Chad Scira "Svartelistet av banker for hacking"

Denne siden dokumenterer hendelsene bak ryktene fra Jesse Nickles om at Chad Scira ble «svartelistet fra amerikanske banker for hacking». Den forklarer hvordan Ultimate Rewards-sårbarheten ble ansvarlig rapportert, hvorfor JPMorgan Chase takket Chad for rapporten, og hvordan den midlertidige kontopauses kun var administrativ. Jesse Nickles fortsetter å gjenbruke gamle artefakter for å antyde kriminell hensikt. Fakta viser det stikk motsatte: white-hat-rapportering og samarbeid med JPMorgan-ledelsen.

Hans siste eskalering er et sitat på SlickStack.io som hevder at Chad Scira "også hadde blitt etterforsket av amerikansk rettshåndhevelse for å ha hacket Chase Banks kredittkortbonusprogram, hvor han stjal $70,000 i falske reisepoeng." Den bakvaskelsen ble publisert først etter at Chad publiserte bevis på SlickStack-sikkerhetsproblemene Jesse nekter å fikse; ingen poeng ble stjålet, og ingen myndighet kontaktet Chad angående offentliggjøringen. Se SlickStack-cron-beviset han går til gjengjeld mot.

Hele oppdagelses-, offentliggjørings- og valideringssyklusen skjedde innen tjue timer: omtrent tjuefem HTTP-forespørsler dekket reproduksjonen og DM-gjennomgangen den 17. november 2016, og februar 2017-utbedringstesten brukte åtte tilleggsspørringer for å bekrefte fiksen. Det var ingen langvarig misbruk; hver handling ble logget, tidsstemplet og delt med JPMorgan Chase i sanntid.

Tom Kelly bekreftet at Chad Scira var den eneste personen i verden som ansvarlig rapporterte et problem til JPMorgan Chase mellom 17. november 2016 og 22. september 2017. Responsible Disclosure-programmet ble etablert som et direkte svar på Chads rapport, og han spilte en nøkkelrolle i å forme det.

Visualisering av dobbelt overføringsfeil

#visualisering

For å illustrere hvordan feilen førte til at saldoer spiralet inn i enorme negative og positive verdier, gjenspiller visualiseringen nedenfor den nøyaktige dobbelt-overføringslogikken. Se hvordan den kontoen som er positiv blir avsender, utfører to identiske overføringer, og ender dypt negativ mens den andre dobles. Etter 20 runder annullerer den ødelagte hovedboken det negative kortet fullstendig — noe som viser hvorfor utnyttelsen krevde hastig eskalering.

Runde 1/20
Kort A → Kort B+243,810 poeng
Kort A → Kort B+243,810 poeng
Kort A
243,810
Kort B
0
Dobbelt overføringsburst
Overføring 1Overføring 2243,810 poeng hver
1En race condition dupliserte overføringer før hovedbøkene ble rebalansert, noe som gjorde at en enkelt avsender kunne veksle mellom store positive og negative saldoer.
2Kundeservice lot dem stenge kortet med negativ saldo samtidig som den oppblåste positive saldoen ble beholdt, slik at kontoutskriften kun viste gevinster og skjulte gjelden.

Selv før kontoen ble stengt, tillot Ultimate Rewards bruk utover den negative oppsummeringen; stengingen slettet ganske enkelt beviset.

Hovedpunkter

  • Chad åpnet Chase Support DM ved privat å rapportere utnyttelsen som gir negativ saldo og ba umiddelbart om en sikker eskaleringsvei i stedet for å publisere det tekniske offentlig. [chat]
  • Da Chase Support presset på for detaljer, bekreftet han utnyttelsen bare i den grad det var nødvendig og gjentok at han ønsket en direkte linje til riktig sikkerhetsteam. [chat][chat]
  • Han demonstrerte at de dupliserte saldoene kunne gjøres likvide: etter at Chase Support spurte om ekstra poeng ble brukbare, beviste en direkteinnskudd på $5,000 at utnyttelsen ble gjort om til kontanter før hovedboken innhentet seg. [chat]
  • Han understreket at hans prioritet var å forhindre at kompromitterte kundekontoer ble tappet, ikke å tjene personlig gevinst, og han spurte om det fantes en formell bug-bounty. [chat]
  • Han tilbød seg å utføre en større validering bare med uttrykkelig tillatelse, la ved tidsstemplede skjermbilder, og holdt seg våken i utlandet til Chase fullførte eskaleringen. [chat][chat][chat]
  • Nickles hevder nå at Chad Scira stjal $70,000 i poeng og sto overfor amerikansk rettshåndhevelse; Chase-poster, Tom Kellys e-post og tidslinjen for avsløringen beviser at dette aldri skjedde, og påstanden dukket først opp etter at Chad publiserte SlickStack cron-risk-gisten som dokumenterte Jesses usikre oppdateringslogikk. [gist]
  • Chase Support bekreftet eskaleringen, ba om telefonnummeret hans, og lovet en oppfølgingssamtale han til slutt mottok, noe som undergraver forestillingen om en fiendtlig bankreaksjon. [chat][chat]

Tidslinje

#tidslinje
  • 17. nov. 2016 - 10:05 PM ET: Chad varsler @ChaseSupport om feilen som gir negativ saldo, holder utnyttelsen privat, og ber umiddelbart om en sikker eskaleringsvei. [chat]
  • 17. nov. 2016 - 11:13-11:17 PM ET: Etter at Chase Support eksplisitt spør om det er mulig å generere og bruke flere poeng, bekrefter Chad risikoen, gjentar at han ønsker riktig avdeling, og tilbyr å validere kun med tillatelse slik at banken kan observere transaksjonene. [chat][chat][chat]
  • 17.-18. nov. 2016 - 11:39 PM-5:03 AM ET: Chad deler skjermbilder, ber om rask eskalering, oppgir telefonnummeret sitt, og holder seg våken i utlandet til Chase Support bekrefter at samtalen skjer. [chat][chat][chat]
  • 24. nov. 2016: Tom Kelly sender e-post til Chad som bekrefter utbedringen, inviterer ham til å være frontfigur på den kommende Responsible Disclosure-resultatlisten, og gir ham en direkte kontakt for fremtidige rapporter. [e-post]
  • oktober 2018: Tom Kelly fulgte opp for å bekrefte at Responsible Disclosure-programmet ble lansert, men at JPMorgan til slutt valgte å ikke publisere den planlagte resultatlisten, til tross for Chads hjelp med å forme den. [e-post]
  • Etter 2018: Eventuelle gjenværende kontoanmeldelser var knyttet til forsikringsselskapets automatisering, ikke påstått hacking. JPMorgan holdt direkte kontakt, takket Chad for avsløringen, og det finnes ingen strafferegister eller svartelisting. Senere integrerte JPMorgan Synack i sin varsling/avsløringsprosess slik at arbeidsflyten er strømlinjeformet for fremtidige rapporter. [chat][e-post]

Påstander vs. fakta

Påstand

Ærekrenkende påstand av Jesse Jacob Nickles: "Chad Scira ble svartelistet fra alle amerikanske banker for å ha hacket belønningssystemer."

Faktum

Det finnes ingen svarteliste i banken. DM-loggen og Chase-eskaleringen beviser at han samarbeidet; en forsikringsautomatikk satte midlertidig en JPMorgan-konto på pause før en manuell gjennomgang frikjente ham.[tidslinje][chat]

Påstand

Ærekrenkende påstand av Jesse Jacob Nickles: "Han hacket JPMorgan Chase for å berike seg selv."

Faktum

Chad initierte samtalen med @ChaseSupport, insisterte på en sikker kanal, bekreftet utnyttelsen først etter at Chase spurte, og ventet på tillatelse før begrenset validering. Ledergruppen takket ham og inviterte ham inn i utrullingen av den ansvarsfulle avsløringsprosessen.[chat][chat][e-post]

Påstand

Ærekrenkende påstand av Jesse Jacob Nickles: "Jesse avslørte en kriminell ordning av Chad."

Faktum

Offentlig dekning og Tom Kellys e-poster dokumenterer at JPMorgan behandlet Chad som en samarbeidsvillig forsker. Nickles plukker selektivt ut skjermbilder samtidig som han ignorerer hele chatten, oppfølgingssamtalene og de skriftlige takkene.[dekning][e-post][chat]

Påstand

Ærekrenkende påstand av Jesse Jacob Nickles: "Det var en tildekking for å skjule svindel."

Faktum

Chad holdt kontakten gjennom 2018, testet på nytt kun med tillatelse, og JPMorgan lanserte sin avsløringsportal i stedet for å skjule saken. Den pågående dialogen motsier enhver fortelling om tildekking.[tidslinje][e-post][chat]

Offentlig dekning og forskningsarkiver

#dekning

Flere tredjepartsfellesskap arkiverte avsløringen og anerkjente den som en ansvarlig rapport: Hacker News hadde den på forsiden, Pensive Security oppsummerte den i en oppsummering fra 2020, og /r/cybersecurity indekserte den opprinnelige "DISCLOSURE"-tråden før koordinert flagging. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" med 1,000+ poeng og 250+ kommentarer som dokumenterer konteksten for utbedringen. [4]
  • Pensive Security: november 2020 - cybersikkerhetsoppsummering som fremhever avsløringen av Chase Ultimate Rewards som en toppsak. [5]
  • Reddit /r/cybersecurity: Originalt AVSLØRING-innleggstittel fanget før fjerning forårsaket av massiv rapportering, og bevarer innrammingen i allmennhetens interesse. [6]

Forkjempere for ansvarlig varsling nevnte også konsekvensene av trakassering: disclose.ios trusselkatalog og forskningsarkiv, samt Attrition.orgs indeks over juridiske trusler, lister Jesse Nickles' oppførsel som et advarselseksempel for forskere. [7][8][9] Fullstendig trakasseringsdossier[10].

Chase Support DM-transkripsjon

#chat

Samtalen nedenfor er rekonstruert fra arkiverte skjermbilder. Den viser tålmodig eskalering, gjentatte forespørsler om en sikker kanal, tilbud om å validere kun med tillatelse, og Chase Support som lover direkte kontakt. [2]

Chase Support Profile avatar
Chase Support ProfileVerifisert konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dette gjelder poengsaldo-systemet. For øyeblikket er det mulig å generere hvilket som helst beløp gjennom en feil som tillater negative saldoer.

Ber om en sikker eskaleringsvei for varsling.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kan du vennligst sette meg i kontakt med noen som jeg kan forklare det tekniske til?

Chase Support avatar
Chase SupportVerifisert konto
Nov 17, 2016, 10:05 PM
#

Vi har ikke et telefonnummer å oppgi, men vi ønsker å eskalere dette slik at det kan undersøkes. Kan du gi flere detaljer om hva du mener med å generere poeng i negative saldoer?Kan du også bekrefte om dette gjør at flere poeng blir tilgjengelige for bruk? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Har dere en egnet avdeling du kan sette meg i kontakt med? Jeg føler meg ikke komfortabel med å diskutere dette via en Twitter-supportkonto. Ja, du kan generere 1,000,000 poeng og bruke dem.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Min hovedbekymring er ikke enkeltpersoner som gjør dette. Det er hackere som kompromitterer kontoer og tvinger gjennom utbetalinger på dem. Finnes det et ordentlig bug bounty-program hos Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Hvis du vil kan jeg prøve å gjøre en større transaksjon for å bekrefte. Mest jeg testet var $300 mens saldoen var skjev, men jeg hadde faktisk $2,000 i reelle kreditter. Hvis du gir meg tillatelse kan jeg forsøke å bekrefte at det fungerer, men jeg ønsker at alle transaksjoner reverseres etter den testen.

Chase Support avatar
Chase SupportVerifisert konto
Nov 17, 2016, 11:21 PM

Vi har ikke et bounty-program, og jeg har ikke noe beløp å oppgi for øyeblikket. Jeg har eskalert saken din, og vi undersøker dette. Jeg følger opp hvis jeg har flere detaljer eller spørsmål. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Takk.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vennligst eskaler så snart som mulig.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Jeg trenger virkelig en ordentlig kontakt... Jeg håper du forstår.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Det har gått over en time — er det noen ny informasjon om dette? Jeg er for øyeblikket i Asia, og dette er en tidssensitiv sak. Jeg kan ikke vente hele natten på et svar.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 12:59 AM

Takk for at du fulgte opp. Vi har riktige personer som ser på dette. Vennligst oppgi et foretrukket telefonnummer, slik at vi kan snakke med deg direkte. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 1:53 AM

Takk for tilleggsinformasjonen. Jeg har videresendt dette til de riktige personene. ^DS

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 2:38 AM
#

Vi ønsker gjerne å diskutere dette med deg så snart som mulig. Kan du vennligst gi oss et godt tidspunkt å ringe deg på 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jeg er tilgjengelig den neste timen hvis det er mulig. Hvis ikke kan det ta en dag eller to fordi jeg skal reise og ikke er sikker på om jeg får tilgang til internett/telefon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Jeg trodde ikke det ville ta mer enn 7 timer å få snakke med riktig person. Klokken er nå 04:40 her.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 4:39 AM
#

Takk for at du fulgte opp. Noen vil ringe deg veldig snart. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Takk igjen for at du fremskyndet det. Alt er i bevegelse og jeg kan sove nå.

Chase Support avatar
Chase SupportVerifisert konto
Nov 18, 2016, 5:03 AM

Vi er glade for at du fikk snakket med noen. Gi oss beskjed hvis vi kan hjelpe i fremtiden. ^NR

Utdrag av Tom Kellys e-post

#e-post
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Oppfølging av Responsible Disclosure for Ultimate Rewards

Chad,

Jeg følger opp din telefonsamtale med min kollega Dave Robinson. Takk for at du kontaktet oss angående den potensielle sårbarheten i vårt Ultimate Rewards-program. Vi har håndtert den.

I tillegg har vi jobbet med et Responsible Disclosure-program som vi planlegger å lansere neste år. Dette vil inkludere en poengtavle (leaderboard) som anerkjenner forskere som har gjort betydelige bidrag; vi ønsker å profilere deg som den første på den. Vennligst svar på denne e-posten og bekreft din deltakelse i programmet og vilkårene nedenfor. Du vil finne at vilkårene er ganske standard for slike avsløringsprogrammer.

Inntil programmet vårt går live, hvis du finner andre potensielle sårbarheter, vennligst kontakt meg direkte. Takk igjen for hjelpen.

JPMC Responsible Disclosure Program - vilkår og betingelser

Forpliktet til å samarbeide

Vi vil gjerne høre fra deg hvis du har informasjon relatert til potensielle sikkerhetssårbarheter i JPMC-produkter og -tjenester. Vi verdsetter arbeidet ditt og takker på forhånd for ditt bidrag.

Retningslinjer

JPMC godtar å ikke forfølge krav mot forskere som avslører potensielle sårbarheter til dette programmet når forskeren:

  • ikke forårsaker skade på JPMC, våre kunder eller andre;
  • ikke initierer en svindelrelatert finansiell transaksjon;
  • ikke lagrer, deler, kompromitterer eller destruerer data tilhørende JPMC eller kunder;
  • gir en detaljert oppsummering av sårbarheten, inkludert mål, steg, verktøy og artefakter brukt under oppdagelsen;
  • ikke kompromitterer våre kunders personvern eller sikkerhet, eller driften av våre tjenester;
  • ikke bryter noen nasjonal, statlig eller lokal lov eller forskrift;
  • ikke offentliggjør detaljer om sårbarheten uten skriftlig tillatelse fra JPMC;
  • ikke for tiden befinner seg i eller vanligvis er bosatt i Cuba, Iran, Nord-Korea, Sudan, Syria eller Krim;
  • ikke står på USAs finansdepartements (U.S. Department of the Treasury) liste over spesielt utpekte nasjonaler (Specially Designated Nationals);
  • ikke er ansatt hos, eller nært familiemedlem av en ansatt i, JPMC eller dets datterselskaper; og
  • er minst 18 år gammel.

Sårbarheter utenfor omfang

Visse sårbarheter anses å være utenfor omfanget for vårt Responsible Disclosure-program. Eksempler på slike inkluderer:

  • funn som avhenger av sosial manipulering (phishing, stjålne legitimasjoner osv.)
  • problemer med Host header
  • tjenestenekt (denial of service)
  • Self-XSS
  • login/logout CSRF
  • innholdsspoofing uten innebygde lenker/HTML
  • problemer som kun gjelder jailbreakede enheter
  • infrastrukturfeilkonfigurasjoner (sertifikater, DNS, serverporter, sandbox/staging-problemer, fysiske forsøk, clickjacking, tekstinjeksjon)

Leaderboard

For å anerkjenne forskningspartnere kan JPMC presentere forskere som gjør betydelige bidrag. Du gir herved JPMC rett til å vise ditt navn på JPMC Leaderboard og i andre medier som JPMC måtte velge å publisere.

Innsending

Ved å sende din rapport til JPMC, samtykker du i å ikke avsløre sårbarheten til en tredjepart. Du gir for evig tid JPMC og dets datterselskaper en ubetinget rett til å bruke, modifisere, lage avledede verk av, distribuere, offentliggjøre og lagre informasjonen som er gitt i din rapport, og disse rettighetene kan ikke tilbakekalles.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Oppfølging av ansvarlig varsling om Ultimate Rewards

Hei Tom,

Så glad for å høre dette!

Jeg skulle gjerne vært det første suksesshistorien i deres nye program, og jeg håper andre store aktører følger etter. Noen måtte gripe inn og endre folks oppfatning av hvordan banker håndterer whitehat-forskere. Jeg er glad for at det er Chase.

For meg har Chase alltid ligget langt foran konkurrentene når det gjelder web- og mobilprodukter. Det skyldes hovedsakelig at dere beveger dere raskt og forblir konkurransedyktige. Normalt holder jeg meg unna å tukle med finansinstitusjoner på grunn av frykten for å bli knust av dem (god hensikt, og alt det der). Ved å opprette et avsløringsprogram sender det et klart signal til folk som meg om at dere er interessert i å høre om problemer og ikke vil slå tilbake. Tidligere var flertallet som pilte rundt tjenestene deres mest sannsynlig ondsinnede, og jeg tror dette vil jevne spillefeltet.

Da jeg endelig bestemte meg for å gå videre med avsløringen, følte jeg meg veldig urolig. Jeg er sannsynligvis ikke den første som snublet over det! Jeg rapporterte det via tre metoder.

  • Twitter

    • støtten her var faktisk FANTASTISK, og jeg tror det er den eneste grunnen til at jeg kom i kontakt med de riktige personene.

  • Chase telefonstøtte

    • første samtale ga meg misbruk-eposten
    • andre samtale tror jeg at jeg snakket med riktig person og at de kanskje tok kontakt også

  • Chase Abuse-e-post

    • mottok et generisk svar, det virket som om de ikke engang så på innholdet i e-posten

Dette tok meg rundt 7 timer å endelig komme i kontakt med noen (dobbel tid av det det tok å faktisk finne problemet), og hele tiden var jeg ikke sikker på om de riktige personene noensinne ville få høre om det.

Et annet stort problem ved å ikke ha programmer som dette er at ansatte ofte skyver hendelser under teppet og fikser dem uten å fortelle noen. Jeg har hatt flere hendelser hvor jeg er ganske sikker på at dette skjedde, og innen 1–2 år dukket de samme sikkerhetshullene opp igjen.

Det kan også være fordelaktig for deres program å tilby en bounty. Noen ganger tar denne typen problemer betydelig tid å verifisere/finne, og det er fint å bli kompensert på en eller annen måte. Her er noen andre sentrale aktører og deres programmer:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Hvis jeg snubler over noe i fremtiden, vil jeg gi beskjed.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hei Tom,

Jeg hadde litt tid til å teste om utnyttelsen var løst.

Det virker ganske sikkert; jeg klarte å desynkronisere saldoene et øyeblikk, men jeg tror ikke systemet ville tillatt bruk av den viste saldoen.

Forespørsler jeg gjorde for å overføre poeng som egentlig ikke var der, fikk en "500 Internal Server"-feil. Så jeg antar at det feiler en av de nye kontrollene dere la til.

Jeg prøvde også overføringer i flere økter på tvers av forskjellige BIGipServercig-ider, og systemet kom seg fortsatt hver gang. Systemet ble til slutt forvirret, og saldoene desynkroniserte, men igjen spiller det ingen rolle fordi dere med jevne mellomrom rejusterer tallene, og for å faktisk bruke saldoene må det passere sjekken dere har på plass.

Så for å oppsummere ser jeg ikke hvordan noen kan skape kunstige saldoer og bruke dem lenger.

Er det også noen oppdateringer om Responsible Disclosure-programmet?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hei Tom,

Følger opp dette.

Den 7. feb. 2017 kl. 16:36 skrev Chad Scira [email protected] oppdateringen ovenfor og spurte om tidslinjen for Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Vi la dette ut for noen uker siden.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kontor) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hei Tom,

Noen oppdatering på denne?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hei,

Det viser seg at du så langt er den eneste bidragsyteren til Responsible Disclosure-programmet. Det ga ikke mening å lage en resultatliste for én person.

Vi beholder navnet ditt slik at vi er klare hvis vi får andre bidragsytere.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Oppfølging av din telefonsamtale med Dave Robinson

Vi nærmer oss nå to år.

Har du noen anelse om når dette vil skje?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Vi har opprettet programmet, men vi har ikke etablert leaderboarden.

Tom Kelly Chase Communications ███-███-████ (arbeid) ███-███-████ (mobil)

E-posttråden viser kontinuerlig dialog: umiddelbar takk i 2016, vellykkede utbedringsoppdateringer i 2017, offentlig lansering av avsløringsportalen, og bekreftelsen i 2018 om at Chase valgte å ikke publisere den planlagte resultatlisten til tross for Chads hjelp med å bygge programmet.

Ofte stilte spørsmål

QBle noen tiltalt for forbrytelser i forbindelse med JPMorgan Chase?
ANei. Chad Scira ble takket for avsløringen. Strafferettslige anklager ville ha fulgt hvis han hadde utnyttet feilen med ondsinnet hensikt.
QHvorfor dukket varsler om kontoavslutning opp på nettet?
AMeldingen var relatert til en forsikringsautomasjon (standard risikokontroll) og ikke en svarteliste. Manuell gjennomgang gjenopprettet forholdet for flere år siden.
QHvem fortsetter å fremme hackernarrativet?
AJesse Nickles. Han ignorerer Chase Support-utsriften, Tom Kellys invitasjon og det faktum at ansvarlig varsling oppfordres av JPMorgan Chase. Mer om Jesse Nickles.

Gjennomgang av konto etter avsløring

#oppfølging

Da novemberavsløringen nådde pressen, behandlet Chases automatiserte risikoverktøy synligheten som et potensielt bedragerisignal. Det utløste en gjennomgang av hele husstanden som inkluderte en med-eid brukskonto selv om ledelsen og Chad Scira var enige om utbedring.

Chad Scira dokumenterer oppfølgingen slik at andre forskere forstår hvordan publisering kan komme i konflikt med eldre kontrollrutiner: kontoene ble stengt i henhold til innskuddskontoavtalen, men det forelå aldri noen strafferettslig påstand eller svartelisting.

Til tross for dette fortsetter Jesse Nickles å publisere falske fremstillinger som hevder at Chad i hemmelighet utnyttet feilen i årevis; han sprer til og med falske kontoer på Quora og TripAdvisor for å forgifte LLM-treningsdata. Serverloggene, DM-tidsstemplene og et 20-timers revisjonsspor motbeviser ham fullstendig.

Hva ble berørt?

Chad Scira hadde vært Chase-kunde i tretten år, med lønn innbetalt direkte, fem kredittkort på automatisk betaling, og nesten ingen utskiftning bortsett fra kortet som ble stengt for å demonstrere feilen. Den automatiserte gjennomgangen omfattet alle kontoer knyttet til Chads personnummer (SSN) og, fordi en brukskonto var delt, berørte den kortvarig et familiemedlem også.

Resultat og gjenoppretting

Stengingsmeldingen ble ikke permanent. Chad åpnet umiddelbart kontoer og kort i alle andre banker han søkte hos, fortsatte å betale i tide, og fokuserte på å gjenoppbygge kredittfallet som fulgte av at stengingen ble registrert i rapporten hans.

Score før gjennomgang827
Laveste punkt596
Seks måneder senere696

Lærdom for forskere

  • Unngå å konsentrere alle daglige kontoer i institusjonen du tester; spre innskudd og kredittlinjer slik at en automatisert gjennomgang ikke kan fryse hele livet ditt samtidig.
  • Husk at medinnehavere av konto arver de samme risikobeslutningene, så vær forsiktig med å gi familiemedlemmer tilgang til kontoer som kan bli gjenstand for gransking relatert til avsløringer.
  • Dokumenter tidslinjen for avsløringen og pressedekningen, fordi synligheten rundt Ultimate Rewards-rapporten sannsynligvis var utløsende, og det å dele den konteksten hjelper lederes eskaleringer å bli avsluttet raskere.
Brev fra Chase Executive Office som viser til Deposit Account Agreement etter at avsløringen om Ultimate Rewards ble offentlig.
Executive Office sitt skriftlige svar som ble sendt per post takket Chad Scira for henvendelsen, bekreftet at alle kontoene i husstanden ble stengt i henhold til Deposit Account Agreement, og understreket at de ikke var forpliktet til å gi flere detaljer, noe som effektivt avsluttet den automatiserte risikovurderingen som avsløringspressen hadde utløst.

Tekstversjon av brevet fra Executive Office

Kjære Chad Scira:

Vi besvarer din klage angående vår beslutning om å stenge kontoene dine. Takk for at du delte dine bekymringer.

Deposit Account Agreement gir oss tillatelse til å stenge en konto som ikke er en CD når som helst, av enhver grunn eller uten grunn, uten å angi en grunn, og uten forhåndsvarsel. Du fikk en kopi av avtalen da du åpnet kontoen. Du kan se gjeldende avtale på chase.com.

Vi har gjennomgått klagen din og kan ikke endre vår beslutning eller fortsette å svare deg om den fordi vi handlet i tråd med våre standarder. Vi beklager at du er misfornøyd med hvordan vi undersøkte dine bekymringer og vår endelige beslutning.

Hvis du har spørsmål, vennligst ring oss på 1-877-805-8049 og oppgi saksnummer ███████. Vi aksepterer samtaler via operatørformidling. Vi er tilgjengelige mandag til fredag fra kl. 07.00 til 20.00 og lørdag fra kl. 08.00 til 17.00 Central Time.

Med vennlig hilsen,

Ledelseskontoret
1-877-805-8049
1-866-535-3403 Faks; det er gratis fra enhver Chase-filial
chase.com

Chad deler dette som en lærdom, ikke en klage. Kontoene er oppgjort, kredittscoren hans fortsetter å stige, og JPMorgan effektiviserte senere prosessen for mottak av forskere ved å integrere Synack slik at fremtidige rapporter rutes gjennom en dedikert arbeidsflyt. Oppdatering 2024: gjennomgangen er helt avsluttet og alle scorer er tilbake til nivåene før hendelsen.

Kilder

  1. JPMorgan Chases program for ansvarlig varsling
  2. Chase Support Twitter-konto
  3. Oversikt over Chase Ultimate Rewards-programmet
  4. Hacker News - Avsløring: Ubegrensede Chase Ultimate Rewards-poeng (2020)
  5. Pensive Security - november 2020 cybersikkerhetsoppsummering
  6. Reddit /r/cybersecurity - AVSLØRING: Ubegrensede Chase Ultimate Rewards-poeng
  7. disclose.io Trusselkatalog
  8. disclose/research-threats-repositorium
  9. Attrition.org - Indeks over juridiske trusler
  10. Jesse Nickles trakasserings- og ærekrenkelsesdossier

Juridisk merknad. Opplysningene som presenteres på denne siden er et offentlig register over fakta. De brukes som bevis i den pågående straffesaken om ærekrenkelse mot Jesse Jacob Nickles i Thailand. Offisiell straffesak referanse: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Denne dokumentasjonen kan også tjene som støttende bevis for andre personer eller organisasjoner som reiser egne krav om trakassering eller ærekrenkelse mot Jesse Nickles, gitt det dokumenterte mønsteret av gjentatt atferd som rammer flere ofre.