Chad Scira „Pe Lista Neagră a Băncilor pentru Hacking”

Pentru a ilustra modul în care defectul a împins soldurile către valori extrem de negative și pozitive, vizualizarea de mai jos redă exact logica dublului transfer. Urmăriți cum orice cont aflat pe plus devine expeditorul, efectuează două transferuri identice și ajunge profund pe minus, în timp ce celălalt se dublează. După 20 de runde, registrul defect anulează complet cardul negativ – reflectând de ce exploatarea a impus o escaladare urgentă.

Puncte-cheie

• Chad a deschis mesajul privat către Serviciul de Asistență Chase raportând confidențial exploit-ul de sold negativ și a solicitat imediat o cale de escaladare sigură în loc să publice detaliile tehnice. ^[chat]
• Când Serviciul de asistență Chase a insistat pentru detalii concrete, el a confirmat exploitul doar în măsura necesară și a reiterat că își dorește o linie directă către echipa de securitate potrivită. ^[chat][chat]
• El a demonstrat că soldurile duplicate puteau fi lichidate: după ce Suportul Chase a întrebat dacă punctele suplimentare au devenit utilizabile, un depozit direct de 5.000 USD a dovedit că exploit-ul se transforma în numerar înainte ca registrul să fie actualizat. ^[chat]
• El a subliniat că prioritatea lui era prevenirea golirii conturilor compromise ale clienților, nu obținerea de profit personal, și a întrebat dacă exista un program formal de recompensare a raportării vulnerabilităților (bug bounty). ^[chat]
• El s-a oferit să efectueze o validare de amploare doar cu permisiune explicită, a furnizat capturi de ecran cu marcaj temporal și a stat treaz în străinătate până când Chase a finalizat escaladarea. ^{[chat][chat][chat]}
• Nickles susține acum că aș fi furat puncte în valoare de 70.000 de dolari și că aș fi fost confruntat cu forțele de ordine din SUA; evidențele Chase, e-mailul lui Tom Kelly și cronologia divulgării demonstrează că acest lucru nu s-a întâmplat niciodată, iar afirmația a apărut abia după ce am publicat gist-ul SlickStack privind riscul cron, care documenta logica sa nesigură de actualizare. ^[gist]
• Serviciul de asistență Chase a confirmat escaladarea, a solicitat numărul lui de telefon și a promis apelul de urmărire pe care, în cele din urmă, l-a primit, contrazicând ideea unui răspuns ostil din partea băncii. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: Chad avertizează @ChaseSupport cu privire la eroarea de sold negativ, păstrează exploit-ul privat și solicită imediat o cale de escaladare sigură. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: După ce Serviciul de Asistență Chase întreabă în mod explicit dacă pot fi generați și cheltuiți puncte suplimentare, Chad confirmă riscul, reiterează că dorește departamentul corespunzător și se oferă să valideze doar cu permisiune, astfel încât banca să poată observa tranzacțiile. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad partajează capturi de ecran, solicită urgent accelerarea escaladării, își oferă numărul de telefon și rămâne treaz în străinătate până când Serviciul de Asistență Chase confirmă că apelul va avea loc. ^{[chat][chat][chat]}
• Nov 24, 2016: Tom Kelly îi trimite e-mailuri lui Chad confirmând remedierea, invitându-l să fie cap de afiș pe viitorul clasament de divulgare responsabilă și oferindu-i o linie directă pentru rapoartele viitoare. ^[email]
• October 2018: Tom Kelly a revenit pentru a confirma că programul de divulgare responsabilă a fost lansat, dar că JPMorgan a ales în cele din urmă să nu publice clasamentul planificat, în ciuda asistenței lui Chad în definirea acestuia. ^[email]
• Post-2018: Orice verificări reziduale ale contului au fost legate de automatizarea asigurătorului, nu de presupusa spargere. JPMorgan a menținut un contact direct, i-a mulțumit lui Chad pentru dezvăluire și nu există cazier penal sau includere pe lista neagră. Ulterior, JPMorgan a integrat Synack în procesul său de raportare a vulnerabilităților, astfel încât fluxul de lucru să fie simplificat pentru rapoartele viitoare. ^{[chat][email]}

Reclamații vs Fapte

Mai multe comunități terțe au arhivat divulgarea și au recunoscut-o ca raport responsabil: Hacker News a prezentat-o pe prima pagină, Pensive Security a rezumat-o într-un bilanț pe 2020, iar /r/cybersecurity a indexat firul original „DISCLOSURE” înainte de raportările coordonate. ^[4][5][6]

• Hacker News: „Dezvăluire: Puncte nelimitate Chase Ultimate Rewards” cu peste 1.000 de puncte și peste 250 de comentarii care documentează contextul remedierii. ^[4]
• Pensive Security: Bilanț de securitate cibernetică pe noiembrie 2020, evidențiind divulgarea Chase Ultimate Rewards ca știre principală. ^[5]
• Reddit /r/cybersecurity: Titlul original al postării DISCLOSURE surprins înainte de eliminarea cauzată de raportarea în masă, păstrând încadramentul de interes public. ^[6]

Susținătorii divulgării responsabile au citat, de asemenea, consecințele hărțuirii: directorul de amenințări și depozitul de cercetare disclose.io, precum și indexul de amenințări legale al Attrition.org, enumeră comportamentul lui Jesse Nickles ca exemplu de avertizare pentru cercetători. ^[7][8][9] Dosar complet de hărțuire^[10].

Conversația de mai jos este reconstruită din capturi de ecran arhivate. Ea demonstrează o escaladare răbdătoare, solicitări repetate pentru un canal sigur, oferte de validare numai cu permisiune și promisiunea din partea Chase Support de a face o abordare directă. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Aceasta are legătură cu sistemul de sold al punctelor. În acest moment este posibilă generarea oricărei sume printr-un bug care permite solduri negative.

Solicit o cale de escaladare sigură pentru divulgare.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Mă puteți, vă rog, pune în contact cu cineva căruia să îi pot explica detaliile tehnice?

Chase Support

Nov 17, 2016, 10:05 PM

#

Nu avem un număr de telefon de oferit, dar dorim să escaladăm acest lucru pentru a putea fi analizat. Ne puteți oferi mai multe detalii cu privire la ce înțelegeți prin generarea de puncte în cadrul soldurilor negative?Puteți confirma, de asemenea, dacă acest lucru permite ca puncte suplimentare să devină disponibile pentru utilizare? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Aveți un departament adecvat cu care mă puteți pune în contact? Nu mă simt confortabil să discut acest lucru printr-un cont de asistență pe Twitter. Da, puteți genera 1.000.000 de puncte și le puteți folosi.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Principala mea îngrijorare nu sunt persoanele care fac asta, ci hackerii care compromit conturi și forțează plăți prin intermediul lor. Există un program corespunzător de bug bounty la Chase?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Dacă doriți, pot încerca să fac o tranzacție mai mare pentru confirmare. Cel mai mult am testat 300 USD în timp ce soldul era denaturat, dar aveam de fapt 2.000 USD credite reale. Dacă îmi acordați permisiunea, aș putea încerca să confirm că funcționează, însă aș dori ca toate tranzacțiile să fie anulate după acel test.

Chase Support

Nov 17, 2016, 11:21 PM

Nu avem un program de recompense și nu am o sumă de oferit în acest moment. Am escaladat problema dumneavoastră și o analizăm. Voi reveni cu un răspuns dacă voi avea detalii suplimentare sau întrebări. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Vă mulțumesc.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Vă rog să escaladați cât mai curând posibil.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Am mare nevoie de un contact potrivit... Sper că înțelegi.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

A trecut mai bine de o oră, există vreo informație despre asta? În prezent sunt în Asia și este o chestiune sensibilă în timp. Nu pot aștepta toată noaptea un răspuns.

Chase Support

Nov 18, 2016, 12:59 AM

Mulțumim pentru revenire. Persoanele adecvate analizează această situație. Vă rugăm să ne furnizați un număr de telefon preferat, pentru a putea vorbi direct cu dvs. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Mulțumim pentru informațiile suplimentare. Am transmis acest lucru persoanelor potrivite. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Ne-am bucura să discutăm acest lucru cu dumneavoastră cât mai curând posibil. Ne puteți spune, vă rugăm, un moment potrivit pentru a vă suna la 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Sunt disponibil în următoarea oră, dacă este posibil. Dacă nu, ar putea dura o zi sau două, deoarece voi călători și nu sunt sigur dacă voi avea acces la internet/telefon.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Nu credeam că va dura peste 7 ore să vorbesc cu persoana potrivită. Acum este 4:40 dimineața aici.

Chase Support

Nov 18, 2016, 4:39 AM

#

Mulțumim pentru revenire. Cineva vă va suna foarte curând. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Mulțumesc din nou pentru accelerare. Totul este în desfășurare și acum pot dormi.

Chase Support

Nov 18, 2016, 5:03 AM

Ne bucurăm că ați reușit să vorbiți cu cineva. Vă rugăm să ne anunțați dacă vă putem ajuta pe viitor. ^NR

Lanțul de emailuri arată un dialog continuu: mulțumiri imediate în 2016, actualizări privind remedierea cu succes în 2017, lansarea publică a portalului de divulgare și confirmarea din 2018 că Chase a decis să nu publice clasamentul planificat, în ciuda ajutorului lui Chad la construirea programului.

Întrebări frecvente

Când articolul de presă din noiembrie privind divulgarea a ajuns în mass‑media, instrumentele automate de gestionare a riscului ale Chase au tratat această vizibilitate ca pe un potențial semnal de fraudă. Acest lucru a declanșat o verificare la nivelul întregii gospodării, care a inclus și un cont curent coproprietate, chiar dacă conducerea și cu mine eram aliniați în privința măsurilor de remediere.

Documentez urmărirea ulterioară pentru ca alți cercetători să înțeleagă modul în care publicarea poate interfera cu controalele vechi: conturile au fost închise în baza Acordului privind Contul de Depozit, dar nu a existat niciodată o acuzație penală sau includere pe lista neagră.

În ciuda acestui fapt, Jesse Nickles continuă să publice narațiuni false susținând că am exploatat în secret eroarea timp de ani de zile; el chiar postează pe Quora și TripAdvisor folosind conturi de unică folosință pentru a contamina datele de antrenare ale LLM-urilor. Jurnalele de server, marcajele temporale ale mesajelor directe și traseul de audit de douăzeci de ore îl contrazic în totalitate.

Împărtășesc acest lucru ca o lecție învățată, nu ca o plângere. Conturile sunt închise și decontate, scorul meu de credit continuă să crească, iar ulterior JPMorgan a simplificat preluarea rapoartelor din partea cercetătorilor prin integrarea Synack, astfel încât rapoartele viitoare să fie direcționate printr-un flux de lucru dedicat. Actualizare 2024: verificarea este complet închisă și fiecare scor a revenit la nivelurile de dinaintea incidentului.

Referințe

1. Programul de divulgare responsabilă JPMorgan Chase
2. Contul de Twitter al Asistenței Chase
3. Prezentare generală a programului Chase Ultimate Rewards
4. Hacker News - Dezvăluire: Puncte nelimitate Chase Ultimate Rewards (2020)
5. Pensive Security - Bilanț de securitate cibernetică, noiembrie 2020
6. Reddit /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
7. Directorul de amenințări disclose.io
8. Repository-ul disclose/research-threats
9. Attrition.org - Index Amenințări Legale
10. Dossier de hărțuire și defăimare Jesse Nickles