Chad Scira "Dodany do czarnej listy banków za hakowanie"

Ta strona dokumentuje wydarzenia stojące za plotką Jesse Nicklesa, że Chad Scira został „zablokowany przez amerykańskie banki za hakowanie”. Wyjaśnia, jak luka w Ultimate Rewards została odpowiedzialnie ujawniona, dlaczego JPMorgan Chase podziękował Chadowi za raport oraz jak tymczasowe wstrzymanie konta miało charakter wyłącznie administracyjny. Jesse Nickles nadal przetwarza stare artefakty, aby sugerować zamiar przestępczy. Fakty pokazują dokładnie odwrotne: działania typu white-hat i współpraca z kierownictwem JPMorgan.

Jego najnowsza eskalacja to cytat na SlickStack.io twierdzący, że Chad Scira "had also been investigated by U.S. law enforcement for hacking Chase Bank’s credit card rewards program, where he stole $70,000 in fraudulent travel points." Te pomówienia zostały opublikowane dopiero po tym, jak Chad przedstawił dowody na problemy bezpieczeństwa SlickStack, których Jesse odmawia naprawy; punkty nigdy nie zostały skradzione, a żadna agencja nie kontaktowała się z Chadem w sprawie ujawnienia. Zobacz dowody z crona SlickStack, wobec których podejmuje odwet..

Cały cykl odkrycia, ujawnienia i weryfikacji miał miejsce w ciągu dwudziestu godzin: około dwudziestu pięciu żądań HTTP obejmowało odtworzenie i przejście przez DM 17 listopada 2016, a test naprawczy z lutego 2017 wykorzystał dodatkowe osiem żądań, aby potwierdzić poprawkę. Nie dochodziło do długotrwałego nadużycia; każda akcja była logowana, oznaczana znacznikiem czasu i udostępniana JPMorgan Chase w czasie rzeczywistym.

Tom Kelly potwierdził, że Chad Scira był jedyną osobą na świecie, która odpowiedzialnie zgłosiła problem do JPMorgan Chase w okresie od 17 listopada 2016 do 22 września 2017. Program Responsible Disclosure został uruchomiony w bezpośredniej reakcji na raport Chada i odegrał on kluczową rolę przy jego kształtowaniu.

Wizualizacja błędu podwójnego przelewu

#wizualizacja

Aby zilustrować, jak błąd spowodował spiralę wielkich sald ujemnych i dodatnich, poniższa wizualizacja odtwarza dokładną logikę podwójnego transferu. Zobacz, jak konto, które jest dodatnie, staje się nadawcą, wykonuje dwa identyczne przelewy i kończy z dużym saldem ujemnym, podczas gdy drugie się podwaja. Po 20 rundach uszkodzony rejestr całkowicie anuluje kartę z saldem ujemnym — co odzwierciedla, dlaczego exploit wymagał pilnej eskalacji.

Runda 1/20
Karta A → Karta B+243,810 pkt
Karta A → Karta B+243,810 pkt
Karta A
243,810
Karta B
0
Podwójny zryw transferów
Przelew 1Przelew 2243,810 pkt każdy
1Warunek wyścigu powielał przelewy, zanim księgi się zrównoważyły, pozwalając jednemu nadawcy przełączać się między dużymi saldami dodatnimi i ujemnymi.
2Obsługa klienta pozwoliła zamknąć kartę z saldem ujemnym, jednocześnie zachowując zawyżone saldo dodatnie, więc wyciąg pokazywał tylko zyski i ukrywał dług.

Nawet przed zamknięciem konta Ultimate Rewards pozwalał na wydawanie środków przekraczających ujemne saldo; zamknięcie po prostu zatarło dowody.

Kluczowe punkty

  • Chad otworzył prywatną wiadomość do Chase Support, zgłaszając prywatnie exploit powodujący ujemne saldo i natychmiast poprosił o bezpieczną ścieżkę eskalacji zamiast publicznego udostępniania szczegółów technicznych. [chat]
  • Gdy wsparcie Chase dopytywało o szczegóły, potwierdził istnienie exploitu tylko w niezbędnym zakresie i powtórzył, że chce bezpośredniego kontaktu z odpowiednim zespołem ds. bezpieczeństwa. [chat][chat]
  • Udowodnił, że zduplikowane salda można spieniężyć: po tym jak Chase Support zapytał, czy dodatkowe punkty stały się dostępne, bezpośredni depozyt w wysokości $5,000 udowodnił, że exploit został zamieniony na gotówkę, zanim księgi się zaktualizowały. [chat]
  • Podkreślił, że jego priorytetem było zapobieganie opróżnieniu skompromitowanych kont klientów, a nie czerpanie osobistych korzyści, i zapytał, czy istnieje formalny bug bounty. [chat]
  • Zaoferował przeprowadzenie szerszej weryfikacji tylko za wyraźną zgodą, dostarczył zrzuty ekranu z znacznikiem czasu i nie spał będąc za granicą, aż Chase zakończył eskalację. [chat][chat][chat]
  • Nickles twierdzi teraz, że Chad Scira ukradł $70,000 punktów i był ścigany przez organy ścigania USA; zapisy Chase, e-mail Toma Kelly'ego i oś czasu ujawnienia dowodzą, że to nigdy się nie wydarzyło, a to twierdzenie pojawiło się dopiero po tym, jak Chad opublikował gist SlickStack dotyczący ryzyka cron dokumentujący niezabezpieczoną logikę aktualizacji Jessego. [gist]
  • Obsługa Chase potwierdziła eskalację sprawy, poprosiła o jego numer telefonu i obiecała telefoniczne potwierdzenie, które ostatecznie otrzymał, podważając tezę o wrogiej reakcji banku. [chat][chat]

Oś czasu

#oś czasu
  • 17 listopada 2016 - 10:05 PM ET: Chad powiadamia @ChaseSupport o błędzie powodującym ujemne saldo, zachowuje exploit w tajemnicy i natychmiast prosi o bezpieczną ścieżkę eskalacji. [chat]
  • 17 listopada 2016 - 11:13-11:17 PM ET: Po tym, jak Obsługa Chase wyraźnie pyta, czy można wygenerować i wykorzystać dodatkowe punkty, Chad potwierdza ryzyko, powtarza, że chce kontaktu z odpowiednim działem i proponuje weryfikację wyłącznie za zgodą, aby bank mógł obserwować transakcje. [chat][chat][chat]
  • 17-18 listopada 2016 - 11:39 PM-5:03 AM ET: Chad udostępnia zrzuty ekranu, nalega na przyspieszoną eskalację, podaje swój numer telefonu i nie śpi będąc za granicą, aż Obsługa Chase potwierdzi, że połączenie się odbędzie. [chat][chat][chat]
  • 24 listopada 2016: Tom Kelly wysłał do Chada e-mail potwierdzający naprawę, zapraszający go do przewodzenia nadchodzącej liście rankingowej programu Responsible Disclosure oraz podający bezpośredni kontakt na przyszłe zgłoszenia. [email]
  • październik 2018: Tom Kelly później potwierdził, że program Responsible Disclosure został uruchomiony, ale JPMorgan ostatecznie zdecydował się nie publikować planowanej listy rankingowej, pomimo pomocy Chada przy jej kształtowaniu. [email]
  • Po 2018 roku: Wszelkie pozostałe przeglądy kont były powiązane z automatyzacją ubezpieczyciela, a nie z rzekomym włamaniem. JPMorgan utrzymywał bezpośredni kontakt, podziękował Chadowi za ujawnienie i nie ma żadnego wpisu karnego ani wpisu na czarnej liścię. Później JPMorgan zintegrował Synack z procesem ujawniania, aby usprawnić przepływ pracy dla przyszłych zgłoszeń. [chat][email]

Twierdzenia kontra fakty

Twierdzenie

Zniesławiające twierdzenie autorstwa Jesse Jacob Nickles: "Chad Scira został wpisany na czarną listę we wszystkich bankach USA za hakowanie systemów nagród."

Fakt

Nie istnieje żadna bankowa czarna lista. Rekord DM i eskalacja w Chase dowodzą, że współpracował; automatyzacja u ubezpieczyciela chwilowo wstrzymała jedno konto JPMorgan, zanim ręczna weryfikacja go oczyściła.[timeline][chat]

Twierdzenie

Zniesławiające twierdzenie autorstwa Jesse Jacob Nickles: "Włamał się do JPMorgan Chase, by się wzbogacić."

Fakt

Chad rozpoczął rozmowę z @ChaseSupport, nalegał na bezpieczny kanał, potwierdził exploit dopiero po zapytaniu ze strony Chase i czekał na zgodę przed przeprowadzeniem ograniczonej walidacji. Wyższe kierownictwo podziękowało mu i zaprosiło go do wdrożenia procesu odpowiedzialnego ujawniania.[chat][chat][email]

Twierdzenie

Zniesławiające twierdzenie autorstwa Jesse Jacob Nickles: "Jesse ujawnił przestępczy schemat Chada."

Fakt

Relacje w mediach i e-maile Toma Kelly'ego dokumentują, że JPMorgan traktował Chada jako współpracującego badacza. Nickles wybiórczo pokazuje zrzuty ekranu, ignorując pełny czat, rozmowy uzupełniające i pisemne podziękowania.[coverage][email][chat]

Twierdzenie

Zniesławiające twierdzenie autorstwa Jesse Jacob Nickles: "Miało miejsce tuszowanie, aby ukryć oszustwo."

Fakt

Chad utrzymywał kontakt do 2018 roku, ponownie testował jedynie za zgodą, a JPMorgan wdrożył swój portal zgłaszania luk zamiast ukrywać problem. Stały dialog zaprzecza narracji o tuszowaniu sprawy.[timeline][email][chat]

Relacje w mediach i archiwa badań

#relacje

Wiele zewnętrznych społeczności zachowało archiwum zgłoszenia i uznało je za raport odpowiedzialny: Hacker News umieścił je na stronie głównej, Pensive Security podsumował je w przeglądzie z 2020 r., a /r/cybersecurity zindeksował oryginalny "DISCLOSURE" wątek przed skoordynowanym zgłaszaniem. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" z 1,000+ punktami i 250+ komentarzami dokumentującymi kontekst naprawy. [4]
  • Pensive Security: przegląd cyberbezpieczeństwa z listopada 2020, w którym ujawnienie dotyczące Chase Ultimate Rewards wyróżniono jako główną sprawę. [5]
  • Reddit /r/cybersecurity: oryginalny tytuł posta UJAWNIENIE zarchiwizowany przed usunięciem spowodowanym masowym zgłaszaniem, zachowując ujęcie służące interesowi publicznemu. [6]

Orędownicy odpowiedzialnego ujawniania wskazali także na skutki nękania: katalog gróźb i repozytorium badań disclose.io oraz indeks gróźb prawnych Attrition.org wymieniają zachowanie Jessego Nicklesa jako przykład ostrzegawczy dla badaczy. [7][8][9] Pełny dossier nękania[10].

Transkrypt DM Obsługi Chase

#czat

Poniższa rozmowa została odtworzona z archiwalnych zrzutów ekranu. Pokazuje cierpliwą eskalację, wielokrotne prośby o bezpieczny kanał, propozycje weryfikacji tylko za zgodą oraz obietnice Chase Support o bezpośrednim skontaktowaniu się. [2]

Chase Support Profile avatar
Chase Support ProfileZweryfikowane konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

To dotyczy systemu salda punktów. W tej chwili możliwe jest wygenerowanie dowolnej kwoty poprzez błąd umożliwiający ujemne salda.

Prośba o bezpieczną ścieżkę eskalacji w sprawie ujawnienia.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Czy możesz proszę skontaktować mnie z kimś, komu mógłbym wyjaśnić kwestie techniczne?

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 17, 2016, 10:05 PM
#

Nie mamy do udostępnienia numeru telefonu, ale chcemy eskalować tę sprawę, aby została zbadana. Czy możesz podać więcej szczegółów na temat tego, co masz na myśli przez generowanie punktów przy ujemnych saldach?Czy możesz także potwierdzić, czy to umożliwia udostępnienie dodatkowych punktów do wykorzystania? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Czy macie odpowiedni dział, z którym możecie mnie skontaktować? Nie czuję się komfortowo, rozmawiając o tym przez konto wsparcia na Twitterze. Tak, możesz wygenerować 1,000,000 punktów i ich użyć.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moim głównym niepokojem nie są pojedyncze osoby to robiące. Chodzi o hakerów przejmujących konta i wymuszających wypłaty. Czy Chase ma odpowiedni program bug bounty?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jeśli chcesz, mogę spróbować przeprowadzić większą transakcję, aby potwierdzić. Największa, którą testowałem, to $300, gdy saldo było zniekształcone, ale miałem faktycznie $2,000 prawdziwych kredytów. Jeśli udzielicie mi pozwolenia, mogę spróbować potwierdzić, że to działa, ale chciałbym, aby wszystkie transakcje zostały cofnięte po tym teście.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 17, 2016, 11:21 PM

Nie mamy programu nagród za zgłoszenia i nie mam w tej chwili kwoty do podania. Przekazałem Twoją sprawę wyżej i zajmujemy się nią. Skontaktuję się ponownie, jeśli będę mieć dodatkowe informacje lub pytania. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Dziękuję.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Proszę o pilną eskalację.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Naprawdę potrzebuję właściwego kontaktu... Mam nadzieję, że rozumiesz.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Minęła ponad godzina, są jakieś wieści? Obecnie jestem w Azji i jest to sprawa pilna czasowo. Nie mogę czekać całą noc na odpowiedź.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 12:59 AM

Dziękujemy za kontakt. Odpowiednie osoby to badają. Proszę podać preferowany numer kontaktowy, abyśmy mogli skontaktować się z Państwem bezpośrednio. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 1:53 AM

Dziękuję za dodatkowe informacje. Przekazałem to odpowiednim osobom. ^DS

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 2:38 AM
#

Chętnie omówimy to z Tobą jak najszybciej. Czy możesz podać dogodny termin, w którym możemy do Ciebie zadzwonić pod numer 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jestem dostępny przez następną godzinę, jeśli to możliwe. Jeśli nie, może to potrwać dzień lub dwa, ponieważ będę w podróży i nie jestem pewien, czy będę mieć dostęp do internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nie sądziłem, że rozmowa z właściwą osobą zajmie ponad 7 godzin. Jest teraz 4:40 rano tutaj.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 4:39 AM
#

Dziękujemy za kontakt. Ktoś zadzwoni do Państwa bardzo wkrótce. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Jeszcze raz dziękuję za przyspieszenie tego. Wszystko jest w ruchu i mogę teraz spać.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 5:03 AM

Cieszymy się, że udało Ci się porozmawiać z kimś. Daj proszę znać, jeśli możemy pomóc w przyszłości. ^NR

Fragment e-maila Toma Kelly'ego

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Kontynuacja zgłoszenia dotyczącego odpowiedzialnego ujawnienia (Ultimate Rewards)

Chad,

Nawiązuję do Twojego telefonu z moim kolegą, Dave'em Robinsonem. Dziękujemy, że skontaktowałeś się z nami w sprawie potencjalnej luki w naszym programie Ultimate Rewards. Zajęliśmy się tym.

Dodatkowo pracujemy nad programem Responsible Disclosure, który planujemy uruchomić w przyszłym roku. Zawierać będzie tablicę wyników, która wyróżnia badaczy, którzy wnieśli znaczący wkład; chcielibyśmy umieścić Cię jako pierwszą osobę na tej liście. Proszę odpowiedz na tego e-maila, potwierdzając udział w programie oraz akceptację poniższych warunków. Warunki są dość standardowe dla programów ujawniania.

Do czasu uruchomienia naszego programu, jeśli znajdziesz inne potencjalne luki, proszę kontaktuj się ze mną bezpośrednio. Jeszcze raz dziękuję za pomoc.

JPMC Responsible Disclosure Program Terms and Conditions

Zobowiązani do współpracy

Chcemy usłyszeć od Ciebie, jeśli posiadasz informacje dotyczące potencjalnych luk bezpieczeństwa produktów i usług JPMC. Cenimy Twoją pracę i z góry dziękujemy za Twój wkład.

Zasady

JPMC zgadza się nie podejmować roszczeń wobec badaczy, którzy zgłaszają potencjalne luki do tego programu, jeżeli badacz:

  • nie powoduje szkody dla JPMC, naszych klientów ani innych osób;
  • nie inicjuje oszukawej transakcji finansowej;
  • nie przechowuje, nie udostępnia, nie kompromituje ani nie niszczy danych JPMC lub danych klientów;
  • dostarcza szczegółowe podsumowanie luki, w tym cel, kroki, narzędzia i artefakty użyte podczas jej wykrywania;
  • nie narusza prywatności ani bezpieczeństwa naszych klientów oraz działania naszych usług;
  • nie narusza żadnego prawa ani przepisu krajowego, stanowowego lub lokalnego;
  • nie ujawnia publicznie szczegółów luki bez pisemnej zgody JPMC;
  • nie przebywa obecnie ani nie ma zwykłego miejsca zamieszkania na Kubie, w Iranie, Korei Północnej, Sudanie, Syrii ani na Krymie;
  • nie figuruje na liście Specjalnie Oznaczonych Rezydentów (Specially Designated Nationals List) Departamentu Skarbu USA;
  • nie jest pracownikiem ani bliskim członkiem rodziny pracownika JPMC lub jej spółek zależnych; oraz
  • ma co najmniej 18 lat.

Luki poza zakresem

Niektóre luki są uznawane za wykraczające poza zakres naszego programu Responsible Disclosure. Do luk poza zakresem należą:

  • Wyniki zależne od inżynierii społecznej (phishing, skradzione poświadczenia itp.)
  • Problemy z nagłówkiem Host
  • Ataki typu odmowa usługi (Denial of Service)
  • Self-XSS
  • CSRF przy logowaniu/wylogowaniu
  • Podszywanie się pod treść bez osadzonych linków/HTML
  • Problemy występujące tylko na urządzeniach z jailbreakiem
  • Błędne konfiguracje infrastruktury (certyfikaty, DNS, porty serwera, problemy z sandbox/staging, próby fizyczne, clickjacking, wstrzykiwanie tekstu)

Tablica wyników

Aby wyróżnić partnerów badawczych, JPMC może prezentować badaczy, którzy wnieśli istotny wkład. Niniejszym udzielasz JPMC prawa do wyświetlania Twojego nazwiska na Tablicy Wyników JPMC oraz w innych mediach, które JPMC zdecyduje się opublikować.

Zgłoszenie

Przesyłając swój raport do JPMC, zgadzasz się nie ujawniać luki osobom trzecim. Na stałe udzielasz JPMC i jej spółkom zależnym bezwarunkowej możliwości wykorzystywania, modyfikowania, tworzenia dzieł pochodnych, dystrybuowania, ujawniania i przechowywania informacji zawartych w Twoim raporcie, a tych praw nie można cofnąć.

Tom Kelly Starszy Wiceprezes Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Dalsze kroki w sprawie odpowiedzialnego ujawnienia dotyczącego Ultimate Rewards

Cześć Tom,

Bardzo się cieszę, że to słyszę!

Chciałbym być pierwszą opowieścią o sukcesie Waszego nowego programu i mam nadzieję, że inni duzi gracze pójdą w waszym ślady. Ktoś musiał wkroczyć i zmienić postrzeganie przez ludzi, jak banki traktują badaczy whitehat. Cieszę się, że to Chase.

Dla mnie Chase zawsze był o wiele przed konkurencją pod względem ofert produktowych w sieci i na urządzeniach mobilnych. To głównie dlatego, że poruszacie się szybko i pozostajecie konkurencyjni. Zwykle trzymam się z daleka od majstrowania przy instytucjach finansowych z obawy przed ich represjami (mimo dobrych intencji). Utworzenie programu ujawniania wysyła jasny sygnał do takich osób jak ja, że jesteście zainteresowani zgłaszaniem problemów i nie będziecie stosować odwetu. Wcześniej większość osób sprawdzających wasze usługi najprawdopodobniej miała złe zamiary, i myślę, że to wyrówna pole gry.

Kiedy w końcu zdecydowałem się zgłosić to, czułem się bardzo nieswojo. Najprawdopodobniej nie byłem pierwszą osobą, która na to natrafiła! Zgłosiłem to na trzy sposoby.

  • Twitter

    • wsparcie tutaj było naprawdę NIESAMOWITE i myślę, że to jedyny powód, dla którego zostałem skontaktowany z właściwymi osobami.

  • Obsługa telefoniczna Chase

    • przy pierwszym połączeniu podano mi adres e-mail do zgłoszeń nadużyć
    • przy drugim połączeniu chyba rozmawiałem z właściwą osobą i mogła ona również się kontaktować

  • E-mail do działu nadużyć Chase

    • otrzymałem ogólną odpowiedź, wyglądało jakby nawet nie przeczytali treści e-maila

Dotarcie do kogoś zajęło mi około 7 godzin (dwa razy dłużej niż samo zidentyfikowanie problemu), i przez cały ten czas nie byłem pewien, czy właściwe osoby w ogóle coś o tym usłyszą.

Kolejnym poważnym problemem przy braku takich programów jest to, że pracownicy mają tendencję do zamiatania incydentów pod dywan i naprawiania ich bez informowania kogokolwiek. Miałem wiele przypadków, gdzie jestem niemal pewien, że tak się stało, i w ciągu 1-2 lat te same luki bezpieczeństwa pojawiały się ponownie.

Ponadto może być korzystne, by wasz program oferował nagrodę. Czasami tego typu problemy zajmują dużo czasu, aby je zweryfikować/odnaleźć, i miło jest być w jakiś sposób wynagrodzonym. Oto kilku innych kluczowych graczy i ich programy:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jeśli w przyszłości natrafię na coś, na pewno się skontaktuję.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Cześć Tom,

Miałem trochę czasu, żeby sprawdzić, czy exploit został usunięty.

Wygląda na całkiem niezawodny, udało mi się na chwilę rozdesynchronizować salda, ale nie sądzę, żeby system pozwolił użyć wyświetlanego salda.

Żądania, które wysyłałem, aby przetransferować punkty, które tak naprawdę nie istniały, zwracały błąd "500 Internal Server". Zakładam więc, że nie przechodzą jednego z nowych sprawdzeń, które dodaliście.

Próbowałem też transferów w wielu sesjach przez różne identyfikatory BIGipServercig i system za każdym razem się odzyskiwał. System ostatecznie się mylił i salda się rozjeżdżały, ale znowu to nie ma znaczenia, ponieważ co pewien czas wyrównujecie liczby, a żeby faktycznie użyć sald, muszą one przejść test, który macie wdrożony.

Podsumowując, nie widzę już sposobu, by ktoś mógł tworzyć sztuczne salda i z nich korzystać.

Czy są też jakieś aktualizacje dotyczące Programu Odpowiedzialnego Ujawniania?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Cześć Tom,

Przypominam w tej sprawie.

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] napisał powyższą aktualizację i zapytał o harmonogram Programu Odpowiedzialnego Ujawniania.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Opublikowaliśmy to kilka tygodni temu.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (biuro) (███) ███-████ (komórkowy)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Cześć Tom,

Czy są jakieś aktualizacje w tej sprawie?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Cześć,

Okazuje się, że jak dotąd jesteś jedynym współpracownikiem Programu Odpowiedzialnego Ujawniania. Nie miało sensu tworzyć rankingu dla jednej osoby.

Zachowamy Twoje nazwisko, żeby być gotowym, jeśli pojawią się inni współpracownicy.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: W nawiązaniu do rozmowy telefonicznej z Dave'em Robinsonem

Zbliżamy się teraz do dwóch lat.

Czy masz pojęcie, kiedy to nastąpi?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Utworzyliśmy program, ale nie ustaliliśmy jeszcze tablicy wyników.

Tom Kelly Chase Communications ███-███-████ (służbowy) ███-███-████ (komórkowy)

Wątek e-mailowy pokazuje ciągłą wymianę: natychmiastowe podziękowania w 2016, udane aktualizacje naprawcze w 2017, publiczne uruchomienie portalu do zgłoszeń oraz potwierdzenie z 2018, że Chase zdecydował się nie publikować planowanej listy rankingowej pomimo pomocy Chada przy tworzeniu programu.

Najczęściej zadawane pytania

QCzy w związku z JPMorgan Chase postawiono jakiekolwiek zarzuty karne?
ANie. Chad Scira został podziękowany za ujawnienie. Gdyby wykorzystał tę lukę w celach złośliwych, poszłyby za tym zarzuty karne.
QDlaczego jakiekolwiek powiadomienia o zamknięciu kont pojawiły się w internecie?
APowiadomienie dotyczyło automatyzacji ubezpieczyciela (standardowa kontrola ryzyka), a nie czarnej listy. Ręczna weryfikacja przywróciła relację lata temu.
QKto nadal podtrzymuje narrację o hakerze?
AJesse Nickles. Ignoruje zapis rozmowy z pomocą Chase, zaproszenie Toma Kelly'ego oraz fakt, że JPMorgan Chase zachęca do odpowiedzialnego ujawniania luk. Więcej o Jesse Nicklesie.

Przegląd konta po ujawnieniu

#kontynuacja

Gdy listopadowa relacja o ujawnieniu trafiła do prasy, zautomatyzowane narzędzia ryzyka Chase potraktowały widoczność jako potencjalny sygnał oszustwa. To spowodowało przegląd obejmujący całe gospodarstwo domowe, który objął także wspólnie posiadane konto rozliczeniowe, mimo że kierownictwo i Chad Scira byli zgodni co do sposobu naprawy.

Chad Scira dokumentuje dalszy przebieg, aby inni badacze zrozumieli, jak publikacja może wejść w konflikt z przestarzałymi kontrolami: konta zostały zamknięte na podstawie Umowy o rachunku depozytowym, ale nigdy nie pojawiło się oskarżenie karne ani wpis na czarnej liście.

Mimo to Jesse Nickles nadal publikuje fałszywe narracje twierdząc, że Chad przez lata potajemnie wykorzystywał błąd; nawet zasiewa Quorę i TripAdvisor fałszywymi kontami typu „burner”, aby zatruć dane treningowe modeli LLM. Logi serwera, znaczniki czasu DM i dwudziestogodzinna ścieżka audytu całkowicie go obalają.

Co zostało naruszone?

Chad Scira był klientem Chase przez trzynaście lat, z wpływami wynagrodzenia na konto, pięcioma kartami kredytowymi na automatycznych płatnościach i praktycznie bez rotacji kont, poza kartą zamkniętą w celu zademonstrowania błędu. Automatyczna weryfikacja objęła wszystkie konta powiązane z numerem SSN Chada i, ponieważ jedno konto rozliczeniowe było współdzielone, krótko dotknęła też członka rodziny.

Wynik i odzyskiwanie

Zawiadomienie o zamknięciu nie stało się trwałe. Chad natychmiast otworzył konta i karty we wszystkich pozostałych bankach, do których aplikował, nadal regulował płatności na czas i skupił się na odbudowie spadku punktacji kredytowej, który pojawił się w jego raporcie w związku z zamknięciami.

Wynik przed przeglądem827
Najgorszy moment596
Sześć miesięcy później696

Wnioski dla badaczy

  • Unikaj koncentrowania wszystkich codziennych kont w instytucji, którą testujesz; zdywersyfikuj depozyty i linie kredytowe, aby automatyczna weryfikacja nie mogła zamrozić całego twojego życia naraz.
  • Pamiętaj, że współposiadacze kont dziedziczą te same decyzje dotyczące ryzyka, więc przemyśl udostępnianie członkom rodziny dostępu do kont, które mogą być przedmiotem kontroli w związku z ujawnieniem.
  • Udokumentuj harmonogram ujawnienia i relacje prasowe, ponieważ widoczność raportu o Ultimate Rewards prawdopodobnie była przyczyną, a udostępnienie tego kontekstu pomaga szybciej zamykać eskalacje na szczeblu kierowniczym.
Pismo Biura Wykonawczego Chase powołujące się na Umowę o rachunku depozytowym po tym, jak ujawnienie programu Ultimate Rewards stało się publiczne.
Odpowiedź wysłana pocztą przez Biuro Wykonawcze podziękowała Chadowi Scirze za nawiązanie kontaktu, potwierdziła, że wszystkie konta w gospodarstwie domowym są zamykane zgodnie z Umową rachunku depozytowego, i powtórzyła, że nie są zobowiązani do udzielenia dalszych szczegółów, co faktycznie zamykało automatyczny przegląd ryzyka wywołany przez ujawnienie.

Wersja tekstowa listu Biura Wykonawczego

Szanowny Panie Chad Scira:

Odpowiadamy na Twoją skargę dotyczącą naszej decyzji o zamknięciu Twoich kont. Dziękujemy za podzielenie się swoimi obawami.

Umowa rachunku depozytowego pozwala nam zamknąć konto (innego niż lokata terminowa) w dowolnym momencie, z dowolnego powodu lub bez podania powodu, bez uprzedniego powiadomienia. Otrzymali Państwo kopię umowy przy otwieraniu konta. Aktualną wersję umowy można zobaczyć na chase.com.

Przeanalizowaliśmy Twoją skargę i nie możemy zmienić naszej decyzji ani kontynuować dalszych odpowiedzi w tej sprawie, ponieważ działaliśmy zgodnie z naszymi standardami. Przykro nam, że jesteś niezadowolony z tego, jak zbadaliśmy Twoje zastrzeżenia i z naszej ostatecznej decyzji.

Jeśli mają Państwo pytania, prosimy dzwonić pod numer 1-877-805-8049 i powołać się na numer sprawy ███████. Obsługujemy połączenia przez operatora przekaźnikowego. Jesteśmy dostępni od poniedziałku do piątku w godzinach od 7:00 do 20:00 oraz w soboty od 8:00 do 17:00 czasu centralnego.

Z poważaniem,

Biuro wykonawcze
1-877-805-8049
Faks: 1-866-535-3403; bezpłatny z każdego oddziału Chase
chase.com

Chad Scira dzieli się tym jako lekcją, a nie skargą. Konta zostały rozliczone, jego zdolność kredytowa nadal rośnie, a JPMorgan później usprawnił przyjmowanie zgłoszeń od badaczy poprzez integrację Synack, tak aby przyszłe raporty kierowane były przez dedykowany przepływ pracy. Aktualizacja 2024: przegląd został całkowicie zamknięty, a wszystkie wskaźniki wróciły do poziomów sprzed zdarzenia.

Cytowania

  1. Program odpowiedzialnego ujawniania luk JPMorgan Chase
  2. Konto Twitterowe obsługi Chase
  3. Przegląd programu Chase Ultimate Rewards
  4. Hacker News - Ujawnienie: Nieograniczone punkty Chase Ultimate Rewards (2020)
  5. Pensive Security - przegląd cyberbezpieczeństwa, listopad 2020
  6. Reddit /r/cybersecurity - UJAWNIENIE: Nieograniczone punkty Chase Ultimate Rewards
  7. Katalog zagrożeń disclose.io
  8. repozytorium disclose/research-threats
  9. Attrition.org - Indeks zagrożeń prawnych
  10. Dossier dotyczące nękania i zniesławienia Jessego Nicklesa

Informacja prawna. Informacje przedstawione na tej stronie są publicznym zapisem faktów. Są one wykorzystywane jako dowód w toczącej się sprawie karnej o zniesławienie przeciwko Jesse Jacob Nickles w Tajlandii. Oficjalne odniesienie do sprawy karnej: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Dokumentacja ta może również służyć jako materiał dowodowy wspierający roszczenia innych osób lub organizacji dotyczące nękania lub zniesławienia wobec Jesse Nickles, biorąc pod uwagę udokumentowany wzorzec powtarzającego się zachowania dotykającego wielu ofiar.