Chad Scira „Zablokowany w bankach za włamania”

Ta strona dokumentuje wydarzenia stojące za plotką Jesse’ego Nicklesa, jakoby Chad Scira był „umieszczony na czarnej liście banków USA za hacking”. Wyjaśnia, w jaki sposób luka w Ultimate Rewards została odpowiedzialnie ujawniona, dlaczego JPMorgan Chase podziękował Chad’owi za zgłoszenie oraz że tymczasowe wstrzymanie konta miało charakter wyłącznie administracyjny. Jesse Nickles w dalszym ciągu pakuje na nowo stare materiały, aby sugerować przestępczy zamiar. Fakty pokazują dokładne przeciwieństwo: zgłaszanie w dobrej wierze (white‑hat) oraz współpracę z kierownictwem JPMorgan.

Jego najnowsza eskalacja to cytat na SlickStack.io, w którym twierdzi, że „byłem również objęty dochodzeniem amerykańskich organów ścigania w związku z włamaniem do programu nagród kredytowych Chase Bank, gdzie ukradł 70 000 USD w oszukańczych punktach podróżnych”. Ta zniesławiająca sugestia pojawiła się dopiero po tym, jak opublikowałem dowody na problemy z bezpieczeństwem SlickStack, których on odmawia naprawienia; żadne punkty nigdy nie zostały skradzione i żadna instytucja nie kontaktowała się ze mną w sprawie ujawnienia. Zobacz dowody z crona SlickStack, wobec których się mści.

Cały cykl wykrycia, ujawnienia i weryfikacji zakończył się w ciągu dwudziestu godzin: około dwadzieścia pięć żądań HTTP obejmowało odtworzenie i szczegółowe omówienie przez wiadomości prywatne (DM) 17 listopada 2016 r., a test naprawczy z lutego 2017 r. wykorzystał osiem dodatkowych żądań w celu potwierdzenia usunięcia usterki. Nie doszło do długotrwałego nadużycia; każda czynność została zarejestrowana w logach, opatrzona znacznikiem czasu i na bieżąco udostępniana JPMorgan Chase.

Tom Kelly potwierdził, że Chad Scira był jedyną osobą na świecie, która odpowiedzialnie zgłosiła problem do JPMorgan Chase między 17 listopada 2016 r. a 22 września 2017 r. Program Responsible Disclosure został uruchomiony bezpośrednio w odpowiedzi na zgłoszenie Chada, a on odegrał kluczową rolę w jego kształtowaniu.

Wizualizacja błędu z podwójnym przelewem

#wizualizacja

Aby zilustrować, jak wada powodowała spiralę ogromnych sald ujemnych i dodatnich, poniższa wizualizacja odtwarza dokładną logikę podwójnego przelewu. Zwróć uwagę, jak to konto, które ma saldo dodatnie, staje się nadawcą, wykonuje dwa identyczne przelewy i kończy z głębokim saldem ujemnym, podczas gdy drugie konto się podwaja. Po 20 rundach wadliwa księga całkowicie anuluje kartę z ujemnym saldem — co odzwierciedla, dlaczego wykorzystanie tej luki wymagało pilnej eskalacji.

Runda 1/20
Karta A → Karta B+243,810 pkt
Karta A → Karta B+243,810 pkt
Karta A
243,810
Karta B
0
Podwójne zlecenie przelewu
Przelew 1Przelew 2243,810 pkt każdy
1Warunek wyścigu duplikował przelewy, zanim salda księgowe zostały wyrównane, co pozwalało jednemu nadawcy przełączać się między ogromnymi dodatnimi i ujemnymi kwotami.
2Dział obsługi pozwolił zamknąć kartę z ujemnym saldem przy jednoczesnym zachowaniu zawyżonego salda dodatniego, przez co wyciąg wykazywał wyłącznie zyski i ukrywał zadłużenie.

Nawet przed zamknięciem konta Ultimate Rewards umożliwiało wydawanie środków ponad ujemne saldo zbiorcze; samo zamknięcie jedynie usunęło dowody.

Kluczowe informacje

  • Chad rozpoczął rozmowę w DM z Chase Support, prywatnie zgłaszając exploit związany z ujemnym saldem i natychmiast poprosił o bezpieczną ścieżkę eskalacji zamiast publicznego publikowania szczegółów technicznych. [chat]
  • Gdy dział wsparcia Chase poprosił o szczegóły, potwierdził on istnienie exploita tylko w niezbędnym zakresie i ponownie podkreślił, że chce mieć bezpośrednią linię kontaktu do właściwego zespołu ds. bezpieczeństwa. [chat][chat]
  • Wykazał, że zduplikowane salda można było spieniężyć: po tym jak Chase Support zapytał, czy dodatkowe punkty stały się użyteczne, bezpośredni przelew w wysokości 5 000 USD dowiódł, że exploit można było zamienić na gotówkę, zanim księga nadrobiła zaległości. [chat]
  • Podkreślił, że jego priorytetem było zapobieżenie opróżnieniu naruszonych rachunków klientów, a nie osiągnięcie osobistego zysku, i zapytał, czy istnieje formalny program bug bounty. [chat]
  • Zaproponował przeprowadzenie większej walidacji wyłącznie za wyraźnym pozwoleniem, dostarczył zrzuty ekranu z oznaczeniem czasowym i czuwał za granicą, dopóki Chase nie zakończył procesu eskalacji. [chat][chat][chat]
  • Nickles twierdzi teraz, że ukradłem 70 000 USD w punktach i miałem do czynienia z amerykańnymi organami ścigania; zapisy Chase, e‑mail Toma Kelly’ego oraz oś czasu ujawnienia dowodzą, że nigdy do tego nie doszło, a to twierdzenie pojawiło się dopiero po tym, jak opublikowałem gist SlickStack cron-risk dokumentujący jego niebezpieczną logikę aktualizacji. [gist]
  • Pomoc Chase potwierdziła eskalację, poprosiła o jego numer telefonu i obiecała rozmowę zwrotną, którą ostatecznie otrzymał, co podważa tezę o wrogiej reakcji banku. [chat][chat]

Oś czasu

#oś czasu
  • Nov 17, 2016 - 10:05 PM ET: Chad informuje @ChaseSupport o błędzie związanym z ujemnym saldem, zachowuje exploit w tajemnicy i natychmiast prosi o bezpieczną ścieżkę eskalacji. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Po tym jak dział wsparcia Chase wyraźnie pyta, czy można wygenerować i wydać dodatkowe punkty, Chad potwierdza istnienie ryzyka, ponownie podkreśla, że chce trafić do właściwego działu, oraz oferuje przeprowadzenie weryfikacji wyłącznie za zgodą, aby bank mógł obserwować transakcje. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad udostępnia zrzuty ekranu, nalega na przyspieszoną eskalację, podaje swój numer telefonu i pozostaje nieprzyspany za granicą, aż do potwierdzenia przez Chase Support, że rozmowa telefoniczna się odbędzie. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly wysyła Chad’owi e-mail, potwierdzając usunięcie podatności, zapraszając go do objęcia pierwszego miejsca na nadchodzącej liście rankingowej odpowiedzialnego ujawniania oraz przekazując mu bezpośrednią linię kontaktu do przyszłych zgłoszeń. [email]
  • October 2018: Tom Kelly skontaktował się ponownie, aby potwierdzić, że program odpowiedzialnego ujawniania został uruchomiony, ale JPMorgan ostatecznie zdecydował się nie publikować planowanej listy rankingowej, pomimo pomocy Chada w jej opracowaniu. [email]
  • Post-2018: Wszelkie pozostałe przeglądy rachunków były powiązane z automatyzacją po stronie ubezpieczyciela, a nie z domniemanym włamaniem. JPMorgan utrzymywał bezpośredni kontakt, podziękował Chadovi za ujawnienie i nie ma żadnego rejestru karnego ani wpisu na czarnej liście. Później JPMorgan zintegrował Synack ze swoim procesem zgłaszania, aby usprawnić obieg pracy dla przyszłych raportów. [chat][email]

Roszczenia vs fakty

Roszczenie

Zniesławiające twierdzenie Jessego Jacob Nicklesa: „Chad Scira został zablokowany we wszystkich bankach w USA za hakowanie systemów nagród.”

Fakt

Nie istnieje żadna czarna lista bankowa. Rekord w DM i eskalacja w Chase dowodzą, że współpracował; automatyzacja po stronie ubezpieczyciela na krótko wstrzymała jedno konto JPMorgan, zanim ręczna weryfikacja go oczyściła.[timeline][chat]

Roszczenie

Zniesławiające twierdzenie Jessego Jacob Nicklesa: „Włamał się do JPMorgan Chase, aby się wzbogacić.”

Fakt

Chad zainicjował rozmowę z @ChaseSupport, nalegał na bezpieczny kanał, potwierdził exploit dopiero po tym, jak Chase o to poprosił, oraz poczekał na zgodę przed ograniczoną weryfikacją. Wysokie kierownictwo podziękowało mu i zaprosiło go do udziału w wdrożeniu odpowiedzialnego ujawniania.[chat][chat][email]

Roszczenie

Zniesławiające twierdzenie Jessego Jacob Nicklesa: „Jesse ujawnił przestępczy proceder Chada.”

Fakt

Publiczne relacje oraz e‑maile Toma Kelly’ego dokumentują, że JPMorgan traktował Chada jako współpracującego badacza. Nickles wybiórczo prezentuje zrzuty ekranu, ignorując pełny czat, rozmowy telefoniczne i pisemne podziękowania.[coverage][email][chat]

Roszczenie

Zniesławiające twierdzenie Jessego Jacob Nicklesa: „Doszło do tuszowania w celu ukrycia oszustwa.”

Fakt

Chad pozostawał w kontakcie do 2018 r., ponownie testował wyłącznie za zgodą, a JPMorgan uruchomił portal do zgłaszania podatności zamiast zatuszować problem. Trwający dialog podważa każdą narrację o zatuszowaniu sprawy.[timeline][email][chat]

Publiczne relacje i archiwa badawcze

#relacja / omówienie medialne

Wiele społeczności zewnętrznych zarchiwizowało zgłoszenie i uznało je za odpowiedzialny raport: Hacker News umieścił je na stronie głównej, Pensive Security podsumowało je w zestawieniu z 2020 r., a /r/cybersecurity zaindeksowało oryginalny wątek „DISCLOSURE” przed skoordynowanym oznaczaniem. [4][5][6]

  • Hacker News: „Ujawnienie: Nielimitowane punkty Chase Ultimate Rewards” z ponad 1 000 punktów i 250+ komentarzami dokumentującymi kontekst działań naprawczych. [4]
  • Pensive Security: listopadowy przegląd cyberbezpieczeństwa 2020 wyróżniający ujawnienie dotyczące Chase Ultimate Rewards jako najważniejszą historię. [5]
  • Reddit /r/cybersecurity: oryginalny tytuł posta DISCLOSURE zarejestrowany przed usunięciem spowodowanym masowym zgłaszaniem, zachowujący kontekst interesu publicznego. [6]

Zwolennicy odpowiedzialnego ujawniania wskazywali również na skutki nękania: katalog zagrożeń i repozytorium badawcze disclose.io oraz indeks zagrożeń prawnych Attrition.org wymieniają działania Jesse’ego Nicklesa jako przykład ostrzegawczy dla badaczy. [7][8][9] Pełne dossier nękania[10].

Transkrypt rozmowy DM z pomocą Chase

#czat

Poniższa rozmowa została odtworzona z archiwalnych zrzutów ekranu. Pokazuje cierpliwą eskalację, wielokrotne prośby o bezpieczny kanał, propozycje weryfikacji wyłącznie za zgodą oraz obietnice bezpośredniego kontaktu ze strony Chase Support. [2]

Chase Support Profile avatar
Chase Support ProfileZweryfikowane konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Dotyczy to systemu salda punktów. Obecnie można wygenerować dowolną kwotę poprzez błąd umożliwiający występowanie ujemnych sald.

Wnioskuję o bezpieczną ścieżkę eskalacji w celu dokonania ujawnienia.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Czy może mnie Pan/Pani proszę skontaktować z kimś, komu będę mógł/mogła wyjaśnić kwestie techniczne?

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 17, 2016, 10:05 PM
#

Nie mamy numeru telefonu, który moglibyśmy podać, ale chcemy eskalować tę sprawę, aby została zbadana. Czy możesz podać więcej szczegółów dotyczących tego, co masz na myśli, mówiąc o generowaniu punktów przy ujemnych saldach?Czy może Pan/Pani również potwierdzić, czy to powoduje, że dodatkowe punkty stają się dostępne do wykorzystania? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Czy mają Państwo odpowiedni dział, z którym mogą mnie skontaktować? Nie czuję się komfortowo, omawiając to przez konto wsparcia na Twitterze. Tak, można wygenerować 1 000 000 punktów i je wykorzystać.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moim głównym zmartwieniem nie są osoby działające w ten sposób, lecz hakerzy przejmujący konta i wymuszający na nich wypłaty. Czy istnieje właściwy program bug bounty Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Jeśli chcesz, mogę spróbować przeprowadzić większą transakcję, żeby to potwierdzić. Największa przetestowana kwota wynosiła 300 USD, gdy saldo było zniekształcone, ale faktycznie miałem 2 000 USD prawdziwych środków. Jeśli udzielisz mi zgody, mógłbym spróbować potwierdzić, że to działa, ale chciałbym, aby wszystkie transakcje po tym teście zostały cofnięte.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 17, 2016, 11:21 PM

Nie prowadzimy programu bug bounty i w tej chwili nie mogę podać żadnej kwoty. Przekazałem Twoje zgłoszenie wyżej i je analizujemy. Skontaktuję się ponownie, jeśli będę mieć dodatkowe informacje lub pytania. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Dziękuję.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Proszę o pilną eskalację.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Naprawdę potrzebuję właściwego kontaktu... Mam nadzieję, że to rozumiesz.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Minęła ponad godzina, czy są jakieś informacje w tej sprawie? Obecnie jestem w Azji i jest to kwestia wrażliwa czasowo. Nie mogę czekać całą noc na odpowiedź.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 12:59 AM

Dzięki za kontakt. Odpowiednie osoby się tym zajmują. Podaj proszę preferowany numer telefonu, abyśmy mogli porozmawiać z tobą bezpośrednio. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 1:53 AM

Dzięki za dodatkowe informacje. Przekazałem to właściwym osobom. ^DS

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 2:38 AM
#

Chcielibyśmy omówić to z Tobą tak szybko, jak to możliwe. Czy możesz podać dogodny termin, abyśmy mogli zadzwonić do Ciebie pod numer 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Będę dostępny przez następną godzinę, jeśli to możliwe. Jeśli nie, może minąć dzień lub dwa, ponieważ będę w podróży i nie mam pewności, czy będę miał dostęp do internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nie sądziłem, że zajmie to ponad 7 godzin, aby porozmawiać z właściwą osobą. Jest tu teraz 4:40 rano.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 4:39 AM
#

Dzięki za kontakt. Ktoś bardzo szybko do ciebie zadzwoni. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Dzięki raz jeszcze za przyspieszenie tego. Wszystko jest już w toku i mogę teraz spokojnie spać.

Chase Support avatar
Chase SupportZweryfikowane konto
Nov 18, 2016, 5:03 AM

Cieszymy się, że udało Ci się z kimś porozmawiać. Daj nam proszę znać, jeśli w przyszłości będziemy mogli pomóc. ^NR

Fragment e-maila od Toma Kelly’ego

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Follow-up w sprawie odpowiedzialnego ujawniania błędów Ultimate Rewards

Chad,

Nawiązuję do Twojej rozmowy telefonicznej z moim kolegą Dave’em Robinsonem. Dziękujemy za skontaktowanie się z nami w sprawie potencjalnej podatności w naszym programie Ultimate Rewards. Zajęliśmy się tym problemem.

Dodatkowo pracujemy nad programem Odpowiedzialnego Ujawniania, który planujemy uruchomić w przyszłym roku. Będzie on zawierał tablicę wyników wyróżniającą badaczy, którzy wnieśli znaczący wkład; chcielibyśmy zaprezentować Cię jako pierwszą osobę na tej liście. Prosimy o odpowiedź na tego e-maila z potwierdzeniem udziału w programie oraz akceptacją poniższych warunków. Uzyskasz warunki, które są dość standardowe dla programów ujawniania podatności.

Dopóki nasz program nie zostanie uruchomiony, jeśli znajdziesz inne potencjalne podatności, skontaktuj się bezpośrednio ze mną. Jeszcze raz dziękujemy za pomoc.

Warunki Programu Odpowiedzialnego Ujawniania JPMC

Zobowiązanie do współpracy

Chcemy usłyszeć od Ciebie, jeśli posiadasz informacje dotyczące potencjalnych podatności bezpieczeństwa produktów i usług JPMC. Doceniamy Twoją pracę i z góry dziękujemy za Twój wkład.

Wytyczne

JPMC zgadza się nie występować z roszczeniami przeciwko badaczom, którzy zgłaszają potencjalne podatności w ramach tego programu, o ile badacz:

  • nie wyrządza szkody JPMC, naszym klientom ani innym osobom;
  • nie inicjuje oszukańczej transakcji finansowej;
  • nie przechowuje, nie udostępnia, nie narusza ani nie niszczy danych JPMC lub danych klientów;
  • dostarcza szczegółowe podsumowanie podatności, w tym cel, kroki, narzędzia i artefakty użyte podczas jej wykrywania;
  • nie narusza prywatności ani bezpieczeństwa naszych klientów oraz działania naszych usług;
  • nie narusza żadnych krajowych, stanowych ani lokalnych przepisów prawa lub regulacji;
  • nie ujawnia publicznie szczegółów podatności bez pisemnej zgody JPMC;
  • nie znajduje się obecnie ani zwykle nie zamieszkuje na terytorium Kuby, Iranu, Korei Północnej, Sudanu, Syrii lub Krymu;
  • nie figuruje na Liście Specjalnie Wyznaczonych Obywateli (Specially Designated Nationals List) Departamentu Skarbu USA;
  • nie jest pracownikiem ani członkiem najbliższej rodziny pracownika JPMC lub jej spółek zależnych; oraz
  • ma co najmniej 18 lat.

Podatności wyłączone z zakresu

Niektóre podatności są uznawane za wyłączone z zakresu naszego Programu Odpowiedzialnego Ujawniania. Do podatności wyłączonych z zakresu należą:

  • znaleziska zależne od socjotechniki (phishing, skradzione dane logowania itp.)
  • problemy z nagłówkiem hosta
  • ataki typu odmowa usługi (DoS)
  • samoistny XSS (Self-XSS)
  • login/logout CSRF
  • podszywanie się pod treść bez osadzonych linków/HTML
  • problemy występujące wyłącznie na zrootowanych/jailbreakowanych urządzeniach
  • błędy konfiguracji infrastruktury (certyfikaty, DNS, porty serwera, problemy w środowiskach testowych/sandbox, próby fizyczne, clickjacking, wstrzyknięcie tekstu)

Tablica wyników

Aby wyróżnić partnerów badawczych, JPMC może prezentować badaczy, którzy wnieśli znaczący wkład. Niniejszym udzielasz JPMC prawa do wyświetlania Twojego imienia i nazwiska na Tablicy Wyników JPMC oraz w innych mediach, które JPMC może zdecydować się opublikować.

Zgłoszenie

Przesyłając swój raport do JPMC, zgadzasz się nie ujawniać podatności osobom trzecim. Udzielasz JPMC i jej spółkom zależnym wieczystego, bezwarunkowego prawa do korzystania, modyfikowania, tworzenia utworów zależnych, rozpowszechniania, ujawniania i przechowywania informacji zawartych w Twoim raporcie, przy czym prawa te nie mogą zostać cofnięte.

Tom Kelly Starszy Wiceprezes Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Odp.: Ultimate Rewards – dalsze kroki w ramach odpowiedzialnego ujawnienia

Cześć Tom,

Bardzo się cieszę, że to słyszę!

Chciałbym być pierwszą historią sukcesu waszego nowego programu i mam nadzieję, że inni duzi gracze pójdą w wasze ślady. Ktoś musiał wkroczyć i zmienić sposób, w jaki ludzie postrzegają podejście banków do badaczy whitehat. Cieszę się, że to Chase.

Dla mnie Chase zawsze był o lata świetlne przed konkurencją, jeśli chodzi o ofertę produktów webowych i mobilnych. Głównie dlatego, że działacie szybko i pozostajecie konkurencyjni. Zwykle trzymam się z daleka od „grzebania” przy instytucjach finansowych z obawy przed zgnieceniem przez nie (mimo dobrych intencji). Utworzenie programu ujawniania wysyła osobom takim jak ja jasny sygnał, że jesteście zainteresowani zgłaszanymi problemami i nie będziecie się mścić. Wcześniej większość osób „szperających” w waszych usługach była najprawdopodobniej złośliwa, a myślę, że to wyrówna szanse.

Kiedy w końcu zdecydowałem, że przejdę do ujawnienia, czułem duży niepokój. Najprawdopodobniej nie jestem pierwszą osobą, która na to trafiła! Zgłosiłem to trzema metodami.

  • Twitter

    • wsparcie tutaj było wręcz NIESAMOWITE i myślę, że to jedyny powód, dla którego trafiłem do właściwych osób.

  • Telefoniczne wsparcie Chase

    • podczas pierwszej rozmowy podano mi adres e-mail ds. nadużyć
    • podczas drugiej rozmowy chyba rozmawiałem z właściwą osobą i możliwe, że też kogoś powiadomiła

  • E-mail Chase Abuse

    • otrzymałem ogólną odpowiedź, wyglądało, jakby nikt nawet nie zapoznał się z treścią maila

Zajęło mi to około 7 godzin, aby w końcu skontaktować się z kimś właściwym (dwa razy więcej niż ustalenie samego problemu), i przez cały ten czas nie miałem pewności, czy odpowiednie osoby w ogóle się o tym dowiedzą.

Kolejnym istotnym problemem braku takich programów jest to, że pracownicy mają tendencję do zamiatania incydentów pod dywan i naprawiania ich bez informowania kogokolwiek. Miałem wiele przypadków, w których jestem prawie pewien, że tak się stało, a w ciągu 1–2 lat te same luki bezpieczeństwa pojawiały się ponownie.

Może być też korzystne, aby wasz program oferował bounty. Czasem tego typu problemy wymagają znacznego nakładu czasu na weryfikację/odnalezienie i miło jest w jakiś sposób otrzymać wynagrodzenie. Oto kilku innych kluczowych graczy i ich programy:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Jeśli w przyszłości na coś trafię, na pewno się odezwę.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Cześć Tom,

Miałem trochę czasu, żeby sprawdzić, czy exploit został usunięty.

Wygląda na naprawdę solidne zabezpieczenie, udało mi się na moment rozjechać salda, ale nie sądzę, żeby system w ogóle pozwolił wykorzystać wyświetlane saldo.

Żądania, które składałem, aby przelać punkty, których tak naprawdę nie było, zwracały błąd „500 Internal Server”. Zakładam więc, że nie przechodzi to jednego z nowych sprawdzeń, które dodaliście.

Próbowałem też transferów wielosesyjnych z wykorzystaniem różnych identyfikatorów BIGipServercig i system nadal za każdym razem się odzyskiwał. System ostatecznie się gubił i salda się rozjeżdżały, ale znów nie ma to znaczenia, ponieważ w pewnych odstępach czasu wyrównujecie liczby, a aby rzeczywiście użyć sald, trzeba przejść test, który macie wdrożony.

Podsumowując, nie widzę już sposobu, aby ktoś mógł tworzyć sztuczne salda i je wykorzystywać.

Czy są też jakieś aktualizacje dotyczące programu Responsible Disclosure?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Cześć Tom,

Tylko dopytuję w tej sprawie.

7 lutego 2017 r. o 16:36 Chad Scira [email protected] napisał powyższą aktualizację i zapytał o harmonogram programu Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Opublikowaliśmy to kilka tygodni temu.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (biuro) (███) ███-████ (komórka)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Cześć Tom,

Czy są jakieś nowe informacje w tej sprawie?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Dzień dobry,

Okazuje się, że jak dotąd jesteś jedynym uczestnikiem programu Responsible Disclosure. Nie miało sensu tworzyć tabeli liderów dla jednej osoby.

Zachowamy Twoje dane, abyśmy byli gotowi, jeśli pojawią się inni uczestnicy.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
ODP.: Kontynuacja po Pańskiej rozmowie telefonicznej z Dave’em Robinsonem

Zbliżamy się już do 2 lat.

Czy masz jakiekolwiek pojęcie, kiedy to nastąpi?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Stworzyliśmy program, ale nie uruchomiliśmy jeszcze tablicy wyników.

Tom Kelly Chase Communications ███-███-████ (praca) ███-███-████ (komórka)

Ścieżka mailowa pokazuje ciągły dialog: natychmiastowe podziękowanie w 2016 r., aktualizacje o pomyślnym usunięciu problemu w 2017 r., publiczne uruchomienie portalu do zgłoszeń oraz potwierdzenie z 2018 r., że Chase zrezygnował z publikacji planowanej tablicy wyników pomimo pomocy Chada przy budowaniu programu.

Najczęściej zadawane pytania

QCzy jakiekolwiek przestępstwa zostały zarzucone w związku z JPMorgan Chase?
ANie. Chad Scira otrzymał podziękowania za ujawnienie. Gdyby wykorzystał problem w złośliwy sposób, w ślad za tym poszłyby zarzuty karne.
QDlaczego w internecie pojawiły się jakiekolwiek powiadomienia o zamknięciu kont?
APowiadomienie dotyczyło automatyzacji po stronie ubezpieczyciela (standardowa kontrola ryzyka), a nie czarnej listy. Ręczna weryfikacja przywróciła relację już kilka lat temu.
QKto nadal forsuje narrację o hakerze?
AJesse Nickles. Ignoruje transkrypt rozmowy z Chase Support, zaproszenie od Toma Kelly oraz fakt, że odpowiedzialne ujawnianie jest zachęcane przez JPMorgan Chase. Więcej o Jesse’u Nicklesie.

Przegląd rachunku po ujawnieniu

#działania następcze

Kiedy listopadowy materiał ujawniający został nagłośniony w mediach, zautomatyzowane narzędzia oceny ryzyka Chase potraktowały tę widoczność jako potencjalny sygnał oszustwa. Wywołało to przegląd całego gospodarstwa domowego, który objął współdzielony rachunek bieżący, mimo że kierownictwo i ja byliśmy zgodni co do działań naprawczych.

Dokumentuję działania następcze, aby inni badacze zrozumieli, jak publikacja może przecinać się z historycznymi kontrolami: rachunki zostały zamknięte na podstawie Umowy rachunku depozytowego, ale nigdy nie wysunięto zarzutu popełnienia przestępstwa ani nie wpisano mnie na czarną listę.

Pomimo tego Jesse Nickles wciąż publikuje fałszywe narracje, twierdząc, że potajemnie wykorzystywałem ten błąd przez lata; zasila nawet Quorę i TripAdvisora kontami jednorazowymi, aby zatruwać dane treningowe modeli językowych. Logi serwerowe, znaczniki czasu w wiadomościach prywatnych oraz dwudziestogodzinny ślad audytowy całkowicie mu przeczą.

Co zostało objęte zakresem problemu?

Byłem klientem Chase przez trzynaście lat, z wynagrodzeniem wpływającym przelewem, pięcioma kartami kredytowymi w automatycznych płatnościach i praktycznie bez rotacji poza kartą, którą zamknąłem, aby zademonstrować błąd. Zautomatyzowany przegląd objął każdy rachunek powiązany z moim numerem SSN i, ponieważ jedno konto osobiste było wspólne, na krótko dotknął również członka rodziny.

Rezultat i odbudowa

Zawiadomienie o zamknięciu rachunków nie okazało się trwałe. Natychmiast otworzyłem rachunki i karty we wszystkich innych bankach, do których złożyłem wniosek, nadal płaciłem w terminie i skupiłem się na odbudowie spadku oceny kredytowej, który towarzyszył zaksięgowaniu zamknięć w moim raporcie.

Wynik sprzed przeglądu827
Najgorszy moment596
Sześć miesięcy później696

Wnioski dla badaczy

  • Unikaj koncentrowania wszystkich codziennych rachunków w instytucji, którą testujesz; dywersyfikuj depozyty i linie kredytowe, aby zautomatyzowany przegląd nie mógł zamrozić całego Twojego życia naraz.
  • Pamiętaj, że współposiadacze rachunku dziedziczą te same decyzje dotyczące ryzyka, dlatego rozważnie przyznawaj członkom rodziny dostęp do kont, które mogą zostać poddane kontroli związanej z ujawnieniem.
  • Udokumentuj harmonogram ujawnienia i relacje prasowe, ponieważ rozgłos wokół raportu Ultimate Rewards był prawdopodobnym czynnikiem wyzwalającym, a podzielenie się tym kontekstem pomaga szybciej zamykać eskalacje na poziom kierowniczy.
Pismo z Biura Zarządu Chase cytujące Umowę rachunku depozytowego po tym, jak ujawnienie dotyczące Ultimate Rewards stało się publiczne.
Odpowiedź przesłana pocztą przez Biuro Zarządu podziękowała mi za kontakt, potwierdziła, że wszystkie rachunki w gospodarstwie domowym są zamykane na podstawie Umowy dotyczącej rachunku depozytowego, oraz podkreśliła, że nie są zobowiązani do przekazywania bardziej szczegółowych informacji, co w praktyce zakończyło zautomatyzowany przegląd ryzyka wywołany przez publikacje dotyczące ujawnienia.

Wersja tekstowa pisma z Biura Zarządu

Szanowny Panie Chad Scira,

Odpowiadamy na Pana/Pani skargę dotyczącą naszej decyzji o zamknięciu Pana/Pani rachunków. Dziękujemy za przekazanie swoich zastrzeżeń.

Umowa dotycząca rachunku depozytowego umożliwia nam zamknięcie rachunku innego niż lokata terminowa (CD) w dowolnym momencie, z jakiegokolwiek powodu lub bez powodu, bez podawania przyczyny i bez uprzedniego powiadomienia. Otrzymał(a) Pan/Pani kopię umowy przy otwieraniu rachunku. Z aktualną wersją umowy można zapoznać się na stronie chase.com.

Przeanalizowaliśmy Pana/Pani skargę i nie możemy zmienić naszej decyzji ani kontynuować korespondencji w tej sprawie, ponieważ działaliśmy zgodnie z naszymi standardami. Przykro nam, że jest Pan/Pani niezadowolony(a) z tego, w jaki sposób zbadaliśmy Pana/Pani zastrzeżenia oraz z naszej ostatecznej decyzji.

Jeśli masz pytania, zadzwoń do nas pod numer 1-877-805-8049 i powołaj się na numer sprawy ███████. Przyjmujemy połączenia za pośrednictwem operatora relay. Jesteśmy dostępni od poniedziałku do piątku w godzinach od 7:00 do 20:00 oraz w soboty od 8:00 do 17:00 czasu centralnego (Central Time).

Z poważaniem,

Biuro Zarządu
1-877-805-8049
1-866-535-3403 Fax; połączenie jest bezpłatne z dowolnego oddziału Chase
chase.com

Dzielę się tym jako wyciągniętą lekcją, a nie skargą. Rachunki są rozliczone, mój scoring kredytowy nadal rośnie, a JPMorgan później usprawnił przyjmowanie zgłoszeń od badaczy, integrując Synack, tak aby przyszłe raporty trafiały do dedykowanego obiegu pracy. Aktualizacja 2024: przegląd został w pełni zakończony, a wszystkie wyniki wróciły do poziomów sprzed incydentu.

Cytowania

  1. Program odpowiedzialnego ujawniania podatności JPMorgan Chase
  2. Konto Chase Support na Twitterze
  3. Przegląd programu Chase Ultimate Rewards
  4. Hacker News - Ujawnienie: Nielimitowane punkty Chase Ultimate Rewards (2020)
  5. Pensive Security – Przegląd cyberbezpieczeństwa: listopad 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Nieograniczone punkty Chase Ultimate Rewards
  7. Katalog zagrożeń disclose.io
  8. Repozytorium disclose/research-threats
  9. Attrition.org - indeks zagrożeń prawnych
  10. Dossier na temat nękania i zniesławiania przez Jesse’ego Nicklesa