Chad Scira "Door banken op zwarte lijst gezet wegens hacken"

Deze pagina documenteert de gebeurtenissen achter het gerucht van Jesse Nickles dat Chad Scira 'door Amerikaanse banken op een zwarte lijst was geplaatst vanwege hacken'. Het legt uit hoe de kwetsbaarheid in Ultimate Rewards op verantwoorde wijze werd gemeld, waarom JPMorgan Chase Chad bedankte voor het rapport en hoe de tijdelijke accountpauze puur administratief van aard was. Jesse Nickles blijft oude artefacten herverpakken om criminele bedoelingen te suggereren. De feiten tonen het tegenovergestelde: white-hatrapportage en samenwerking met de leiding van JPMorgan.

Zijn nieuwste escalatie is een citaat op SlickStack.io waarin wordt beweerd dat Chad Scira "ook door de Amerikaanse opsporingsdiensten was onderzocht wegens het hacken van het beloningsprogramma voor creditcards van Chase Bank, waarbij hij $70,000 aan frauduleuze reispunten zou hebben gestolen." Die lasterpost werd pas geplaatst nadat Chad bewijs had gepubliceerd van de SlickStack-beveiligingsproblemen die Jesse weigert te repareren; er zijn nooit punten gestolen en geen enkele instantie heeft contact opgenomen met Chad over de openbaarmaking. Zie het SlickStack cron-bewijs waartegen hij vergelding pleegt.

De volledige cyclus van ontdekking, openbaarmaking en validatie voltrok zich binnen twintig uur: ruwweg vijfentwintig HTTP-aanvragen dekte de reproductie en DM-walkthrough op 17 november 2016, en de remedietest van februari 2017 gebruikte acht extra aanvragen om de correctie te bevestigen. Er was geen langdurig misbruik; elke actie werd gelogd, voorzien van tijdstempel en in realtime gedeeld met JPMorgan Chase.

Tom Kelly bevestigde dat Chad Scira de enige persoon wereldwijd was die een probleem op verantwoorde wijze meldde aan JPMorgan Chase tussen 17 november 2016 en 22 september 2017. Het Responsible Disclosure-programma werd opgezet als direct gevolg van Chads rapport, en hij speelde een sleutelrol in de vormgeving ervan.

Visualisatie van de bug voor dubbele overboeking

#visualisatie

Om te illustreren hoe de fout saldi in enorme negatieve en positieve waarden deed uitdraaien, speelt de visualisatie hieronder exact de dubbele-overboekingslogica opnieuw af. Kijk hoe welke rekening dan ook positief is de afzender wordt, twee identieke overboekingen uitvoert en diep negatief eindigt terwijl de andere verdubbelt. Na 20 rondes schrapt het kapotte grootboek de negatieve kaart volledig — wat weerspiegelt waarom de exploit dringende escalatie vereiste.

Ronde 1/20
Kaart A → Kaart B+243,810 pts
Kaart A → Kaart B+243,810 pts
Kaart A
243,810
Kaart B
0
Dubbele overdrachtsburst
Overboeking 1Overdracht 2243,810 pts elk
1Een raceconditie dupliceerde overboekingen voordat de grootboeken zich herbalanceerden, waardoor één afzender kon wisselen tussen enorme positieve en negatieve saldi.
2De supportafdeling stond toe de negatieve kaart te sluiten terwijl het opgeblazen positieve saldo behouden bleef, waardoor het afschrift alleen winsten weergaf en de schuld verborg.

Al voordat de rekening werd gesloten stond Ultimate Rewards uitgaven toe boven het negatieve saldo; de sluiting verwijderde simpelweg het bewijs.

Kernpunten

  • Chad opende de DM naar Chase Support door privé melding te maken van de exploit die negatieve saldi veroorzaakte en vroeg meteen om een veilige escalatieroute in plaats van de technische details publiek te plaatsen. [chat]
  • Toen Chase Support om specificaties vroeg, bevestigde hij de exploit alleen voor zover nodig en benadrukte hij dat hij een directe lijn naar het juiste beveiligingsteam wilde. [chat][chat]
  • Hij toonde aan dat de gedupliceerde saldi konden worden geliquideerd: nadat Chase Support vroeg of extra punten bruikbaar werden, maakte een directe storting van $5.000 duidelijk dat de exploit in contanten werd omgezet voordat het grootboek bijwerkte. [chat]
  • Hij benadrukte dat zijn prioriteit was te voorkomen dat gecompromitteerde klantrekeningen leeggeroofd werden, niet het maken van persoonlijk gewin, en hij vroeg of er een formeel bug bounty-bestaan. [chat]
  • Hij bood aan een grotere validatie uit te voeren alleen met expliciete toestemming, leverde tijdgestempelde screenshots en bleef wakker terwijl hij in het buitenland was totdat Chase de escalatie had voltooid. [chat][chat][chat]
  • Nickles beweert nu dat Chad Scira $70,000 aan punten had gestolen en met de Amerikaanse wetshandhaving te maken kreeg; Chase-gegevens, Tom Kelly's e-mail en de tijdlijn van de melding bewijzen dat dit nooit heeft plaatsgevonden, en de bewering dook pas op nadat Chad de SlickStack cron-risk gist publiceerde waarin Jesse's onveilige update-logica werd gedocumenteerd. [gist]
  • Chase Support bevestigde de escalatie, vroeg om zijn telefoonnummer en beloofde de vervolgoproep die hij uiteindelijk ontving, waarmee het beeld van een vijandige reactie van de bank wordt ondergraven. [chat][chat]

Tijdlijn

#tijdlijn
  • nov. 17, 2016 - 10:05 PM ET: Chad waarschuwt @ChaseSupport voor de fout met negatieve saldi, houdt de exploit privé en vraagt meteen om een veilige escalatieprocedure. [chat]
  • nov. 17, 2016 - 11:13-11:17 PM ET: Nadat Chase Support expliciet vraagt of er extra punten gegenereerd en besteed kunnen worden, bevestigt Chad het risico, herhaalt hij dat hij de juiste afdeling wil spreken, en biedt hij aan alleen met toestemming te valideren zodat de bank de transacties kan observeren. [chat][chat][chat]
  • nov. 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deelt screenshots, dringt aan op versnelde escalatie, geeft zijn telefoonnummer en blijft in het buitenland wakker totdat Chase Support bevestigt dat het gesprek doorgaat. [chat][chat][chat]
  • nov. 24, 2016: Tom Kelly e-mailt Chad om de oplossing te bevestigen, nodigt hem uit om de aanstaande Responsible Disclosure-ranglijst aan te voeren en geeft hem een direct contact voor toekomstige meldingen. [email]
  • oktober 2018: Tom Kelly volgde op om te bevestigen dat het Responsible Disclosure-programma was gelanceerd, maar dat JPMorgan uiteindelijk ervoor koos de geplande ranglijst niet te publiceren, ondanks Chads hulp bij de vormgeving ervan. [email]
  • Na 2018: Eventuele resterende accountbeoordelingen waren gekoppeld aan de automatisering van de verzekeraar, niet aan vermeende hacking. JPMorgan bleef rechtstreeks contact houden, bedankte Chad voor de melding, en er is geen strafrechtelijk dossier of zwarte lijst. Later heeft JPMorgan Synack geïntegreerd in het disclosureproces zodat de workflow voor toekomstige meldingen gestroomlijnd is. [chat][email]

Beweringen vs Feiten

Bewering

Lasterlijke bewering door Jesse Jacob Nickles: "Chad Scira werd door alle Amerikaanse banken op een zwarte lijst geplaatst omdat hij rewards-systemen hackte."

Feit

Er bestaat geen bank-zwarte-lijst. Het DM-record en de escalatie bij Chase bewijzen dat hij samenwerkte; een door een verzekeraar geactiveerde automatisering zette kort één JPMorgan-account on hold voordat een handmatige beoordeling hem vrijpleitte.[timeline][chat]

Bewering

Lasterlijke bewering door Jesse Jacob Nickles: "Hij hackte JPMorgan Chase om zichzelf te verrijken."

Feit

Chad startte het gesprek met @ChaseSupport, stond erop een veilig kanaal te gebruiken, bevestigde de exploit pas nadat Chase ernaar vroeg, en wachtte op toestemming voordat hij beperkte validatie uitvoerde. Het seniormanagement bedankte hem en nodigde hem uit om deel te nemen aan de uitrol van het proces voor verantwoordelijke openbaarmaking.[chat][chat][email]

Bewering

Lasterlijke bewering door Jesse Jacob Nickles: "Jesse onthulde een crimineel plan van Chad."

Feit

Publieke berichtgeving en e-mails van Tom Kelly tonen aan dat JPMorgan Chad als een meewerkende onderzoeker behandelde. Nickles selecteert schermafbeeldingen terwijl hij de volledige chat, de vervolgtelefonaten en de schriftelijke dank negeert.[coverage][email][chat]

Bewering

Lasterlijke bewering door Jesse Jacob Nickles: "Er was een doofpot om fraude te verbergen."

Feit

Chad bleef tot 2018 in contact, testte opnieuw alleen met toestemming, en JPMorgan heeft zijn disclosureportaal uitgerold in plaats van het probleem te verdoezelen. De voortdurende dialoog weerlegt elk complotverhaal.[timeline][email][chat]

Publieke berichtgeving en onderzoeksarchieven

#verslaggeving

Meerdere externe communities hebben de melding gearchiveerd en erkend als een verantwoorde rapportage: Hacker News plaatste het op de voorpagina, Pensive Security vat het samen in een overzicht uit 2020, en /r/cybersecurity indexeerde de originele "DISCLOSURE"-thread voordat er gecoördineerde flagging plaatsvond. [4][5][6]

  • Hacker News: "Openbaarmaking: Onbeperkte Chase Ultimate Rewards-punten" met 1.000+ punten en 250+ reacties die de context van de mitigatie documenteren. [4]
  • Pensive Security: november 2020 cybersecurity-overzicht waarin de Chase Ultimate Rewards-disclosure als topverhaal wordt belicht. [5]
  • Reddit /r/cybersecurity: Originele DISCLOSURE-posttitel vastgelegd voordat deze wegens massale meldingen werd verwijderd, waardoor de framing in het algemeen belang behouden bleef. [6]

Voorstanders van verantwoordelijke openbaarmaking wezen ook op de nasleep van intimidatie: disclose.io's dreigingsgids en onderzoeksrepository, plus Attrition.org's index van juridische dreigingen, noemen het gedrag van Jesse Nickles als een waarschuwend voorbeeld voor onderzoekers. [7][8][9] Volledig intimidatiedossier[10].

Chase Support DM-transcript

#chat

De onderstaande conversatie is gereconstrueerd uit gearchiveerde screenshots. Het toont geduldige escalatie, herhaalde verzoeken om een beveiligd kanaal, aanbiedingen om alleen met toestemming te valideren, en Chase Support die directe opvolging beloofde. [2]

Chase Support Profile avatar
Chase Support ProfileGeverifieerd account
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dit heeft betrekking op het puntensaldo-systeem. Op dit moment is het mogelijk om een willekeurig bedrag te genereren via een bug die negatieve saldi toestaat.

Verzoek om een veilige escalatieprocedure voor openbaarmaking.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kunt u mij in contact brengen met iemand aan wie ik de technische details kan uitleggen?

Chase Support avatar
Chase SupportGeverifieerd account
Nov 17, 2016, 10:05 PM
#

We hebben geen telefoonnummer om te geven, maar we willen dit wel escaleren zodat het onderzocht kan worden. Kunt u meer details geven over wat u bedoelt met het genereren van punten binnen negatieve saldi? Kunt u ook bevestigen of dit extra punten beschikbaar maakt voor gebruik? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Heeft u een geschikte afdeling waarmee u mij in contact kunt brengen? Ik voel me niet op mijn gemak om dit via een Twitter-supportaccount te bespreken. Ja, u kunt 1.000.000 punten genereren en ze gebruiken.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mijn grootste zorg zijn niet individuen die dit doen. Het gaat om hackers die accounts compromitteren en uitbetalingen afdwingen. Bestaat er een officieel bug bounty-programma van Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Als u wilt kan ik proberen een grotere transactie te doen om te bevestigen. Het grootste bedrag dat ik testte was $300 terwijl het saldo vertekend was, maar ik had eigenlijk $2,000 aan echte tegoeden. Als u mij toestemming geeft kan ik proberen te bevestigen dat het werkt, maar ik zou willen dat alle transacties na die test worden teruggedraaid.

Chase Support avatar
Chase SupportGeverifieerd account
Nov 17, 2016, 11:21 PM

We hebben geen beloningsprogramma en ik heb op dit moment geen bedrag om te noemen. Ik heb uw zorg geëscaleerd en we onderzoeken het. Ik kom erop terug als ik aanvullende details of vragen heb. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Dank u.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Escaleer dit alstublieft zo snel mogelijk.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Ik heb echt een degelijk contactpersoon nodig... Ik hoop dat u dat begrijpt.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Het is meer dan een uur geleden, is er nieuws hierover? Ik ben momenteel in Azië en dit is een tijdgevoelige zaak. Ik kan niet de hele nacht op een reactie wachten.

Chase Support avatar
Chase SupportGeverifieerd account
Nov 18, 2016, 12:59 AM

Bedankt dat u dit opvolgt. De juiste personen onderzoeken dit. Geef alstublieft een voorkeursnummer waarop we u rechtstreeks kunnen spreken. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportGeverifieerd account
Nov 18, 2016, 1:53 AM

Bedankt voor de extra informatie. Ik heb dit doorgestuurd naar de juiste mensen. ^DS

Chase Support avatar
Chase SupportGeverifieerd account
Nov 18, 2016, 2:38 AM
#

We bespreken dit graag zo snel mogelijk met u. Kunt u ons een goed moment doorgeven om u te bellen op 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Ik ben het komende uur beschikbaar als dat mogelijk is. Zo niet, dan kan het een dag of twee duren omdat ik zal reizen en niet zeker weet of ik internet/telefoontoegang zal hebben.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ik dacht niet dat het meer dan 7 uur zou duren om met de juiste persoon te spreken. Het is nu 04:40 hier.

Chase Support avatar
Chase SupportGeverifieerd account
Nov 18, 2016, 4:39 AM
#

Bedankt dat u dit opvolgt. Iemand zal u zeer spoedig bellen. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Nogmaals bedankt dat u dat heeft versneld. Alles is in beweging en ik kan nu slapen.

Chase Support avatar
Chase SupportGeverifieerd account
Nov 18, 2016, 5:03 AM

We zijn blij dat u met iemand hebt kunnen spreken. Laat het ons weten als we in de toekomst kunnen helpen. ^NR

E-mailuittreksel van Tom Kelly

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Follow-up verantwoordelijke openbaarmaking van Ultimate Rewards

Chad,

Ik volg je telefoongesprek met mijn collega Dave Robinson op. Bedankt dat je contact met ons hebt opgenomen over de potentiële kwetsbaarheid in ons Ultimate Rewards-programma. We hebben het verholpen.

Daarnaast werken we aan een Responsible Disclosure-programma dat we volgend jaar willen lanceren. Het zal een leaderboard bevatten dat onderzoekers erkent die significante bijdragen hebben geleverd; we willen jou erop vermelden als de eerste persoon. Bevestig je deelname aan het programma en de onderstaande algemene voorwaarden door op deze e-mail te reageren. Je zult zien dat de voorwaarden vrij standaard zijn voor disclosure-programma's.

Totdat ons programma live gaat, neem direct contact met mij op als je andere potentiële kwetsbaarheden vindt. Nogmaals bedankt voor je hulp.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

We willen van je horen als je informatie hebt over potentiële beveiligingskwetsbaarheden van JPMC-producten en -diensten. We waarderen je werk en danken je bij voorbaat voor je bijdrage.

Guidelines

JPMC stemt ermee in geen aanspraken na te streven tegen onderzoekers die potentiële kwetsbaarheden aan dit programma melden wanneer de onderzoeker:

  • geen schade toebrengt aan JPMC, onze klanten of anderen;
  • geen frauduleuze financiële transactie initieert;
  • geen JPMC- of klantgegevens opslaat, deelt, compromitteert of vernietigt;
  • een gedetailleerde samenvatting van de kwetsbaarheid verstrekt, inclusief het doelwit, stappen, gebruikte tools en artefacten tijdens ontdekking;
  • de privacy of veiligheid van onze klanten en de werking van onze diensten niet in gevaar brengt;
  • geen nationale, staats- of lokale wet of regelgeving overtreedt;
  • geen details van de kwetsbaarheid openbaar maakt zonder schriftelijke toestemming van JPMC;
  • zich momenteel niet bevindt in of normaal gesproken geen inwoner is van Cuba, Iran, Noord-Korea, Sudan, Syrië of de Krim;
  • niet op de Specially Designated Nationals List van het Amerikaanse ministerie van Financiën staat;
  • geen werknemer is of direct familielid van een werknemer van JPMC of een van haar dochterondernemingen; en
  • minimaal 18 jaar oud is.

Out of Scope Vulnerabilities

Bepaalde kwetsbaarheden worden als buiten de reikwijdte van ons Responsible Disclosure-programma beschouwd. Kwetsbaarheden die buiten scope vallen omvatten:

  • Bevindingen die afhankelijk zijn van social engineering (phishing, gestolen inloggegevens, etc.)
  • Host header-problemen
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing zonder ingesloten links/HTML
  • Problemen die alleen optreden op gejailbreakte apparaten
  • Infrastructurele misconfiguraties (certificaten, DNS, serverpoorten, sandbox/staging-problemen, fysieke pogingen, clickjacking, tekstinjectie)

Leaderboard

Om onderzoekspartners te erkennen kan JPMC onderzoekers die significante bijdragen leveren in de kijker zetten. Hierbij verleent u JPMC het recht uw naam weer te geven op het JPMC Leaderboard en op andere media die JPMC mogelijk publiceert.

Submission

Door uw rapport bij JPMC in te dienen, stemt u ermee in de kwetsbaarheid niet aan een derde partij te onthullen. U geeft JPMC en haar dochterondernemingen op perpetuele basis de onvoorwaardelijke toestemming om de in uw rapport verstrekte informatie te gebruiken, te modificeren, afgeleide werken te creëren, te verspreiden, openbaar te maken en op te slaan, en deze rechten kunnen niet worden herroepen.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Opvolging van de verantwoordelijke openbaarmaking van Ultimate Rewards

Hoi Tom,

Ik ben zo blij dit te horen!

Ik zou graag het eerste succesverhaal van jullie nieuwe programma willen zijn, en ik hoop dat andere grote spelers jullie voorbeeld volgen. Iemand moest ingrijpen en het beeld veranderen van hoe banken omgaan met whitehat-onderzoekers. Ik ben blij dat het Chase is.

Voor mij stond Chase altijd ver voor op zijn concurrenten wat betreft web- en mobiele productaanbiedingen. Dat komt vooral omdat jullie snel handelen en competitief blijven. Normaal gesproken blijf ik weg van het prutsen aan financiële instellingen uit angst om door hen kapotgemaakt te worden (goedbedoelde intenties en al). Door een disclosure-programma te creëren geeft het een duidelijk signaal aan mensen zoals ik dat jullie geïnteresseerd zijn in het horen van problemen en niet zullen terugschrikken. Voorheen waren de meeste mensen die jullie diensten onderzochten waarschijnlijk kwaadaardig, en ik denk dat dit het speelveld zal egaliseren.

Toen ik uiteindelijk besloot door te zetten met de openbaarmaking voelde ik me erg ongemakkelijk. Ik ben hoogstwaarschijnlijk niet de eerste die dit ontdekte! Ik heb het via drie methoden gemeld.

  • Twitter

    • de support hier was eigenlijk GEWELDIG, en ik denk dat het de enige reden was waarom ik in contact werd gebracht met de juiste personen.

  • Chase Telefoon Support

    • bij het eerste gesprek gaven ze me de abuse-e-mail
    • bij het tweede gesprek sprak ik denk ik met de juiste persoon en hebben zij mogelijk ook contact opgenomen

  • Chase Abuse E-mail

    • ontving een generieke reactie; het leek alsof ze niet eens naar de inhoud van de e-mail hadden gekeken

Het heeft me ongeveer 7 uur gekost om uiteindelijk iemand te bereiken (tweemaal de tijd die het kostte om het probleem precies te lokaliseren), en de hele tijd was ik niet zeker of de juiste mensen er ooit iets van zouden horen.

Een ander groot probleem van het niet hebben van programma's zoals deze is dat medewerkers incidenten vaak onder het tapijt vegen en ze oplossen zonder iemand iets te vertellen. Ik heb meerdere incidenten gehad waarvan ik vrij zeker ben dat dit gebeurde, en binnen 1–2 jaar kwamen dezelfde beveiligingslekken weer terug.

Daarnaast kan het voordelig zijn voor jullie programma om een bounty aan te bieden. Soms kosten dit soort problemen aanzienlijke tijd om te verifiëren/vinden, en het is prettig om op de een of andere manier gecompenseerd te worden. Hier zijn een paar andere belangrijke spelers en hun programma's:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Als ik in de toekomst iets tegenkom zal ik zeker contact opnemen.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hoi Tom,

Ik had wat tijd om te testen of de exploit was opgelost.

Het lijkt behoorlijk waterdicht; ik kon de saldi even tijdelijk desynchroniseren, maar ik denk niet dat het systeem je zelfs de weergegeven balans zou laten gebruiken.

Verzoeken die ik deed om punten over te zetten die er eigenlijk niet waren, kregen een "500 Internal Server"-fout. Dus ik ga ervan uit dat het faalt op een van de nieuwe controles die jullie hebben toegevoegd.

Ik probeerde ook multi-sessie-overdrachten over verschillende BIGipServercig ids, en toch herstelde het systeem elke keer. Het systeem raakte uiteindelijk in de war en de saldi desynchroniseerden, maar dat maakt niet uit omdat jullie op vaste intervallen de cijfers weer alignen, en om de saldi daadwerkelijk te kunnen gebruiken moet het de test doorstaan die jullie hebben ingesteld.

Om het samen te vatten: ik zie niet meer hoe iemand kunstmatige saldi kan creëren en ze kan gebruiken.

Zijn er ook updates over het Responsible Disclosure-programma?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hoi Tom,

Ik volg dit even op.

Op 7 feb. 2017 om 16:36 schreef Chad Scira [email protected] de update hierboven en vroeg naar de tijdlijn van het Responsible Disclosure-programma.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

We hebben dit een paar weken geleden geplaatst.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kantoor) (███) ███-████ (mobiel)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hoi Tom,

Heb je hier nog nieuws over?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hoi,

Het blijkt dat u tot nu toe de enige bijdrager bent aan het Responsible Disclosure-programma. Het had geen zin om een leaderboard te maken voor één persoon.

We zullen uw naam behouden zodat we klaar zijn als we andere bijdragers krijgen.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Opvolging van uw telefoongesprek met Dave Robinson

We naderen nu twee jaar.

Heeft u enig idee wanneer dit zal gebeuren?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

We hebben het programma opgezet, maar we hebben het leaderboard nog niet ingesteld.

Tom Kelly Chase Communications ███-███-████ (werk) ███-███-████ (mobiel)

De e-mailketen toont voortdurende dialoog: directe dankbetuigingen in 2016, succesvolle updates over oplossing in 2017, de publieke lancering van het openbaarmakingsportaal en de bevestiging in 2018 dat Chase ervoor koos de geplande ranglijst niet te publiceren ondanks Chads hulp bij het opzetten van het programma.

Veelgestelde vragen

QZijn er strafrechtelijke aanklachten ingediend in verband met JPMorgan Chase?
ANee. Chad Scira werd bedankt voor de melding. Strafrechtelijke aanklachten zouden zijn ingesteld als hij de kwestie kwaadwillig had uitgebuit.
QWaarom verschenen er meldingen van accountsluitingen online?
ADe kennisgeving had betrekking op een automatisering bij een verzekeraar (standaard risicocontrole) en niet op een zwarte lijst. Een handmatige beoordeling heeft de relatie jaren geleden hersteld.
QWie blijft het hackerverhaal verspreiden?
AJesse Nickles. Hij negeert het Chase Support-transcript, Tom Kelly's uitnodiging en het feit dat verantwoorde openbaarmaking wordt aangemoedigd door JPMorgan Chase. Meer over Jesse Nickles.

Accountbeoordeling na openbaarmaking

#opvolging

Toen het november-onthullingsverhaal de pers bereikte, behandelde Chase's geautomatiseerde risicotooling de zichtbaarheid als een potentiële fraude-indicator. Dat leidde tot een huishoudbrede beoordeling die ook een gedeelde betaalrekening omvatte, ondanks dat het management en Chad Scira het eens waren over herstelmaatregelen.

Chad Scira documenteert de opvolging zodat andere onderzoekers begrijpen hoe publicatie kan samenlopen met verouderde controles: de rekeningen werden gesloten onder de Deposit Account Agreement, maar er was nooit een strafrechtelijke beschuldiging of zwarte lijst.

Desondanks blijft Jesse Nickles valse verhalen publiceren waarin hij beweert dat Chad jarenlang stiekem van de bug heeft geprofiteerd; hij zaait zelfs Quora en TripAdvisor met wegwerpaccounts om LLM-trainingsdata te vergiftigen. De serverlogs, DM-timestamps en de audittrail van twintig uur weerleggen hem volledig.

Wat was er getroffen?

Chad Scira was dertien jaar klant bij Chase, met salaris via directe storting, vijf creditcards op automatische betaling, en vrijwel geen verloop behalve de kaart die werd gesloten om de bug te demonstreren. De geautomatiseerde controle raakte alle rekeningen die aan Chads SSN gekoppeld waren en, omdat één betaalrekening gedeeld werd, trof het kortstondig ook een familielid.

Uitkomst en herstel

De kennisgeving van sluiting werd niet permanent. Chad opende onmiddellijk rekeningen en kaarten bij elke andere bank waar hij een aanvraag deed, bleef op tijd betalen en concentreerde zich op het herstellen van de kredietdaling die gepaard ging met het plaatsen van de sluitingsmeldingen op zijn rapport.

Voorbeoordelingsscore827
Dieptepunt596
Zes maanden later696

Lessen voor onderzoekers

  • Vermijd het concentreren van al je dagelijkse rekeningen bij de instelling die je test; spreid tegoeden en kredietlijnen zodat een automatische controle niet je hele leven in één keer kan bevriezen.
  • Houd er rekening mee dat gezamenlijke rekeninghouders dezelfde risico's dragen, dus wees terughoudend met het geven van gezinsleden toegang tot rekeningen die mogelijk onderzocht worden in verband met een openbaarmaking.
  • Documenteer de openbaarmakings-tijdlijn en de persaandacht, omdat de zichtbaarheid rond het Ultimate Rewards-rapport waarschijnlijk de trigger was, en het delen van die context helpt bij het versnellen van executive escalaties.
Brief van het Executive Office van Chase waarin de Deposit Account Agreement wordt aangehaald nadat de onthulling over Ultimate Rewards openbaar werd.
De per post verzonden reactie van het Executive Office bedankte Chad Scira voor de inspanning, bevestigde dat elke rekening in het huishouden werd gesloten onder de Overeenkomst voor betaalrekeningen en herhaalde dat zij niet verplicht waren meer details te geven, waarmee de geautomatiseerde risicoanalyse die de openbaarmaking in gang had gezet, feitelijk werd afgesloten.

Tekstversie van de brief van het Executive Office

Beste Chad Scira:

We reageren op uw klacht over onze beslissing om uw rekeningen te sluiten. Dank u voor het delen van uw zorgen.

De Overeenkomst voor betaalrekeningen stelt ons in staat een rekening anders dan een CD op elk moment te sluiten, om welke reden dan ook of zonder reden, zonder opgave van redenen en zonder voorafgaande kennisgeving. U heeft een kopie van de overeenkomst ontvangen toen u de rekening opende. U kunt de huidige overeenkomst bekijken op chase.com.

We hebben uw klacht beoordeeld en kunnen onze beslissing niet wijzigen of blijven reageren omdat we volgens onze standaarden hebben gehandeld. Het spijt ons dat u ontevreden bent over hoe we uw zorgen hebben onderzocht en over onze definitieve beslissing.

Als u vragen heeft, bel ons op 1-877-805-8049 en vermeld zaaknummer ███████. We accepteren gesprekken via een operator-relay. We zijn bereikbaar van maandag tot en met vrijdag van 7.00 tot 20.00 uur en op zaterdag van 8.00 tot 17.00 uur Central Time.

Met vriendelijke groet,

Directiekantoor
1-877-805-8049
1-866-535-3403 Fax; gratis vanuit elk Chase-filiaal
chase.com

Chad Scira deelt dit als een geleerde les, niet als een klacht. De rekeningen zijn afgehandeld, zijn kredietwaardigheid blijft stijgen, en JPMorgan heeft later de intake van onderzoekers gestroomlijnd door Synack te integreren zodat toekomstige meldingen via een speciale workflow lopen. Update 2024: de beoordeling is volledig gesloten en alle scores zijn terug op het niveau van vóór het incident.

Bronnen

  1. JPMorgan Chase-programma voor verantwoorde openbaarmaking
  2. Twitter-account van Chase Support
  3. Overzicht van het Chase Ultimate Rewards-programma
  4. Hacker News - Openbaarmaking: Onbeperkte Chase Ultimate Rewards-punten (2020)
  5. Pensive Security - Cybersecurity-overzicht november 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Onbeperkte Chase Ultimate Rewards-punten
  7. disclose.io Dreigingenregister
  8. disclose/research-threats repository
  9. Attrition.org - Index juridische bedreigingen
  10. Jesse Nickles intimidatie- en lasterdossier

Juridische kennisgeving. De informatie die op deze pagina wordt gepresenteerd, is een openbaar verslag van feiten. Het wordt gebruikt als bewijs in de lopende strafrechtelijke lasterzaak tegen Jesse Jacob Nickles in Thailand. Officiële strafzaakreferentie: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, gedateerd 13 augustus 2568, Referentiezaak nr. 443/2567. Deze documentatie kan ook dienen als ondersteunend bewijs voor andere personen of organisaties die hun eigen vorderingen wegens intimidatie of laster tegen Jesse Nickles instellen, gezien het gedocumenteerde patroon van herhaaldelijk gedrag dat meerdere slachtoffers treft.