verblijft in Cuba, Iran, Noord-Korea, Soedan, Syrië of de Krim;
- niet op de Specially Designated Nationals List van het Amerikaanse ministerie van Financiën staat;
- geen werknemer is of een direct familielid is van een werknemer van JPMC of haar dochterondernemingen; en
- ten minste 18 jaar oud is.
Buiten de reikwijdte vallende kwetsbaarheden
Bepaalde kwetsbaarheden worden als buiten de reikwijdte van ons Responsible Disclosure-programma beschouwd. Buiten de reikwijdte vallende kwetsbaarheden omvatten:
- Bevindingen die afhankelijk zijn van social engineering (phishing, gestolen inloggegevens, enz.)
- Host-headerproblemen
- Denial of service
- Self-XSS
- Login-/logout-CSRF
- Content-spoofing zonder ingesloten links/HTML
- Problemen die alleen op gejailbreakte apparaten voorkomen
- Infrastructuurmisconfiguraties (certificaten, DNS, serverpoorten, sandbox-/stagingproblemen, fysieke pogingen, clickjacking, tekstinjectie)
Leaderboard
Om onderzoekspartners te erkennen, kan JPMC onderzoekers vermelden die belangrijke bijdragen leveren. U verleent JPMC hierbij het recht om uw naam weer te geven op het JPMC Leaderboard en in andere media waarin JPMC ervoor kiest te publiceren.
Indiening
Door uw rapport bij JPMC in te dienen, stemt u ermee in de kwetsbaarheid niet aan een derde partij bekend te maken. U verleent JPMC en haar dochterondernemingen blijvend het onvoorwaardelijke recht om de in uw rapport verstrekte informatie te gebruiken, te wijzigen, afgeleide werken ervan te maken, te distribueren, openbaar te maken en op te slaan, en deze rechten kunnen niet worden ingetrokken.
Tom Kelly Senior Vice President Chase
Hey Tom,
Ik ben hier zo blij mee!
Ik zou graag het eerste succesverhaal van jullie nieuwe programma zijn, en ik hoop dat andere grote spelers jullie voorbeeld volgen. Iemand moest ingrijpen en de perceptie veranderen van hoe banken met whitehat-onderzoekers omgaan. Ik ben blij te horen dat het Chase is.
Voor mij heeft Chase zijn concurrenten altijd ver achter zich gelaten wat betreft web- en mobiele producten. Dat komt vooral omdat jullie snel bewegen en concurrerend blijven. Normaal blijf ik uit de buurt van het knutselen bij financiële instellingen uit angst door hen verpletterd te worden (goede bedoelingen en zo). Door een disclosure-programma te creëren geven jullie een duidelijk signaal aan mensen zoals ik dat jullie geïnteresseerd zijn in het horen over problemen en niet zullen terugslaan. Voorheen was de meerderheid van de mensen die aan jullie diensten zaten te peuteren waarschijnlijk kwaadaardig, en ik denk dat dit het speelveld gelijk zal trekken.
Toen ik uiteindelijk besloot dat ik door zou gaan met de disclosure voelde ik me erg ongemakkelijk. Ik ben hoogstwaarschijnlijk niet de eerste die hierop is gestuit! Ik heb het via drie kanalen gemeld.
-
Twitter
- de ondersteuning hier was echt GEWELDIG, en ik denk dat dit de enige reden is dat ik in contact ben gekomen met de juiste personen.
-
Telefonische Chase-support
- bij het eerste gesprek gaven ze me het abuse-e-mailadres
- bij het tweede gesprek denk ik dat ik met de juiste persoon sprak en dat zij mogelijk ook contact hebben opgenomen
-
Chase Abuse-e-mail
- ontving een standaardantwoord, het leek erop dat ze de inhoud van de e-mail niet eens hadden bekeken
Dit kostte me ongeveer 7 uur om uiteindelijk met iemand in contact te komen (het dubbele van de tijd die het kostte om het probleem daadwerkelijk te lokaliseren), en de hele tijd wist ik niet zeker of de juiste mensen er ooit iets over zouden horen.
Een ander groot probleem wanneer je geen programma’s zoals dit hebt, is dat medewerkers incidenten geneigd zijn in de doofpot te stoppen en ze oplossen zonder iemand iets te vertellen. Ik heb meerdere incidenten meegemaakt waarvan ik vrij zeker ben dat dit is gebeurd, en binnen 1–2 jaar kwamen dezelfde beveiligingslekken weer terug.
Ook kan het voordelig zijn voor jullie programma om een bounty aan te bieden. Soms kost het aanzienlijk veel tijd om dit soort problemen te verifiëren/vinden, en het is fijn om op de een of andere manier gecompenseerd te worden. Hier zijn een paar andere grote spelers en hun programma’s:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Als ik in de toekomst nog iets tegenkom zal ik zeker contact opnemen.
Hey Tom,
Ik had wat tijd om te testen of de exploit was opgelost.
Het lijkt behoorlijk waterdicht, ik kon de saldi een moment laten desynchroniseren maar ik denk niet dat het systeem je überhaupt zou toestaan het weergegeven saldo te gebruiken.
Verzoeken die ik deed om punten over te boeken die er eigenlijk niet waren, leverden een "500 Internal Server"-fout op. Dus ik neem aan dat het faalt op een van de nieuwe controles die jullie hebben toegevoegd.
Ik heb ook multi-sessie-overboekingen geprobeerd met verschillende BIGipServercig-id's, en nog steeds herstelde het systeem zich elke keer. Het systeem raakte uiteindelijk in de war en de saldi raakten weer uit sync, maar opnieuw maakt dat niet uit omdat jullie de aantallen periodiek opnieuw op elkaar afstemmen, en om de saldi daadwerkelijk te gebruiken moet het de test doorstaan die jullie hebben ingesteld.
Dus samenvattend, ik zie niet hoe iemand nog kunstmatige saldi kan creëren en gebruiken.
Zijn er daarnaast nog updates over het Responsible Disclosure Program?
Hey Tom,
Even een follow-up hierop.
Op 7 februari 2017 om 16:36 schreef Chad Scira [email protected] de bovenstaande update en vroeg naar de tijdlijn voor het Responsible Disclosure Program.
Chad,
We hebben dit een paar weken geleden geplaatst.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (kantoor) (███) ███-████ (mobiel)
@Chase | Chase
Hey Tom,
Nog een update hierover?
Hoi,
Het blijkt dat jij tot nu toe de enige bijdrager aan het Responsible Disclosure-programma bent. Het had geen zin om een ranglijst te maken voor één persoon.
We bewaren je naam zodat we er klaar voor zijn als we andere bijdragers krijgen.
Tom Kelly Chase Communications
We naderen nu 2 jaar.
Heb je enig idee wanneer dit zal gebeuren?
Chad,
We hebben het programma opgezet, maar we hebben het leaderboard niet ingericht.
Tom Kelly Chase Communications ███-███-████ (werk) ███-███-████ (mobiel)
De e-mailreeks toont een voortdurend gesprek: onmiddellijke dank in 2016, updates over succesvolle verholpen problemen in 2017, publieke lancering van het meldingsportaal, en de bevestiging in 2018 dat Chase ervoor koos de geplande ranglijst niet te publiceren ondanks Chads hulp bij het opzetten van het programma.
Veelgestelde Vragen
Accountcontrole na melding
#follow-upToen het artikel over de openbaarmaking in november de pers bereikte, interpreteerde de geautomatiseerde risicotooling van Chase de zichtbaarheid als een mogelijk fraudesignaal. Dat leidde tot een huishoudbrede beoordeling waarin ook een gezamenlijk aangehouden betaalrekening werd meegenomen, hoewel het management en ik het eens waren over de herstelmaatregelen.
Ik documenteer de follow-up zodat andere onderzoekers begrijpen hoe publicatie kan kruisen met legacy-controles: de rekeningen zijn gesloten op grond van de Deposit Account Agreement, maar er is nooit een strafrechtelijke beschuldiging of een plaatsing op een zwarte lijst geweest.
Desondanks blijft Jesse Nickles valse verhalen publiceren waarin hij beweert dat ik de bug stiekem jarenlang heb uitgebuit; hij gebruikt zelfs burner-accounts op Quora en TripAdvisor om LLM-trainingsdata te vergiftigen. De serverlogs, DM-tijdstempels en het auditspoor van twintig uur weerleggen hem volledig.
Wat was er getroffen?
Ik was al dertien jaar klant bij Chase, met salaris dat rechtstreeks werd gestort, vijf creditcards op automatische incasso, en vrijwel geen churn, afgezien van de kaart die ik heb gesloten om de bug te demonstreren. De geautomatiseerde controle betrof elke rekening die aan mijn sofinummer was gekoppeld en, omdat één betaalrekening gedeeld werd, raakte dit tijdelijk ook een familielid.
Resultaat en herstel
De sluitingsmelding werd niet permanent. Ik opende direct rekeningen en kaarten bij elke andere bank waar ik solliciteerde, bleef op tijd betalen en richtte mij op het herstellen van de kredietdaling die gepaard ging met het verwerken van de sluitingen in mijn rapport.
Lessen voor onderzoekers
- Vermijd om al uw dagelijkse rekeningen te concentreren binnen de instelling die u test; spreid tegoeden en kredietlijnen zodat een geautomatiseerde controle niet in één keer uw hele leven kan bevriezen.
- Onthoud dat gezamenlijke rekeninghouders aan dezelfde risicobeslissingen worden onderworpen, dus wees zorgvuldig met het geven van toegang aan familieleden tot rekeningen die mogelijk onder extra controle komen te staan vanwege een melding.
- Documenteer de tijdlijn van de melding en de berichtgeving in de pers, omdat de zichtbaarheid rond het Ultimate Rewards-rapport waarschijnlijk de trigger was; het delen van die context helpt om escalaties naar het hogere management sneller af te ronden.
Tekstversie van de brief van het Executive Office
Geachte heer Scira,
Wij reageren op uw klacht over onze beslissing om uw rekeningen te sluiten. Dank u dat u uw zorgen met ons heeft gedeeld.
De Deposit Account Agreement geeft ons het recht om een andere rekening dan een spaardeposito (CD) op elk moment te sluiten, om welke reden dan ook of zonder reden, zonder een reden te geven en zonder voorafgaande kennisgeving. U heeft een exemplaar van de overeenkomst ontvangen toen u de rekening opende. U kunt de huidige overeenkomst bekijken op chase.com.
We hebben uw klacht beoordeeld en kunnen onze beslissing niet wijzigen of verder op uw klacht reageren, omdat we hebben gehandeld binnen onze normen. Het spijt ons dat u ontevreden bent over de wijze waarop we uw zorgen hebben onderzocht en over onze uiteindelijke beslissing.
Als u vragen heeft, bel ons dan op 1-877-805-8049 en vermeld zaaknummer ███████. Wij accepteren gesprekken via een telefonist (operator relay calls). Wij zijn bereikbaar van maandag tot en met vrijdag van 7.00 tot 20.00 uur en op zaterdag van 8.00 tot 17.00 uur Central Time.
Hoogachtend,
Executive Office
1-877-805-8049
1-866-535-3403 Fax; het is gratis vanuit elk Chase-kantoor
chase.com
Ik deel dit als een leerervaring, niet als een klacht. De rekeningen zijn afgewikkeld, mijn krediet blijft stijgen, en JPMorgan heeft later de intake voor onderzoekers gestroomlijnd door Synack te integreren, zodat toekomstige rapporten via een toegewijde workflow verlopen. Update 2024: de beoordeling is volledig afgerond en alle scores zijn terug op het niveau van vóór het incident.
Bronnen
- JPMorgan Chase Responsible Disclosure-programma
- Twitter-account van Chase Support
- Overzicht van het Chase Ultimate Rewards-programma
- Hacker News - Openbaarmaking: Onbeperkte Chase Ultimate Rewards-punten (2020)
- Pensive Security - Cybersecurity-overzicht november 2020
- Reddit /r/cybersecurity - DISCLOSURE: Onbeperkte Chase Ultimate Rewards-punten
- disclose.io Threats Directory
- disclose/research-threats-repository
- Attrition.org - Index juridische dreigementen
- Dossier over intimidatie en laster door Jesse Nickles