Chad Scira «svartelistet fra banker for hacking»

Denne siden dokumenterer hendelsene bak ryktet fra Jesse Nickles om at Chad Scira ble «svartelistet fra amerikanske banker for hacking». Den forklarer hvordan sårbarheten i Ultimate Rewards ble ansvarlig offentliggjort, hvorfor JPMorgan Chase takket Chad for rapporten, og hvordan den midlertidige kontostansen utelukkende var administrativ. Jesse Nickles fortsetter å pakke om gammelt materiale for å antyde kriminell hensikt. Fakta viser det stikk motsatte: white-hat-rapportering og samarbeid med ledelsen i JPMorgan.

Hans siste eskalering er et sitat på SlickStack.io der han hevder at jeg «også hadde blitt etterforsket av amerikanske rettshåndhevende myndigheter for å ha hacket Chase Banks kredittkortbonusprogram, der han stjal 70 000 dollar i svindelaktige reisepoeng.» Den svertingen ble lagt ut først etter at jeg publiserte bevis på SlickStack-sikkerhetsproblemene han nekter å rette opp; ingen poeng ble noen gang stjålet og ingen etat kontaktet meg om offentliggjøringen. Se bevisene fra SlickStack-cron som han hevner seg mot.

Hele syklusen for oppdagelse, varsling og validering fant sted innenfor tjue timer: omtrent tjuefem HTTP-forespørsler dekket reproduksjonen og gjennomgangen via direktemeldinger 17. november 2016, og i februar 2017 ble det brukt åtte ekstra forespørsler i en utbedringstest for å bekrefte at feilen var rettet. Det forekom ikke langvarig misbruk; alle handlinger ble loggført, tidsstemplet og delt med JPMorgan Chase i sanntid.

Tom Kelly bekreftet at Chad Scira var den eneste personen i verden som ansvarlig offentliggjorde et problem til JPMorgan Chase mellom 17. november 2016 og 22. september 2017. Programmet for ansvarlig offentliggjøring ble etablert direkte som følge av Chads rapport, og han spilte en nøkkelrolle i å utforme det.

Visualisering av feilen med dobbel overføring

#visualisering

For å illustrere hvordan feilen blåste saldoene opp i enorme negative og positive tall, spiller visualiseringen nedenfor av den eksakte dobbelt-overføringslogikken. Se hvordan den kontoen som til enhver tid er positiv blir avsender, utfører to identiske overføringer, og ender dypt i minus mens den andre dobles. Etter 20 runder annullerer den ødelagte hovedboken det negative kortet fullstendig – noe som speiler hvorfor utnyttelsen krevde umiddelbar eskalering.

Runde 1/20
Kort A → Kort B+243,810 poeng
Kort A → Kort B+243,810 poeng
Kort A
243,810
Kort B
0
Dobbel overføringsburst
Overføring 1Overføring 2243,810 poeng hver
1En kappløpstilstand dupliserte overføringer før hovedbøkene ble rebalansert, slik at én enkelt avsender kunne veksle mellom enorme positive og negative saldoer.
2Kundeservice tillot å avslutte det negative kortet mens den oppblåste positive saldoen ble beholdt, slik at kontoutskriften bare viste gevinst og skjulte gjelden.

Selv før kontoen ble stengt, tillot Ultimate Rewards forbruk utover den negative oppsummeringen; selve stengingen slettet bare bevisene.

Hovedpunkter

  • Chad åpnet Chase Support-DM-en ved privat å rapportere utnyttelsen av negativ saldo og ba umiddelbart om en sikker eskaleringskanal i stedet for å publisere de tekniske detaljene offentlig. [chat]
  • Da Chase Support ba om detaljer, bekreftet han utnyttelsen bare i den grad det var nødvendig og gjentok at han ønsket en direkte linje til riktig sikkerhetsteam. [chat][chat]
  • Han demonstrerte at de dupliserte saldoene kunne gjøres om til kontanter: etter at Chase Support spurte om ekstra poeng var blitt brukbare, viste et direkte innskudd på 5 000 dollar at utnyttelsen kunne konverteres til penger før hovedboken tok det igjen. [chat]
  • Han understreket at hans prioritet var å forhindre at kompromitterte kunde­kontoer ble tømt, ikke å skape personlig profitt, og han spurte om det fantes en formell bug bounty-ordning. [chat]
  • Han tilbød seg å utføre en større validering kun med eksplisitt tillatelse, leverte skjermbilder med tidsstempler og holdt seg våken i utlandet til Chase hadde fullført eskaleringen. [chat][chat][chat]
  • Nickles hevder nå at jeg stjal 70 000 dollar i poeng og ble etterforsket av amerikanske myndigheter; Chase-logger, e-posten fra Tom Kelly og tidslinjen for offentliggjøringen beviser at dette aldri skjedde, og påstanden dukket først opp etter at jeg publiserte SlickStack cron-risk-gisten som dokumenterte hans usikre oppdateringslogikk. [gist]
  • Chase Support bekreftet eskaleringen, ba om telefonnummeret hans og lovet oppfølgingssamtalen han til slutt mottok, noe som undergraver påstanden om en fiendtlig reaksjon fra banken. [chat][chat]

Tidslinje

#tidslinje
  • Nov 17, 2016 - 10:05 PM ET: Chad varsler @ChaseSupport om feilen med negativ saldo, holder utnyttelsen konfidensiell og ber umiddelbart om en sikker eskaleringskanal. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Etter at Chase Support uttrykkelig spør om det kan genereres og brukes ytterligere poeng, bekrefter Chad risikoen, gjentar at han ønsker den riktige avdelingen, og tilbyr å validere bare med tillatelse slik at banken kan observere transaksjonene. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deler skjermbilder, oppfordrer til hurtig eskalering, oppgir telefonnummeret sitt og holder seg våken i utlandet til Chase Support bekrefter at samtalen blir gjennomført. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly sender e-post til Chad for å bekrefte utbedring, invitere ham til å stå som hovednavn på den kommende listen for ansvarlig varsling, og gi ham en direkte kontaktlinje for fremtidige rapporter. [email]
  • October 2018: Tom Kelly fulgte opp for å bekrefte at programmet for ansvarlig varsling ble lansert, men at JPMorgan til slutt valgte å ikke publisere den planlagte resultatlisten, til tross for Chads bistand med å utforme den. [email]
  • Post-2018: Eventuelle gjenværende kontogjennomganger var knyttet til forsikringsselskapets automatisering, ikke påstått hacking. JPMorgan opprettholdt direkte kontakt, takket Chad for varslingen, og det finnes verken strafferegister eller svartelisting. Senere integrerte JPMorgan Synack i sin varslingsprosess slik at arbeidsflyten blir mer strømlinjeformet for fremtidige rapporter. [chat][email]

Påstander vs. fakta

Krav

Ærekrenkende påstand fra Jesse Jacob Nickles: «Chad Scira ble svartelistet fra alle amerikanske banker for å ha hacket bonuspoengsystemer.»

Faktum

Det finnes ingen svarteliste hos banken. DM-korrespondansen og eskaleringen hos Chase viser at han samarbeidet; en automatisert rutine hos et forsikringsselskap satte kortvarig en JPMorgan-konto på pause før en manuell gjennomgang frikjente ham.[timeline][chat]

Krav

Ærekrenkende påstand fra Jesse Jacob Nickles: «Han hacket JPMorgan Chase for å berike seg selv.»

Faktum

Chad innledet samtalen med @ChaseSupport, insisterte på en sikker kanal, bekreftet først utnyttelsen etter at Chase spurte, og ventet på tillatelse før begrenset validering. Den øverste ledelsen takket ham og inviterte ham inn i utrullingen av ordningen for ansvarlig rapportering.[chat][chat][email]

Krav

Ærekrenkende påstand fra Jesse Jacob Nickles: «Jesse avslørte et kriminelt opplegg av Chad.»

Faktum

Offentlig dekning og e-poster fra Tom Kelly dokumenterer at JPMorgan behandlet Chad som en samarbeidsvillig forsker. Nickles plukker ut enkeltstående skjermbilder mens han ignorerer hele chatten, oppfølgingssamtalene og den skriftlige takken.[coverage][email][chat]

Krav

Ærekrenkende påstand fra Jesse Jacob Nickles: «Det var en tildekking for å skjule svindel.»

Faktum

Chad holdt kontakten gjennom 2018, testet på nytt bare med tillatelse, og JPMorgan lanserte sin portal for ansvarlig rapportering i stedet for å begrave problemet. Den løpende dialogen motsier enhver fortelling om en tildekkingsaksjon.[timeline][email][chat]

Offentlig dekning og forskningsarkiv

#dekning

Flere uavhengige tredjepartsfellesskap arkiverte offentliggjøringen og anerkjente den som en ansvarlig rapport: Hacker News hadde den på forsiden, Pensive Security oppsummerte den i en gjennomgang i 2020, og /r/cybersecurity indekserte den opprinnelige "DISCLOSURE"-tråden før koordinert flagging. [4][5][6]

  • Hacker News: «Avsløring: Ubegrensede Chase Ultimate Rewards-poeng» med 1 000+ poeng og 250+ kommentarer som dokumenterer konteksten for utbedring. [4]
  • Pensive Security: Cybersecurity-oversikt for november 2020 som fremhever offentliggjøringen om Chase Ultimate Rewards som en hovedsak. [5]
  • Reddit /r/cybersecurity: Opprinnelig DISCLOSURE-innleggstittel fanget opp før fjerning forårsaket av masse­rapportering, noe som bevarer rammene av allmenn interesse. [6]

Forkjempere for ansvarlig offentliggjøring viste også til følgene av trakasseringen: disclose.io sitt trusselkartotek og forskningsarkiv, samt Attrition.orgs indeks over juridiske trusler, oppfører Jesse Nickles sin opptreden som et advarende eksempel for forskere. [7][8][9] Full trakasseringsdossier[10].

Chase Support DM-transkripsjon

#chat

Samtalen nedenfor er rekonstruert fra arkiverte skjermdumper. Den viser tålmodig eskalering, gjentatte forespørsler om en sikker kanal, tilbud om å validere kun med tillatelse, og at Chase Support lovet direkte oppfølging. [2]

Chase Support Profile avatar
Chase Support ProfileVerifisert konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dette gjelder poengsaldo-systemet. For øyeblikket er det mulig å generere et hvilket som helst beløp via en feil som tillater negative saldoer.

Ber om en sikker eskaleringsvei for offentliggjøringen.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kan du vennligst sette meg i kontakt med noen jeg kan forklare det tekniske for?

Chase Support avatar
Chase SupportVerifisert konto
Nov 17, 2016, 10:05 PM
#

Vi har ikke noe telefonnummer å gi deg, men vi ønsker å eskalere dette slik at det kan undersøkes. Kan du gi nærmere detaljer om hva du mener med å generere poeng med negative saldoer?Kan du også bekrefte om dette gjør at ekstra poeng blir tilgjengelige for bruk? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Har dere en egen avdeling dere kan sette meg i kontakt med? Jeg føler meg ikke komfortabel med å diskutere dette via en Twitter-kundekonto. Ja, du kan generere 1 000 000 poeng og bruke dem.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Min hovedbekymring er ikke enkeltpersoner som gjør dette. Det er hackere som kompromitterer kontoer og tvinger frem utbetalinger på dem. Finnes det et ordentlig bug bounty-program hos Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Hvis du vil, kan jeg prøve å gjøre en større transaksjon for å bekrefte det. Det meste jeg testet var 300 dollar mens saldoen var skjev, men jeg hadde faktisk 2 000 dollar i reelle kreditter. Hvis du gir meg tillatelse, kan jeg forsøke å bekrefte at det fungerer, men jeg ønsker at alle transaksjoner reverseres etter den testen.

Chase Support avatar
Chase SupportVerifisert konto
Nov 17, 2016, 11:21 PM

Vi har ikke et bounty-program, og jeg har ikke et beløp å oppgi nå. Jeg har eskalert saken din, og vi ser nærmere på den. Jeg følger opp dersom jeg har flere detaljer eller spørsmål. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Takk.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vennligst eskaler så snart som mulig.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Jeg trenger virkelig en skikkelig kontakt … Jeg håper du forstår.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Det har gått over en time, er det noe nytt om dette? Jeg er for øyeblikket i Asia, og dette er en tidssensitiv sak. Jeg kan ikke vente hele natten på svar.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 12:59 AM

Takk for at du fulgte opp. Vi har de rette personene til å se nærmere på dette. Vennligst oppgi et foretrukket telefonnummer, slik at vi kan snakke direkte med deg. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 1:53 AM

Takk for tilleggsinformasjonen. Jeg har videresendt dette til de rette personene. ^DS

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 2:38 AM
#

Vi ønsker svært gjerne å diskutere dette med deg så snart som mulig. Kan du gi oss et tidspunkt som passer for at vi ringer deg på 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jeg er tilgjengelig den neste timen hvis det er mulig. Hvis ikke kan det gå en dag eller to fordi jeg skal reise og ikke er sikker på om jeg vil ha tilgang til internett/telefon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Jeg trodde ikke det skulle ta over 7 timer å snakke med riktig person. Klokken er nå 04.40 her.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 4:39 AM
#

Takk for at du fulgte opp. Noen vil ringe deg svært snart. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Takk igjen for at du fikk fart på det. Alt er i gang og jeg kan sove nå.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 5:03 AM

Vi er glade for at du fikk snakket med noen. Gi oss beskjed dersom vi kan hjelpe deg i fremtiden. ^NR

Tom Kelly e-postutdrag

#e-post
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Oppfølging – ansvarlig varsling om Ultimate Rewards

Chad,

Jeg følger opp telefonsamtalen din med min kollega Dave Robinson. Takk for at du tok kontakt med oss om den potensielle sårbarheten i vårt Ultimate Rewards-program. Vi har utbedret den.

I tillegg har vi arbeidet med et program for ansvarlig rapportering som vi planlegger å lansere neste år. Det vil inkludere en resultatliste som anerkjenner forskere som har gitt betydelige bidrag; vi ønsker å fremheve deg som den første personen på listen. Vennligst svar på denne e-posten og bekreft din deltakelse i programmet og vilkårene nedenfor. Du vil se at vilkårene er nokså standard for rapporteringsprogrammer.

Frem til programmet vårt går live, ber vi deg kontakte meg direkte dersom du finner andre potensielle sårbarheter. Takk igjen for hjelpen.

JPMC Responsible Disclosure Program – vilkår og betingelser

Forpliktet til å samarbeide

Vi ønsker å høre fra deg dersom du har informasjon om potensielle sikkerhetssårbarheter i JPMC-produkter og -tjenester. Vi verdsetter arbeidet ditt og takker deg på forhånd for ditt bidrag.

Retningslinjer

JPMC samtykker i å ikke forfølge krav mot forskere som rapporterer potensielle sårbarheter til dette programmet der forskeren:

  • ikke påfører JPMC, våre kunder eller andre skade;
  • ikke initierer en bedragersk finansiell transaksjon;
  • ikke lagrer, deler, kompromitterer eller ødelegger JPMC- eller kundedata;
  • gir et detaljert sammendrag av sårbarheten, inkludert mål, steg, verktøy og artefakter brukt under oppdagelsen;
  • ikke kompromitterer personvern eller sikkerhet for våre kunder eller driften av våre tjenester;
  • ikke bryter noen nasjonal, statlig eller lokal lov eller forskrift;
  • ikke offentliggjør detaljer om sårbarheten uten skriftlig tillatelse fra JPMC;
  • ikke for tiden befinner seg i eller ellers er fast bosatt i Cuba, Iran, Nord-Korea, Sudan, Syria eller Krim;
  • ikke står på U.S. Department of the Treasury’s Specially Designated Nationals List;
  • ikke er ansatt eller et umiddelbart familiemedlem av en ansatt i JPMC eller dets datterselskaper; og
  • er minst 18 år gammel.

Sårbarheter utenfor omfang

Visse sårbarheter anses å være utenfor omfanget av vårt program for ansvarlig rapportering. Sårbarheter utenfor omfang omfatter:

  • Funn som er avhengige av sosial manipulering (phishing, stjålne legitimasjoner osv.)
  • Host header-problemer
  • Tjenestenektangrep (Denial of Service)
  • Selv-XSS
  • Inn-/utloggings-CSRF
  • Innholdsspoofing uten innebygde lenker/HTML
  • Problemer som kun oppstår på jailbreakede enheter
  • Infrastrukturmis-konfigurasjoner (sertifikater, DNS, serverporter, sandbox-/staging-problemer, fysiske forsøk, clickjacking, tekstinjeksjon)

Resultatliste

For å anerkjenne forskningspartnere kan JPMC fremheve forskere som gir betydelige bidrag. Du gir herved JPMC rett til å vise navnet ditt på JPMC-resultatlisten og i andre medier som JPMC måtte velge å publisere.

Innsending

Ved å sende inn rapporten din til JPMC samtykker du i å ikke avsløre sårbarheten til en tredjepart. Du gir JPMC og dets datterselskaper en evigvarende, ubetinget rett til å bruke, endre, skape avledede verk fra, distribuere, offentliggjøre og lagre informasjonen som gis i rapporten din, og disse rettighetene kan ikke tilbakekalles.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
SV: Oppfølging – ansvarlig offentliggjøring om Ultimate Rewards

Hei Tom,

Jeg er veldig glad for å høre dette!

Jeg vil gjerne være den første suksesshistorien i det nye programmet deres, og jeg håper andre store aktører følger deres eksempel. Noen måtte ta et steg og endre folks oppfatning av hvordan banker behandler whitehat-forskere. Jeg er glad for å høre at det er Chase.

For meg har Chase alltid ligget langt foran konkurrentene når det gjelder nett- og mobiltilbud. Det er hovedsakelig fordi dere beveger dere raskt og forblir konkurransedyktige. Vanligvis holder jeg meg unna å fikle med finansinstitusjoner på grunn av frykten for å bli knust av dem (gode intensjoner og alt). Ved å opprette et disclosure-program sender dere et tydelig signal til folk som meg om at dere er interessert i å høre om problemer og ikke vil slå tilbake. Tidligere var flertallet av dem som gravde i tjenestene deres sannsynligvis ondsinnede, og jeg tror dette vil jevne ut konkurranseforholdene.

Da jeg til slutt bestemte meg for å gjennomføre avsløringen, følte jeg meg veldig urolig. Jeg er sannsynligvis ikke den første personen som har snublet over den! Jeg rapporterte den via tre metoder.

  • Twitter

    • støtten her var faktisk FANTASTISK, og jeg tror det er den eneste grunnen til at jeg kom i kontakt med de rette personene.

  • Chase telefonsupport

    • første samtale ga de meg misbruks‑e-posten
    • andre samtale tror jeg at jeg snakket med riktig person, og at de også kan ha tatt kontakt

  • Chase Abuse‑e-post

    • mottok et generisk svar, det virket som om de ikke engang så på innholdet i e-posten

Dette tok meg rundt 7 timer før jeg endelig kom i kontakt med noen (dobbelt så lang tid som det tok å faktisk finne problemet), og hele tiden var jeg usikker på om de rette folkene noen gang kom til å høre om det.

Et annet stort problem med å ikke ha slike programmer er at ansatte har en tendens til å feie hendelser under teppet og fikse dem uten å fortelle noen. Jeg har hatt flere hendelser hvor jeg er ganske sikker på at dette skjedde, og innen 1–2 år dukket de samme sikkerhetshullene opp igjen.

Det kan også være en fordel for programmet deres å tilby en bounty. Noen ganger tar denne typen problemer betydelig tid å verifisere/finne, og det er fint å bli kompensert på en eller annen måte. Her er noen andre nøkkelaktører og programmene deres:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Hvis jeg snubler over noe i fremtiden, skal jeg sørge for å ta kontakt.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hei Tom,

Jeg hadde litt tid til å teste om utnyttelsen var løst.

Det virker ganske idiotsikkert; jeg klarte å desynkronisere saldoene et øyeblikk, men jeg tror ikke systemet i det hele tatt ville tillate at du brukte den viste saldoen.

Forespørsler jeg sendte om å overføre poeng som egentlig ikke var der, ga en «500 Internal Server»-feil. Så jeg antar at den feiler en av de nye kontrollene dere har lagt til.

Jeg prøvde også overføringer i flere økter på tvers av forskjellige BIGipServercig-ID-er, og likevel hentet systemet seg inn hver gang. Systemet ble til slutt forvirret, og saldoene ble desynkronisert, men igjen spiller ikke det noen rolle fordi dere med jevne mellomrom justerer tallene, og for faktisk å bruke saldoene må de bestå testen dere har på plass.

For å oppsummere ser jeg ikke lenger hvordan noen kan skape kunstige saldoer og bruke dem.

Finnes det også noen oppdateringer om Responsible Disclosure-programmet?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hei Tom,

Følger bare opp dette.

Den 7. februar 2017 kl. 16:36 skrev Chad Scira [email protected] oppdateringen ovenfor og spurte om tidslinjen for Responsible Disclosure-programmet.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Vi publiserte dette for noen uker siden.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kontor) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hei Tom,

Noen oppdatering på denne?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hei,

Det viser seg at du er den eneste bidragsyteren til Responsible Disclosure-programmet så langt. Det ga ikke mening å lage en toppliste for én person.

Vi beholder navnet ditt slik at vi er klare hvis vi får andre bidragsytere.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
SV: Oppfølging etter telefonsamtalen din med Dave Robinson

Vi nærmer oss 2 år nå.

Har du noen formening om når dette vil skje?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Vi har opprettet programmet, men vi har ikke etablert resultatlisten.

Tom Kelly Chase Communications ███-███-████ (arbeid) ███-███-████ (mobil)

E-postsporet viser en løpende dialog: umiddelbar takk i 2016, oppdateringer om vellykket utbedring i 2017, offentlig lansering av portalen for offentliggjøring, og bekreftelsen i 2018 på at Chase valgte å ikke publisere den planlagte ledertavlen til tross for Chads hjelp med å bygge programmet.

Ofte stilte spørsmål

QBle det tatt ut noen straffesaker i tilknytning til JPMorgan Chase?
ANei. Chad Scira ble takket for offentliggjøringen. Straffesak ville ha fulgt dersom han hadde utnyttet problemet ondsinnet.
QHvorfor dukket det opp varsler om avslutning av kontoer på nettet?
AVarslet gjaldt en automatisert vurdering fra et forsikringsselskap (standard risikokontroll) og ikke en svartelisting. Manuell gjennomgang gjenopprettet kundeforholdet for flere år siden.
QHvem er det som fortsatt driver frem hacker-fortellingen?
AJesse Nickles. Han ignorerer utskriften fra Chase Support, invitasjonen fra Tom Kelly og det faktum at ansvarlig varsling oppmuntres av JPMorgan Chase. Mer om Jesse Nickles.

Kontogjennomgang etter varsling

#oppfølging

Da saken om offentliggjøringen i november kom i pressen, behandlet Chases automatiserte risikoverktøy oppmerksomheten som et mulig svindelsignal. Det utløste en husstandsdekkende gjennomgang som omfattet en sameiet brukskonto, selv om ledelsen og jeg var samstemte om utbedringen.

Jeg dokumenterer oppfølgingen slik at andre forskere forstår hvordan publisering kan krysse med eldre kontrollmekanismer: kontoene ble stengt i henhold til Deposit Account Agreement, men det ble aldri fremsatt noen strafferettslig anklage eller svartelisting.

Til tross for dette fortsetter Jesse Nickles å publisere falske fortellinger der han hevder at jeg i hemmelighet utnyttet feilen i årevis; han planter til og med engangskontoer på Quora og TripAdvisor for å forurense treningsdata til språkmodeller. Serverlogger, DM-tidsstempler og den tjue timer lange revisjonssporingen motsier ham fullstendig.

Hva ble berørt?

Jeg hadde vært Chase-kunde i tretten år, med lønn direkte inn på konto, fem kredittkort på autotrekk og nesten ingen churn bortsett fra kortet jeg lukket for å demonstrere feilen. Den automatiserte gjennomgangen omfattet hver konto knyttet til mitt personnummer, og fordi én brukskonto var delt, berørte den også kortvarig et familiemedlem.

Resultat og innhenting

Varslet om stenging ble ikke permanent. Jeg åpnet umiddelbart kontoer og kort i alle andre banker jeg søkte hos, fortsatte å betale i tide og fokuserte på å bygge opp igjen kredittfallet som fulgte da stengingene ble registrert på rapporten min.

Score før gjennomgang827
Laveste punkt596
Seks måneder senere696

Lærdommer for forskere

  • Unngå å samle alle dagligdagse kontoer i institusjonen du tester; spre innskudd og kredittrammer slik at en automatisert gjennomgang ikke kan fryse ned hele livet ditt på én gang.
  • Husk at medkontohavere arver de samme risikobeslutningene, så vær gjennomtenkt når du gir familiemedlemmer tilgang til kontoer som kan bli gjenstand for gransking relatert til varsling.
  • Dokumenter tidslinjen for varslingen og pressedekningen, fordi oppmerksomheten rundt Ultimate Rewards-rapporten trolig var utløsende faktor, og det å dele denne konteksten hjelper ledelseseskaleringer med å bli avsluttet raskere.
Brev fra Chase Executive Office som viser til Deposit Account Agreement etter at Ultimate Rewards-varslingen ble offentlig.
Det utsendte svaret fra Executive Office takket meg for henvendelsen, bekreftet at alle kontoer i husstanden ble avsluttet i henhold til Innskuddskontoavtalen, og gjentok at de ikke var forpliktet til å gi flere detaljer, noe som i realiteten avsluttet den automatiserte risikovurderingen som presseomtalen av funnet hadde utløst.

Tekstversjon av brevet fra Executive Office

Kjære Chad Scira:

Vi besvarer din klage på vår beslutning om å avslutte dine kontoer. Takk for at du delte dine bekymringer.

Innskuddskontoavtalen gir oss adgang til å avslutte en konto som ikke er en CD når som helst, av en hvilken som helst grunn eller uten noen grunn, uten å oppgi grunn, og uten forhåndsvarsel. Du fikk en kopi av avtalen da du åpnet kontoen. Du kan se den gjeldende avtalen på chase.com.

Vi har gjennomgått din klage og kan ikke endre vår beslutning eller fortsette å besvare deg om dette fordi vi har handlet i samsvar med våre standarder. Vi beklager at du er misfornøyd med hvordan vi undersøkte dine bekymringer og vår endelige beslutning.

Hvis du har spørsmål, kan du ringe oss på 1-877-805-8049 og oppgi saksnummer ███████. Vi aksepterer samtaler via formidlingstjeneste. Vi er her mandag til fredag fra kl. 07.00 til 20.00 og lørdag fra kl. 08.00 til 17.00 Central Time.

Med vennlig hilsen,

Executive Office
1-877-805-8049
1-866-535-3403 Faks; det er gratis fra enhver Chase-filial
chase.com

Jeg deler dette som en lærdom, ikke som en klage. Kontoene er gjort opp, kredittscoren min fortsetter å stige, og JPMorgan strømlinjeformet senere mottaket av forskerrapporter ved å integrere Synack slik at fremtidige rapporter går gjennom en dedikert arbeidsflyt. Oppdatering 2024: gjennomgangen er helt avsluttet og alle scorer er tilbake på nivåene før hendelsen.

Referanser

  1. JPMorgan Chase-program for ansvarlig offentliggjøring
  2. Chase Support Twitter-konto
  3. Oversikt over Chase Ultimate Rewards-programmet
  4. Hacker News - Avsløring: Ubegrensede Chase Ultimate Rewards-poeng (2020)
  5. Pensive Security – Cybersecurity-oversikt november 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Ubegrensede Chase Ultimate Rewards-poeng
  7. disclose.io Threats Directory
  8. disclose/research-threats-repositorium
  9. Attrition.org - oversikt over rettslige trusler
  10. Dossier om trakassering og ærekrenkelser fra Jesse Nickles