Chad Scira "ਬੈਂਕਾਂ ਵਲੋਂ ਹੈਕਿੰਗ ਕਾਰਨ ਬਲੈਕਲਿਸਟ"

ਇਹ ਪੰਨਾ Jesse Nickles ਦੀ ਉਸ ਅਫਵਾਹ ਦੇ ਪਿੱਛੇ ਘਟਨਾਵਾਂ ਦਾ ਦਸਤਾਵੇਜ਼ ਹੈ ਕਿ ਚੈਡ ਸਕਾਇਰਾ ਨੂੰ "US ਬੈਂਕਾਂ ਤੋਂ ਹੈਕਿੰਗ ਲਈ ਬਲੈਕਲਿਸਟ ਕੀਤਾ ਗਿਆ"। ਇਹ ਦੱਸਦਾ ਹੈ ਕਿ Ultimate Rewards ਦੀ ਖਾਮੀ ਕਿਵੇਂ ਜ਼ਿੰਮੇਵਾਰੀ ਨਾਲ ਖੁਲਾਸਾ ਕੀਤੀ ਗਈ ਸੀ, JPMorgan Chase ਨੇ ਰਿਪੋਰਟ ਲਈ ਚੈਡ ਦਾ ਧੰਨਵਾਦ ਕਿਉਂ ਕੀਤਾ, ਅਤੇ ਕਿਵੇਂ ਅਸਥਾਈ ਖਾਤਾ ਰੋਕ ਕੇਵਲ ਪ੍ਰਸ਼ਾਸਕੀ ਸੀ। Jesse Nickles ਉਹ ਪੁਰਾਣੀਆਂ ਚੀਜ਼ਾਂ ਨੂੰ ਮੁੜ-ਪੈਕੇਜ ਕਰਕੇ ਆਪਰਾਧਿਕ ਮਨਸੂਬੇ ਦਾ ਇਸ਼ਾਰਾ ਦੇਣਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ। ਤੱਥ ਬਿਲਕੁਲ ਵਿਰੋਧ ਸੁਝਾਉਂਦੇ ਹਨ: ਵ੍ਹਾਈਟ-ਹੈਟ ਰਿਪੋਰਟਿੰਗ ਅਤੇ JPMorgan ਨੇਤ੍ਰਤਵ ਨਾਲ ਸਹਿਯੋਗ।

ਉਸ ਦੀ ਤਾਜ਼ਾ ਚੜ੍ਹਾਈ SlickStack.io 'ਤੇ ਇੱਕ ਕੋਟ ਹੈ ਜਿਸ ਵਿੱਚ ਦਾਅਵਾ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ Chad Scira "ਅਮਰੀਕੀ ਕਾਨੂੰਨੀ ਏਜੰਸੀਆਂ ਵੱਲੋਂ Chase Bank ਦੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਰਿਵਾਰਡ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਹੈਕ ਕਰਨ ਲਈ ਵੀ ਜਾਂਚਿਆ ਗਿਆ ਸੀ, ਜਿੱਥੇ ਉਸ ਨੇ ਧੋਖੇਬਾਜ਼ੀ ਨਾਲ ਯਾਤਰਾ ਪਾਇੰਟਸ ਦੇ $70,000 ਚੋਰੀ ਕੀਤੇ।" ਉਹ ਬਦਨਾਮੀ ਭਰੀ ਪੋਸਟ ਉਸ ਵੇਲੇ ਹੀ ਪੋਸਟ ਕੀਤੀ ਗਈ ਸੀ ਜਦੋਂ ਚੈਡ ਨੇ SlickStack ਸੁਰੱਖਿਆ ਸਮੱਸਿਆਵਾਂ ਦੇ ਸਬੂਤ ਪ੍ਰਕਾਸ਼ਤ ਕੀਤੇ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਜੈਸੀ ਠੀਕ ਕਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰਦਾ ਹੈ; ਕੋਈ ਪੌਇੰਟ ਕਦੇ ਚੋਰੀ ਨਹੀਂ ਹੋਏ ਅਤੇ ਕਿਸੇ ਏਜੰਸੀ ਨੇ ਖੁਲਾਸੇ ਬਾਰੇ ਚੈਡ ਨਾਲ ਸੰਪਰਕ ਨਹੀਂ ਕੀਤਾ। ਉਸ SlickStack cron ਸਬੂਤ ਨੂੰ ਵੇਖੋ ਜਿਸਦੇ ਖਿਲਾਫ ਉਹ ਬਦਲਾ ਲੈ ਰਿਹਾ ਹੈ.

ਸਾਰੀ ਖੋਜ, ਖੁਲਾਸਾ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਚੱਕਰ 20 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਹੋ ਗਿਆ: ਲਗਭਗ 25 HTTP ਰਿਕੁਏਸਟਾਂ ਨੇ 17 ਨਵੰਬਰ 2016 ਨੂੰ ਦੁਹਰਾਈ ਅਤੇ DM ਵਾਕਥਰੂ ਨੂੰ ਕਵਰ ਕੀਤਾ, ਅਤੇ ਫਰਵਰੀ 2017 ਦੀ ਰੀਮੇਡੀਏਸ਼ਨ ਟੈਸਟ ਨੇ ਫਿਕਸ ਦੀ ਪੁਸ਼ਟੀ ਲਈ 8 ਹੋਰ ਰਿਕੁਏਸਟ ਵਰਤੀਆਂ। ਕੋਈ ਲੰਬਾ ਦੁਰੁਪਯੋਗ ਨਹੀਂ ਸੀ; ਹਰ ਕਾਰਵਾਈ ਨੂੰ ਲੌਗ ਕੀਤਾ ਗਿਆ, ਟਾਈਮਸਟੈਂਪ ਕੀਤਾ ਗਿਆ, ਅਤੇ JPMorgan Chase ਨੂੰ ਰੀਅਲ-ਟਾਈਮ ਵਿੱਚ ਸਾਂਝਾ ਕੀਤਾ ਗਿਆ।

Tom Kelly ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ 17 ਨਵੰਬਰ 2016 ਤੋਂ 22 ਸਤੰਬਰ 2017 ਤੱਕ ਚੈਡ ਸਕਾਇਰਾ ਹੀ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਇੱਕਲੌਤਾ ਵਿਅਕਤੀ ਸੀ ਜਿਸ ਨੇ JPMorgan Chase ਨੂੰ ਜ਼ਿੰਮੇਵਾਰੀ ਨਾਲ ਇੱਕ ਮੁੱਦਾ ਖੁਲਾਸਾ ਕੀਤਾ। Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਸਿੱਧਾ ਚੈਡ ਦੀ ਰਿਪੋਰਟ ਦੇ ਜਵਾਬ ਵਜੋਂ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਉਸਨੇ ਇਸ ਨੂੰ ਆਕਾਰ ਦੇਣ ਵਿੱਚ ਅਹੰਕਾਰਪੂਰਕ ਭੂਮਿਕਾ ਨਿਭਾਈ।

ਡਬਲ ਟ੍ਰਾਂਸਫਰ ਬੱਗ ਦਾ ਦ੍ਰਿਸ਼ਟੀਕਰਨ

#ਦ੍ਰਿਸ਼ਟੀਕਰਨ

ਇਸ ਗਲਤੀ ਨੇ ਬੈਲੈਂਸਾਂ ਨੂੰ ਵੱਡੀਆਂ ਨਕਾਰਾਤਮਕ ਅਤੇ ਸਕਾਰਾਤਮਕ ਰਕਮਾਂ ਵੱਲ ਕਿਵੇਂ ਮੋੜਿਆ, ਇਹ ਦਰਸਾਉਣ ਲਈ ਹੇਠਾਂ ਦੀ ਵਿਜ਼ੂਅਲਾਈਜ਼ੇਸ਼ਨ ਠੀਕ ਦੋਹਰੀ-ਟ੍ਰਾਂਸਫਰ ਲੌਜਿਕ ਨੂੰ ਮੁੜ ਚਲਾਂਦੀ ਹੈ। ਦੇਖੋ ਕਿ ਜੋ ਵੀ ਖਾਤਾ ਸਕਾਰਾਤਮਕ ਹੁੰਦਾ ਹੈ, ਉਹ ਭੇਜਣ ਵਾਲਾ ਬਣਦਾ ਹੈ, ਦੋ ਇੱਕੋ ਜਿਹੇ ਟ੍ਰਾਂਸਫਰ ਕਰਦਾ ਹੈ ਅਤੇ ਗਹਿਰਾਈ ਨਾਲ ਨਕਾਰਾਤਮਕ ਹੋ ਜਾਂਦਾ ਹੈ ਜਦਕਿ ਦੂਜਾ ਡਬਲ ਹੋ ਜਾਂਦਾ ਹੈ। 20 ਰਾਊਂਡਾਂ ਦੇ ਬਾਅਦ ਟੁੱਟੀ ਹੋਈ ਲੇਜਰ ਨਕਾਰਾਤਮਕ ਕਾਰਡ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਰੱਦ ਕਰ ਦਿੰਦੀ ਹੈ—ਇਸੇ ਕਾਰਨ ਇਹ ਐਕਸਪਲਾਇਟ ਤੁਰੰਤ ਉਚੇਤਰ ਕਾਰਵਾਈ ਦੀ ਮੰਗ ਕਰਦਾ ਸੀ।

ਰਾਊਂਡ 1/20
ਕਾਰਡ A → ਕਾਰਡ B+243,810 ਪੌਇੰਟ
ਕਾਰਡ A → ਕਾਰਡ B+243,810 ਪੌਇੰਟ
ਕਾਰਡ A
243,810
ਕਾਰਡ B
0
ਡਬਲ ਟ੍ਰਾਂਸਫਰ ਬਰਸਟ
ਟ੍ਰਾਂਸਫਰ 1ਟ੍ਰਾਂਸਫਰ 2243,810 ਪੌਇੰਟ ਹਰ
1ਰੇਸ ਕੰਡੀਸ਼ਨ ਨੇ ਲੈਜਰਾਂ ਦੇ ਦੁਬਾਰਾ ਠੀਕ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਟ੍ਰਾਂਸਫਰਾਂ ਨਕਲ ਕਰਵਾਂ ਦਿੱਤੀਆਂ, ਜਿਸ ਨਾਲ ਇੱਕ ਹੀ ਭੇਜਣ ਵਾਲਾ ਵੱਡੇ ਧਨਾਤਮਕ ਅਤੇ ਰਣਾਤਮਕ ਬਕਾਏ ਦਰਮਿਆਨ ਬਦਲ ਸਕਿਆ।
2ਸਮਰਥਨ ਨੇ ਨਕਾਰਾਤਮਕ ਕਾਰਡ ਨੂੰ ਬੰਦ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ ਪਰ ਵਧਾਈ ਗਈ ਧਨਾਤਮਕ ਬਕਾਇਆ ਨੂੰ ਰੱਖਿਆ, ਇਸ ਲਈ ਬਿਆਨ ਵਿੱਚ ਸਿਰਫ ਲਾਭ ਦਿਖੇ ਗਏ ਅਤੇ ਕਰਜ਼ਾ ਛੁਪਾ ਦਿੱਤਾ ਗਿਆ।

ਅਕਾਊਂਟ ਬੰਦ ਕਰਨ ਤੋਂ ਵੀ ਪਹਿਲਾਂ, Ultimate Rewards ਨੇ ਨੈਗੇਟਿਵ ਸਾਰ ਤੋਂ ਵੱਧ ਖਰਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ; ਅਕਾਊਂਟ ਬੰਦ ਹੋਣ ਨਾਲ ਸਿਰਫ ਸਬੂਤ ਮਿਟ ਗਏ।

ਮੁੱਖ ਨੁਕਤੇ

  • Chad ਨੇ ਨਕਾਰਾਤਮਕ ਬੈਲੈਂਸ ਖ਼ਾਮੀ ਨੂੰ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਰਿਪੋਰਟ ਕਰਕੇ Chase Support ਦਾ DM ਖੋਲ੍ਹਿਆ ਅਤੇ ਤਕਨੀਕੀ ਵੇਰਵੇ ਸਰਵਜਨਿਕ ਤੌਰ 'ਤੇ ਪੋਸਟ ਕਰਨ ਦੀ ਬਜਾਏ ਤੁਰੰਤ ਸੁਰੱਖਿਅਤ ਇੰਸਕੇਲੇਸ਼ਨ ਮਾਰਗ ਦੀ ਮੰਗ ਕੀਤੀ। [chat]
  • ਜਦੋਂ Chase Support ਨੇ ਵਿਸਥਾਰ ਮੰਗੇ, ਉਸ ਨੇ ਐਕਸਪਲਾਇਟ ਦੀ ਪੁਸ਼ਟੀ ਸਿਰਫ਼ ਜਰੂਰੀ ਹੱਦ ਤੱਕ ਕੀਤੀ ਅਤੇ ਦੁਹਰਾਇਆ ਕਿ ਉਹ ਸਹੀ ਸੁਰੱਖਿਆ ਟੀਮ ਨਾਲ ਸਿੱਧੀ ਪਹੁੰਚ ਚਾਹੁੰਦਾ ਹੈ। [chat][chat]
  • ਉਸਨੇ ਦਰਸਾਇਆ ਕਿ ਦੁਹਰਾਈ ਗਈਆਂ ਬੈਲੈਂਸਜ਼ ਨੂੰ ਨਕਦ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ: ਜਦ Chase Support ਨੇ ਪੁੱਛਿਆ ਕਿ ਕੀ ਵਾਧੂ ਪੌਇੰਟ ਵਰਤੋਂਯੋਗ ਹੋ ਗਏ, ਤਾਂ $5,000 ਦੀ ਡਾਇਰੈਕਟ ਡਿਪਾਜ਼ਿਟ ਨੇ ਸਾਬਤ ਕੀਤਾ ਕਿ ਇਹ ਐਕਸਪਲੋਇਟ ਲੈਜਰ ਅਪਡੇਟ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਨਕਦ ਵਿੱਚ ਬਦਲ ਗਿਆ। [chat]
  • ਉਸਨੇ ਜ਼ੋਰ ਦਿੱਤਾ ਕਿ ਉਸ ਦੀ ਪ੍ਰਾਥਮਿਕਤਾ ਨਿੱਜੀ ਨਫ਼ਾ ਕਮਾਉਣਾ ਨਹੀਂ ਸੀ ਸਗੋਂ ਸੁਰੱਖਿਆ ਭੰਗ ਹੋ ਚੁੱਕੇ ਗ੍ਰਾਹਕ ਖਾਤਿਆਂ ਨੂੰ ਖਾਲੀ ਹੋਣ ਤੋਂ ਰੋਕਣਾ ਸੀ, ਅਤੇ ਉਸਨੇ ਪੁੱਛਿਆ ਕਿ ਕੀ ਕੋਈ ਰਸਮੀ ਬੱਗ-ਬਾਊਂਟੀ ਮੌਜੂਦ ਹੈ। [chat]
  • ਉਸਨੇ ਕਿਹਾ ਕਿ ਉਹ ਸਿਰਫ਼ ਸਪਸ਼ਟ ਅਨੁਮਤੀ ਨਾਲ ਹੀ ਵੱਡੀ ਵੈਰੀਫਿਕੇਸ਼ਨ ਕਰੇਗਾ/ਕਰੇਗੀ, ਟਾਈਮਸਟੈਂਪ ਵਾਲੀਆਂ ਸਕ੍ਰੀਨਸ਼ਾਟਸ ਮੁਹੱਈਆ ਕਰਵਾਈਆਂ, ਅਤੇ Chase ਨੇ ਐਸਕਲੇਸ਼ਨ ਪੂਰਾ ਕਰਨ ਤੱਕ ਵਿਦੇਸ਼ ਵਿੱਚ ਜਾਗਦਾ ਰਹਿ ਕੇ ਰਿਹਾ। [chat][chat][chat]
  • Nickles ਹੁਣ ਦਾਅਵਾ ਕਰ ਰਿਹਾ ਹੈ ਕਿ Chad Scira ਨੇ $70,000 ਦੇ ਪਾਇੰਟ ਚੁਰਾਏ ਅਤੇ ਉਸਨੇ ਅਮਰੀਕੀ ਕਾਨੂੰਨੀ ਏਜੰਸੀਆਂ ਦਾ ਸਾਹਮਣਾ ਕੀਤਾ; ਪਰ Chase ਰਿਕਾਰਡ, Tom Kelly ਦਾ ਈਮੇਲ, ਅਤੇ ਰਿਪੋਰਟਿੰਗ ਟਾਈਮਲਾਈਨ ਇਹ ਸਾਬਤ ਕਰਦੇ ਹਨ ਕਿ ਇਹ ਕਦੇ ਨਹੀਂ ਹੋਇਆ, ਅਤੇ ਇਹ ਦਾਅਵਾ ਸਿਰਫ਼ ਉਸ ਵੇਲੇ ਸਾਹਮਣੇ ਆਇਆ ਜਦੋਂ Chad ਨੇ SlickStack 'ਤੇ cron-risk gist ਪ੍ਰਕਾਸ਼ਿਤ ਕਰ ਕੇ Jesse ਦੀ ਅਸੁਰੱਖਿਅਤ ਅਪਡੇਟ ਲੌਜਿਕ ਨੂੰ ਦਰਜ ਕੀਤਾ। [gist]
  • Chase Support ਨੇ ਇਸ escalation ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਉਸ ਦਾ ਫ਼ੋਨ ਨੰਬਰ ਮੰਗਿਆ ਅਤੇ ਉਸ ਫਾਲੋ-ਅਪ ਕਾਲ ਦਾ ਵਾਦਾ ਕੀਤਾ ਜੋ ਅਖ਼ਿਰਕਾਰ ਉਸਨੂੰ ਮਿਲੀ, ਜਿਸ ਨਾਲ ਦ੍ਰਿੜ਼ਤਾਪੂਰਕ ਤੌਰ 'ਤੇ ਸ਼ਤਰੂਪੂਰਕ ਬੈਂਕਿੰਗ ਪ੍ਰਤੀਕਿਰਿਆ ਦਾ ਦਾਅਵਾ ਢਹਿ ਗਿਆ। [chat][chat]

ਟਾਈਮਲਾਈਨ

#ਟਾਈਮਲਾਈਨ
  • ਨਵੰਬਰ 17, 2016 - 10:05 PM ET: Chad ਨੇ @ChaseSupport ਨੂੰ ਨਕਾਰਾਤਮਕ ਬੈਲੈਂਸ ਖ਼ਾਮੀ ਬਾਰੇ ਸੂਚਿਤ ਕੀਤਾ, ਖ਼ਾਮੀ ਦੀ ਜਾਣਕਾਰੀ ਨਿੱਜੀ ਰੱਖੀ, ਅਤੇ ਤੁਰੰਤ ਹੀ ਇੱਕ ਸੁਰੱਖਿਅਤ ਇੰਸਕੇਲੇਸ਼ਨ ਮਾਰਗ ਦੀ ਮੰਗ ਕੀਤੀ। [ਚੈਟ]
  • ਨਵੰਬਰ 17, 2016 - 11:13-11:17 PM ET: ਜਦੋਂ Chase Support ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਪੁੱਛਦਾ ਹੈ ਕਿ ਕੀ ਵਾਧੂ ਪਾਇੰਟ ਬਣਾਏ ਅਤੇ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ, Chad ਖਤਰੇ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ, ਦੁਹਰਾਉਂਦਾ ਹੈ ਕਿ ਉਹ ਸਹੀ ਵਿਭਾਗ ਚਾਹੁੰਦਾ ਹੈ, ਅਤੇ ਕੇਵਲ ਅਨੁਮਤੀ ਨਾਲ ਹੀ ਤਸਦੀਕ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਬੈਂਕ ਲੈਨਦੇਨ ਦਾ ਨਿਰੀਖਣ ਕਰ ਸਕੇ। [ਚੈਟ][ਚੈਟ][ਚੈਟ]
  • ਨਵੰਬਰ 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ਸਕਰੀਨਸ਼ਾਟ ਸਾਂਝੇ ਕਰਦਾ ਹੈ, ਤੇਜ਼ ਇੰਸਕੇਲੇਸ਼ਨ ਲਈ ਅਪੀਲ ਕਰਦਾ ਹੈ, ਆਪਣਾ ਫ਼ੋਨ ਨੰਬਰ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਵਿਦੇਸ਼ਾਂ ਵਿਚ ਜਾਗਦਾ ਰਹਿੰਦਾ ਹੈ ਜਦ ਤੱਕ Chase Support ਕਾਲ ਦੀ ਪੁਸ਼ਟੀ ਨਹੀਂ ਕਰ ਦਿੰਦਾ। [ਚੈਟ][ਚੈਟ][ਚੈਟ]
  • ਨਵੰਬਰ 24, 2016: Tom Kelly ਨੇ ਚੈਡ ਨੂੰ ਈਮੇਲ ਕੀਤੀ ਜਿਸ ਵਿੱਚ ਰੀਮੇਡੀਏਸ਼ਨ ਦੀ ਪੁਸ਼ਟੀ, ਉਸ ਨੂੰ ਆਉਣ ਵਾਲੇ Responsible Disclosure ਲੀਡਰਬੋਰਡ ਲਈ ਮੁੱਖ ਸਥਾਨ 'ਤੇ ਹੋਣ ਦਾ ਨਿਯੋਤਾ ਅਤੇ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਲਈ ਸਿੱਧੀ ਲਾਈਨ ਦਿੱਤੀ ਗਈ। [ਈਮੇਲ]
  • ਅਕਤੂਬਰ 2018: Tom Kelly ਨੇ ਫਾਲੋ-ਅਪ ਕਰਕੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਸ਼ੁਰੂ ਹੋ ਗਿਆ ਸੀ ਪਰ JPMorgan ਨੇ ਆਖ਼ਿਰਕਾਰ ਚੈਡ ਦੀ ਮਦਦ ਦੇ ਬਾਵਜੂਦ ਯੋਜਿਤ ਲੀਡਰਬੋਰਡ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ ਨਾ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ। [ਈਮੇਲ]
  • 2018 ਤੋਂ ਬਾਅਦ: ਬਕਾਇਆ ਖਾਤਿਆਂ ਦੀਆਂ ਕਿਸੇ ਵੀ ਸਮੀਖਿਆਵਾਂ ਦਾ ਸਬੰਧ ਇੰਸ਼ੂਰਰ ਦੀ ਆਟੋਮੇਸ਼ਨ ਨਾਲ ਸੀ, ਦਾਅਵਾ ਕੀਤੀ ਗਈ ਹੈਕਿੰਗ ਨਾਲ ਨਹੀਂ। JPMorgan ਨੇ ਸਿੱਧਾ ਸੰਪਰਕ برقرار ਰੱਖਿਆ, Chad ਦੇ ਖੁਲਾਸੇ ਲਈ ਉਸਦਾ ਧੰਨਵਾਦ ਕੀਤਾ, ਅਤੇ ਕੋਈ ਆਪਰਾਧਿਕ ਰਿਕਾਰਡ ਜਾਂ ਬਲੈਕਲਿਸਟ ਨਹੀਂ ਹੈ। ਬਾਅਦ ਵਿੱਚ, JPMorgan ਨੇ Synack ਨੂੰ ਆਪਣੀ ਖੁਲਾਸਾ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਸ਼ਾਮِل ਕਰ ਲਿਆ ਤਾਂ ਜੋ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਲਈ ਕਾਰਜ-ਪ੍ਰਵਾਹ ਸਰਲ ਹੋ ਜਾਵੇ। [ਚੈਟ][ਈਮੇਲ]

ਦਾਵੇ ਬਨਾਮ ਤੱਥ

ਦਾਅਵਾ

Jesse Jacob Nickles ਵੱਲੋਂ ਬਦਨਾਮ ਕਰਨ ਵਾਲਾ ਦਾਅਵਾ: "Chad Scira ਨੂੰ ਰਿਵਾਰਡ ਸਿਸਟਮ ਹੈਕ ਕਰਨ ਕਾਰਨ ਹਰ US ਬੈਂਕ ਵੱਲੋਂ ਬਲੈਕਲਿਸਟ ਕੀਤਾ ਗਿਆ ਸੀ."

ਤੱਥ

ਕੋਈ ਬੈਂਕ ਬਲੈਕਲਿਸਟ ਮੌਜੂਦ ਨਹੀਂ ਹੈ। DM ਰਿਕਾਰਡ ਅਤੇ Chase ਈਸਕਲੇਸ਼ਨ ਸਾਬਤ ਕਰਦੇ ਹਨ ਕਿ ਉਹ ਸਹਿਯੋਗ ਕਰ ਰਿਹਾ ਸੀ; ਇੱਕ ਬੀਮਾ ਕੰਪਨੀ ਦੀ ਆਟੋਮੇਸ਼ਨ ਨੇ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਇੱਕ JPMorgan ਖਾਤਾ ਰੋਕਿਆ ਸੀ ਪਰ ਮੈਨੂਅਲ ਸਮੀਖਿਆ ਨੇ ਉਸ ਨੂੰ ਸਾਫ਼ ਕਰ ਦਿੱਤਾ।[ਟਾਈਮਲਾਈਨ][ਚੈਟ]

ਦਾਅਵਾ

Jesse Jacob Nickles ਵੱਲੋਂ ਬਦਨਾਮ ਕਰਨ ਵਾਲਾ ਦਾਅਵਾ: "ਉਸ ਨੇ ਆਪਣਾ ਫਾਇਦਾ ਬਢ਼ਾਉਣ ਲਈ JPMorgan Chase ਨੂੰ ਹੈਕ ਕੀਤਾ।"

ਤੱਥ

Chad ਨੇ @ChaseSupport ਨਾਲ ਗੱਲਬਾਤ ਸ਼ੁਰੂ ਕੀਤੀ, ਸੁਰੱਖਿਅਤ ਚੈਨਲ 'ਤੇ ਜ਼ੋਰ ਦਿੱਤਾ, ਕੇਵਲ Chase ਦੇ ਪੁੱਛਣ 'ਤੇ ਹੀ ਖ਼ਾਮੀ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਅਤੇ ਸੀਮਿਤ ਤਸਦੀਕ ਕਰਣ ਤੋਂ ਪਹਿਲਾਂ ਅਨੁਮਤੀ ਦੀ ਉਡੀਕ ਕੀਤੀ। ਸੀਨੀਅਰ ਨੇਤ੍ਰਤਵ ਨੇ ਉਸਦਾ ਧੰਨਵਾਦ ਕੀਤਾ ਅਤੇ ਉਸਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਦੀ ਰੋਲਆਊਟ ਵਿੱਚ ਸ਼ਾਮِل ਹੋਣ ਲਈ ਬੁਲਾਇਆ।[ਚੈਟ][ਚੈਟ][ਈਮੇਲ]

ਦਾਅਵਾ

Jesse Jacob Nickles ਵੱਲੋਂ ਬਦਨਾਮ ਕਰਨ ਵਾਲਾ ਦਾਅਵਾ: "Jesse ਨੇ Chad ਦੀ ਇੱਕ ਅਪਰਾਧੀ ਸਕੀਮ ਨੂੰ ਬੇਨਕਾਬ ਕੀਤਾ।"

ਤੱਥ

ਜਨਤਕ ਕਵਰੇਜ ਅਤੇ Tom Kelly ਦੀਆਂ ਈਮੇਲਾਂ ਦੱਸਦੀਆਂ ਹਨ ਕਿ JPMorgan ਨੇ Chad ਨੂੰ ਇੱਕ ਸਹਿਯੋਗੀ ਖੋਜਕਰਤਾ ਵਜੋਂ ਵਰਤਿਆ। Nickles ਸਕ੍ਰੀਨਸ਼ਾਟਾਂ ਨੂੰ ਚੁਣ-ਚੁਣ ਕੇ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜਦਕਿ ਪੂਰੀ ਚੈਟ, ਫਾਲੋ-ਅਪ ਕਾਲਾਂ ਅਤੇ ਲਿਖਤੀ ਧੰਨਵਾਦ ਨੂੰ ਅਣਡਿੱਠਾ ਕਰਦਾ ਹੈ।[ਕਵਰੇਜ][ਈਮੇਲ][ਚੈਟ]

ਦਾਅਵਾ

Jesse Jacob Nickles ਵੱਲੋਂ ਬਦਨਾਮ ਕਰਨ ਵਾਲਾ ਦਾਅਵਾ: "ਧੋਖਾਧੜੀ ਨੂੰ ਢੱਕਣ ਲਈ ਇੱਕ ਕਵਰ-ਅੱਪ ਕੀਤਾ ਗਿਆ ਸੀ।"

ਤੱਥ

Chad ਨੇ 2018 ਤੱਕ ਸੰਪਰਕ ਜਾਰੀ ਰੱਖਿਆ, ਸਿਰਫ਼ ਇਜਾਜ਼ਤ ਨਾਲ ਹੀ ਮੁੜ-ਟੈਸਟ ਕੀਤਾ, ਅਤੇ JPMorgan ਨੇ ਮੁੱਦੇ ਨੂੰ ਦਫਨ ਕਰਨ ਦੀ ਬਜਾਏ ਆਪਣਾ ਡਿਸਕਲੋਜ਼ਰ ਪੋਰਟਲ ਲਾਂਚ ਕੀਤਾ। ਚੱਲ ਰਹੀ ਗੱਲਬਾਤ ਕਿਸੇ ਵੀ ਢੱਕੇ-ਢੱਕੇ ਦੀ ਕਹਾਣੀ ਨੂੰ ਖੰਡਨ ਕਰਦੀ ਹੈ।[ਟਾਈਮਲਾਈਨ][ਈਮੇਲ][ਚੈਟ]

ਜਨਤਕ ਕਵਰੇਜ ਅਤੇ ਖੋਜ ਅਰਕਾਈਵ

#ਕਵਰੇਜ

ਕਈ ਤੀਸਰੇ-ਪੱਖੀ ਕਮਿਊਨਿਟੀਆਂ ਨੇ ਰਿਪੋਰਟ ਨੂੰ ਆਰਕਾਈਵ ਕੀਤਾ ਅਤੇ ਇਸਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਰਿਪੋਰਟ ਵਜੋਂ ਮੰਨਿਆ: Hacker News ਨੇ ਇਸਨੂੰ ਫਰੰਟ ਪੇਜ਼ 'ਤੇ ਰੱਖਿਆ, Pensive Security ਨੇ 2020 ਦੇ ਰਾਊਂਡਅੱਪ ਵਿੱਚ ਇਸਦਾ ਸਾਰ ਕੀਤਾ, ਅਤੇ /r/cybersecurity ਨੇ ਸਹਯੋਗੀ ਫਲੈਗਿੰਗ ਤੋਂ ਪਹਿਲਾਂ ਮੂਲ "DISCLOSURE" ਥ੍ਰੇਡ ਨੂੰ ਇੰਡੈਕਸ ਕੀਤਾ। [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" ਜਿਸ ਵਿੱਚ 1,000+ ਪੌਇੰਟ ਅਤੇ 250+ ਟਿੱਪਣੀਆਂ ਹਨ ਜੋ ਸਮਾਧਾਨ ਸੰਦਰਭ ਨੂੰ ਦਸਤਾਵੇਜ਼ ਕਰਦੀਆਂ ਹਨ। [4]
  • Pensive Security: ਨਵੰਬਰ 2020 ਸਾਈਬਰਸੁਰੱਖਿਆ ਰਾਉਂਡਅੱਪ ਜਿਸ ਵਿੱਚ Chase Ultimate Rewards ਖੁਲਾਸੇ ਨੂੰ ਮੁੱਖ ਕਹਾਣੀ ਵਜੋਂ ਉਭਾਰਿਆ ਗਿਆ। [5]
  • Reddit /r/cybersecurity: ਮੂਲ ਖੁਲਾਸਾ ਪੋਸਟ ਦਾ ਸਿਰਲੇਖ ਜੋ ਭਾਰੀ ਰਿਪੋਰਟਿੰਗ ਕਾਰਨ ਹਟਾਏ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਰਿਕਾਰਡ ਕੀਤਾ ਗਿਆ, ਜਨਤਕ-ਰੁਚੀ ਵਾਲੇ ਫਰੇਮਿੰਗ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਦਾ ਹੈ। [6]

ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਦੇ ਵਕੀਲਾਂ ਨੇ ਹراسਮੈਂਟ ਦੇ ਨਤੀਜੇ ਵੀ ਦਰਸਾਏ: disclose.io ਦੇ threats ਡਾਇਰੈਕਟਰੀ ਅਤੇ ਰਿਸਰਚ ਰਿਪੋਜ਼ਟਰੀ, ਨਾਲ ਹੀ Attrition.org ਦੇ legal threats ਇੰਡੈਕਸ ਵਿੱਚ Jesse Nickles ਦੇ ਆਚਰਨ ਨੂੰ ਖੋਜਕਾਰਾਂ ਲਈ ਚੇਤਾਵਨੀ ਵਜੋਂ ਦਰਜ ਕੀਤਾ ਗਿਆ ਹੈ। [7][8][9] ਪੂਰਾ ਹੈਰਾਸਮੈਂਟ ਡੋਸੀਅਰ[10].

Chase Support DM ਟ੍ਰਾਂਸਕ੍ਰਿਪਟ

#ਚੈਟ

ਹੇਠਾਂ ਦੀ ਗੱਲਬਾਤ ਆਰਕਾਈਵ ਕੀਤੀਆਂ ਸਕ੍ਰੀਨਸ਼ਾਟਾਂ ਤੋਂ ਮੁੜ ਬਣਾਈ ਗਈ ਹੈ। ਇਹ ਧੀਰਜਪੂਰਵਕ ਕੀਤੀ ਗਈ ਉਚੇਤਰ ਗਤੀਵਿਧੀ (escalation), ਸੁਰੱਖਿਅਤ ਚੈਨਲ ਲਈ ਮੁੜ-ਮੁੜ ਕੀਤੀਆਂ ਬੇਨਤੀਆਂ, ਕੇਵਲ ਆਗਿਆ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ਾਂ ਅਤੇ Chase Support ਵੱਲੋਂ ਸਿੱਧੇ ਸੰਪਰਕ ਕਰਨ ਦੇ ਵਾਅਦੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। [2]

Chase Support Profile avatar
Chase Support Profileਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ਇਹ ਪੌਇੰਟ ਬੈਲੈਂਸ ਸਿਸਟਮ ਨਾਲ ਸੰਬੰਧਤ ਹੈ। ਇਸ ਸਮੇਂ ਇਕ ਬੱਗ ਦੇ ਜ਼ਰੀਏ ਜੋ ਨਕਾਰਾਤਮਕ ਬੈਲੈਂਸ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਕਿਸੇ ਵੀ ਰਕਮ ਨੂੰ ਜਨਰੇਟ ਕਰਨਾ ਸੰਭਵ ਹੈ।

ਖੁਲਾਸੇ ਲਈ ਸੁਰੱਖਿਅਤ ਐਸਕਲੇਸ਼ਨ ਰਸਤੇ ਦੀ ਬੇਨਤੀ।
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ਕਿਰਪਾ ਕਰਕੇ ਕੀ ਤੁਸੀਂ ਮੇਰਾ ਕਿਸੇ ਅਜਿਹੇ ਵਿਅਕਤੀ ਨਾਲ ਸੰਪਰਕ ਕਰਵਾ ਸਕਦੇ ਹੋ ਜਿਸਨੂੰ ਮੈਂ ਤਕਨੀਕੀ ਵਿਵਰਣ ਸਮਝਾ ਸਕਾਂ?

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 17, 2016, 10:05 PM
#

ਅਸੀਂ ਕੋਈ ਫ਼ੋਨ ਨੰਬਰ ਮੁਹੱਈਆ ਨਹੀਂ ਕਰ ਸਕਦੇ, ਪਰ ਅਸੀਂ ਇਸਨੂੰ ਉੱਚ ਪੱਧਰ 'ਤੇ ਭੇਜਣਾ ਚਾਹੁੰਦੇ ਹਾਂ ਤਾਂ ਜੋ ਇਸਦੀ ਜਾਂਚ ਹੋ ਸਕੇ। ਕੀ ਤੁਸੀਂ ਵਧੇਰੇ ਵੇਰਵੇ ਦੇ ਸਕਦੇ ਹੋ ਕਿ ਤੁਸੀਂ ਨਕਾਰਾਤਮਕ ਬਕਾਇਆ ਵਿੱਚ ਪੌਇੰਟ ਉਤਪੰਨ ਕਰਨ ਨਾਲ ਕੀ مطلب ਲੈ ਰਹੇ ਹੋ? ਕੀ ਤੁਸੀਂ ਇਹ ਵੀ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਕੀ ਇਸ ਨਾਲ ਵਾਧੂ ਪਾਇੰਟ ਉਪਲਬਧ ਹੋ ਕੇ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ਕੀ ਤੁਹਾਡੇ ਕੋਲ ਕੋਈ مناسب ਵਿਭਾਗ ਹੈ ਜਿਸ ਨਾਲ ਤੁਸੀਂ ਮੈਨੂੰ ਸੰਪਰਕ ਕਰਵਾ ਸਕਦੇ ਹੋ? ਮੈਂ ਇਸ ਗੱਲ ਨੂੰ Twitter ਸਪੋਰਟ ਖਾਤੇ ਰਾਹੀਂ ਚਰਚਾ ਕਰਕੇ ਆਰਾਮਦਾਇਕ ਮਹਿਸੂਸ ਨਹੀਂ ਕਰਦਾ/ਕਰਦੀ। ਹਾਂ, ਤੁਸੀਂ 1,000,000 ਪੌਇੰਟ ਤੇਆਂ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹੋ ਅਤੇ ਉਨ੍ਹਾਂ ਦਾ ਉਪਯੋਗ ਕਰ ਸਕਦੇ ਹੋ।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ਮੇਰੀ ਮੁੱਖ ਚਿੰਤਾ ਇਹ ਨਹੀਂ ਕਿ ਕੋਈ ਵਿਅਕਤੀ ਇਹ ਕਰ ਰਿਹਾ ਹੈ। ਮੁੱਖ ਚਿੰਤਾ ਹੈ ਕਿ ਹੈਕਰ ਖਾਤਿਆਂ ਨੂੰ ਕੰਪਰੋਮਾਈਜ਼ ਕਰਕੇ ਉਨ੍ਹਾਂ 'ਤੇ ਪੇਆਉਟਜ਼ ਨੂੰ ਮਜ਼ਬੂਰ ਕਰ ਦਿੰਦੇ ਹਨ। ਕੀ Chase ਦਾ ਕੋਈ ਪ੍ਰਮਾਣਿਤ bug bounty ਪ੍ਰੋਗਰਾਮ ਮੌਜੂਦ ਹੈ?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

ਜੇ ਤੁਸੀਂ ਚਾਹੋ ਤਾਂ ਮੈਂ ਪੁਸ਼ਟੀ ਲਈ ਇੱਕ ਵੱਡੀ ਲੈਣ-ਦੇਣ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦਾ ਹਾਂ। ਜਿਸ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਮੈਂ ਟੈਸਟ ਕੀਤਾ ਉਹ $300 ਸੀ ਜਦੋਂ ਬੈਲੰਸ ਗਲਤ ਦਰਸਾਇਆ ਗਿਆ ਸੀ, ਪਰ ਮੇਰੇ ਕੋਲ ਅਸਲ ਵਿੱਚ $2,000 ਦੇ ਕ੍ਰੈਡਿਟ ਮੌਜੂਦ ਸਨ। ਜੇ ਤੁਸੀਂ ਮੈਨੂੰ ਅਨੁਮਤੀ ਦਿੰਦੇ ਹੋ ਤਾਂ ਮੈਂ ਇਹ ਯਤਨ ਕਰ ਸਕਦਾ ਹਾਂ ਕਿ ਇਹ ਕੰਮ ਕਰਦਾ ਹੈ, ਪਰ ਮੈਂ ਚਾਹੂੰਗਾ ਕਿ ਉਸ ਟੈਸਟ ਤੋਂ ਬਾਅਦ ਸਾਰੀਆਂ ਲੈਣ-ਦੇਣ ਵਾਪਸ ਕਰ ਦਿੱਤੀਆਂ ਜਾਣ।

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 17, 2016, 11:21 PM

ਸਾਡੇ ਕੋਲ ਕੋਈ ਬਾਊਂਟੀ ਪ੍ਰੋਗਰਾਮ ਨਹੀਂ ਹੈ, ਅਤੇ ਇਸ ਸਮੇਂ ਦੱਸਣ ਲਈ ਮੇਰੇ ਕੋਲ ਕੋਈ ਰਕਮ ਨਹੀਂ ਹੈ। ਮੈਂ ਤੁਹਾਡੀ ਚਿੰਤਾ ਨੂੰ ਉੱਚ ਪੱਧਰ 'ਤੇ ਭੇਜ ਦਿੱਤਾ ਹੈ ਅਤੇ ਅਸੀਂ ਇਸ ਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਹਾਂ। ਜੇ ਮੇਰੇ ਕੋਲ ਹੋਰ ਵਿਵਰਣ ਜਾਂ ਸਵਾਲ ਹੋਣਗੇ ਤਾਂ ਮੈਂ ਫਾਲੋ-ਅਪ ਕਰਾਂਗਾ। ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ਧੰਨਵਾਦ।

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

ਕਿਰਪਾ ਕਰਕੇ ਜਲਦੀ ਤੋਂ ਜਲਦੀ ਐਸਕਲੇਟ ਕਰੋ।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ਮੈਨੂੰ ਸੱਚਮੁੱਚ ਇੱਕ ਢੰਗ ਦਾ ਸੰਪਰਕ ਚਾਹੀਦਾ ਹੈ... ਆਸ ਹੈ ਤੁਸੀਂ ਸਮਝੋਗੇ।

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ਇੱਕ ਘੰਟੇ ਤੋਂ ਵੱਧ ਹੋ ਚੁੱਕੇ ਹਨ, ਕੀ ਇਸ ਬਾਰੇ ਕੋਈ ਖਬਰ ਹੈ? ਮੈਂ ਇਸ ਵੇਲੇ ਏਸ਼ੀਆ ਵਿੱਚ ਹਾਂ, ਅਤੇ ਇਹ ਸਮੇਂ-ਸੰਵੇਦਨਸ਼ੀਲ ਮਾਮਲਾ ਹੈ। ਮੈਂ ਰਾਤ ਭਰ ਜਵਾਬ ਦੀ ਉਡੀਕ ਨਹੀਂ ਕਰ ਸਕਦਾ।

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 18, 2016, 12:59 AM

ਫਾਲੋਅਪ ਕਰਨ ਲਈ ਧੰਨਵਾਦ। ਸਾਡੇ ਕੋਲ ਇਸ ਨੂੰ ਵੇਖ ਰਹੇ ਉਚਿਤ ਵਿਅਕਤੀ ਹਨ। ਕਿਰਪਾ ਕਰਕੇ ਆਪਣਾ ਪ੍ਰਾਥਮਿਕ ਸੰਪਰਕ ਨੰਬਰ ਦਿਓ ਤਾਂ ਜੋ ਅਸੀਂ ਤੁਹਾਡੇ ਨਾਲ ਸਿੱਧਾ ਗੱਲ ਕਰ ਸਕੀਏ। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 18, 2016, 1:53 AM

ਵਾਧੂ ਜਾਣਕਾਰੀ ਲਈ ਧੰਨਵਾਦ। ਮੈਂ ਇਹ ਸਹੀ ਲੋਕਾਂ ਨੂੰ ਅੱਗੇ ਭੇਜ ਦਿੱਤਾ ਹੈ। ^DS

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 18, 2016, 2:38 AM
#

ਅਸੀਂ ਇਹ ਤੁਹਾਡੇ ਨਾਲ ਜਲਦ ਤੋਂ ਜਲਦ ਚਰਚਾ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਾਂ। ਕੀ ਤੁਸੀਂ ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ ਦੱਸ ਸਕਦੇ ਹੋ ਕਿ 1-███-███-████ 'ਤੇ ਤੁਹਾਨੂੰ ਕਦੋਂ ਕਾਲ ਕਰਨ ਲਈ ਇੱਕ ਚੰਗਾ ਸਮਾਂ ਹੋਵੇਗਾ? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ਜੇ ਇਹ ਸੰਭਵ ਹੈ ਤਾਂ ਮੈਂ ਅਗਲੇ ਇਕ ਘੰਟੇ ਲਈ ਉਪਲਬਧ ਹਾਂ। ਨਹੀਂ ਤਾਂ ਇੱਕ-ਦੋ ਦਿਨ ਲੱਗ ਸਕਦੇ ਹਨ ਕਿਉਂਕਿ ਮੈਂ ਯਾਤਰਾ 'ਤੇ ਹੋਵਾਂਗਾ ਅਤੇ ਪਤਾ ਨਹੀਂ ਕਿ ਮੇਰੇ ਕੋਲ ਇੰਟਰਨੇਟ/ਫੋਨ ਦੀ ਪਹੁੰਚ ਰਹੇਗੀ ਜਾਂ ਨਹੀਂ।

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ਮੈਂ ਨਹੀਂ ਸੋਚਿਆ ਸੀ ਕਿ ਸਹੀ ਵਿਅਕਤੀ ਨਾਲ ਗੱਲ ਕਰਨ ਲਈ 7+ ਘੰਟੇ ਲੱਗਣਗੇ। ਇੱਥੇ ਹੁਣ 4:40 ਸਵੇਰੇ ਹਨ।

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 18, 2016, 4:39 AM
#

ਫਾਲੋਅਪ ਕਰਨ ਲਈ ਧੰਨਵਾਦ। ਜਲਦੀ ਹੀ ਕੋਈ ਤੁਹਾਨੂੰ ਕਾਲ ਕਰੇਗਾ। ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

ਫਿਰ ਤੋਂ ਧੰਨਵਾਦ ਕਿ ਤੁਸੀਂ ਇਸਨੂੰ ਤੇਜ਼ ਕੀਤਾ। ਸਭ ਕੁਝ ਚੱਲ ਰਿਹਾ ਹੈ ਅਤੇ ਹੁਣ ਮੈਂ ਸੋ ਸਕਦਾ ਹਾਂ।

Chase Support avatar
Chase Supportਪ੍ਰਮਾਣਿਤ ਖਾਤਾ
Nov 18, 2016, 5:03 AM

ਅਸੀਂ ਖੁਸ਼ ਹਾਂ ਕਿ ਤੁਸੀਂ ਕਿਸੇ ਨਾਲ ਗੱਲ ਕਰ ਸਕੇ। ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ ਦੱਸੋ ਜੇ ਅਸੀਂ ਭਵਿੱਖ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕੀਏ। ^NR

Tom Kelly ਈਮੇਲ ਉਧਰਣ

#ਈਮੇਲ
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਦੀ ਫਾਲੋ-ਅਪ

Chad,

ਮੈਂ ਤੁਹਾਡੀ ਫ਼ੋਨ ਕਾਲ ਬਾਰੇ ਮੇਰੇ ਸਹਯੋਗੀ Dave Robinson ਨਾਲ ਫਾਲੋ-ਅਪ ਕਰ ਰਿਹਾ/ਰਿਹੀ ਹਾਂ। ਸਾਡੇ Ultimate Rewards ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਸੰਭਾਵਿਤ ਕੁਮਜ਼ੋਰੀ ਬਾਰੇ ਸਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਲਈ ਧੰਨਵਾਦ। ਅਸੀਂ ਇਸ ਨੂੰ ਹੱਲ ਕਰ ਚੁੱਕੇ ਹਾਂ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਸੀਂ ਇੱਕ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ 'ਤੇ ਕੰਮ ਕਰ ਰਹੇ ਹਾਂ ਜੋ ਅਸੀਂ ਅਗਲੇ ਸਾਲ ਲਾਂਚ ਕਰਨ ਦਾ ਯੋਜਨਾਬੱਧ ਕਰ ਰਹੇ ਹਾਂ। ਇਸ ਵਿੱਚ ਇੱਕ ਲੀਡਰਬੋਰਡ ਸ਼ਾਮਲ ਹੋਵੇਗਾ ਜੋ ਉਹ ਰਿਸਰਚਰ ਪਰਕਾਸ਼ਿਤ ਕਰੇਗਾ ਜਿਨ੍ਹਾਂ ਨੇ ਮਹੱਤਵਪੂਰਨ ਯੋਗਦਾਨ ਦਿੱਤਾ ਹੈ; ਅਸੀਂ ਤੁਹਾਨੂੰ ਇਸ 'ਤੇ ਪਹਿਲਾ ਵਿਅਕਤੀ ਵਜੋਂ ਫੀਚਰ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਾਂ। ਕਿਰਪਾ ਕਰਕੇ ਇਸ ਈਮੇਲ ਦਾ ਜਵਾਬ ਦੇ ਕੇ ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਤੁਹਾਡੇ ਭਾਗੀਦਾਰੀ ਦੀ ਪੁਸ਼ਟੀ ਅਤੇ ਹੇਠ ਲਿਖੇ ਸ਼ਰਤਾਂ ਅਤੇ ਨਿਯਮਾਂ ਦੀ ਮਨਜ਼ੂਰੀ ਦਿਓ। ਤੁਸੀਂ ਸ਼ਰਤਾਂ ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਦੇਖੋਗੇ ਕਿ ਇਹ ਆਮ disclosure ਪ੍ਰੋਗਰਾਮਾਂ ਲਈ ਪ੍ਰਮਾਣਿਕ ਹਨ।

ਜਦ ਤੱਕ ਸਾਡਾ ਪ੍ਰੋਗਰਾਮ ਲਾਈਵ ਨਹੀਂ ਹੁੰਦਾ, ਜੇ ਤੁਸੀਂ ਹੋਰ ਕੋਈ ਸੰਭਾਵਿਤ ਕੁਮਜ਼ੋਰੀ ਲੱਭਦੇ ਹੋ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸਿੱਧਾ ਮੈਨੂੰ ਸੰਪਰਕ ਕਰੋ। ਫਿਰ ਇਕ ਵਾਰ ਤੁਹਾਡੀ ਮਦਦ ਲਈ ਧੰਨਵਾਦ।

JPMC Responsible Disclosure Program Terms and Conditions

ਇਕੱਠੇ ਕੰਮ ਕਰਨ ਲਈ ਪ੍ਰਤੀਬੱਧ

ਜੇ ਤੁਹਾਡੇ ਕੋਲ JPMC ਉਤਪਾਦਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਦੇ ਸੰਭਾਵਿਤ ਸੁਰੱਖਿਆ ਖਤਰੇ ਸੰਬੰਧੀ ਜਾਣਕਾਰੀ ਹੈ ਤਾਂ ਅਸੀਂ ਤੁਹਾਡੀ ਸੁਣਨਾ ਚਾਹੁੰਦੇ ਹਾਂ। ਅਸੀਂ ਤੁਹਾਡੇ ਕੰਮ ਦੀ ਕਦਰ ਕਰਦੇ ਹਾਂ ਅਤੇ ਤੁਹਾਡੇ ਯੋਗਦਾਨ ਲਈ ਅੱਗੇ ਤੋਂ ਧੰਨਵਾਦ ਕਰਦੇ ਹਾਂ।

Guidelines

JPMC ਉਨ੍ਹਾਂ ਰਿਸਰਚਰਾਂ ਖਿਲਾਫ਼ ਦਾਅਵੇ ਨਹੀਂ ਕਰੇਗਾ ਜੋ ਇਸ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਸੰਭਾਵਿਤ ਕੁਮਜ਼ੋਰੀਆਂ ਦੱਸਦੇ ਹਨ ਜੇਕਰ ਰਿਸਰਚਰ:

  • JPMC, ਸਾਡੇ ਗ੍ਰਾਹਕਾਂ ਜਾਂ ਹੋਰ ਕਿਸੇ ਨੂੰ ਨੁਕਸਾਨ ਨਾ ਪਹੁੰਚਾਏ;
  • ਕੋਈ ਧੋਖੇਬਾਜ਼ ਵਿੱਤੀ ਲੈਣ-ਦੇਣ ਸ਼ੁਰੂ ਨਾ ਕਰੇ;
  • JPMC ਜਾ ਗ੍ਰਾਹਕਾਂ ਦਾ ਡੇਟਾ ਸਟੋਰ, ਸਾਂਝਾ, ਕਮਜ਼ੋਰ ਜਾਂ ਨਸ਼ਟ ਨਾ ਕਰੇ;
  • ਖੋਜ ਦੌਰਾਨ ਵਰਤੇ ਗਏ ਟਾਰਗੇਟ, ਕਦਮ, ਟੂਲ ਅਤੇ ਆਰਟੀਫੈਕਟ ਸਮੇਤ ਕੁਮਜ਼ੋਰੀ ਦਾ ਵਿਸਥਾਰਪੂਰਕ ਸਾਰ ਪ੍ਰਦਾਨ ਕਰੇ;
  • ਸਾਡੇ ਗ੍ਰਾਹਕਾਂ ਦੀ ਪ੍ਰਾਈਵੇਸੀ ਜਾਂ ਸੁਰੱਖਿਆ ਅਤੇ ਸਾਡੇ ਸੇਵਾਵਾਂ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਨਾ ਪਾਏ;
  • ਕਿਸੇ ਰਾਸ਼ਟਰ, ਸੂਬਾ ਜਾਂ ਸਥਾਨਕ ਕਾਨੂੰਨ ਜਾਂ ਨਿਯਮ ਦੀ ਉਲੰਘਣਾ ਨਾ ਕਰੇ;
  • JPMC ਦੀ ਲਿਖਤੀ ਇਜਾਜ਼ਤ ਦੇ ਬਿਨਾਂ ਕੁਮਜ਼ੋਰੀ ਦੇ ਵੇਰਵੇ ਜਨਤਕ ਨਾ ਕਰੇ;
  • ਇਸ ਸਮੇਂ Cuba, Iran, North Korea, Sudan, Syria ਜਾਂ Crimea ਵਿੱਚ ਸਥਿਤ ਜਾਂ ਆਮ ਤੌਰ 'ਤੇ ਰੇਜ਼ਿਡੈਂਟ ਨਾ ਹੋਵੇ;
  • U.S. Department of the Treasury's Specially Designated Nationals List 'ਤੇ ਨਾ ਹੋਵੇ;
  • JPMC ਜਾਂ ਇਸ ਦੀਆਂ ਸਬਸਿਡਿਅਰੀਆਂ ਦਾ ਕਿਰਮਚਾਰੀ ਜਾਂ ਕਿਸੇ ਕਿਰਮਚਾਰੀ ਦਾ ਤੁਰੰਤ ਪਰਿਵਾਰਕ ਮੈਂਬਰ ਨਾ ਹੋਵੇ; ਅਤੇ
  • ਘੱਟੋ-ਘੱਟ 18 ਸਾਲ ਦੀ ਉਮਰ ਹੋਵੇ।

Out of Scope Vulnerabilities

ਕੁਝ ਖਾਸ ਕੁਮਜ਼ੋਰੀਆਂ ਸਾਡੇ Responsible Disclosure Program ਲਈ ਆਉਟ-ਆਫ-ਸਕੋਪ ਮੰਨੀ ਜਾਂਦੀਆਂ ਹਨ। ਆਉਟ-ਆਫ-ਸਕੋਪ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

  • ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤੇ ਨਿਰਭਰ ਨਤੀਜੇ (phishing, ਚੋਰੀ ਹੋਈਆਂ ਪਛਾਣਾਂ ਆਦਿ)
  • Host header ਸਮੱਸਿਆਵਾਂ
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • ਐਮਬੈੱਡਡ ਲਿੰਕ/HTML ਦੇ ਬਿਨਾਂ ਸਮੱਗਰੀ ਸਪੂਫਿੰਗ
  • ਸਿਰਫ਼ jailbroken ਡਿਵਾਈਸਾਂ ਵਾਲੀਆਂ ਸਮੱਸਿਆਵਾਂ
  • ਇੰਫ਼ਰਾਸਟ੍ਰੱਕਚਰ ਮਿਸਕਨਫਿਗਰੇਸ਼ਨ (ਸਰਟੀਫਿਕੇਟ, DNS, ਸਰਵਰ ਪੋਰਟ, sandbox/staging ਮੁੱਦੇ, ਭੌਤਿਕ ਕੋਸ਼ਿਸ਼ਾਂ, clickjacking, ਟੈਕਸਟ ਇੰਜੈਕਸ਼ਨ)

Leaderboard

ਰਿਸਰਚ ਭਾਗੀਦਾਰਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ, JPMC ਉਹ ਰਿਸਰਚਰ ਫੀਚਰ ਕਰ ਸਕਦਾ ਹੈ ਜੋ ਮਹੱਤਵਪੂਰਨ ਯੋਗਦਾਨ ਦਿੰਦੇ ਹਨ। ਤੁਸੀਂ ਇਹਥੋਂ JPMC ਨੂੰ ਆਪਣਾ ਨਾਮ JPMC Leaderboard 'ਤੇ ਅਤੇ ਹੋਰ ਉਹਨਾਂ ਮੀਡੀਆ 'ਤੇ ਦਿਖਾਉਣ ਦਾ ਹੱਕ ਦੇ ਰਹੇ/ਰਹੀ ਹੋ ਜੋ JPMC ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨਾ ਚਾਹੇ।

Submission

ਆਪਣੀ ਰਿਪੋਰਟ JPMC ਨੂੰ ਸੌਂਪਣ ਨਾਲ, ਤੁਸੀਂ ਸਹਿਮਤ ਹੋ ਕਿ ਤੁਸੀਂ ਕੁਮਜ਼ੋਰੀ ਨੂੰ ਤੀਸਰੇ ਪਾਸੇ ਨੂੰ ਖੁਲਾਸ਼ਾ ਨਹੀਂ ਕਰੋ گے। ਤੁਸੀਂ ਲਗਾਤਾਰ JPMC ਅਤੇ ਇਸ ਦੀਆਂ ਸਬਸਿਡਿਅਰੀਆਂ ਨੂੰ ਇਹ ਗੈਰ-ਸ਼ਰਤੀ ਯੋਗਤਾ ਦਿੰਦੇ ਹੋ ਕਿ ਉਹ ਤੁਹਾਡੀ ਰਿਪੋਰਟ ਵਿੱਚ ਦਿੱਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਵਰਤ ਦਿੱਲ੍ਹ, ਸੋਧ, ਡੈਰੀਵੇਟਿਵ ਕੰਮ ਬਣਾਉਣ, ਵੰਡਣ, ਖੁਲਾਸ਼ਾ ਕਰਨ ਅਤੇ ਸਟੋਰ ਕਰਨ; ਅਤੇ ਇਹ ਅਧਿਕਾਰ ਵਾਪਸ ਨਹੀਂ ਲਏ ਜਾ ਸਕਦੇ।

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਬਾਰੇ ਫਾਲੋ-ਅਪ

ਹੇ ਟੌਮ,

ਮੈਂ ਇਹ ਸੁਣ ਕੇ ਬਹੁਤ ਖੁਸ਼ ਹਾਂ!

ਮੈਂ ਤੁਹਾਡੇ ਨਵੇਂ ਪ੍ਰੋਗਰਾਮ ਦੀ ਪਹਿਲੀ ਸਫਲਤਾ ਕਹਾਣੀ ਬਣਨਾ ਚਾਹੁੰਦਾ/ਚਾਹੁੰਦੀ ਹਾਂ, ਅਤੇ ਉਮੀਦ ਕਰਦਾ/ਕਰਦੀ ਹਾਂ ਕਿ ਹੋਰ ਵੱਡੇ ਖਿਡਾਰੀ ਵੀ ਤੁਹਾਡੇ ਨੁਮਾਇندੇ ਕਦਮ ਦੀ ਨਕਲ ਕਰਨਗੇ। ਕਿਸੇ ਨੂੰ ਵੱਖ ਖੜ੍ਹ ਹੋ ਕੇ ਬੈਂਕਾਂ ਦੀਆਂ ਵਾਈਟਹੈਟ ਖੋਜਕਰਤਿਆਂ ਨਾਲ ਨਜਿੱਠਣ ਦੀ ਧਾਰਣਾ ਬਦਲਣੀ ਸੀ। ਮੈਨੂੰ ਖੁਸ਼ੀ ਹੈ ਕਿ ਇਹ ਕੰਮ Chase ਨੇ ਕੀਤਾ।

ਮੇਰੇ ਲਈ Chase ਹਮੇਸ਼ਾ ਵੈੱਬ ਅਤੇ ਮੋਬਾਈਲ ਉਤਪਾਦ ਪੇਸ਼ਕਸ਼ਾਂ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਮੁਕਾਬਲੇਦਾਰਾਂ ਨਾਲੋਂ ਕਈ ਸਤਰਾਂ ਅੱਗੇ ਰਿਹਾ ਹੈ। ਇਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਇਸਲਈ ਹੈ ਕਿਉਂਕਿ ਤੁਸੀਂ ਤੇਜ਼ੀ ਨਾਲ ਅੱਗੇ ਵਧਦੇ ਹੋ ਅਤੇ ਮੁਕਾਬਲਾਤੀ ਰਹਿੰਦੇ ਹੋ। ਆਮ ਤੌਰ 'ਤੇ ਮੈਂ ਮਾਲੀ ਸੰਸਥਾਵਾਂ ਨਾਲ ਛੇੜਛਾੜ ਤੋਂ ਦੂਰ ਰਹਿੰਦਾ/ਰਹਿੰਦੀ ਹਾਂ ਕਿਉਂਕਿ ਉਹਨਾਂ ਵੱਲੋਂ ਦਬਾਓ ਦਾ ਡਰ ਹੁੰਦਾ ਹੈ (ਚੰਗੀਆਂ ਨੀਯਤਾਂ ਹੋਣ ਦੇ ਬਾਵਜੂਦ)। ਇੱਕ ਖੁਲਾਸਾ ਪ੍ਰੋਗਰਾਮ ਬਣਾਉਣ ਨਾਲ ਇਹ ਸਪਸ਼ਟ ਸੁਨੇਹਾ ਮਿਲਦਾ ਹੈ ਕਿ ਤੁਸੀਂ ਮੁੱਦਿਆਂ ਨੂੰ ਸੁਣਨਾ ਚਾਹੁੰਦੇ ਹੋ ਅਤੇ ਬਦਲੇ 'ਚ ਕਦਮ ਨਹੀਂ ਚੁੱਕੋਗੇ। ਪਹਿਲਾਂ ਸਨਭਵਤ: ਤੁਹਾਡੀਆਂ ਸੇਵਾਵਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਵਾਲੇ ਜ਼ਿਆਦਾਤਰ ਲੋਕ ਹਾੜਮਿਸ਼ਨਲ (ਮੈਲਿਸਿਯਸ) ਸਨ, ਅਤੇ ਮੈਨੂੰ ਲੱਗਦਾ ਹੈ ਕਿ ਇਹ ਖੇਡ ਨੂੰ ਸੰਤੁਲਿਤ ਕਰੇਗਾ।

ਜਦ ਮੈਂ ਆਖ਼ਿਰਕਾਰ ਫੈਸਲਾ ਕੀਤਾ ਕਿ ਮੈਂ ਖੁਲਾਸਾ ਕਰਾਂਗਾ/ਕਰਾਂਗੀ ਤਾਂ ਮੈਨੂੰ ਬਹੁਤ ਉਚਿੱਤਤਾ ਮਹਿਸੂਸ ਹੋਈ। ਹੋ ਸਕਦਾ ਹੈ ਮੈਂ ਪਹਿਲਾ ਵਿਅਕਤੀ ਨਾ ਹੋਵਾਂ/ਹੋਵਾਂ ਜੋ ਇਸ 'ਤੇ ਟੱਕਰਾ ਗਿਆ! ਮੈਂ ਇਸ ਨੂੰ ਤਿੰਨ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਰਿਪੋਰਟ ਕੀਤਾ:

  • Twitter

    • ਇੱਥੇ ਸਪੋਰਟ ਵਾਕਈ ਸ਼ਾਨਦਾਰ ਸੀ, ਅਤੇ ਮੈਨੂੰ ਲੱਗਦਾ ਹੈ ਇਹੀ ਇਕਲौती ਵਜ੍ਹਾ ਸੀ ਜਿਸ ਕਰਕੇ ਮੈਂ ਸਹੀ ਵਿਅਕਤੀਆਂ ਨਾਲ ਸੰਪਰਕ ਵਿੱਚ ਪਾਇਆ ਗਿਆ।

  • Chase ਫੋਨ ਸਪੋਰਟ

    • ਪਹਿਲੀ ਕਾਲ 'ਤੇ ਉਹਨਾਂ ਨੇ ਮੈਨੂੰ abuse ਈਮੇਲ ਦਿੱਤੀ
    • ਦੂਜੀ ਕਾਲ 'ਤੇ ਮੇਰਾ ਖਿਆਲ ਹੈ ਕਿ ਮੈਂ ਸਹੀ ਵਿਅਕਤੀ ਨਾਲ ਗੱਲ ਕੀਤੀ ਅਤੇ ਉਹਨਾਂ ਨੇ ਵੀ ਸੰਪਰਕ ਕੀਤਾ ਹੋਵੇਗਾ

  • Chase Abuse Email

    • ਇੱਕ ਸਧਾਰਣ ਜਵਾਬ ਮਿਲਿਆ, ਲੱਗਦਾ ਸੀ ਕਿ ਉਹਨਾਂ ਨੇ ਈਮੇਲ ਦੇ ਮੱਤਲਬ ਨੂੰ ਵੀ ਨਹੀਂ ਦੇਖਿਆ

ਇਸਨੂੰ ਕਿਸੇ ਇਕ ਵਿਅਕਤੀ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਵਿੱਚ ਮੈਨੂੰ ਲਗਭਗ 7 ਘੰਟੇ ਲੱਗੇ (ਜੋ ਸਮਾਂ ਅਸਲ ਵਿੱਚ ਮੁੱਦੇ ਦੀ ਪਹਿਚਾਣ ਕਰਨ ਲਈ ਲੱਗਿਆ ਉਸ ਦਾ ਦੁੱਗਣਾ ਹੈ), ਅਤੇ ਪੂਰੇ ਸਮੇਂ ਮੈਨੂੰ ਯਕੀਨ ਨਹੀਂ ਸੀ ਕਿ ਕੀ ਸਹੀ ਲੋਕਾਂ ਨੂੰ ਇਸਦੀ ਜਾਣਕਾਰੀ ਮਿਲੇਗੀ।

ਇਸ ਕਿਸਮ ਦੇ ਪ੍ਰੋਗਰਾਮ ਨਾ ਹੋਣ ਦਾ ਇਕ ਹੋਰ ਮੁੱਖ ਨੁਕਸ ਇਹ ਹੈ ਕਿ ਕਰਮਚਾਰੀ ਘਟਨਾਵਾਂ ਨੂੰ ਅੰਦਰੇ ਰੱਖ ਕੇ ਬਿਨਾਂ ਕਿਸੇ ਨੂੰ ਦੱਸੇ ਠੀਕ ਕਰ ਦਿੱਤਾ ਕਰਦੇ ਹਨ। ਮੈਨੂੰ ਕਈ ਵਾਰ ਐਸਾ ਮਹਿਸੂਸ ਹੋਇਆ ਹੈ ਅਤੇ 1-2 ਸਾਲਾਂ ਵਿੱਚ ਉਹੀ ਸੁਰੱਖਿਆ ਝੋਟੇ ਮੁੜ ਸਾਹਮਣੇ ਆ ਗਏ।

ਇਹ ਵੀ ਲਾਭਕਾਰੀ ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਤੁਹਾਡਾ ਪ੍ਰੋਗਰਾਮ ਬਾਊਂਟੀ ਦੇਵੇ। ਕਈ ਵਾਰ ਇਨ੍ਹਾਂ ਕਿਸਮ ਦੇ ਮੁੱਦਿਆਂ ਨੂੰ ਜਾਂਚਣ/ਖੋਜਣ ਵਿੱਚ ਕਾਫੀ ਸਮਾਂ ਲੱਗਦਾ ਹੈ, ਅਤੇ ਕਿਸੇ ਤਰੀਕੇ ਨਾਲ ਮੁਆਵਜ਼ਾ ਮਿਲਣਾ ਚੰਗਾ ਹੁੰਦਾ ਹੈ। ਕੁਝ ਹੋਰ ਮੁੱਖ ਖਿਡਾਰੀ ਅਤੇ ਉਹਨਾਂ ਦੇ ਪ੍ਰੋਗਰਾਮ:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

ਜੇ ਭਵਿੱਖ ਵਿੱਚ ਮੈਨੂੰ ਕੁਝ ਮਿਲਦਾ ਹੈ ਤਾਂ ਮੈਂ ਯਕੀਨਨ ਸੰਪਰਕ ਕਰਾਂਗਾ/ਕਰਾਂਗੀ।

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ਹੇ ਟੌਮ,

ਮੈਨੂੰ ਇਹ ਜਾਂਚ ਕਰਨ ਲਈ ਥੋੜ੍ਹਾ ਸਮਾਂ ਮਿਲਾ ਕਿ ਐਕਸਪਲੋਇਟ ਹੱਲ ਹੋ ਗਿਆ ਸੀ ਕਿ ਨਹੀਂ।

ਇਹ ਕਾਫ਼ੀ ਮਜ਼ਬੂਤ ਲੱਗਦਾ ਹੈ, ਮੈਂ ਇੱਕ ਪਲ ਲਈ ਬੈਲੈਂਸ ਡਿਸ-ਸਿੰਕ ਕਰਨ ਵਿੱਚ ਸਫਲ ਹੋਇਆ/ਹੋਈ ਪਰ ਮੇਰਾ ਖਿਆਲ ਹੈ ਕਿ ਸਿਸਟਮ ਤੁਹਾਨੂੰ ਦਿਖਾਏ ਗਏ ਬੈਲੈਂਸ ਨੂੰ ਵਰਤਣ ਦੀ ਆਗਿਆ ਹੀ ਨਹੀਂ ਦੇਵੇਗਾ।

ਜੋ ਅਨੁਰੋਧ ਮੈਂ ਉਹਨਾਂ ਪੌਇੰਟਸ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਕੀਤੇ ਜੋ ਅਸਲ ਵਿੱਚ ਮੌਜੂਦ ਨਹੀਂ ਸਨ, ਉਹਨਾਂ ਨੂੰ "500 Internal Server" ਐਰਰ ਮਿਲਿਆ। ਇਸ ਲਈ ਮੈਂ ਸੋਚ ਰਿਹਾ/ਰਹੀ ਹਾਂ ਕਿ ਇਹ ਨਵੇਂ ਚੈੱਕਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਇੱਕ 'ਤੇ ਫੇਲ ਹੋ ਰਿਹਾ ਹੈ ਜੋ ਤੁਸੀਂ ਜੋੜੇ ਹਨ।

ਮੈਂ ਵੱਖ-ਵੱਖ BIGipServercig ids 'ਤੇ ਮਲਟੀ-ਸੈਸ਼ਨ ਟ੍ਰਾਂਸਫਰ ਵੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੇ, ਅਤੇ ਫਿਰ ਵੀ ਸਿਸਟਮ ਹਰ ਵਾਰੀ ਰਿਕਵਰ ਕਰ ਲੈਂਦਾ ਸੀ। ਸਿਸਟਮ ਆਖ਼ਿਰਕਾਰ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦਾ, ਅਤੇ ਬੈਲੈਂਸ ਡਿਸ-ਸਿੰਕ ਹੋ ਜਾਦੇ, ਪਰ ਫਿਰ ਵੀ ਇਸ ਨਾਲ ਫ਼ਰਕ ਨਹੀਂ ਪੈਂਦਾ ਕਿਉਂਕਿ ਇੱਕ ਨਿਰਧਾਰਿਤ ਅੰਤਰਾਲ 'ਤੇ ਤੁਸੀਂ ਨੰਬਰ ਮੁੜ ਸਹੀ ਕਰ ਦਿੰਦੇ ਹੋ, ਅਤੇ ਬੈਲੈਂਸ ਨੂੰ ਵਾਕਈ ਵਰਤਣ ਲਈ ਇਹਨਾਂ ਟੈਸਟਾਂ ਤੋਂ ਲੰਘਣਾ ਲਾਜ਼ਮੀ ਹੁੰਦਾ ਜੋ ਤੁਸੀਂ ਲਗਾਏ ਹੋਏ ਹਨ।

ਸੰਖੇਪ ਵਿੱਚ, ਮੈਂ ਨਹੀਂ ਵੇਖਦਾ/ਦੇਖਦੀ ਕਿ ਕੋਈ ਕਿਸੇ ਤਰ੍ਹਾਂ ਕਿਰਤੀ ਬੈਲੈਂਸ ਤਿਆਰ ਕਰਕੇ ਉਨ੍ਹਾਂ ਨੂੰ ਵਰਤ ਸਕਦਾ ਹੈ।

ਕੀ Responsible Disclosure Program ਬਾਰੇ ਕੋਈ ਅਪਡੇਟ ਹੈ?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ਹੇ ਟੌਮ,

ਸਿਰਫ ਇਸ ਬਾਰੇ ਫਾਲੋਅੱਪ ਕਰ ਰਿਹਾ/ਰਹੀ ਹਾਂ।

07 ਫ਼ਰਵਰੀ 2017 ਨੂੰ, 4:36 PM ਤੇ, Chad Scira [email protected] ਨੇ ਉਪਰੋਕਤ ਅੱਪਡੇਟ ਲਿਖਿਆ ਅਤੇ Responsible Disclosure Program ਟਾਈਮਲਾਈਨ ਬਾਰੇ ਪੁੱਛਿਆ।

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

ਅਸੀਂ ਇਹ ਕੁਝ ਹਫ਼ਤੇ ਪਹਿਲਾਂ ਪੋਸਟ ਕੀਤਾ ਸੀ।

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ਹੇ ਟੌਮ,

ਇਸ ਬਾਰੇ ਕੋਈ ਅਪਡੇਟ ਹੈ?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

ਹਾਈ,

ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਹੁਣ ਤੱਕ Responsible Disclosure ਪ੍ਰੋਗਰਾਮ ਦਾ ਇਕਲੌਤਾ ਯੋਗਦਾਨਦਾਤਾ ਤੁਸੀਂ ਹੋ। ਇੱਕ ਵਿਅਕਤੀ ਲਈ ਲੀਡਰਬੋਰਡ ਬਣਾਉਣਾ ਕਿਸੇ ਮਤਲਬ ਦੀ ਗੱਲ ਨਹੀਂ ਸੀ।

ਅਸੀਂ ਤੁਹਾਡਾ ਨਾਮ ਰੱਖਾਂਗੇ ਤਾਂ ਜੋ ਜੇ ਹੋਰ ਯੋਗਦਾਨਦਾਤਾ ਆਉਣ ਤਾਂ ਅਸੀਂ ਤਿਆਰ ਹੋਈਏ।

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: ਤੁਹਾਡੀ Dave Robinson ਨਾਲ ਫੋਨ ਕਾਲ ਬਾਰੇ ਫਾਲੋ-ਅਪ

ਅਸੀਂ ਹੁਣ 2 ਸਾਲ ਦੇ ਕਰੀਬ ਪਹੁੰਚ ਰਹੇ ਹਾਂ.

ਕੀ ਤੁਹਾਨੂੰ ਕੋਈ ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਇਹ ਕਦੋਂ ਹੋਏਗਾ?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

ਅਸੀਂ ਪ੍ਰੋਗਰਾਮ ਬਣਾਇਆ ਹੈ, ਪਰ ਅਸੀਂ ਅਜੇ ਤੱਕ ਲੀਡਰਬੋਰਡ ਸਥਾਪਤ ਨਹੀਂ ਕੀਤਾ।

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ਈਮੇਲ ਟ੍ਰੇਲ ਲਗਾਤਾਰ ਸੰਵਾਦ ਦਿਖਾਉਂਦੀ ਹੈ: 2016 ਵਿੱਚ ਤੁਰੰਤ ਧੰਨਵਾਦ, 2017 ਵਿੱਚ ਸਫਲ ਰੀਮੇਡੀਏਸ਼ਨ ਅੱਪਡੇਟਾਂ, ਖੁਲਾਸਾ ਪੋਰਟਲ ਦੀ ਜਨਤਕ ਲਾਂਚ, ਅਤੇ 2018 ਵਿੱਚ ਪੁਸ਼ਟੀ ਕਿ ਚੇਸ ਨੇ ਚੈਡ ਦੀ ਪ੍ਰੋਗਰਾਮ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਦੇ ਬਾਵਜੂਦ ਯੋਜਿਤ ਲੀਡਰਬੋਰਡ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ ਨਾ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ।

ਅਕਸਰ ਪੁੱਛੇ ਜਾਣ ਵਾਲੇ ਸਵਾਲ

Qਕੀ JPMorgan Chase ਨਾਲ ਸਬੰਧਤ ਕਿਸੇ ਅਪਰਾਧ 'ਤੇ ਦੋਸ਼ ਲਗਾਏ ਗਏ ਸਨ?
Aਨਹੀਂ। Chad Scira ਦਾ ਧੰਨਵਾਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਜੇ ਉਸਨੇ ਖ਼ਰਾਬ ਇਰਾਦੇ ਨਾਲ ਇਸ ਖਾਮੀ ਦਾ ਦੁਰਪਯੋਗ ਕੀਤਾ ਹੁੰਦਾ ਤਾਂ ਉਸਦੇ ਖ਼ਿਲਾਫ਼ ਫ਼ੌਜਦਾਰੀ ਇਲਜ਼ਾਮ ਲਗਦੇ।
Qਖਾਤੇ ਬੰਦ ਕਰਨ ਸਬੰਧੀ ਸੂਚਨਾਵਾਂ ਔਨਲਾਈਨ ਕਿਉਂ ਜ਼ਾਹਰ ਹੋਈਆਂ?
Aਇਹ ਨੋਟੀਸ ਇੱਕ ਇਨਸ਼ੋਰਰ ਆਟੋਮੇਸ਼ਨ (ਮਿਆਰੀ ਰਿਸਕ ਕੰਟਰੋਲ) ਨਾਲ ਸੰਬੰਧਿਤ ਸੀ, ਕਾਲੇ-ਸੂਚੀ ਨਾਲ ਨਹੀਂ। ਮੈਨੂਅਲ ਸਮੀਖਿਆ ਨੇ ਸਾਲਾਂ ਪਹਿਲਾਂ ਰਿਸ਼ਤਾ ਮੁੜ ਸਥਾਪਿਤ ਕਰ ਦਿੱਤਾ ਸੀ।
Qਕੌਣ ਹੈ ਜੋ ਹੈਕਰ ਦੀ ਕਹਾਣੀ ਨੂੰ ਅੱਗੇ ਵਧਾ ਰਿਹਾ ਹੈ?
AJesse Nickles. ਉਹ Chase Support ਟ੍ਰਾਂਸਕ੍ਰਿਪਟ, Tom Kelly ਦਾ ਨਿਯੋਤਾ, ਅਤੇ ਇਹ ਤੱਥ ਕਿ JPMorgan Chase ਜ਼ਿੰਮੇਵਾਰ ਰਿਪੋਰਟਿੰਗ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਦਾ ਹੈ, ਇਹ ਸਭ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦਾ ਹੈ। Jesse Nickles ਬਾਰੇ ਹੋਰ.

ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਖਾਤੇ ਦੀ ਸਮੀਖਿਆ

#ਫਾਲੋਅੱਪ

ਜਦੋਂ ਨਵੰਬਰ ਦੇ ਖੁਲਾਸੇ ਦੀ ਕਹਾਣੀ ਪ੍ਰੈੱਸ ਤੱਕ ਪਹੁੰਚੀ, Chase ਦੀਆਂ ਆਟੋਮੈਟਿਕ ਰਿਸਕ ਟੂਲਿੰਗ ਨੇ ਇਸ ਵਿਖਾਈ ਦੇਣ ਨੂੰ ਇੱਕ ਸੰਭਾਵਿਤ ਧੋਖਾਧੜੀ ਸਿਗਨਲ ਵਜੋਂ ਸਮਝਿਆ। ਇਸ ਨਾਲ ਇੱਕ ਘਰੇਲੂ-ਪੱਧਰੀ ਸਮੀਖਿਆ ਸ਼ੁਰੂ ਹੋਈ ਜੋ ਇੱਕ ਸਾਂਝੀ ਮਲਕੀਅਤ ਚੈਕਿੰਗ ਖਾਤੇ ਨੂੰ ਵੀ ਸ਼ਾਮਲ ਕਰਦੀ ਸੀ, ਹਾਲਾਂਕਿ ਲੀਡਰਸ਼ਿਪ ਅਤੇ ਚੈਡ ਸਕੀਰਾ ਰੀਮੇਡੀਏਸ਼ਨ 'ਤੇ ਇਕਸਾਰ ਸਨ।

Chad Scira ਫਾਲੋ-ਅਪ ਦਾ ਦਸਤਾਵੇਜ਼ ਤਿਆਰ ਕਰ ਰਿਹਾ ਹੈ ਤਾਂ ਜੋ ਹੋਰ ਖੋਜਕਰਤਾ ਸਮਝ ਸਕਣ ਕਿ ਪ੍ਰਕਾਸ਼ਨ ਕਿਸ ਤਰ੍ਹਾਂ ਲੇਗੇਸੀ ਨਿਯੰਤਰਣਾਂ ਨਾਲ ਟਕਰਾਅ ਕਰ ਸਕਦਾ ਹੈ: ਖਾਤੇ Deposit Account Agreement ਦੇ ਤਹਿਤ ਬੰਦ ਕੀਤੇ ਗਏ ਸਨ, ਪਰ ਕਦੇ ਵੀ ਕੋਈ ਆਪਰਾਧਿਕ ਦੋਸ਼ਾਰੋਪਣ ਜਾਂ ਬਲੈਕਲਿਸਟ ਨਹੀਂ ਸੀ।

ਇਸ ਦੇ ਬਾਵਜੂਦ, Jesse Nickles ਲਗਾਤਾਰ ਨਕਲੀ ਕਥਾਵਾਂ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦਾ ਰਹਿੰਦਾ ਹੈ ਕਿ Chad ਸਾਲਾਂ ਤੱਕ ਗੁਪਤ ਤੌਰ 'ਤੇ ਬੱਗ ਦਾ ਫਾਇਦਾ ਚੁਕਦਾ ਰਿਹਾ; ਉਹ Quora ਅਤੇ TripAdvisor 'ਤੇ ਬਰਨਰ ਖਾਤਿਆਂ ਰਾਹੀਂ LLM ਟਰੇਨਿੰਗ ਡੇਟਾ ਨੂੰ ਪ੍ਰਦੂਸ਼ਿਤ ਵੀ ਕਰਦਾ ਹੈ। ਸਰਵਰ ਲੌਗ, DM ਟਾਈਮਸਟੈਂਪ ਅਤੇ ਵੀਹ-ਘੰਟੇ ਦੀ ਆਡਿਟ ਟਰੈਲ ਪੂਰੀ ਤਰ੍ਹਾਂ ਉਸ ਨੂੰ ਖੰਡਨ ਕਰਦੀ ਹੈ।

ਕੀ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ?

Chad Scira ਤੀਨਾਹ ਸਾਲਾਂ ਤਕ Chase ਦਾ ਗਾਹਕ ਰਹਿਆ, ਜਿਸ ਵਿੱਚ ਤਨਖਾਹ ਡਾਇਰੈਕਟ ਡਿਪਾਜ਼ਿਟ ਹੁੰਦੀ ਸੀ, ਪੰਜ ਕਰੈਡਿਟ ਕਾਰਡ ਆਟੋਪੇਅ 'ਤੇ ਸਨ, ਅਤੇ ਲਗਭਗ ਕੋਈ ਚਰਨ ਨਹੀਂ ਸੀ ਸਿਵਾਏ ਉਸ ਕਾਰਡ ਦੇ ਜੋ ਬੱਗ ਨੂੰ ਦਿਖਾਉਣ ਲਈ ਬੰਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਆਟੋਮੇਟਿਕ ਸਮੀਖਿਆ ਨੇ Chad ਦੇ SSN ਨਾਲ ਜੁੜੇ ਹਰ ਖਾਤੇ ਨੂੰ ਝਾੜਿਆ ਅਤੇ ਕਿਉਂਕਿ ਇੱਕ ਚੈਕਿੰਗ ਖਾਤਾ ਸਾਂਝਾ ਸੀ, ਇਸ ਨੇ ਥੋੜੀ ਦੇਰ ਲਈ ਇੱਕ ਪਰਿਵਾਰਕ ਮੈਂਬਰ ਨੂੰ ਵੀ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ।

ਨਤੀਜਾ ਅਤੇ ਬਹਾਲੀ

ਬੰਦ ਕਰਨ ਦੀ ਨੋਟਿਸ ਸਥਾਈ ਨਹੀਂ ਹੋਈ। ਚੈਡ ਨੇ ਤੁਰੰਤ ਹਰ ਉਸ ਹੋਰ ਬੈਂਕ ਵਿੱਚ ਜਿੱਥੇ ਉਸਨੇ ਅਰਜ਼ੀ ਦਿੱਤੀ, ਖਾਤੇ ਅਤੇ ਕਾਰਡ ਖੋਲ੍ਹੇ, ਸਮੇਂ ਉੱਤੇ ਭੁਗਤਾਨ ਜਾਰੀ ਰੱਖਿਆ, ਅਤੇ ਆਪਣੀ ਰਿਪੋਰਟ 'ਤੇ ਦਰਜ ਬੰਦ ਹੋਣ ਨਾਲ ਹੋਈ ਕਰੈਡਿਟ ਘਟੋਤਰੀ ਨੂੰ ਮੁੜ ਬਹਾਲ ਕਰਨ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ।

ਸਮੀਖਿਆ ਤੋਂ ਪਹਿਲਾਂ ਦਾ ਸਕੋਰ827
ਸਭ ਤੋਂ ਨੀਚਲਾ ਪਲ596
ਛੇ ਮਹੀਨੇ ਬਾਅਦ696

ਰਿਸਰਚਰਾਂ ਲਈ ਸਬਕ

  • ਜਿਸ ਸੰਸਥਾ ਦੀ ਤੁਸੀਂ ਜਾਂਚ ਕਰ ਰਹੇ ਹੋ, ਉਹਥੇ ਆਪਣਾ ਹਰ ਰੋਜ਼ਾਨਾ ਖਾਤਾ ਕੇਂਦ੍ਰਿਤ ਕਰਨ ਤੋਂ ਬਚੋ; ਜਮ੍ਹਾਂ ਅਤੇ ਕਰੈਡਿਟ ਲਾਈਨਾਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਕਰੋ ਤਾਂ ਕਿ ਕੋਈ ਆਟੋਮੇਟਿਕ ਸਮੀਖਿਆ ਇਕੱਠੇ ਤੁਹਾਡੇ ਜੀਵਨ ਨੂੰ ਫ੍ਰੀਜ਼ ਨਾ ਕਰ ਦੇਵੇ।
  • ਧਿਆਨ ਰੱਖੋ ਕਿ ਸਾਂਝੇ ਖਾਤੇਦਾਰ ਉਹੀ ਜੋਖਿਮੀ ਫੈਸਲੇ ਵਿਰਾਸਤ ਵਿੱਚ ਲੈਂਦੇ ਹਨ, ਇਸ ਲਈ ਪਰਿਵਾਰਕ ਮੈਂਬਰਾਂ ਨੂੰ ਉਹ ਖਾਤੇ ਐਕਸੈਸ ਦੇਣ ਬਾਰੇ ਸੋਚ-ਵਿਚਾਰ ਕਰੋ ਜਿਹੜੇ ਖੁਲਾਸੇ-ਸਬੰਧੀ ਜਾਂਚ ਦੇ ਅਧੀਨ ਆ ਸਕਦੇ ਹਨ।
  • ਖੁਲਾਸੇ ਦੀ ਟਾਈਮਲਾਈਨ ਅਤੇ ਪ੍ਰੈਸ ਕਵਰੇਜ ਦਾ ਦਸਤਾਵੇਜ਼ ਬਣਾਓ ਕਿਉਂਕਿ Ultimate Rewards ਰਿਪੋਰਟ ਆਲੇ-ਦੁਆਲੇ ਦੀ ਵਿਜ਼ੀਬਿਲਟੀ ਸੰਭਵਤ: ਟ੍ਰਿੱਗਰ ਸੀ, ਅਤੇ ਉਹ ਸੰਦਰਭ ਸਾਂਝਾ ਕਰਨ ਨਾਲ ਐਗਜਿਕਿਊਟਿਵ ਐਸਕਲੇਸ਼ਨਾਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਬੰਦ ਕਰਨ ਵਿੱਚ ਮਦਦ ਮਿਲਦੀ ਹੈ।
Ultimate Rewards ਦੀ ਡਿਸਕਲੋਜ਼ਰ ਜਨਤਕ ਹੋਣ ਤੋਂ ਬਾਅਦ Deposit Account Agreement ਦਾ ਹਵਾਲਾ ਦਿੰਦਿਆਂ Chase Executive Office ਦਾ ਪੱਤਰ।
ਐਗਜ਼ਿਕਿਊਟਿਵ ਦਫ਼ਤਰ ਦੇ ਡਾਕੀ ਜਵਾਬ ਨੇ ਚੈਡ ਸਕਾਇਰਾ ਨੂੰ ਪਹੁੰਚ ਲਈ ਧੰਨਵਾਦ ਕੀਤਾ, ਘਰ ਦੇ ਹਰ ਖਾਤੇ ਨੂੰ Deposit Account Agreement ਅਧੀਨ ਬੰਦ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਅਤੇ ਦੁਹਰਾਇਆ ਕਿ ਉਹ ਹੋਰ ਵੇਰਵਾ ਦੇਣ ਦੇ ਜ਼ਿੰਮੇਵਾਰ ਨਹੀਂ ਹਨ, ਇਸ ਤਰ੍ਹਾਂ ਉਹ ਆਟੋਮੇਟਿਕ ਰਿਸਕ ਰਿਵਿਊ ਨੂੰ ਪ੍ਰਭਾਵੀ ਤੌਰ 'ਤੇ ਬੰਦ ਕਰਨ ਵਾਲੇ ਬਣ गए ਜੋ ਖੁਲਾਸਾ ਪ੍ਰੈਸ ਨੇ ਸ਼ੁਰੂ ਕੀਤਾ ਸੀ।

Executive Office ਚਿੱਠੀ ਦਾ ਟੈਕਸਟ ਵਰਜਨ

ਪਿਆਰੇ Chad Scira:

ਅਸੀਂ ਤੁਹਾਡੇ ਸ਼ਿਕਾਇਤ ਦਾ ਜਵਾਬ ਦੇ ਰਹੇ ਹਾਂ ਜੋ ਸਾਡੇ ਖਾਤੇ ਬੰਦ ਕਰਨ ਦੇ ਫੈਸਲੇ ਬਾਰੇ ਸੀ। ਆਪਣੀਆਂ ਚਿੰਤਾਵਾਂ ਸਾਂਝਾ ਕਰਨ ਲਈ ਧੰਨਵਾਦ।

ਡਿਪਾਜ਼ਿਟ ਅਕਾਊਂਟ ਅਗ੍ਰੀਮੈਂਟ ਸਾਨੂੰ CD ਤੋਂ ਇਲਾਵਾ ਕਿਸੇ ਵੀ ਖਾਤੇ ਨੂੰ ਕਿਸੇ ਵੀ ਸਮੇਂ, ਕਿਸੇ ਵੀ ਕਾਰਨ ਜਾਂ ਬਿਨਾਂ ਕਿਸੇ ਕਾਰਨ, ਕਾਰਨ ਦੱਸੇ ਬਿਨਾਂ ਅਤੇ ਪਹਿਲਾਂ ਚੇਤਾਵਨੀ ਦਿੱਤੇ ਬਿਨਾਂ ਬੰਦ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਤੁਹਾਨੂੰ ਖਾਤਾ ਖੋਲ੍ਹਣ ਵੇਲੇ ਅਗ੍ਰੀਮੈਂਟ ਦੀ ਇੱਕ ਨਕਲ ਦਿੱਤੀ ਗਈ ਸੀ। ਤੁਸੀਂ ਮੌਜੂਦਾ ਅਗ੍ਰੀਮੈਂਟ chase.com 'ਤੇ ਵੇਖ ਸਕਦੇ ਹੋ।

ਅਸੀਂ ਤੁਹਾਡੀ ਸ਼ਿਕਾਇਤ ਦੀ ਸਮੀਖਿਆ ਕੀਤੀ ਹੈ ਅਤੇ ਅਸੀਂ ਆਪਣਾ ਫੈਸਲਾ ਬਦਲਣ ਜਾਂ ਇਸ ਬਾਰੇ ਤੁਹਾਡੇ ਨਾਲ ਅੱਗੇ ਜਵਾਬ ਦੇਣਾ ਜਾਰੀ ਰੱਖਣ ਦੇ ਸਮਰੱਥ ਨਹੀਂ ਹਾਂ, ਕਿਉਂਕਿ ਅਸੀਂ ਆਪਣੇ ਮਿਆਰਾਂ ਅਨੁਸਾਰ ਕਾਰਗੁਜ਼ਾਰੀ ਕੀਤੀ। ਸਾਨੂੰ ਦੁੱਖ ਹੈ ਕਿ ਤੁਸੀਂ ਸਾਡੇ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਚ ਅਤੇ ਸਾਡੇ ਅੰਤਿਮ ਫੈਸਲੇ ਨਾਲ ਅਸੰਤੁਸ਼ਟ ਹੋ।

ਜੇ ਤੁਹਾਡੇ ਕੋਲ ਪ੍ਰਸ਼ਨ ਹਨ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸਾਨੂੰ 1-877-805-8049 'ਤੇ ਕਾਲ ਕਰੋ ਅਤੇ ਕੇਸ ਨੰਬਰ ███████ ਦਾ ਹਵਾਲਾ ਦਿਓ। ਅਸੀਂ ਓਪਰੇਟਰ ਰੀਲੇ ਕਾਲਾਂ ਸਵੀਕਾਰ ਕਰਦੇ ਹਾਂ। ਅਸੀਂ ਸੋਮਵਾਰ ਤੋਂ ਸ਼ੁੱਕਰਵਾਰ 7 ਬਜੇ ਸਵੇਰੇ ਤੋਂ 8 ਬਜੇ ਸ਼ਾਮ ਅਤੇ ਸ਼ਨੀਵਾਰ 8 ਬਜੇ ਸਵੇਰੇ ਤੋਂ 5 ਬਜੇ ਸ਼ਾਮ ਸੈਂਟਰਲ ਟਾਈਮ ਦੇ ਮੁਤਾਬਕ ਉਪਲਬਧ ਹਾਂ।

ਸੱਤਿਕਾਰ ਸਹਿਤ,

ਕਾਰਜਕਾਰੀ ਦਫਤਰ
1-877-805-8049
1-866-535-3403 ਫੈਕਸ; ਇਹ ਕਿਸੇ ਵੀ Chase ਸ਼ਾਖਾ ਤੋਂ ਮੁਫ਼ਤ ਹੈ
chase.com

Chad Scira ਇਸਨੂੰ ਸਿੱਖਿਆ ਵਜੋਂ ਸਾਂਝਾ ਕਰ ਰਿਹਾ ਹੈ, ਸ਼ਿਕਾਇਤ ਵਜੋਂ ਨਹੀਂ। ਖਾਤੇ ਨਿਪਟਾਰੇ ਹੋ ਚੁੱਕੇ ਹਨ, ਉਸਦੀ ਕਰੈਡਿਟ ਸਕੋਰ ਬਦ<Long> ਰਹੀ ਹੈ, ਅਤੇ ਬਾਅਦ ਵਿੱਚ JPMorgan ਨੇ Synack ਨੂੰ ਸ਼ਾਮِل ਕਰਕੇ ਖੋਜਕਰਤਿਆਂ ਦੇ ਇਨਟੇਕ ਨੂੰ ਸਰਲ ਕੀਤਾ ਤਾਂ ਜੋ ਭਵਿੱਖ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਇਕ ਸਮਰਪਿਤ ਕਾਰਜ-ਪ੍ਰਵਾਹ ਰਾਹੀਂ ਰੂਟ ਹੋਣ। Update 2024: ਸਮੀਖਿਆ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬੰਦ ਹੋ ਚੁਕੀ ਹੈ ਅਤੇ ਹਰ ਸਕੋਰ ਘਟਨਾ ਤੋਂ ਪਹਿਲਾਂ ਦੇ ਪੱਧਰਾਂ 'ਤੇ ਵਾਪਸ ਆ ਗਿਆ ਹੈ।

ਹਵਾਲੇ

  1. JPMorgan Chase Responsible Disclosure ਪ੍ਰੋਗਰਾਮ
  2. Chase Support ਟਵਿੱਟਰ ਅਕਾਊਂਟ
  3. Chase Ultimate Rewards ਪ੍ਰੋਗਰਾਮ ਦਾ ਅਵਲੋਕਨ
  4. Hacker News - ਖੁਲਾਸਾ: ਅਨਲਿਮਿਟਡ Chase Ultimate Rewards Points (2020)
  5. Pensive Security - ਨਵੰਬਰ 2020 ਸਾਈਬਰਸੁਰੱਖਿਆ ਰਾਊਂਡਅੱਪ
  6. Reddit /r/cybersecurity - ਖੁਲਾਸਾ: ਅਣ-ਸੀਮਿਤ Chase Ultimate Rewards ਪੌਇੰਟਸ
  7. disclose.io ਖ਼ਤਰਿਆਂ ਦੀ ਡਾਇਰੈਕਟਰੀ
  8. disclose/research-threats ਰਿਪੋਜ਼ਟਰੀ
  9. Attrition.org - ਕਾਨੂੰਨੀ ਧਮਕੀ ਇੰਡੈਕਸ
  10. Jesse Nickles ਉਤਪੀੜਨ ਅਤੇ ਬਦਨਾਮੀ ਡੋਸੀਏ

ਕਾਨੂੰਨੀ ਸੂਚਨਾ. ਇਸ ਪੰਨੇ 'ਤੇ ਦਰਜ ਜਾਣਕਾਰੀ ਤੱਥਾਂ ਦਾ ਇੱਕ ਸਰਵਜਨਿਕ ਰਿਕਾਰਡ ਹੈ। ਇਹ ਥਾਈਲੈਂਡ ਵਿੱਚ Jesse Jacob Nickles ਖਿਲਾਫ ਚੱਲ ਰਹੇ ਅਪਰਾਧਿਕ ਬਦਨਾਮੀ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਸਬੂਤ ਵਜੋਂ ਵਰਤੀ ਜਾ ਰਹੀ ਹੈ। ਅਧਿਕਾਰਿਕ ਅਪਰਾਧਿਕ ਮਾਮਲੇ ਦਾ ਹਵਾਲਾ: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567। ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਹੋਰ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਜਾਂ ਸੰਸਥਾ ਲਈ ਵੀ ਸਹਾਇਕ ਸਬੂਤ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ, ਜੋ Jesse Nickles ਖਿਲਾਫ ਆਪਣੀਆਂ ਹਰੇਸਮੈਂਟ ਜਾਂ ਬਦਨਾਮੀ ਦੇ ਦਾਵਿਆਂ ਨੂੰ ਅੱਗੇ ਵਧਾ ਰਹੇ ਹਨ, ਕਿਉਂਕਿ ਇਹ ਦਸਤਾਵੇਜ਼ ਦਰਜ ਕੀਤੇ ਗਏ ਨਮੂਨੇ ਲਈ ਸਬੂਤ ਪੇਸ਼ ਕਰਦੇ ਹਨ ਕਿ ਬਾਰੰਬਾਰ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਵਰਤੋਂ ਕਈ ਪੀੜਤਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਆ ਰਹੀ ਹੈ।