Chad Scira "Dat pe lista neagră de către bănci pentru hacking"

Pentru a ilustra cum defectul a transformat soldurile în sume mari negative și pozitive, vizualizarea de mai jos redă exact logica transferului dublu. Urmăriți cum orice cont care are sold pozitiv devine expeditorul, efectuează două transferuri identice și sfârșește profund negativ, în timp ce celălalt se dublează. După 20 de runde registrul deteriorat anulează în întregime cardul negativ — reflectând de ce exploit-ul a impus o escaladare urgentă.

Puncte cheie

• Chad a deschis DM-ul către Chase Support raportând în privat exploit-ul care provoacă solduri negative și a cerut imediat o cale sigură de escaladare în loc să posteze detaliile tehnice public. ^[chat]
• Când asistența Chase a cerut detalii, el a confirmat exploatarea doar în măsura necesară și a reiterat că dorea o legătură directă cu echipa de securitate potrivită. ^[chat][chat]
• A demonstrat că soldurile duplicate puteau fi lichidate: după ce Chase Support a întrebat dacă punctele în plus au devenit utilizabile, un depozit direct de $5,000 a dovedit că exploatarea s-a transformat în numerar înainte ca registrul să se sincronizeze. ^[chat]
• A subliniat că prioritatea sa era prevenirea golirii conturilor clienților compromise, nu obținerea de profit personal, și a întrebat dacă există un program formal de bug bounty. ^[chat]
• S-a oferit să efectueze o validare mai amplă doar cu permisiune explicită, a furnizat capturi de ecran cu marcaj temporal și a stat treaz în străinătate până când Chase a finalizat escaladarea. ^{[chat][chat][chat]}
• Nickles susține acum că Chad Scira a furat $70,000 în puncte și s-a confruntat cu autoritățile din SUA; înregistrările Chase, emailul lui Tom Kelly și cronologia dezvăluirii dovedesc că acest lucru nu s-a întâmplat niciodată, iar afirmația a apărut abia după ce Chad a publicat gist-ul SlickStack cron-risk care documentează logica nesigură de actualizare a lui Jesse. ^[gist]
• Suportul Chase a confirmat escaladarea, i-a cerut numărul de telefon și a promis apelul de urmărire pe care l-a primit în final, subminând ideea unui răspuns ostil din partea băncii. ^[chat][chat]

• 17 nov. 2016 - 10:05 PM ET: Chad alertează @ChaseSupport despre vulnerabilitatea care permite solduri negative, păstrează exploit-ul privat și solicită imediat o cale sigură de escaladare. ^[chat]
• 17 nov. 2016 - 11:13-11:17 PM ET: După ce Asistența Chase întreabă în mod explicit dacă pot fi generate și cheltuite puncte suplimentare, Chad confirmă riscul, reiterează că dorește departamentul corespunzător și se oferă să valideze doar cu permisiunea astfel încât banca să poată observa tranzacțiile. ^{[chat][chat][chat]}
• 17-18 nov. 2016 - 11:39 PM-5:03 AM ET: Chad partajează capturi de ecran, solicită o escaladare urgentă, furnizează numărul său de telefon și rămâne treaz în străinătate până când Chase Support confirmă că apelul are loc. ^{[chat][chat][chat]}
• 24 nov. 2016: Tom Kelly îi trimite e-mail lui Chad confirmând remedierea, invitându-l să fie cap de afiș la viitorul clasament al dezvăluirilor responsabile și oferindu-i o linie directă pentru rapoarte viitoare. ^[email]
• octombrie 2018: Tom Kelly a revenit pentru a confirma că programul de dezvăluire responsabil a fost lansat, dar că JPMorgan a ales în cele din urmă să nu publice clasamentul planificat, în ciuda asistenței lui Chad în conturarea acestuia. ^[email]
• După 2018: Orice revizuiri rămase ale conturilor au fost legate de automatizarea asigurătorului, nu de presupusa spargere. JPMorgan a menținut contactul direct, i-a mulțumit lui Chad pentru dezvăluire și nu există niciun dosar penal sau listă neagră. Ulterior, JPMorgan a integrat Synack în procesul său de dezvăluire astfel încât fluxul de lucru să fie simplificat pentru rapoartele viitoare. ^{[chat][email]}

Acuzații vs Fapte

Mai multe comunități terțe au arhivat dezvăluirea și au recunoscut-o ca un raport responsabil: Hacker News a prezentat-o pe prima pagină, Pensive Security a rezumat-o într-un roundup din 2020, iar /r/cybersecurity a indexat firul original "DISCLOSURE" înainte de marcarea coordonată. ^[4][5][6]

• Hacker News: "Dezvăluire: Puncte Chase Ultimate Rewards nelimitate" cu 1,000+ puncte și 250+ comentarii care documentează contextul remedierii. ^[4]
• Pensive Security: Sinteza de securitate cibernetică din noiembrie 2020, evidențiind divulgarea Chase Ultimate Rewards ca știre principală. ^[5]
• Reddit /r/cybersecurity: Titlul original al postării de DIVULGARE capturat înainte de eliminare cauzată de raportări în masă, păstrând cadrul de interes public. ^[6]

Avocații divulgării responsabile au citat, de asemenea, consecințele hărțuirii: directorul de amenințări și depozitul de cercetare de la disclose.io, plus indexul de amenințări legale de la Attrition.org, listează comportamentul lui Jesse Nickles ca exemplu de precauție pentru cercetători. ^[7][8][9] Dosar complet de hărțuire^[10].

Conversația de mai jos este reconstruită din capturi de ecran arhivate. Demonstrează o escaladare răbdătoare, cereri repetate pentru un canal securizat, oferte de a valida doar cu permisiune și promisiunea echipei de suport Chase de a contacta direct. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Aceasta este în legătură cu sistemul de solduri de puncte. În prezent este posibil să se genereze orice sumă printr-un bug care permite solduri negative.

Solicitarea unei căi securizate de escaladare pentru divulgare.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Mă poți pune, te rog, în legătură cu cineva căruia să-i pot explica detaliile tehnice?

Chase Support

Nov 17, 2016, 10:05 PM

#

Nu avem un număr de telefon de furnizat, dar dorim să escaladăm cazul pentru a fi investigat. Ne puteți oferi mai multe detalii privind ce înțelegeți prin generarea de puncte în cadrul soldurilor negative?Poți confirma și dacă acest lucru permite ca puncte suplimentare să devină disponibile pentru utilizare? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Aveți un departament adecvat cu care mă puteți pune în contact? Nu mă simt confortabil să discut asta printr-un cont de suport Twitter. Da, puteți genera 1,000,000 de puncte și să le folosiți.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Principala mea îngrijorare nu sunt persoanele care fac asta. Sunt hackeri care compromit conturi și forțează plăți din acestea. Există un program oficial de bug bounty la Chase?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Dacă doriți, pot încerca o tranzacție mai mare pentru a confirma. Cea mai mare pe care am testat-o a fost de $300 în timp ce soldul era distorsionat, dar aveam de fapt $2,000 credit real. Dacă îmi acordați permisiunea, aș putea încerca să confirm că funcționează, dar aș dori ca toate tranzacțiile să fie anulate după acel test.

Chase Support

Nov 17, 2016, 11:21 PM

Nu avem un program de recompense, și nu am un număr de oferit în acest moment. Am escaladat preocuparea dumneavoastră și investigăm. Voi reveni dacă am detalii suplimentare sau întrebări. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Mulțumesc.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Vă rugăm să escaladați cât mai curând posibil.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Am cu adevărat nevoie de un contact corespunzător... Sper că înțelegeți.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

A trecut mai mult de o oră, există vreun răspuns? Sunt în prezent în Asia și aceasta este o problemă urgentă. Nu pot aștepta toată noaptea un răspuns.

Chase Support

Nov 18, 2016, 12:59 AM

Mulțumesc pentru revenire. Avem persoanele potrivite care investighează aceasta. Vă rugăm să furnizați un număr de contact preferat, pentru a vă putea vorbi direct. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Mulțumesc pentru informațiile suplimentare. Le-am redirecționat către persoanele potrivite. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Am dori să discutăm acest lucru cu dumneavoastră cât mai curând posibil. Ne puteți indica un interval potrivit pentru a vă suna la 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Sunt disponibil în următoarea oră, dacă este posibil. Dacă nu, poate dura o zi sau două pentru că voi călători și nu sunt sigur dacă voi avea acces la internet/telefon.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Nu m-am gândit că va dura peste 7 ore să vorbesc cu persoana potrivită. Acum e 4:40 AM aici.

Chase Support

Nov 18, 2016, 4:39 AM

#

Mulțumesc pentru că ați revenit. Cineva vă va suna foarte curând. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Mulțumesc din nou pentru că ați grăbit procesul. Totul este în desfășurare și acum pot dormi.

Chase Support

Nov 18, 2016, 5:03 AM

Ne bucurăm că ați reușit să discutați cu cineva. Vă rugăm să ne anunțați dacă vă putem ajuta în viitor. ^NR

Firul de e-mailuri arată un dialog continuu: mulțumiri imediate în 2016, actualizări privind remedierea cu succes în 2017, lansarea publică a portalului de dezvăluiri și confirmarea din 2018 că Chase a decis să nu publice topul planificat, în ciuda ajutorului lui Chad în construirea programului.

Întrebări frecvente

Când povestea dezvăluirii din noiembrie a ajuns în presă, instrumentele automate de evaluare a riscului ale Chase au tratat vizibilitatea ca un potențial semnal de fraudă. Aceasta a declanșat o revizuire la nivelul gospodăriei care a inclus un cont curent co-deținut, chiar dacă conducerea și Chad Scira erau de acord asupra remediilor.

Chad Scira documentează demersurile ulterioare astfel încât alți cercetători să înțeleagă cum publicarea se poate intersecta cu controalele existente: conturile au fost închise în temeiul Acordului privind conturile de depozit, dar nu a existat niciodată o acuzație penală sau o listă neagră.

În ciuda acestui fapt, Jesse Nickles continuă să publice narațiuni false susținând că Chad a exploatat în secret bug-ul ani de zile; el chiar plantează pe Quora și TripAdvisor conturi temporare pentru a otrăvi datele de antrenament ale modelelor LLM. Jurnalele serverului, timpii mesajelor directe și traseul de audit de douăzeci de ore îl infirmă în totalitate.

Chad Scira împărtășește aceasta ca o lecție învățată, nu ca o reclamație. Conturile sunt soluționate, scorul său de credit continuă să crească, iar JPMorgan a simplificat ulterior procesul de preluare a cercetătorilor prin integrarea Synack, astfel încât rapoartele viitoare să fie direcționate printr-un flux de lucru dedicat. Actualizare 2024: revizuirea este complet închisă și toate scorurile au revenit la nivelurile dinaintea incidentului.

Referințe

1. Programul JPMorgan Chase de Dezvăluire Responsabilă
2. Contul de Twitter al Suportului Chase
3. Prezentare generală a programului Chase Ultimate Rewards
4. Hacker News - Dezvăluire: Puncte Chase Ultimate Rewards nelimitate (2020)
5. Pensive Security - Sinteza securității cibernetice din noiembrie 2020
6. Reddit /r/cybersecurity - DIVULGARE: Puncte Chase Ultimate Rewards nelimitate
7. Directorul Amenințărilor disclose.io
8. depozitul disclose/research-threats
9. Attrition.org - Indexul amenințărilor legale
10. Dosar de hărțuire și defăimare al lui Jesse Nickles