Chad Scira "ਬੈਂਕ ਹੈਕਿੰਗ ਲਈ ਬਲੈਕਲਿਸਟ ਕੀਤਾ ਗਿਆ"

ਇਹ ਪੇਜ਼ Jesse Nickles ਦੀ ਉਸ ਅਫ਼ਵਾਹ ਦੇ ਪਿੱਛੇ ਵਾਪਰੇ ਘਟਨਾਕ੍ਰਮ ਦਾ ਦਰਜਾ ਕਰਦਾ ਹੈ ਕਿ Chad Scira ਨੂੰ "ਹੈਕਿੰਗ ਲਈ ਅਮਰੀਕੀ ਬੈਂਕਾਂ ਤੋਂ ਬਲੈਕਲਿਸਟ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ।" ਇਹ ਵਿਆਖਿਆ ਕਰਦਾ ਹੈ ਕਿ ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਦਾ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਕਿਵੇਂ ਕੀਤਾ ਗਿਆ, JPMorgan Chase ਨੇ ਰਿਪੋਰਟ ਲਈ Chad ਦਾ ਧੰਨਵਾਦ ਕਿਉਂ ਕੀਤਾ, ਅਤੇ ਇਹ ਵੀ ਕਿ ਅਸਥਾਈ ਖਾਤਾ ਰੋਕ ਸਿਰਫ਼ ਪ੍ਰਸ਼ਾਸਕੀ ਸੀ। Jesse Nickles ਲਗਾਤਾਰ ਪੁਰਾਣੇ ਸਬੂਤਾਂ ਨੂੰ ਮੁੜ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਅਪਰਾਧਕ ਮਨਸ਼ਾ ਦਾ ਇਸ਼ਾਰਾ ਕੀਤਾ ਜਾ ਸਕੇ। ਤੱਥ ਇਸਦਾ ਬਿਲਕੁਲ ਉਲਟ ਦਿਖਾਉਂਦੇ ਹਨ: ਵ੍ਹਾਈਟ‑ਹੈਟ ਰਿਪੋਰਟਿੰਗ ਅਤੇ JPMorgan ਨੇਤ੍ਰਿਤਵ ਨਾਲ ਸਹਿਯੋਗ।

ਉਸਦੀ ਤਾਜ਼ਾ ਐਸਕਲੇਸ਼ਨ SlickStack.io 'ਤੇ ਦਿੱਤਾ ਇਕ ਕੋਟ ਹੈ ਜਿਸ ਵਿੱਚ ਉਹ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਮੈਂ "Chase Bank ਦੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਰਿਵਾਰਡ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਹੈਕ ਕਰਨ ਲਈ ਅਮਰੀਕੀ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲੀਆਂ ਏਜੰਸੀਆਂ ਵੱਲੋਂ ਵੀ ਜਾਂਚਿਆ ਗਿਆ ਸੀ, ਜਿੱਥੇ ਉਸਨੇ $70,000 ਦੇ ਫ਼ਰਾਡੂਲੈਂਟ ਟ੍ਰੈਵਲ ਪੌਇੰਟ ਚੋਰੀ ਕੀਤੇ।" ਉਹ ਬਦਨਾਮੀ ਸਿਰਫ਼ ਉਸ ਤੋਂ ਬਾਅਦ ਪੋਸਟ ਕੀਤੀ ਗਈ ਜਦੋਂ ਮੈਂ SlickStack ਦੀਆਂ ਉਹ ਸੁਰੱਖਿਆ ਸਮੱਸਿਆਵਾਂ ਦਾ ਸਬੂਤ ਪ੍ਰਕਾਸ਼ਤ ਕੀਤਾ ਜਿਨ੍ਹਾਂ ਨੂੰ ਉਹ ਠੀਕ ਕਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰਦਾ ਹੈ; ਕੋਈ ਪੌਇੰਟ ਕਦੇ ਵੀ ਚੋਰੀ ਨਹੀਂ ਹੋਏ ਅਤੇ ਨਾ ਹੀ ਕਿਸੇ ਏਜੰਸੀ ਨੇ ਮੇਰੇ ਨਾਲ ਖੁਲਾਸੇ ਬਾਰੇ ਸੰਪਰਕ ਕੀਤਾ। ਉਹ SlickStack ਕ੍ਰੋਨ ਸਬੂਤ ਵੇਖੋ ਜਿਸ ਦੇ ਖ਼ਿਲਾਫ਼ ਉਹ ਬਦਲਾ ਲੈ ਰਿਹਾ ਹੈ.

ਪੂਰਾ ਡਿਸਕਵਰੀ, ਡਿਸਕਲੋਜ਼ਰ ਅਤੇ ਵੈਲਿਡੇਸ਼ਨ ਚੱਕਰ ਵੀਹ ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਹੀ ਪੂਰਾ ਹੋ ਗਿਆ: ਲਗਭਗ ਪੱਚੀ HTTP ਰਿਕਵੀਸਟਾਂ ਨੇ 17 ਨਵੰਬਰ 2016 ਨੂੰ ਰੀਪਰੋਡਕਸ਼ਨ ਅਤੇ DM ਵਾਕਥ੍ਰੂ ਨੂੰ ਕਵਰ ਕੀਤਾ, ਅਤੇ ਫਰਵਰੀ 2017 ਦੀ ਰੀਮੀਡੀਏਸ਼ਨ ਟੈਸਟ ਨੇ ਫਿਕਸ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਆਠ ਵਾਧੂ ਰਿਕਵੀਸਟਾਂ ਵਰਤੀਅਾਂ। ਕੋਈ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਗਲਤ ਵਰਤੋਂ ਨਹੀਂ ਹੋਈ; ਹਰ ਕਾਰਵਾਈ ਨੂੰ ਲੌਗ ਕੀਤਾ ਗਿਆ, ਸਮਾਂ-ਮੁਹਰ ਲਗਾਈ ਗਈ, ਅਤੇ ਰੀਅਲ ਟਾਈਮ ਵਿੱਚ JPMorgan Chase ਨਾਲ ਸਾਂਝੀ ਕੀਤੀ ਗਈ।

Tom Kelly ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ 17 ਨਵੰਬਰ 2016 ਤੋਂ 22 ਸਤੰਬਰ 2017 ਦੇ ਦਰਮਿਆਨ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਕੇਵਲ Chad Scira ਹੀ ਉਹ ਵਿਅਕਤੀ ਸੀ ਜਿਸ ਨੇ JPMorgan Chase ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਢੰਗ ਨਾਲ ਕੋਈ ਮਸਲਾ ਰਿਪੋਰਟ ਕੀਤਾ। ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਪ੍ਰੋਗਰਾਮ Chad ਦੀ ਰਿਪੋਰਟ ਦੇ ਸਿੱਧੇ ਨਤੀਜੇ ਵਜੋਂ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਇਸਨੂੰ ਆਕਾਰ ਦੇਣ ਵਿੱਚ ਉਸ ਨੇ ਕੇਂਦਰੀ ਭੂਮਿਕਾ ਅਦਾ ਕੀਤੀ।

ਡੱਬਲ ਟਰਾਂਸਫਰ ਬਗ ਦੀ ਵਿਜੁਅਲਾਈਜ਼ੇਸ਼ਨ

#ਵਿਜੁਅਲਾਈਜ਼ੇਸ਼ਨ

ਇਹ ਦਰਸਾਉਣ ਲਈ ਕਿ ਖ਼ਾਮੀ ਨੇ ਬੈਲੈਂਸਾਂ ਨੂੰ ਕਿਵੇਂ ਬੇਕਾਬੂ ਹੋ ਕੇ ਵੱਡੇ ਨੈਗੇਟਿਵ ਅਤੇ ਪੌਜ਼ਟਿਵ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ, ਹੇਠਾਂ ਦਿੱਤਾ ਵਿਜੁਅਲਾਈਜ਼ੇਸ਼ਨ ਠੀਕ ਉਹੀ ਡਬਲ-ਟ੍ਰਾਂਸਫਰ ਲਾਜਿਕ ਨੂੰ ਰੀਪਲੇ ਕਰਦਾ ਹੈ। ਵੇਖੋ ਕਿ ਕਿਵੇਂ ਜੋ ਵੀ ਖਾਤਾ ਪੌਜ਼ਟਿਵ ਹੁੰਦਾ ਹੈ, ਉਹ ਭੇਜਣ ਵਾਲਾ ਬਣਦਾ ਹੈ, ਦੋ ਇਕਸਾਰ ਟ੍ਰਾਂਸਫਰ ਕਰਦਾ ਹੈ, ਅਤੇ ਗਹਿਰੇ ਨੈਗੇਟਿਵ ਵਿੱਚ ਖਤਮ ਹੋ ਜਾਂਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਦੋ ਗੁਣਾ ਹੋ ਜਾਂਦਾ ਹੈ। 20 ਰਾਊਂਡਾਂ ਬਾਅਦ ਟੁੱਟਿਆ ਹੋਇਆ ਲੈਜਰ ਨੈਗੇਟਿਵ ਕਾਰਡ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਰੱਦ ਕਰ ਦਿੰਦਾ ਹੈ—ਬਿਲਕੁਲ ਉਹੀ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਐਕਸਪਲੋਇਟ ਨੂੰ ਤੁਰੰਤ ਐਸਕੇਲੇਸ਼ਨ ਦੀ ਲੋੜ ਕਿਉਂ ਸੀ।

ਰਾਊਂਡ 1/20
ਕਾਰਡ A → ਕਾਰਡ B+243,810 ਪੌਇੰਟਸ
ਕਾਰਡ A → ਕਾਰਡ B+243,810 ਪੌਇੰਟਸ
ਕਾਰਡ A
243,810
ਕਾਰਡ B
0
ਡਬਲ ਟ੍ਰਾਂਸਫਰ ਬਰਸਟ
ਟਰਾਂਸਫਰ 1ਟਰਾਂਸਫਰ 2243,810 ਪੌਇੰਟਸ ਹਰ ਇੱਕ
1ਰੇਸ ਕੰਡਿਸ਼ਨ ਕਾਰਨ ਲੈਡਜਰਾਂ ਦੇ ਦੁਬਾਰਾ ਸੰਤੁਲਿਤ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਟ੍ਰਾਂਸਫਰ ਦੋ ਵਾਰ ਹੋ ਜਾਂਦੇ ਸਨ, ਜਿਸ ਨਾਲ ਇੱਕ ਭੇਜਣ ਵਾਲਾ ਇੱਕ ਹੀ ਲੈਣ-ਦੇਣ ਨੂੰ ਬਹੁਤ ਵੱਡੇ ਸਕਾਰਾਤਮਕ ਅਤੇ ਨਕਾਰਾਤਮਕ ਬਕਾਏ ਵਿਚ ਵਾਰੀ-ਵਾਰੀ ਉਲਟ ਸਕਦਾ ਸੀ।
2ਸਹਾਇਤਾ ਟੀਮ ਨੇ ਨੈਗੇਟਿਵ ਕਾਰਡ ਬੰਦ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇ ਦਿੱਤੀ ਜਦੋਂ ਕਿ ਫੁਲਾਏ ਹੋਏ ਪੌਜ਼ਟਿਵ ਬੈਲੈਂਸ ਨੂੰ ਕਾਇਮ ਰੱਖਿਆ ਗਿਆ, ਇਸ ਲਈ ਸਟੇਟਮੈਂਟ ਨੇ ਸਿਰਫ਼ ਨਾਫ਼ੇ ਦਿਖਾਏ ਅਤੇ ਕਰਜ਼ੇ ਨੂੰ ਛੁਪਾ ਦਿੱਤਾ।

ਖਾਤਾ ਬੰਦ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਵੀ, ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਨੇ ਨਕਾਰਾਤਮਕ ਸਰਵਸੰਖੇਪ ਤੋਂ ਪਰੇ ਖਰਚ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ; ਬੰਦ ਕਰਨ ਨਾਲ ਸਿਰਫ਼ ਸਬੂਤ ਮਿਟਾਇਆ ਗਿਆ।

ਮੁੱਖ ਬਿੰਦੂ

  • Chad ਨੇ Chase Support DM ਦੀ ਸ਼ੁਰੂਆਤ ਨੈਗੇਟਿਵ-ਬੈਲੇਂਸ ਐਕਸਪਲੋਇਟ ਦੀ ਨਿੱਜੀ ਰਿਪੋਰਟ ਕਰਕੇ ਕੀਤੀ ਅਤੇ ਤੁਰੰਤ ਹੀ ਤਕਨੀਕੀ ਵੇਰਵੇ ਜਨਤਕ ਪੋਸਟ ਕਰਨ ਦੀ ਬਜਾਏ ਸੁਰੱਖਿਅਤ ਐਸਕਲੇਸ਼ਨ ਰਾਹ ਦੀ ਮੰਗ ਕੀਤੀ। [chat]
  • ਜਦੋਂ ਚੇਜ਼ ਸਪੋਰਟ ਨੇ ਵਰਤੋਂ ਦੇ ਖਾਸ ਵੇਰਵਿਆਂ ਲਈ ਜ਼ੋਰ ਦਿੱਤਾ, ਤਾਂ ਉਸ ਨੇ ਕੇਵਲ ਜਿੰਨਾ ਲੋੜੀਂਦਾ ਸੀ ਉتنا ਹੀ ਐਕਸਪਲੋਇਟ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਅਤੇ ਦੁਬਾਰਾ ਦੱਸਿਆ ਕਿ ਉਹ ਸਹੀ ਸਿਕਿਓਰਟੀ ਟੀਮ ਨਾਲ ਸਿੱਧਾ ਸੰਪਰਕ ਚਾਹੁੰਦਾ ਹੈ। [chat][chat]
  • ਉਸਨੇ ਦਿਖਾਇਆ ਕਿ ਡੁਪਲੀਕੇਟ ਬੈਲੈਂਸਾਂ ਨੂੰ ਨਕਦ ਵਿੱਚ ਬਦਲਿਆ ਜਾ ਸਕਦਾ ਹੈ: Chase ਸਹਾਇਤਾ ਵੱਲੋਂ ਪੁੱਛਣ ਤੋਂ ਬਾਅਦ ਕਿ ਕੀ ਵਾਧੂ ਪੌਇੰਟ ਵਰਤਣ ਜੋਗ ਹੋ ਗਏ ਹਨ, $5,000 ਦੀ ਡਾਇਰੈਕਟ ਡਿਪਾਜ਼ਿਟ ਨੇ ਸਾਬਤ ਕਰ ਦਿੱਤਾ ਕਿ ਲੈਡਜ਼ਰ ਦੇ ਅਪਡੇਟ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਐਕਸਪਲੋਇਟ ਨੂੰ ਨਕਦ ਵਿੱਚ ਤਬਦੀਲ ਕੀਤਾ ਜਾ ਸਕਿਆ। [chat]
  • ਉਸਨੇ ਇਹ ਗੱਲ ਉਜਾਗਰ ਕੀਤੀ ਕਿ ਉਸਦੀ ਪਹਿਲੀ ਤਰਜੀਹ ਸਮਝੋਤੇ ਹੋਏ ਗਾਹਕ ਖਾਤਿਆਂ ਨੂੰ ਖਾਲੀ ਹੋਣ ਤੋਂ ਬਚਾਉਣਾ ਸੀ, ਨਾਂ ਕਿ ਨਿੱਜੀ ਨਫ਼ਾ ਕਮਾਉਣਾ, ਅਤੇ ਉਸਨੇ ਪੁੱਛਿਆ ਕਿ ਕੀ ਕੋਈ ਰਸਮੀ ਬੱਗ ਬਾਊਂਟੀ ਮੌਜੂਦ ਹੈ। [chat]
  • ਉਸਨੇ ਪੇਸ਼ਕਸ਼ ਕੀਤੀ ਕਿ ਉਹ ਸਿਰਫ਼ ਸਪੱਸ਼ਟ ਇਜਾਜ਼ਤ ਨਾਲ ਵੱਡੀ ਤਸਦੀਕ ਕਰੇਗਾ, ਟਾਈਮਸਟੈਂਪ ਕੀਤੀਆਂ ਸਕ੍ਰੀਨਸ਼ਾਟਾਂ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ, ਅਤੇ ਵਿਦੇਸ਼ ਵਿੱਚ ਜਾਗਦਾ ਰਿਹਾ ਜਦ ਤਕ Chase ਨੇ ਐਸਕਲੇਸ਼ਨ ਪੂਰੀ ਨਹੀਂ ਕਰ ਲਈ। [chat][chat][chat]
  • Nickles ਹੁਣ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਮੈਂ ਨੇ $70,000 ਦੇ ਪੌਇੰਟ ਚੋਰੀ ਕੀਤੇ ਅਤੇ ਅਮਰੀਕੀ ਕਾਨੂੰਨੀ ਕਾਰਵਾਈ ਦਾ ਸਾਹਮਣਾ ਕੀਤਾ; Chase ਦੇ ਰਿਕਾਰਡ, Tom Kelly ਦੀ ਈਮੇਲ, ਅਤੇ ਖੁਲਾਸੇ ਦੀ ਟਾਈਮਲਾਈਨ ਇਹ ਸਾਬਤ ਕਰਦੇ ਹਨ ਕਿ ਇਹ ਕਦੇ ਨਹੀਂ ਹੋਇਆ, ਅਤੇ ਇਹ ਦਾਅਵਾ ਤਦ ਹੀ ਸਾਹਮਣੇ ਆਇਆ ਜਦੋਂ ਮੈਂ ਉਸਦੀ ਅਸੁਰੱਖਿਅਤ ਅੱਪਡੇਟ ਲੌਜਿਕ ਨੂੰ ਦਸਤਾਵੇਜ਼ ਬਣਾਉਂਦੇ ਹੋਏ SlickStack cron-risk gist ਪ੍ਰਕਾਸ਼ਤ ਕੀਤਾ। [gist]
  • ਚੇਜ਼ ਸਹਾਇਤਾ ਨੇ ਐਸਕਲੇਸ਼ਨ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਉਸਦਾ ਫ਼ੋਨ ਨੰਬਰ ਮੰਗਿਆ, ਅਤੇ ਉਹ ਫਾਲੋ‑ਅਪ ਕਾਲ ਕਰਨ ਦਾ ਵਾਅਦਾ ਕੀਤਾ ਜੋ ਆਖ਼ਰਕਾਰ ਉਸਨੂੰ ਮਿਲੀ, ਜਿਸ ਨਾਲ ਦੁਸ਼ਮਣਾਨਾ ਬੈਂਕਿੰਗ ਪ੍ਰਤੀਕ੍ਰਿਆ ਦੇ ਦਾਵੇ ਕਮਜ਼ੋਰ ਹੋ ਜਾਂਦੇ ਹਨ। [chat][chat]

ਟਾਈਮਲਾਈਨ

#ਟਾਈਮਲਾਈਨ
  • Nov 17, 2016 - 10:05 PM ET: Chad @ChaseSupport ਨੂੰ ਨੈਗੇਟਿਵ-ਬੈਲੇਂਸ ਖਾਮੀ ਬਾਰੇ ਚੇਤਾਵਨੀ ਦਿੰਦਾ ਹੈ, ਐਕਸਪਲੋਇਟ ਨੂੰ ਨਿੱਜੀ ਰੱਖਦਾ ਹੈ, ਅਤੇ ਤੁਰੰਤ ਹੀ ਸੁਰੱਖਿਅਤ ਐਸਕਲੇਸ਼ਨ ਰਾਹ ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ। [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: ਜਦੋਂ Chase Support ਸਪੱਸ਼ਟ ਤੌਰ ‘ਤੇ ਪੁੱਛਦਾ ਹੈ ਕਿ ਕੀ ਵਾਧੂ ਪਾਇੰਟ ਤਿਆਰ ਕਰਕੇ ਖਰਚੇ ਜਾ ਸਕਦੇ ਹਨ, ਤਾਂ Chad ਖਤਰੇ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ, ਦੁਹਰਾਉਂਦਾ ਹੈ ਕਿ ਉਸ ਨੂੰ ਠੀਕ ਵਿਭਾਗ ਨਾਲ ਗੱਲ ਕਰਨੀ ਹੈ, ਅਤੇ ਸਿਰਫ ਇਜਾਜ਼ਤ ਮਿਲਣ ‘ਤੇ ਹੀ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਬੈਂਕ ਲੈਣ-ਦੇਣ ਨੂੰ ਦੇਖ ਸਕੇ। [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ਸਕ੍ਰੀਨਸ਼ਾਟ ਸਾਂਝੇ ਕਰਦਾ ਹੈ, ਜਲਦੀ ਐਸਕਲੇਸ਼ਨ ਲਈ ਜ਼ੋਰ ਪਾਂਦਾ ਹੈ, ਆਪਣਾ ਫ਼ੋਨ ਨੰਬਰ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਵਿਦੇਸ਼ ਵਿੱਚ ਜਾਗਦਾ ਰਹਿੰਦਾ ਹੈ ਜਦ ਤੱਕ Chase Support ਇਹ ਪੁਸ਼ਟੀ ਨਹੀਂ ਕਰਦਾ ਕਿ ਕਾਲ ਹੋ ਰਹੀ ਹੈ। [chat][chat][chat]
  • Nov 24, 2016: ਟੌਮ ਕੈਲੀ ਨੇ ਚੈਡ ਨੂੰ ਈਮੇਲ ਕਰਕੇ ਨਿਵਾਰਨ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਉਸ ਨੂੰ ਆਉਣ ਵਾਲੀ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਲੀਡਰਬੋਰਡ ਵਿੱਚ ਹੈਡਲਾਈਨ ਕਰਨ ਲਈ ਸੱਦਾ ਦਿੱਤਾ, ਅਤੇ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਲਈ ਉਸਨੂੰ ਸਿੱਧਾ ਸੰਪਰਕ ਨੰਬਰ ਦਿੱਤਾ। [email]
  • October 2018: ਟੌਮ ਕੈਲੀ ਨੇ ਫਾਲੋ-ਅਪ ਕਰਕੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਪ੍ਰੋਗਰਾਮ ਸ਼ੁਰੂ ਹੋ ਗਿਆ ਸੀ ਪਰ ਆਖ਼ਿਰਕਾਰ JPMorgan ਨੇ, ਚੈਡ ਦੀ ਇਸਨੂੰ ਤਿਆਰ ਕਰਨ ਵਿੱਚ ਮਦਦ ਦੇ ਬਾਵਜੂਦ, ਯੋਜਿਤ ਲੀਡਰਬੋਰਡ ਪ੍ਰਕਾਸ਼ਿਤ ਨਾ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ। [email]
  • Post-2018: ਕਿਸੇ ਵੀ ਬਾਕੀ ਰਹਿ ਗਏ ਖਾਤੇ ਦੀ ਸਮੀਖਿਆ ਬੀਮਾ ਕਰਨ ਵਾਲੇ ਦੀ ਆਟੋਮੇਸ਼ਨ ਨਾਲ ਜੁੜੀ ਹੋਈ ਸੀ, ਨਾ ਕਿ ਕਥਿਤ ਹੈਕਿੰਗ ਨਾਲ। ਜੇਪੀ ਮੋਰਗਨ ਨੇ ਸਿੱਧਾ ਸੰਪਰਕ ਬਰਕਰਾਰ ਰੱਖਿਆ, ਖੁਲਾਸੇ ਲਈ ਚੈਡ ਦਾ ਧੰਨਵਾਦ ਕੀਤਾ, ਅਤੇ ਨਾ ਹੀ ਕੋਈ ਅਪਰਾਧਿਕ ਰਿਕਾਰਡ ਹੈ ਅਤੇ ਨਾ ਹੀ ਕੋਈ ਬਲੈਕਲਿਸਟ। ਬਾਅਦ ਵਿੱਚ, ਜੇਪੀ ਮੋਰਗਨ ਨੇ ਆਪਣੇ ਖੁਲਾਸਾ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ Synack ਨੂੰ ਸ਼ਾਮਲ ਕਰ ਲਿਆ ਤਾਂ ਜੋ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਲਈ ਵਰਕਫ਼ਲੋ ਹੋਰ ਸੁਗਮ ਹੋ ਸਕੇ। [chat][email]

ਦਾਅਵੇ ਬਨਾਮ ਤੱਥ

ਦਾਵਾ

ਜੇਸੀ ਜੇਕਬ ਨਿਕਲਜ਼ ਵੱਲੋਂ ਬਦਨਾਮੀਭਰਾ ਦਾਵਾ: "ਚੈਡ ਸਕੀਰਾ ਨੂੰ ਇਨਾਮ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਹੈਕ ਕਰਨ ਕਰਕੇ ਹਰ ਅਮਰੀਕੀ ਬੈਂਕ ਤੋਂ ਬਲੈਕਲਿਸਟ ਕੀਤਾ ਗਿਆ ਸੀ।"

ਤੱਥ

ਕੋਈ ਬੈਂਕ ਬਲੈਕਲਿਸਟ ਮੌਜੂਦ ਨਹੀਂ ਹੈ। DM ਰਿਕਾਰਡ ਅਤੇ Chase ਦੀ ਐਸਕਲੇਸ਼ਨ ਇਹ ਸਾਬਤ ਕਰਦੇ ਹਨ ਕਿ ਉਹ ਸਹਿਯੋਗ ਕਰ ਰਿਹਾ ਸੀ; ਇੱਕ ਬੀਮਾ ਕੰਪਨੀ ਦੀ ਆਟੋਮੇਸ਼ਨ ਨੇ ਹੱਥੋਂ ਸਮੀਖਿਆ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਕੁਝ ਸਮੇਂ ਲਈ ਇੱਕ JPMorgan ਖਾਤਾ ਰੋਕ ਦਿੱਤਾ ਸੀ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਉਸਨੂੰ ਕਲੀਅਰ ਕਰ ਦਿੱਤਾ ਗਿਆ।[timeline][chat]

ਦਾਵਾ

ਜੇਸੀ ਜੇਕਬ ਨਿਕਲਜ਼ ਵੱਲੋਂ ਬਦਨਾਮੀਭਰਾ ਦਾਵਾ: "ਉਸਨੇ ਆਪਣੇ ਲਾਭ ਲਈ JPMorgan Chase ਨੂੰ ਹੈਕ ਕੀਤਾ।"

ਤੱਥ

Chad ਨੇ ਗੱਲਬਾਤ @ChaseSupport ਨਾਲ ਸ਼ੁਰੂ ਕੀਤੀ, ਸੁਰੱਖਿਅਤ ਚੈਨਲ ‘ਤੇ ਅੜਿਆ ਰਿਹਾ, ਸਿਰਫ Chase ਵਲੋਂ ਪੁੱਛਣ ‘ਤੇ ਹੀ ਐਕਸਪਲੋਇਟ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਅਤੇ ਸੀਮਿਤ ਪ੍ਰਮਾਣੀਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇਜਾਜ਼ਤ ਦਾ ਇੰਤਜ਼ਾਰ ਕੀਤਾ। ਸੀਨੀਅਰ ਨੇਤ੍ਰਿਤਵ ਨੇ ਉਸ ਦਾ ਧੰਨਵਾਦ ਕੀਤਾ ਅਤੇ ਉਸਨੂੰ ਰਿਸਪਾਂਸਿਬਲ ਡਿਸਕਲੋਜ਼ਰ ਰੋਲਆਉਟ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਲਈ ਸੱਦਾ ਦਿੱਤਾ।[chat][chat][email]

ਦਾਵਾ

ਜੇਸੀ ਜੇਕਬ ਨਿਕਲਜ਼ ਵੱਲੋਂ ਬਦਨਾਮੀਭਰਾ ਦਾਵਾ: "ਜੇਸੀ ਨੇ ਚੈਡ ਦੀ ਅਪਰਾਧਕ ਯੋਜਨਾ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ।"

ਤੱਥ

ਸਰਵਜਨਿਕ ਕਵਰੇਜ ਅਤੇ Tom Kelly ਦੀਆਂ ਈਮੇਲਾਂ ਦਸਤਾਵੇਜ਼ ਕਰਦੀਆਂ ਹਨ ਕਿ JPMorgan ਨੇ Chad ਨੂੰ ਸਹਿਯੋਗੀ ਰਿਸਰਚਰ ਵਜੋਂ ਟਰੀਟ ਕੀਤਾ। Nickles ਸਕ੍ਰੀਨਸ਼ਾਟਾਂ ਨੂੰ ਚੁਣਕੇ ਦਿਖਾਉਂਦਾ ਹੈ ਜਦੋਂ ਕਿ ਉਹ ਪੂਰੀ ਚੈਟ, ਫਾਲੋ-ਅੱਪ ਕਾਲਾਂ ਅਤੇ ਲਿਖਤੀ ਧੰਨਵਾਦ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦਾ ਹੈ।[coverage][email][chat]

ਦਾਵਾ

ਜੇਸੀ ਜੇਕਬ ਨਿਕਲਜ਼ ਵੱਲੋਂ ਬਦਨਾਮੀਭਰਾ ਦਾਵਾ: "ਧੋਖਾਧੜੀ ਨੂੰ ਲੁਕਾਉਣ ਲਈ ਇੱਕ ਕਵਰ‑ਅਪ ਸੀ।"

ਤੱਥ

Chad 2018 ਤੱਕ ਸੰਪਰਕ ਵਿੱਚ ਰਿਹਾ, ਸਿਰਫ ਇਜਾਜ਼ਤ ਨਾਲ ਮੁੜ-ਟੈਸਟ ਕੀਤਾ, ਅਤੇ JPMorgan ਨੇ ਮੁੱਦੇ ਨੂੰ ਦਬਾਉਣ ਦੀ ਬਜਾਏ ਆਪਣਾ ਡਿਸਕਲੋਜ਼ਰ ਪੋਰਟਲ ਲਾਂਚ ਕੀਤਾ। ਇਹ ਲਗਾਤਾਰ ਸੰਵਾਦ ਕਿਸੇ ਵੀ ਕਵਰ-ਅੱਪ ਦੀ ਕਹਾਣੀ ਨਾਲ ਵਿਰੋਧ ਕਰਦਾ ਹੈ।[timeline][email][chat]

ਸਰਵਜਨਿਕ ਕਵਰੇਜ ਅਤੇ ਰਿਸਰਚ ਆਰਕਾਈਵ

#ਕਵਰੇਜ

ਕਈ ਤੀਜੀ-ਪੱਖੀ ਕਮਿਊਨਿਟੀਆਂ ਨੇ ਖੁਲਾਸੇ ਨੂੰ ਆਰਕਾਈਵ ਕੀਤਾ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਜ਼ਿੰਮੇਵਾਰ ਰਿਪੋਰਟ ਵਜੋਂ ਸਵੀਕਾਰਿਆ: Hacker News ਨੇ ਇਸਨੂੰ ਫਰੰਟ ਪੇਜ ‘ਤੇ ਦਰਸਾਇਆ, Pensive Security ਨੇ ਇਸਦਾ 2020 ਸਾਈਬਰਸੁਰੱਖਿਆ ਰਾਊਂਡਅੱਪ ਵਿੱਚ ਖੁਲਾਸਾ ਕੀਤਾ, ਅਤੇ /r/cybersecurity ਨੇ ਤਾਲਮੇਲਵਾਰੀ ਫਲੈਗਿੰਗ ਤੋਂ ਪਹਿਲਾਂ ਮੂਲ "DISCLOSURE" ਥ੍ਰੈਡ ਨੂੰ ਇੰਡੈਕਸ ਕੀਤਾ। [4][5][6]

  • Hacker News: "ਖੁਲਾਸਾ: ਅਨਲਿਮਿਟਿਡ Chase Ultimate Rewards ਪੌਇੰਟਸ" ਜਿਸ ਵਿੱਚ 1,000+ ਪੌਇੰਟਸ ਅਤੇ 250+ ਟਿੱਪਣੀਆਂ ਹਨ ਜੋ ਰਿਮੀਡੀਏਸ਼ਨ ਸੰਦਰਭ ਨੂੰ ਦਸਤਾਵੇਜ਼ਬੰਦ ਕਰਦੀਆਂ ਹਨ। [4]
  • Pensive Security: ਨਵੰਬਰ 2020 ਸਾਈਬਰਸੁਰੱਖਿਆ ਰਾਊਂਡਅੱਪ, ਜਿਸ ਵਿੱਚ Chase Ultimate Rewards ਖੁਲਾਸੇ ਨੂੰ ਸਿਖਰਲੀ ਕਹਾਣੀ ਵਜੋਂ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਹੈ। [5]
  • Reddit /r/cybersecurity: ਮੂਲ DISCLOSURE ਪੋਸਟ ਦਾ ਸਿਰਲੇਖ, ਜੋ ਹਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ (ਜੋ ਵੱਡੀ ਗਿਣਤੀ ਰਿਪੋਰਟਾਂ ਕਾਰਨ ਹੋਇਆ) ਕੈਪਚਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਜਨਹਿਤ-ਕੇਂਦ੍ਰਿਤ ਪ੍ਰਸਤੁਤੀਕਰਨ ਸੁਰੱਖਿਅਤ ਰਹਿੰਦਾ ਹੈ। [6]

ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਦੇ ਸਮਰਥਕਾਂ ਨੇ ਹਿਰਾਸਤ ਦੇ ਨਤੀਜਿਆਂ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕੀਤਾ: disclose.io ਦੀ ਧਮਕੀ ਡਾਇਰੈਕਟਰੀ ਅਤੇ ਰਿਸਰਚ ਰਿਪੋਜ਼ਿਟਰੀ, ਨਾਲ ਹੀ Attrition.org ਦੀ ਕਾਨੂੰਨੀ ਧਮਕੀਆਂ ਦੀ ਇੰਡੈਕਸਿੰਗ, ਵਿੱਚ Jesse Nickles ਦੇ ਵਿਹਾਰ ਨੂੰ ਰਿਸਰਚਰਾਂ ਲਈ ਚੇਤਾਵਨੀਕਾਰੀ ਉਦਾਹਰਨ ਵਜੋਂ ਦਰਜ ਕੀਤਾ ਗਿਆ ਹੈ। [7][8][9] ਪੂਰਾ ਤੰਗ‑ਪਰੇਸ਼ਾਨੀ ਡੌਸੀਏ[10].

ਚੇਜ਼ ਸਹਾਇਤਾ ਡੀਐਮ ਟ੍ਰਾਂਸਕ੍ਰਿਪਟ

#ਚੈਟ

ਹੇਠਾਂ ਦਿੱਤੀ ਗੱਲਬਾਤ ਆਰਕਾਈਵ ਕੀਤੀਆਂ ਸਕ੍ਰੀਨਸ਼ਾਟਾਂ ਤੋਂ ਮੁੜ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਧੀਰਜ ਨਾਲ ਕੀਤੀ ਗਈ ਐਸਕੇਲੇਸ਼ਨ, ਸੁਰੱਖਿਅਤ ਚੈਨਲ ਲਈ ਵਾਰ-ਵਾਰ ਬੇਨਤੀਆਂ, ਸਿਰਫ਼ ਇਜਾਜ਼ਤ ਨਾਲ ਵੈਰੀਫਿਕੇਸ਼ਨ ਦੀ ਪੇਸ਼ਕਸ਼, ਅਤੇ Chase ਸਪੋਰਟ ਵੱਲੋਂ ਸਿੱਧੇ ਸੰਪਰਕ ਦਾ ਵਾਅਦਾ ਦਰਸਾਉਂਦੀ ਹੈ। [2]

Chase Support Profile avatar
Chase Support Profileਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ਇਹ ਪੌਇੰਟਾਂ ਦੇ ਬੈਲੈਂਸ ਸਿਸਟਮ ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ। ਇਸ ਵੇਲੇ ਇੱਕ ਬੱਗ ਦੇ ਕਾਰਨ, ਜੋ ਨੈਗੇਟਿਵ ਬੈਲੈਂਸ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਕਿਸੇ ਵੀ ਰਕਮ ਨੂੰ ਜਨਰੇਟ ਕਰਨਾ ਸੰਭਵ ਹੈ।

ਖੁਲਾਸੇ ਲਈ ਸੁਰੱਖਿਅਤ ਐਸਕਲੇਸ਼ਨ ਮਾਰਗ ਦੀ ਬੇਨਤੀ।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ਕੀ ਤੁਸੀਂ ਕਿਰਪਾ ਕਰਕੇ ਮੈਨੂੰ ਕਿਸੇ ਅਜਿਹੇ ਵਿਅਕਤੀ ਨਾਲ ਸੰਪਰਕ ਵਿੱਚ ਕਰ ਸਕਦੇ ਹੋ ਜਿਸਨੂੰ ਮੈਂ ਤਕਨੀਕੀ ਪੱਖ ਸਮਝਾ ਸਕਾਂ?

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 17, 2016, 10:05 PM
#

ਸਾਡੇ ਕੋਲ ਦੇਣ ਲਈ ਕੋਈ ਫੋਨ ਨੰਬਰ ਨਹੀਂ ਹੈ, ਪਰ ਅਸੀਂ ਇਹ ਜ਼ਰੂਰ ਅੱਗੇ ਭੇਜਣਾ ਚਾਹੁੰਦੇ ਹਾਂ ਤਾਂ ਜੋ ਇਸਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਸਕੇ। ਕੀ ਤੁਸੀਂ ਇਹ ਸਪਸ਼ਟ ਕਰਨ ਲਈ ਹੋਰ ਵੇਰਵਾ ਦੇ ਸਕਦੇ ਹੋ ਕਿ ਨਕਾਰਾਤਮਕ ਬਕਾਇਆ ਰਕਮ ਵਿੱਚ ਪੌਇੰਟ ਜਨਰੇਟ ਕਰਨ ਨਾਲ ਤੁਹਾਡਾ ਕੀ ਅਰਥ ਹੈ?ਕੀ ਤੁਸੀਂ ਇਹ ਵੀ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਕੀ ਇਸ ਨਾਲ ਵਾਧੂ ਪਾਇੰਟ ਵਰਤੋਂ ਲਈ ਉਪਲਬਧ ਹੋ ਜਾਂਦੇ ਹਨ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ਕੀ ਤੁਹਾਡੇ ਕੋਲ ਕੋਈ ਢੰਗ ਦਾ ਵਿਭਾਗ ਹੈ ਜਿਸ ਨਾਲ ਤੁਸੀਂ ਮੈਨੂੰ ਸੰਪਰਕ ਕਰਵਾ ਸਕਦੇ ਹੋ? ਮੈਂ ਇਹ ਗੱਲ ਟਵਿੱਟਰ ਸਹਾਇਤਾ ਖਾਤੇ ਰਾਹੀਂ ਚਰਚਾ ਕਰਨ ਵਿੱਚ ਸੁਵਿਧਾਜਨਕ ਮਹਿਸੂਸ ਨਹੀਂ ਕਰਦਾ/ਕਰਦੀ। ਹਾਂ, ਤੁਸੀਂ 1,000,000 ਅੰਕ ਤਿਆਰ ਕਰ ਸਕਦੇ ਹੋ ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਵਰਤ ਸਕਦੇ ਹੋ।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ਮੇਰੀ ਮੁੱਖ ਚਿੰਤਾ ਇਹ ਨਹੀਂ ਕਿ ਵਿਅਕਤੀ ਅਜਿਹਾ ਕਰ ਰਹੇ ਹਨ। ਗੱਲ ਹੈਕਰਾਂ ਦੀ ਹੈ ਜੋ ਖਾਤਿਆਂ ਨੂੰ ਕਾਮਪ੍ਰੋਮਾਈਜ਼ ਕਰਦੇ ਹਨ ਅਤੇ ਉਨ੍ਹਾਂ ‘ਤੇ ਭੁਗਤਾਨ ਜਬਰਨ ਕਰਵਾਂਦੇ ਹਨ। ਕੀ ਕੋਈ ਢੰਗ ਨਾਲ ਸਥਾਪਿਤ Chase ਬੱਗ ਬਾਊਂਟੀ ਪ੍ਰੋਗਰਾਮ ਮੌਜੂਦ ਹੈ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

ਜੇ ਤੁਸੀਂ ਚਾਹੋ ਤਾਂ ਮੈਂ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਵੱਡਾ ਟ੍ਰਾਂਜ਼ੈਕਸ਼ਨ ਅਜਮਾ ਸਕਦਾ ਹਾਂ। ਸਭ ਤੋਂ ਵੱਧ ਜੋ ਮੈਂ ਟੈਸਟ ਕੀਤਾ ਸੀ ਉਹ $300 ਸੀ ਜਦੋਂ ਬੈਲੈਂਸ ਖਿਸਕਿਆ ਹੋਇਆ ਸੀ, ਪਰ ਅਸਲ ਵਿੱਚ ਮੇਰੇ ਕੋਲ $2,000 ਦੇ ਹਕੀਕਤੀ ਕਰੈਡਿਟ ਸਨ। ਜੇ ਤੁਸੀਂ ਮੈਨੂੰ ਇਜਾਜ਼ਤ ਦਿਓ ਤਾਂ ਮੈਂ ਇਹ ਯਕੀਨੀ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦਾ ਹਾਂ ਕਿ ਇਹ ਕੰਮ ਕਰਦਾ ਹੈ, ਪਰ ਮੈਂ ਚਾਹਾਂਗਾ ਕਿ ਉਸ ਟੈਸਟ ਤੋਂ ਬਾਅਦ ਸਾਰੇ ਟ੍ਰਾਂਜ਼ੈਕਸ਼ਨ ਰਿਵਰਸ ਕਰ ਦਿੱਤੇ ਜਾਣ।

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 17, 2016, 11:21 PM

ਸਾਡੇ ਕੋਲ ਬਾਊਂਟੀ ਪ੍ਰੋਗਰਾਮ ਨਹੀਂ ਹੈ, ਅਤੇ ਇਸ ਵੇਲੇ ਮੇਰੇ ਕੋਲ ਦੇਣ ਲਈ ਕੋਈ ਰਕਮ ਨਹੀਂ ਹੈ। ਮੈਂ ਤੁਹਾਡੀ ਚਿੰਤਾ ਨੂੰ ਅੱਗੇ ਭੇਜ ਦਿੱਤਾ ਹੈ ਅਤੇ ਅਸੀਂ ਇਸਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਹਾਂ। ਜੇ ਮੇਰੇ ਕੋਲ ਹੋਰ ਵੇਰਵਾ ਜਾਂ ਸਵਾਲ ਹੋਏ ਤਾਂ ਮੈਂ ਫਾਲੋ-ਅਪ ਕਰਾਂਗਾ। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ਧੰਨਵਾਦ।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

ਕਿਰਪਾ ਕਰਕੇ ਇਸਨੂੰ ਜਲਦੀ ਤੋਂ ਜਲਦੀ ਐਸਕਲੇਟ ਕਰੋ।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ਮੈਨੂੰ ਸੱਚਮੁੱਚ ਇਕ ਢੰਗ ਦਾ ਸੰਪਰਕ ਚਾਹੀਦਾ ਹੈ... ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਤੁਸੀਂ ਸਮਝੋਗੇ।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ਇੱਕ ਘੰਟੇ ਤੋਂ ਵੱਧ ਹੋ ਗਿਆ ਹੈ, ਕੀ ਇਸ ਬਾਰੇ ਕੋਈ ਖ਼ਬਰ ਹੈ? ਮੈਂ ਇਸ ਵੇਲੇ ਏਸ਼ੀਆ ਵਿੱਚ ਹਾਂ, ਅਤੇ ਇਹ ਸਮੇਂ-ਸੰਵੇਦਨਸ਼ੀਲ ਮਾਮਲਾ ਹੈ। ਮੈਂ ਜਵਾਬ ਲਈ ਸਾਰੀ ਰਾਤ ਇੰਤਜ਼ਾਰ ਨਹੀਂ ਕਰ ਸਕਦਾ।

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 18, 2016, 12:59 AM

ਫਾਲੋਅਪ ਲਈ ਧੰਨਵਾਦ। ਅਸੀਂ ਇਸ ਦੀ ਜਾਂਚ ਲਈ ਉਚਿਤ ਲੋਕਾਂ ਨੂੰ ਲਗਾ ਦਿੱਤਾ ਹੈ। ਕਿਰਪਾ ਕਰਕੇ ਆਪਣਾ ਪਸੰਦੀਦਾ ਸੰਪਰਕ ਨੰਬਰ ਦਿਓ, ਤਾਂ ਜੋ ਅਸੀਂ ਤੁਹਾਡੇ ਨਾਲ ਸਿੱਧੀ ਗੱਲਬਾਤ ਕਰ ਸਕੀਏ। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 18, 2016, 1:53 AM

ਵਧੀਕ ਜਾਣਕਾਰੀ ਲਈ ਧੰਨਵਾਦ। ਮੈਂ ਇਹ ਸਹੀ ਲੋਕਾਂ ਤੱਕ ਭੇਜ ਦਿੱਤਾ ਹੈ। ^DS

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 18, 2016, 2:38 AM
#

ਅਸੀਂ ਤੁਹਾਡੇ ਨਾਲ ਇਹ ਗੱਲ ਸਭ ਤੋਂ ਜਲਦੀ ਸੰਭਵ ਹੋ ਸਕੇ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਾਂ। ਕੀ ਤੁਸੀਂ ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ ਉਹ ਸਮਾਂ ਦੱਸ ਸਕਦੇ ਹੋ ਜਦੋਂ ਅਸੀਂ ਤੁਹਾਨੂੰ 1-███-███-████ ’ਤੇ ਕਾਲ ਕਰ ਸਕੀਏ? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ਮੈਂ ਅਗਲੇ ਇਕ ਘੰਟੇ ਲਈ ਉਪਲਬਧ ਹਾਂ ਜੇ ਇਹ ਸੰਭਵ ਹੋਵੇ। ਨਹੀਂ ਤਾਂ ਸ਼ਾਇਦ ਇਕ-ਦੋ ਦਿਨ ਲੱਗ ਸਕਦੇ ਹਨ ਕਿਉਂਕਿ ਮੈਂ ਯਾਤਰਾ ਕਰ ਰਿਹਾ ਹੋਵਾਂਗਾ ਅਤੇ ਪੱਕਾ ਨਹੀਂ ਕਿ ਮੇਰੇ ਕੋਲ ਇੰਟਰਨੈੱਟ/ਫ਼ੋਨ ਐਕਸੈੱਸ ਹੋਵੇਗੀ ਜਾ ਨਹੀਂ।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ਮੈਂ ਨਹੀਂ سوچਿਆ ਸੀ ਕਿ ਸਹੀ ਵਿਅਕਤੀ ਨਾਲ ਗੱਲ ਕਰਨ ਵਿੱਚ 7+ ਘੰਟੇ ਲੱਗ ਜਾਣਗੇ। ਇੱਥੇ ਹੁਣ 4:40 ਵਜੇ ਸਵੇਰ ਹੋ ਚੁੱਕੇ ਹਨ।

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 18, 2016, 4:39 AM
#

ਫਾਲੋਅਪ ਲਈ ਧੰਨਵਾਦ। ਕੋਈ ਤੁਹਾਨੂੰ ਬਹੁਤ ਜਲਦੀ ਕਾਲ ਕਰੇਗਾ। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

ਇਸਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਦੁਬਾਰਾ ਧੰਨਵਾਦ। ਹੁਣ ਸਭ ਕੁਝ ਚੱਲ ਪਿਆ ਹੈ ਅਤੇ ਮੈਂ ਹੁਣ ਆਰਾਮ ਨਾਲ ਸੋ ਸਕਦਾ ਹਾਂ।

Chase Support avatar
Chase Supportਤਸਦੀਕਸ਼ੁਦਾ ਖਾਤਾ
Nov 18, 2016, 5:03 AM

ਸਾਨੂੰ ਖੁਸ਼ੀ ਹੈ ਕਿ ਤੁਸੀਂ ਕਿਸੇ ਨਾਲ ਗੱਲ ਕਰ ਸਕੇ। ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ ਦੱਸਣਾ ਜੇ ਅਸੀਂ ਭਵਿੱਖ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕੀਏ। ^NR

ਟੌਮ ਕੈਲੀ ਈਮੇਲ ਅੰਸ਼

#ਈਮੇਲ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਫਾਲੋ-ਅਪ

Chad,

ਮੈਂ ਤੁਹਾਡੀ ਮੇਰੇ ਸਹਿਕਰਮੀ Dave Robinson ਨਾਲ ਫੋਨ ਕਾਲ ਬਾਰੇ ਫਾਲੋ-ਅੱਪ ਕਰ ਰਿਹਾ ਹਾਂ। ਸਾਡੇ Ultimate Rewards ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਸੰਭਾਵਿਤ ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਸਾਨੂੰ ਸੰਪਰਕ ਕਰਨ ਲਈ ਤੁਹਾਡਾ ਧੰਨਵਾਦ। ਅਸੀਂ ਇਸ ਦਾ ਹੱਲ ਕਰ ਦਿੱਤਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਸੀਂ ਇੱਕ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ‘ਤੇ ਕੰਮ ਕਰ ਰਹੇ ਹਾਂ ਜਿਸਨੂੰ ਅਸੀਂ ਅਗਲੇ ਸਾਲ ਲਾਂਚ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾਈ ਹੈ। ਇਸ ਵਿੱਚ ਇੱਕ ਲੀਡਰਬੋਰਡ ਸ਼ਾਮਲ ਹੋਵੇਗੀ ਜੋ ਉਹਨਾਂ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸਨਮਾਨ ਦੇਵੇਗੀ ਜਿਨ੍ਹਾਂ ਮਹੱਤਵਪੂਰਣ ਯੋਗਦਾਨ ਪਾਇਆ ਹੈ; ਅਸੀਂ ਚਾਹੁੰਦੇ ਹਾਂ ਕਿ ਤੁਹਾਨੂੰ ਇਸ ‘ਤੇ ਪਹਿਲੇ ਵਿਅਕਤੀ ਵਜੋਂ ਦਰਸਾਇਆ ਜਾਵੇ। ਕਿਰਪਾ ਕਰਕੇ ਇਸ ਈਮੇਲ ਦਾ ਜਵਾਬ ਦੇ ਕੇ ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਆਪਣੀ ਭਾਗੀਦਾਰੀ ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਸ਼ਰਤਾਂ ਅਤੇ ਨਿਯਮਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ। ਤੁਹਾਨੂੰ ਇਹ ਸ਼ਰਤਾਂ ਜ਼ਿਆਦਾਤਰ ਡਿਸਕਲੋਜ਼ਰ ਪ੍ਰੋਗਰਾਮਾਂ ਲਈ ਕਾਫ਼ੀ ਮਿਆਰੀ ਮਿਲਣਗੀਆਂ।

ਜਦ ਤੱਕ ਸਾਡਾ ਪ੍ਰੋਗਰਾਮ ਲਾਈਵ ਨਹੀਂ ਹੋ ਜਾਂਦਾ, ਜੇ ਤੁਸੀਂ ਹੋਰ ਕੋਈ ਸੰਭਾਵਿਤ ਕਮਜ਼ੋਰੀ ਲੱਭੋ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸਿੱਧੇ ਮੇਰੇ ਨਾਲ ਸੰਪਰਕ ਕਰੋ। ਤੁਹਾਡੀ ਮਦਦ ਲਈ ਇੱਕ ਵਾਰ ਫਿਰ ਧੰਨਵਾਦ।

JPMC Responsible Disclosure Program ਸ਼ਰਤਾਂ ਅਤੇ ਨਿਯਮ

ਇੱਕੱਠੇ ਕੰਮ ਕਰਨ ਲਈ ਵਚਨਬੱਧ

ਜੇ ਤੁਹਾਡੇ ਕੋਲ JPMC ਉਤਪਾਦਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਦੀਆਂ ਸੰਭਾਵਿਤ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਸੰਬੰਧਤ ਜਾਣਕਾਰੀ ਹੈ, ਤਾਂ ਅਸੀਂ ਤੁਹਾਡੇ ਤੋਂ ਸੁਣਨਾ ਚਾਹੁੰਦੇ ਹਾਂ। ਅਸੀਂ ਤੁਹਾਡੇ ਕੰਮ ਦੀ ਕਦਰ ਕਰਦੇ ਹਾਂ ਅਤੇ ਪਹਿਲਾਂ ਹੀ ਤੁਹਾਡੇ ਯੋਗਦਾਨ ਲਈ ਧੰਨਵਾਦ ਕਰਦੇ ਹਾਂ।

ਦਿਸ਼ਾ-ਨੀਰਦੇਸ਼

JPMC ਉਹ ਖੋਜਕਰਤਾ ਜਿਸ ਬਾਰੇ:

  • JPMC, ਸਾਡੇ ਗਾਹਕਾਂ ਜਾਂ ਹੋਰ ਕਿਸੇ ਨੂੰ ਨੁਕਸਾਨ ਨਹੀਂ ਪਹੁੰਚਾਂਦਾ;
  • ਕੋਈ ਧੋਕਾਧੜੀ ਵਾਲਾ ਵਿੱਤੀ ਲੈਣ-ਦੇਣ ਸ਼ੁਰੂ ਨਹੀਂ ਕਰਦਾ;
  • JPMC ਜਾਂ ਗਾਹਕ ਡਾਟਾ ਨੂੰ ਸਟੋਰ, ਸਾਂਝਾ, ਸਮਝੌਤਾ ਜਾਂ ਨਸ਼ਟ ਨਹੀਂ ਕਰਦਾ;
  • ਨਿਸ਼ਾਨੇ, ਕਦਮ, ਟੂਲਾਂ ਅਤੇ ਖੋਜ ਦੌਰਾਨ ਵਰਤੇ ਗਏ ਆਰਟੀਫੈਕਟ ਸਮੇਤ ਕਮਜ਼ੋਰੀ ਦੀ ਵਿਸਥਾਰਪੂਰਕ ਸੰਖੇਪ ਰਿਪੋਰਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ;
  • ਸਾਡੇ ਗਾਹਕਾਂ ਦੀ ਗੋਪਨੀਯਤਾ ਜਾਂ ਸੁਰੱਖਿਆ ਅਤੇ ਸਾਡੀਆਂ ਸੇਵਾਵਾਂ ਦੇ ਆਪਰੇਸ਼ਨ ਨਾਲ ਸਮਝੌਤਾ ਨਹੀਂ ਕਰਦਾ;
  • ਕਿਸੇ ਵੀ ਰਾਸ਼ਟਰੀ, ਰਾਜ ਜਾਂ ਸਥਾਨਕ ਕਾਨੂੰਨ ਜਾਂ ਨਿਯਮ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਕਰਦਾ;
  • JPMC ਦੀ ਲਿਖਤੀ ਇਜਾਜ਼ਤ ਤੋਂ ਬਿਨਾਂ ਕਮਜ਼ੋਰੀ ਦੇ ਵੇਰਵੇ ਜਨਤਕ ਤੌਰ ‘ਤੇ ਪ੍ਰਕਾਸ਼ਤ ਨਹੀਂ ਕਰਦਾ;
  • ਇਸ ਵੇਲੇ ਕਿਊਬਾ, ਇਰਾਨ, ਉੱਤਰੀ ਕੋਰੀਆ, ਸੁਡਾਨ, ਸੀਰੀਆ ਜਾਂ ਕ੍ਰਾਈਮੀਆ ਵਿੱਚ ਸਥਿਤ ਜਾਂ ਉੱਥੇ ਦਾ ਸਧਾਰਨ ਵਸਨੀਕ ਨਹੀਂ ਹੈ;
  • ਅਮਰੀਕੀ Department of the Treasury ਦੀ Specially Designated Nationals List ‘ਤੇ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ;
  • JPMC ਜਾਂ ਇਸ ਦੀਆਂ ਸਹਾਇਕ ਕੰਪਨੀਆਂ ਦਾ ਕਰਮਚਾਰੀ ਜਾਂ ਕਰਮਚਾਰੀ ਦਾ ਨਜ਼ਦੀਕੀ ਪਰਿਵਾਰਕ ਮੈਂਬਰ ਨਹੀਂ ਹੈ; ਅਤੇ
  • ਘੱਟੋ-ਘੱਟ 18 ਸਾਲ ਦੀ ਉਮਰ ਦਾ ਹੈ, ਇਸ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਖੁਲਾਸਾ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਖ਼ਿਲਾਫ਼ ਦਾਅਵੇ ਨਾ ਕਰਨ ‘ਤੇ ਸਹਿਮਤ ਹੈ।

ਸਕੋਪ ਤੋਂ ਬਾਹਰ ਕਮਜ਼ੋਰੀਆਂ

ਕੁਝ ਕਮਜ਼ੋਰੀਆਂ ਸਾਡੇ Responsible Disclosure Program ਲਈ ਸਕੋਪ ਤੋਂ ਬਾਹਰ ਮੰਨੀ ਜਾਂਦੀਆਂ ਹਨ। ਸਕੋਪ ਤੋਂ ਬਾਹਰ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚ ਇਹ ਸ਼ਾਮਲ ਹਨ:

  • ਸੋਸ਼ਲ-ਇੰਜੀਨੀਅਰਿੰਗ ‘ਤੇ ਨਿਰਭਰ ਖੋਜ (ਫ਼ਿਸ਼ਿੰਗ, ਚੋਰੀ ਹੋਏ ਕ੍ਰੈਡੈਂਸ਼ਲ ਆਦਿ)
  • ਹੋਸਟ ਹੈਡਰ ਸਮੱਸਿਆਵਾਂ
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • ਬਿਨਾਂ ਏਮਬੈਡਿਡ ਲਿੰਕ/HTML ਵਾਲਾ ਕੰਟੈਂਟ ਸਪੂਫਿੰਗ
  • ਸਿਰਫ਼ ਜੇਲਬਰੋਕਨ ਡਿਵਾਈਸ ‘ਤੇ ਆਉਣ ਵਾਲੀਆਂ ਸਮੱਸਿਆਵਾਂ
  • ਇੰਫ੍ਰਾਸਟ੍ਰਕਚਰ ਦੀਆਂ ਗ਼ਲਤ ਕਨਫਿਗਰੇਸ਼ਨ (ਸਰਟੀਫਿਕੇਟ, DNS, ਸਰਵਰ ਪੋਰਟ, ਸੈਂਡਬਾਕਸ/ਸਟੇਜਿੰਗ ਸਮੱਸਿਆਵਾਂ, ਫਿਜ਼ਿਕਲ ਕੋਸ਼ਿਸ਼ਾਂ, ਕਲਿਕਜੈਕਿੰਗ, ਟੈਕਸਟ ਇੰਜੈਕਸ਼ਨ)

ਲੀਡਰਬੋਰਡ

ਖੋਜ ਸਾਥੀਆਂ ਨੂੰ ਸਨਮਾਨਿਤ ਕਰਨ ਲਈ, JPMC ਉਹ ਖੋਜਕਰਤਾ ਦਰਸਾ ਸਕਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ਮਹੱਤਵਪੂਰਣ ਯੋਗਦਾਨ ਪਾਇਆ ਹੈ। ਤੁਸੀਂ ਇੱਥੇ JPMC ਨੂੰ ਅਧਿਕਾਰ ਦਿੰਦੇ ਹੋ ਕਿ ਉਹ ਤੁਹਾਡਾ ਨਾਮ JPMC ਲੀਡਰਬੋਰਡ ਅਤੇ ਹੋਰ ਕਿਸੇ ਵੀ ਮੀਡੀਆ ‘ਤੇ, ਜਿਸਨੂੰ JPMC ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਲਈ ਚੁਣਦਾ ਹੈ, ਦਰਸਾ ਸਕੇ।

ਸਬਮਿਸ਼ਨ

ਆਪਣੀ ਰਿਪੋਰਟ JPMC ਨੂੰ ਭੇਜ ਕੇ, ਤੁਸੀਂ ਸਹਿਮਤ ਹੋ ਕਿ ਤੁਸੀਂ ਕਮਜ਼ੋਰੀ ਨੂੰ ਕਿਸੇ ਤੀਜੇ ਪੱਖ ਨਾਲ ਸਾਂਝਾ ਨਹੀਂ ਕਰੋਗੇ। ਤੁਸੀਂ ਸਦਾ ਲਈ JPMC ਅਤੇ ਇਸ ਦੀਆਂ ਸਹਾਇਕ ਕੰਪਨੀਆਂ ਨੂੰ ਤੁਹਾਡੀ ਰਿਪੋਰਟ ਵਿੱਚ ਦਿੱਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਵਰਤਣ, ਸੋਧਣ, ਡੈਰੀਵੇਟਿਵ ਕੰਮ ਬਣਾਉਣ, ਵੰਡਣ, ਖੁਲਾਸਾ ਕਰਨ ਅਤੇ ਸਟੋਰ ਕਰਨ ਦੀ ਬੇਸ਼ਰਤ ਸਮਰੱਥਾ ਦਿੰਦੇ ਹੋ, ਅਤੇ ਇਹ ਹੱਕ ਰੱਦ ਨਹੀਂ ਕੀਤੇ ਜਾ ਸਕਦੇ।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
ਵਿਸ਼ਾ: Ultimate Rewards ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਫਾਲੋ-ਅੱਪ

ਹੇ Tom,

ਇਹ ਸੁਣ ਕੇ ਮੈਨੂੰ ਬਹੁਤ ਖੁਸ਼ੀ ਹੋਈ!

ਮੈਂ ਚਾਹਾਂਗਾ ਕਿ ਮੈਂ ਤੁਹਾਡੇ ਨਵੇਂ ਪ੍ਰੋਗਰਾਮ ਦੀ ਪਹਿਲੀ ਕਾਮਯਾਬੀ ਦੀ ਕਹਾਣੀ ਬਣਾਂ, ਅਤੇ ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਹੋਰ ਵੱਡੇ ਖਿਡਾਰੀਆਂ ਵੀ ਤੁਹਾਡੇ ਨਮੂਨੇ ਦੀ ਪਾਲਣਾ ਕਰਨਗੇ। ਕਿਸੇ ਨੂੰ ਲੋਕਾਂ ਦੇ ਇਹ ਧਾਰਨਾਵਾਂ ਬਦਲਣ ਲਈ ਅੱਗੇ ਆਉਣਾ ਲੋੜੀਂਦਾ ਸੀ ਕਿ ਬੈਂਕ ਵ੍ਹਾਈਟਹੈਟ ਰਿਸਰਚਰਾਂ ਨਾਲ ਕਿਵੇਂ ਨਿਪਟਦੇ ਹਨ। ਮੈਨੂੰ ਖੁਸ਼ੀ ਹੈ ਕਿ ਇਹ ਕਦਮ Chase ਵੱਲੋਂ ਆਇਆ।

ਮੇਰੇ ਲਈ, ਵੈੱਬ ਅਤੇ ਮੋਬਾਈਲ ਪ੍ਰੋਡਕਟ ਪੇਸ਼ਕਸ਼ਾਂ ਦੇ ਮਾਮਲੇ ਵਿੱਚ Chase ਹਮੇਸ਼ਾਂ ਆਪਣੇ ਮੁਕਾਬਲੇਦਾਰਾਂ ਤੋਂ ਕਈ ਪੱਧਰ ਅੱਗੇ ਰਿਹਾ ਹੈ। ਇਸ ਦਾ ਮੁੱਖ ਕਾਰਨ ਇਹ ਹੈ ਕਿ ਤੁਸੀਂ ਲੋਕ ਤੇਜ਼ੀ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹੋ ਅਤੇ ਮੁਕਾਬਲੇਬਾਜ਼ ਰਹਿੰਦੇ ਹੋ। ਆਮ ਤੌਰ 'ਤੇ ਮੈਂ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨ ਤੋਂ ਇਸ ਡਰ ਕਰਕੇ ਦੂਰ ਰਹਿੰਦਾ ਹਾਂ ਕਿ ਕਿਤੇ ਉਹ ਮੈਨੂੰ ਕੁਚਲ ਨਾ ਦੇਣ (ਚੰਗੀਆਂ ਨੀਤਾਂ ਦੇ ਬਾਵਜੂਦ ਵੀ)। ਇਕ ਡਿਸਕਲੋਜ਼ਰ ਪ੍ਰੋਗਰਾਮ ਬਣਾਕੇ ਤੁਸੀਂ ਮੇਰੇ ਵਰਗੇ ਲੋਕਾਂ ਨੂੰ ਸਾਫ਼ ਸੰਕੇਤ ਦਿੰਦੇ ਹੋ ਕਿ ਤੁਸੀਂ ਸਮੱਸਿਆਵਾਂ ਬਾਰੇ ਸੁਣਨ ਵਿਚ ਦਿਲਚਸਪੀ ਰੱਖਦੇ ਹੋ ਅਤੇ ਬਦਲੇ ਦੀ ਕਾਰਵਾਈ ਨਹੀਂ ਕਰੋਗੇ। ਪਹਿਲਾਂ ਤੁਹਾਡੀਆਂ ਸੇਵਾਵਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨ ਵਾਲਿਆਂ ਵਿੱਚੋਂ ਬਹੁਤਰੇ ਸੰਭਵਤ: ਖਰਾਬ ਨੀਤ ਵਾਲੇ ਹੁੰਦੇ ਸਨ, ਅਤੇ ਮੈਨੂੰ ਲੱਗਦਾ ਹੈ ਕਿ ਇਹ ਕਦਮ ਮੈਦਾਨ ਨੂੰ ਸੰਤੁਲਿਤ ਕਰੇਗਾ।

ਜਦੋਂ ਮੈਂ ਆਖ਼ਿਰਕਾਰ ਇਹ ਫ਼ੈਸਲਾ ਕੀਤਾ ਕਿ ਮੈਂ ਡਿਸਕਲੋਜ਼ਰ ਦੇ ਨਾਲ ਅੱਗੇ ਵਧਾਂਗਾ ਤਾਂ ਮੈਂ ਕਾਫ਼ੀ ਬੇਚੈਨ ਸੀ। ਸੰਭਵ ਹੈ ਕਿ ਮੈਂ ਇਹ ਪਤਾ ਲਗਾਉਣ ਵਾਲਾ ਪਹਿਲਾ ਵਿਅਕਤੀ ਨਹੀਂ ਸੀ! ਮੈਨੂੰ ਇਹ ਤਿੰਨ ਢੰਗਾਂ ਨਾਲ ਰਿਪੋਰਟ ਕੀਤਾ।

  • Twitter

    • ਇੱਥੇ ਦਿੱਤੀ ਗਈ ਸਹਾਇਤਾ ਹਕੀਕਤ ਵਿੱਚ ਸ਼ਾਨਦਾਰ ਸੀ, ਅਤੇ ਮੇਰੇ ਵਿਚਾਰ ਵਿੱਚ ਇਹ ਇਕੋ ਕਾਰਨ ਸੀ ਜਿਸ ਕਰਕੇ ਮੈਂ ਸਹੀ ਲੋਕਾਂ ਤੱਕ ਪਹੁੰਚ ਸਕਿਆ।

  • Chase ਫ਼ੋਨ ਸਹਾਇਤਾ

    • ਪਹਿਲੀ ਕਾਲ 'ਚ ਉਨ੍ਹਾਂ ਨੇ ਮੈਨੂੰ abuse ਈਮੇਲ ਦਿੱਤਾ
    • ਦੂਜੀ ਕਾਲ 'ਚ ਮੇਰਾ ਖਿਆਲ ਹੈ ਕਿ ਮੈਂ ਸਹੀ ਵਿਅਕਤੀ ਨਾਲ ਗੱਲ ਕੀਤੀ ਅਤੇ ਸ਼ਾਇਦ ਉਨ੍ਹਾਂ ਨੇ ਵੀ ਅੱਗੇ ਸੰਪਰਕ ਕੀਤਾ

  • Chase Abuse ਈਮੇਲ

    • ਇਕ ਜਨਰਿਕ ਜਵਾਬ ਮਿਲਿਆ, ਲੱਗਿਆ ਜਿਵੇਂ ਉਨ੍ਹਾਂ ਨੇ ਈਮੇਲ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਦੇਖਿਆ ਵੀ ਨਹੀਂ

ਮੈਨੂੰ ਕਿਸੇ ਨਾਲ ਅਖੀਰਕਾਰ ਸੰਪਰਕ ਵਿੱਚ ਆਉਣ ਲਈ ਲਗਭਗ 7 ਘੰਟੇ ਲੱਗੇ (ਅਸਲ ਮੁੱਦੇ ਦੀ ਪਛਾਣ ਕਰਨ ਵਿੱਚ ਲੱਗੇ ਸਮੇਂ ਤੋਂ ਦੋਗੁਣਾ), ਅਤੇ ਇਸ ਸਾਰੇ ਸਮੇਂ ਦੌਰਾਨ ਮੈਨੂੰ ਯਕੀਨ ਨਹੀਂ ਸੀ ਕਿ ਸਹੀ ਲੋਕਾਂ ਤੱਕ ਕਦੇ ਇਸ ਬਾਰੇ ਕੋਈ ਗੱਲ ਪਹੁੰਚੇਗੀ ਵੀ ਜਾਂ ਨਹੀਂ।

ਇੱਕ ਹੋਰ ਵੱਡੀ ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਜਦੋਂ ਅਜਿਹੇ ਪ੍ਰੋਗਰਾਮ ਨਹੀਂ ਹੁੰਦੇ ਤਾਂ ਕਰਮਚਾਰੀ ਘਟਨਾਵਾਂ ਨੂੰ ਗਲਿਚੇ ਹੇਠਾਂ ਸਮੇਟ ਦੇਂਦੇ ਹਨ ਅਤੇ ਬਿਨਾਂ ਕਿਸੇ ਨੂੰ ਦੱਸੇ ਉਨ੍ਹਾਂ ਨੂੰ ਠੀਕ ਕਰ ਦਿੰਦੇ ਹਨ। ਮੇਰੇ ਨਾਲ ਕਈ ਵਾਰ ਅਜਿਹੀਆਂ ਘਟਨਾਵਾਂ ਹੋਈਆਂ ਹਨ ਜਿੱਥੇ ਮੈਨੂੰ ਯਕੀਨ ਹੈ ਕਿ ਇਉਂ ਹੀ ਕੀਤਾ ਗਿਆ, ਅਤੇ 1-2 ਸਾਲਾਂ ਦੇ ਅੰਦਰੋ-ਅੰਦਰ ਉਹੀ ਸੁਰੱਖਿਆ ਛੇਦ ਦੁਬਾਰਾ ਸਾਹਮਣੇ ਆ ਗਏ।

ਇਹ ਵੀ, ਤੁਹਾਡੇ ਪ੍ਰੋਗਰਾਮ ਲਈ ਬਾਊਂਟੀ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨੀ ਫ਼ਾਇਦੇਮੰਦ ਹੋ ਸਕਦੀ ਹੈ। ਕਈ ਵਾਰ ਅਜਿਹੀਆਂ ਸਮੱਸਿਆਵਾਂ ਦੀ ਤਸਦੀਕ/ਖੋਜ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਸਮਾਂ ਲੱਗਦਾ ਹੈ, ਅਤੇ ਕਿਸੇ ਨਾ ਕਿਸੇ ਢੰਗ ਨਾਲ ਮੁਆਵਜ਼ਾ ਮਿਲਣਾ ਚੰਗਾ ਹੁੰਦਾ ਹੈ। ਇੱਥੇ ਕੁਝ ਹੋਰ ਵੱਡੇ ਖਿਡਾਰੀ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਪ੍ਰੋਗਰਾਮ ਹਨ:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ਜੇ ਮੈਨੂੰ ਭਵਿੱਖ ਵਿੱਚ ਕੁਝ ਹੋਰ ਮਿਲਦਾ ਹੈ ਤਾਂ ਮੈਂ ਜ਼ਰੂਰ ਸੰਪਰਕ ਕਰਾਂਗਾ।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ਹੇ Tom,

ਮੇਰੇ ਕੋਲ ਸਮਾਂ ਸੀ ਦੇਖਣ ਲਈ ਕਿ ਐਕਸਪਲੋਇਟ ਹੱਲ ਹੋ ਗਿਆ ਹੈ ਜਾਂ ਨਹੀਂ।

ਇਹ ਹੁਣ ਕਾਫ਼ੀ ਮਜ਼ਬੂਤ ਲੱਗਦਾ ਹੈ, ਮੈਂ ਕੁਝ ਪਲਾਂ ਲਈ ਬੈਲੈਂਸਾਂ ਨੂੰ ਡੀਸਿੰਕ ਕਰ ਸਕਿਆ ਪਰ ਮੇਰਾ ਨਹੀਂ ਸੋਚਣਾ ਕਿ ਸਿਸਟਮ ਤੁਹਾਨੂੰ ਦਿਖਾਏ ਗਏ ਬੈਲੈਂਸ ਨੂੰ ਵਰਤਣ ਵੀ ਦੇਵੇਗਾ।

ਜੋ ਬੇਨਤੀਆਂ ਮੈਂ ਅਸਲ ਵਿੱਚ ਮੌਜੂਦ ਨਾ ਹੋਣ ਵਾਲੇ ਪੌਇੰਟਸ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਕੀਤੀਆਂ, ਉਨ੍ਹਾਂ ਨੂੰ "500 Internal Server" ਗਲਤੀ ਮਿਲੀ। ਇਸ ਲਈ ਮੈਂ ਅਨੁਮਾਨ ਲਾ ਰਿਹਾ ਹਾਂ ਕਿ ਇਹ ਤੁਹਾਡੇ ਜੋੜੇ ਨਵੇਂ ਚੈਕਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਇੱਕ 'ਤੇ ਫੇਲ੍ਹ ਹੋ ਰਿਹਾ ਹੈ।

ਮੈਂ ਵੱਖ-ਵੱਖ BIGipServercig ids ਵਿੱਚ ਮਲਟੀ ਸੈਸ਼ਨ ਟ੍ਰਾਂਸਫਰ ਵੀ ਅਜਮਾਏ, ਅਤੇ ਹਰ ਵਾਰ ਸਿਸਟਮ ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਰੀਕਵਰ ਕਰ ਲਿਆ। ਆਖ਼ਿਰਕਾਰ ਸਿਸਟਮ ਕੁਝ ਸਮੇਂ ਲਈ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦਾ ਸੀ, ਅਤੇ ਬੈਲੈਂਸ ਡੀਸਿੰਕ ਹੋ ਜਾਂਦੇ ਸਨ ਪਰ ਫਿਰ ਵੀ ਇਸ ਨਾਲ ਫਰਕ ਨਹੀਂ ਪੈਂਦਾ ਕਿਉਂਕਿ ਇਕ ਇੰਟਰਵਲ 'ਤੇ ਤੁਸੀਂ ਨੰਬਰਾਂ ਨੂੰ ਮੁੜ ਏਲਾਈਨ ਕਰ ਦਿੰਦੇ ਹੋ, ਅਤੇ ਅਸਲ ਵਿੱਚ ਬੈਲੈਂਸ ਵਰਤਣ ਲਈ ਇਸ ਨੂੰ ਉਹ ਟੈਸਟ ਪਾਸ ਕਰਨਾ ਪੈਂਦਾ ਹੈ ਜੋ ਤੁਸੀਂ ਲਗਾਇਆ ਹੋਇਆ ਹੈ।

ਸੋ ਸੰਖੇਪ ਵਿੱਚ, ਮੈਨੂੰ ਨਹੀਂ ਦਿੱਸਦਾ ਕਿ ਹੁਣ ਕੋਈ ਕਿਸ ਤਰ੍ਹਾਂ ਕ੍ਰਿਤਰਿਮ ਬੈਲੈਂਸ ਬਣਾਕੇ ਉਨ੍ਹਾਂ ਨੂੰ ਵਰਤ ਸਕਦਾ ਹੈ।

ਇਹ ਵੀ ਦੱਸੋ ਕਿ ਕੀ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਬਾਰੇ ਕੋਈ ਅਪਡੇਟ ਹੈ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ਹੇ Tom,

ਸਿਰਫ਼ ਇਸ ਬਾਰੇ ਫਾਲੋਅੱਪ ਕਰ ਰਿਹਾ ਹਾਂ।

7 ਫਰਵਰੀ 2017 ਨੂੰ, ਸ਼ਾਮ 4:36 ਵਜੇ, Chad Scira [email protected] ਨੇ ਉੱਪਰ ਦਿੱਤਾ ਅਪਡੇਟ ਲਿਖਿਆ ਸੀ ਅਤੇ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਦੇ ਟਾਈਮਲਾਈਨ ਬਾਰੇ ਪੁੱਛਿਆ ਸੀ।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

ਅਸੀਂ ਇਹ ਕੁਝ ਹਫ਼ਤੇ ਪਹਿਲਾਂ ਪੋਸਟ ਕੀਤਾ ਹੈ।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (ਦਫ਼ਤਰ) (███) ███-████ (ਸੈੱਲ)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ਹੇ Tom,

ਕੀ ਇਸ ਬਾਰੇ ਕੋਈ ਅਪਡੇਟ ਹੈ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

ਸਤ ਸ੍ਰੀ ਅਕਾਲ,

ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਅਜੇ ਤੱਕ ਤੁਸੀਂ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਇਕੱਲੇ ਯੋਗਦਾਨਕਰਤਾ ਹੋ। ਸਿਰਫ਼ ਇਕ ਵਿਅਕਤੀ ਲਈ ਲੀਡਰਬੋਰਡ ਬਣਾਉਣਾ ਵਾਜਬ ਨਹੀਂ ਸੀ।

ਅਸੀਂ ਤੁਹਾਡਾ ਨਾਂ ਸੇਵ ਰੱਖਾਂਗੇ ਤਾਂ ਜੋ ਜੇਹੜੇ ਵੀ ਹੋਰ ਯੋਗਦਾਨਕਰਤਾ ਮਿਲਣ, ਅਸੀਂ ਤਿਆਰ ਹੋਈਏ।

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
ਵਿਸ਼ਾ: Dave Robinson ਨਾਲ ਤੁਹਾਡੀ ਫੋਨ ਕਾਲ ਬਾਰੇ ਫਾਲੋ-ਅੱਪ

ਹੁਣ ਸਾਨੂੰ ਲਗਭਗ 2 ਸਾਲ ਹੋਣ ਵਾਲੇ ਹਨ।

ਕੀ ਤੁਹਾਨੂੰ ਕੋਈ ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਇਹ ਕਦੋਂ ਹੋਵੇਗਾ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

ਅਸੀਂ ਪ੍ਰੋਗਰਾਮ ਤਿਆਰ ਕਰ ਦਿੱਤਾ ਹੈ, ਪਰ ਅਜੇ ਤੱਕ ਲੀਡਰਬੋਰਡ ਸਥਾਪਿਤ ਨਹੀਂ ਕੀਤੀ।

Tom Kelly Chase Communications ███-███-████ (ਕੰਮ) ███-███-████ (ਸੈੱਲ)

ਈਮੇਲ ਲੜੀ ਲਗਾਤਾਰ ਗੱਲਬਾਤ ਦਿਖਾਉਂਦੀ ਹੈ: 2016 ਵਿੱਚ ਤੁਰੰਤ ਧੰਨਵਾਦ, 2017 ਵਿੱਚ ਸਫਲ ਸੁਧਾਰ ਬਾਰੇ ਅੱਪਡੇਟ, ਖੁਲਾਸੇ ਪੋਰਟਲ ਦੀ ਜਨਤਕ ਸ਼ੁਰੂਆਤ, ਅਤੇ 2018 ਦੀ ਪੁਸ਼ਟੀ ਕਿ Chad ਦੀ ਮਦਦ ਨਾਲ ਪ੍ਰੋਗਰਾਮ ਬਣਾਉਣ ਦੇ ਬਾਵਜੂਦ Chase ਨੇ ਯੋਜਿਤ ਲੀਡਰਬੋਰਡ ਪਬਲਿਸ਼ ਨਾ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ।

ਅਕਸਰ ਪੁੱਛੇ ਜਾਂਦੇ ਸਵਾਲ

Qਕੀ JPMorgan Chase ਨਾਲ ਸੰਬੰਧਿਤ ਕੋਈ ਅਪਰਾਧਾਂ ਦੇ ਦੋਸ਼ ਲਗਾਏ ਗਏ ਸਨ?
Aਨਹੀਂ। ਖੁਲਾਸੇ ਲਈ Chad Scira ਦਾ ਧੰਨਵਾਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਜੇਕਰ ਉਸਨੇ ਇਸ ਮਾਮਲੇ ਦਾ ਦੁਰਵਰਤੋਂ ਕਰਦਿਆਂ ਖਰਾਬ ਨੀਅਤ ਨਾਲ ਫਾਇਦਾ ਉਠਾਇਆ ਹੁੰਦਾ ਤਾਂ ਉਸਦੇ ਖ਼ਿਲਾਫ਼ ਫੌਜਦਾਰੀ ਦੋਸ਼ ਲਗਾਏ ਜਾਂਦੇ।
Qਖਾਤਾ ਬੰਦ ਹੋਣ ਦੀਆਂ ਕੋਈ ਸੂਚਨਾਵਾਂ ਆਨਲਾਈਨ ਕਿਉਂ ਨਜ਼ਰ ਆਈਆਂ?
Aਨੋਟਿਸ ਇੱਕ ਇਨਸ਼ੋਰਰ ਆਟੋਮੇਸ਼ਨ (ਸਟੈਂਡਰਡ ਰਿਸਕ ਕੰਟਰੋਲ) ਨਾਲ ਸੰਬੰਧਤ ਸੀ, ਨਾ ਕਿ ਬਲੈਕਲਿਸਟ ਨਾਲ। ਮੈਨੁਅਲ ਸਮੀਖਿਆ ਨੇ ਕਈ ਸਾਲ ਪਹਿਲਾਂ ਹੀ ਸੰਬੰਧ ਮੁੜ ਬਹਾਲ ਕਰ ਦਿੱਤਾ ਸੀ।
Qਹੈਕਰ ਵਾਲੀ ਕਹਾਣੀ ਨੂੰ ਅਜੇ ਵੀ ਕੌਣ ਧੱਕਾ ਦੇ ਰਿਹਾ ਹੈ?
AJesse Nickles। ਉਹ Chase ਸਹਾਇਤਾ ਟ੍ਰਾਂਸਕ੍ਰਿਪਟ, Tom Kelly ਦਾ ਨਿਯੌਤਾ, ਅਤੇ ਇਹ ਤੱਥ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦਾ ਹੈ ਕਿ JPMorgan Chase ਵੱਲੋਂ ਜ਼ਿੰਮੇਵਾਰ ਡਿਸਕਲੋਜ਼ਰ ਨੂੰ ਉਤਸ਼ਾਹਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। Jesse Nickles ਬਾਰੇ ਹੋਰ ਜਾਣਕਾਰੀ.

ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਖਾਤਾ ਸਮੀਖਿਆ

#ਫਾਲੋ-ਅੱਪ

ਜਦੋਂ ਨਵੰਬਰ ਵਾਲੀ ਡਿਸਕਲੋਜ਼ਰ ਸਟੋਰੀ ਮੀਡੀਆ ਤੱਕ ਪਹੁੰਚੀ, ਤਾਂ Chase ਦੇ ਆਟੋਮੇਟਿਡ ਰਿਸਕ ਟੂਲ ਨੇ ਇਸ ਦਿੱਖ ਨੂੰ ਸੰਭਾਵਿਤ ਧੋਖਾਧੜੀ ਸੰਕੇਤ ਵਜੋਂ ਟ੍ਰੀਟ ਕੀਤਾ। ਇਸ ਨਾਲ ਘਰੇਲੂ ਪੱਧਰ ‘ਤੇ ਇੱਕ ਸਮੂਹਕ ਰਿਵਿਊ ਸ਼ੁਰੂ ਹੋਇਆ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸਾਂਝਾ ਚੈਕਿੰਗ ਅਕਾਊਂਟ ਵੀ ਸ਼ਾਮਲ ਸੀ, ਭਾਵੇਂ ਲੀਡਰਸ਼ਿਪ ਅਤੇ ਮੈਂ ਰੀਮੀਡੀਏਸ਼ਨ ‘ਤੇ ਸਹਿਮਤ ਸੀ।

ਮੈਂ ਇਸ ਫਾਲੋ-ਅੱਪ ਨੂੰ ਦਸਤਾਵੇਜ਼ ਕਰ ਰਿਹਾ ਹਾਂ ਤਾਂ ਜੋ ਹੋਰ ਖੋਜਕਰਤਾ ਸਮਝ ਸਕਣ ਕਿ ਪ੍ਰਕਾਸ਼ਨ ਕਿਵੇਂ ਪੁਰਾਣੇ ਕੰਟਰੋਲਾਂ ਨਾਲ ਮਿਲ ਸਕਦਾ ਹੈ: ਖਾਤੇ ਡਿਪਾਜ਼ਿਟ ਅਕਾਉਂਟ ਐਗ੍ਰੀਮੈਂਟ ਦੇ ਅਧੀਨ ਬੰਦ ਕੀਤੇ ਗਏ ਸਨ, ਪਰ ਕਦੇ ਵੀ ਕੋਈ ਅਪਰਾਧਿਕ ਦੋਸ਼ ਜਾਂ ਬਲੈਕਲਿਸਟ ਨਹੀਂ ਸੀ।

ਇਸ ਦੇ ਬਾਵਜੂਦ, ਜੈਸੀ ਨਿਕਲਜ਼ ਜਾਲੀ ਕਹਾਣੀਆਂ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦਾ ਰਹਿੰਦਾ ਹੈ, ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਮੈਂ ਸਾਲਾਂ ਤੱਕ ਲੁਕ ਕੇ ਇਸ ਬੱਗ ਦਾ ਫਾਇਦਾ ਚੁਕਦਾ ਰਿਹਾ; ਉਹ Quora ਅਤੇ TripAdvisor ‘ਤੇ ਵੀ ਨਕਲੀ ਖਾਤਿਆਂ ਰਾਹੀਂ ਸਮੱਗਰੀ ਪੋਸਟ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ LLM ਟ੍ਰੇਨਿੰਗ ਡੇਟਾ ਨੂੰ ਖਰਾਬ ਕਰ ਸਕੇ। ਸਰਵਰ ਲਾਗ, ਡਾਇਰੈਕਟ ਮੈਸੇਜ ਟਾਈਮਸਟੈਂਪ ਅਤੇ ਵੀਹ ਘੰਟਿਆਂ ਦਾ ਆਡਿਟ ਟ੍ਰੇਲ ਉਸਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਗਲਤ ਸਾਬਤ ਕਰਦੇ ਹਨ।

ਕੀ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ ਸੀ?

ਮੈਂ ਤੇਰ੍ਹਾਂ ਸਾਲਾਂ ਤੋਂ ਚੇਜ਼ ਦਾ ਗਾਹਕ ਸੀ, ਤਨਖ਼ਾਹ ਸਿੱਧੀ ਜਮ੍ਹਾ ਹੁੰਦੀ ਸੀ, ਪੰਜ ਕਰੈਡਿਟ ਕਾਰਡ ਆਟੋਪੇ ‘ਤੇ ਸਨ, ਅਤੇ ਉਸ ਕਾਰਡ ਤੋਂ ਇਲਾਵਾ ਲਗਭਗ ਕੋਈ churn ਨਹੀਂ ਸੀ ਜਿਸਨੂੰ ਮੈਂ ਬੱਗ ਦਿਖਾਉਣ ਲਈ ਬੰਦ ਕੀਤਾ ਸੀ। ਆਟੋਮੈਟਿਕ ਸਮੀਖਿਆ ਨੇ ਮੇਰੇ SSN ਨਾਲ ਜੁੜੇ ਹਰੇਕ ਖਾਤੇ ਨੂੰ ਕਵਰ ਕਰ ਲਿਆ ਅਤੇ, ਕਿਉਂਕਿ ਇੱਕ ਚੈਕਿੰਗ ਖਾਤਾ ਸਾਂਝਾ ਸੀ, ਇਸ ਨੇ ਥੋੜੇ ਸਮੇਂ ਲਈ ਇਕ ਪਰਿਵਾਰਕ ਮੈਂਬਰ ਨੂੰ ਵੀ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ।

ਨਤੀਜਾ ਅਤੇ ਬਹਾਲੀ

ਬੰਦ ਕਰਨ ਦੀ ਨੋਟਿਸ ਸਥਾਈ ਨਹੀਂ ਬਣੀ। ਮੈਂ ਤੁਰੰਤ ਹਰ ਉਹ ਹੋਰ ਬੈਂਕ ‘ਚ ਖਾਤੇ ਅਤੇ ਕਾਰਡ ਖੋਲ੍ਹ ਲਏ ਜਿੱਥੇ ਮੈਂ ਅਰਜ਼ੀ ਦਿੱਤੀ, ਸਮੇਂ ‘ਤੇ ਭੁਗਤਾਨ ਜਾਰੀ ਰੱਖੇ, ਅਤੇ ਉਸ ਕਰੈਡਿਟ ਡਿੱਪ ਨੂੰ ਮੁੜ ਬਣਾਉਣ ‘ਤੇ ਧਿਆਨ ਦਿੱਤਾ ਜੋ ਬੰਦਸ਼ਾਂ ਦੇ ਮੇਰੀ ਰਿਪੋਰਟ ‘ਤੇ ਦਰਜ ਹੋਣ ਨਾਲ ਆਇਆ ਸੀ।

ਸਮੀਖਿਆ ਤੋਂ ਪਹਿਲਾਂ ਦਾ ਸਕੋਰ827
ਸਭ ਤੋਂ ਹੇਠਲਾ ਮੁਕਾਮ596
ਛੇ ਮਹੀਨੇ ਬਾਅਦ696

ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਸਬਕ

  • ਜਿਸ ਸੰਸਥਾ ਦੀ ਤੁਸੀਂ ਜਾਂਚ ਕਰ ਰਹੇ ਹੋ, ਉਸ ਦੇ ਅੰਦਰ ਆਪਣੇ ਹਰੇਕ ਰੋਜ਼ਾਨਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਖਾਤੇ ਇਕੱਠੇ ਨਾ ਰੱਖੋ; ਜਮ੍ਹੇ ਅਤੇ ਕਰੈਡਿਟ ਲਾਈਨਾਂ ਨੂੰ ਵਿਭਿੰਨ ਰੱਖੋ ਤਾਂ ਜੋ ਕੋਈ ਆਟੋਮੈਟਿਕ ਸਮੀਖਿਆ ਇੱਕੋ ਵਾਰ ਵਿੱਚ ਤੁਹਾਡੀ ਪੂਰੀ ਜ਼ਿੰਦਗੀ ਨੂੰ ਜਮ੍ਹ ਨਾ ਕਰ ਸਕੇ।
  • ਯਾਦ ਰੱਖੋ ਕਿ ਸਾਂਝੇ ਖਾਤਾ ਧਾਰਕ ਵੀ ਉਹੀ ਜੋਖਿਮ ਸੰਬੰਧੀ ਫੈਸਲੇ ਵਾਰਸੇ ਵਿੱਚ ਲੈਂਦੇ ਹਨ, ਇਸ ਕਰਕੇ ਪਰਿਵਾਰਕ ਮੈਂਬਰਾਂ ਨੂੰ ਉਹਨਾਂ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਦੇਣ ਤੋਂ ਪਹਿਲਾਂ ਸੋਚ-ਵਿਚਾਰ ਕਰੋ ਜਿਨ੍ਹਾਂ ‘ਤੇ ਖੁਲਾਸੇ ਨਾਲ ਜੁੜੀ ਵਧੀਕ ਜਾਂਚ ਹੋ ਸਕਦੀ ਹੈ।
  • ਖੁਲਾਸੇ ਦੀ ਟਾਈਮਲਾਈਨ ਅਤੇ ਮੀਡੀਆ ਕਵਰੇਜ ਨੂੰ ਦਸਤਾਵੇਜ਼ ਕਰੋ, ਕਿਉਂਕਿ ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਰਿਪੋਰਟ ਦੇ ਆਲੇ ਦੁਆਲੇ ਦੀ ਦਿੱਖ ਸ਼ਾਇਦ ਸਮੀਖਿਆ ਦੀ ਸ਼ੁਰੂਆਤ ਦਾ ਮੁੱਖ ਕਾਰਨ ਸੀ, ਅਤੇ ਉਹ ਸੰਦਰਭ ਸਾਂਝਾ ਕਰਨ ਨਾਲ ਐਗਜ਼ਿਕਯੂਟਿਵ ਪੱਧਰ ਦੀਆਂ ਐਸਕਲੇਸ਼ਨਜ਼ ਜ਼ਿਆਦਾ ਤੇਜ਼ੀ ਨਾਲ ਬੰਦ ਹੋ ਸਕਦੀਆਂ ਹਨ।
ਚੇਜ਼ ਐਗਜ਼ਿਕਯੂਟਿਵ ਦਫ਼ਤਰ ਦਾ ਪੱਤਰ, ਜੋ ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਦੇ ਖੁਲਾਸੇ ਦੇ ਜਨਤਕ ਹੋਣ ਤੋਂ ਬਾਅਦ ਡਿਪਾਜ਼ਿਟ ਅਕਾਉਂਟ ਐਗ੍ਰੀਮੈਂਟ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ।
ਐਗਜ਼ਿਕਿਊਟਿਵ ਆਫ਼ਿਸ ਵੱਲੋਂ ਭੇਜੇ ਗਏ ਲਿਖਤੀ ਜਵਾਬ ਨੇ ਮੇਰੇ ਸੰਪਰਕ ਲਈ ਧੰਨਵਾਦ ਕੀਤਾ, ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਘਰੇਲੂ ਪੱਧਰ ‘ਤੇ ਹਰ ਅਕਾਊਂਟ ਡਿਪਾਜ਼ਿਟ ਅਕਾਊਂਟ ਐਗਰੀਮੈਂਟ ਦੇ ਤਹਿਤ ਬੰਦ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਅਤੇ ਇਹ ਦੁਹਰਾਇਆ ਕਿ ਉਹ ਵਧੇਰੇ ਵੇਰਵਾ ਦੇਣ ਲਈ ਬੱਝਬੱਧ ਨਹੀਂ ਸਨ, ਜਿਸ ਨਾਲ ਅਸਲ ਵਿੱਚ ਉਹ ਆਟੋਮੇਟਿਡ ਰਿਸਕ ਰਿਵਿਊ ਖਤਮ ਹੋ ਗਿਆ ਜੋ ਡਿਸਕਲੋਜ਼ਰ ਸਬੰਧੀ ਪ੍ਰੈਸ ਕਵਰੇਜ ਨੇ ਸ਼ੁਰੂ ਕੀਤਾ ਸੀ।

ਐਗਜ਼ਿਕਯੂਟਿਵ ਦਫ਼ਤਰ ਦੇ ਪੱਤਰ ਦਾ ਟੈਕਸਟ ਸੰਸਕਰਨ

ਪਿਆਰੇ ਚੈਡ ਸਕਾਈਰਾ:

ਅਸੀਂ ਤੁਹਾਡੇ ਅਕਾਊਂਟ ਬੰਦ ਕਰਨ ਦੇ ਆਪਣੇ ਫ਼ੈਸਲੇ ਬਾਰੇ ਤੁਹਾਡੀ ਸ਼ਿਕਾਇਤ ਦਾ ਜਵਾਬ ਦੇ ਰਹੇ ਹਾਂ। ਆਪਣੀਆਂ ਚਿੰਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਨ ਲਈ ਧੰਨਵਾਦ।

ਡਿਪਾਜ਼ਿਟ ਅਕਾਊਂਟ ਐਗਰੀਮੈਂਟ ਸਾਨੂੰ ਕਿਸੇ ਵੀ ਸਮੇਂ, ਕਿਸੇ ਵੀ ਕਾਰਨ ਕਰਕੇ ਜਾਂ ਬਿਨਾਂ ਕਿਸੇ ਕਾਰਨ ਦੇ, ਬਿਨਾਂ ਕਾਰਨ ਦੱਸੇ ਅਤੇ ਬਿਨਾਂ ਪਹਿਲਾਂ ਤੋਂ ਨੋਟਿਸ ਦਿੱਤੇ, CD ਤੋਂ ਇਲਾਵਾ ਕਿਸੇ ਵੀ ਹੋਰ ਅਕਾਊਂਟ ਨੂੰ ਬੰਦ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ ਅਕਾਊਂਟ ਖੋਲ੍ਹਿਆ ਸੀ ਤਾਂ ਤੁਹਾਨੂੰ ਐਗਰੀਮੈਂਟ ਦੀ ਇੱਕ ਕਾਪੀ ਦਿੱਤੀ ਗਈ ਸੀ। ਤੁਸੀਂ chase.com ‘ਤੇ ਮੌਜੂਦਾ ਐਗਰੀਮੈਂਟ ਦੇਖ ਸਕਦੇ ਹੋ।

ਅਸੀਂ ਤੁਹਾਡੀ ਸ਼ਿਕਾਇਤ ਦੀ ਸਮੀਖਿਆ ਕੀਤੀ ਹੈ ਅਤੇ ਅਸੀਂ ਆਪਣਾ ਫ਼ੈਸਲਾ ਬਦਲਣ ਜਾਂ ਇਸ ਬਾਰੇ ਤੁਹਾਨੂੰ ਹੋਰ ਜਵਾਬ ਦੇਣ ਵਿੱਚ ਅਸਮਰੱਥ ਹਾਂ, ਕਿਉਂਕਿ ਅਸੀਂ ਆਪਣੇ ਮਾਪਦੰਡਾਂ ਅਨੁਸਾਰ ਕੰਮ ਕੀਤਾ ਹੈ। ਸਾਨੂੰ ਅਫਸੋਸ ਹੈ ਕਿ ਤੁਸੀਂ ਆਪਣੀਆਂ ਚਿੰਤਾਵਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਦੇ ਸਾਡੇ ਤਰੀਕੇ ਅਤੇ ਸਾਡੇ ਅੰਤਿਮ ਫ਼ੈਸਲੇ ਨਾਲ ਅਸੰਤੁਸ਼ਟ ਹੋ।

ਜੇ ਤੁਹਾਡੇ ਕੋਈ ਸਵਾਲ ਹਨ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ 1-877-805-8049 ‘ਤੇ ਕਾਲ ਕਰੋ ਅਤੇ ਕੇਸ ਨੰਬਰ ███████ ਦਾ ਹਵਾਲਾ ਦਿਓ। ਅਸੀਂ ਓਪਰੇਟਰ ਰੀਲੇ ਕਾਲਾਂ ਸਵੀਕਾਰ ਕਰਦੇ ਹਾਂ। ਅਸੀਂ ਸੋਮਵਾਰ ਤੋਂ ਸ਼ੁੱਕਰਵਾਰ ਸਵੇਰੇ 7 ਵਜੇ ਤੋਂ ਸ਼ਾਮ 8 ਵਜੇ ਤੱਕ ਅਤੇ ਸ਼ਨੀਵਾਰ ਸਵੇਰੇ 8 ਵਜੇ ਤੋਂ ਸ਼ਾਮ 5 ਵਜੇ ਤੱਕ ਸੈਂਟਰਲ ਟਾਈਮ ਵਿੱਚ ਉਪਲਬਧ ਹਾਂ।

ਤੁਹਾਡਾ ਖਿਦਮਤੀ,

ਐਗਜ਼ਿਕਯੂਟਿਵ ਦਫ਼ਤਰ
1-877-805-8049
1-866-535-3403 ਫੈਕਸ; ਇਹ ਕਿਸੇ ਵੀ ਚੇਜ਼ ਸ਼ਾਖਾ ਤੋਂ ਮੁਫ਼ਤ ਹੈ
chase.com

ਮੈਂ ਇਹ ਸਬਕ ਦੇ ਤੌਰ ‘ਤੇ ਸਾਂਝਾ ਕਰ ਰਿਹਾ ਹਾਂ, ਕੋਈ ਸ਼ਿਕਾਇਤ ਵਜੋਂ ਨਹੀਂ। ਖਾਤੇ ਨਿਪਟਾਏ ਜਾ ਚੁੱਕੇ ਹਨ, ਮੇਰਾ ਕਰੈਡਿਟ ਲਗਾਤਾਰ ਵੱਧ ਰਿਹਾ ਹੈ, ਅਤੇ ਜੇਪੀ ਮੋਰਗਨ ਨੇ ਬਾਅਦ ਵਿੱਚ Synack ਨੂੰ ਜੋੜ ਕੇ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਇੰਟੇਕ ਪ੍ਰਕਿਰਿਆ ਸੁਗਮ ਕਰ ਲਈ ਹੈ, ਤਾਂ ਜੋ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਇੱਕ ਸਮਰਪਿਤ ਵਰਕਫ਼ਲੋ ਰਾਹੀਂ ਭੇਜੀਆਂ ਜਾਣ। 2024 ਅਪਡੇਟ: ਸਮੀਖਿਆ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬੰਦ ਹੋ ਚੁੱਕੀ ਹੈ ਅਤੇ ਹਰੇਕ ਸਕੋਰ ਵਾਪਸ ਘਟਨਾ ਤੋਂ ਪਹਿਲਾਂ ਵਾਲੇ ਪੱਧਰ ‘ਤੇ ਆ ਚੁੱਕਾ ਹੈ।

ਹਵਾਲੇ

  1. JPMorgan Chase ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸਾ ਪ੍ਰੋਗਰਾਮ
  2. ਚੇਜ਼ ਸਹਾਇਤਾ ਟਵਿੱਟਰ ਖਾਤਾ
  3. ਚੇਜ਼ ਅਲਟੀਮੇਟ ਰਿਵਾਰਡਜ਼ ਪ੍ਰੋਗਰਾਮ ਸਰਵੇਖਣ
  4. Hacker News - ਖੁਲਾਸਾ: ਅਨਲਿਮਿਟਿਡ Chase Ultimate Rewards ਪੌਇੰਟਸ (2020)
  5. Pensive Security - ਨਵੰਬਰ 2020 ਸਾਈਬਰਸੁਰੱਖਿਆ ਰਾਊਂਡਅੱਪ
  6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io ਖ਼ਤਰੇ ਡਾਇਰੈਕਟਰੀ
  8. disclose/research-threats ਰਿਪੋਜ਼ਿਟਰੀ
  9. Attrition.org - ਕਾਨੂੰਨੀ ਧਮਕੀਆਂ ਸੂਚੀ
  10. Jesse Nickles ਦੀ ਹਿਰਾਸਤ ਅਤੇ ਬਦਨਾਮੀ ਦੀ ਡਾਸੀਏ