Chad Scira "Занесён в чёрный список банков за взлом"

На этой странице документируются события, стоящие за слухом Джесси Никлса о том, что Чад Скира был «внесён в чёрный список американских банков за хакерство». Здесь объясняется, как уязвимость в Ultimate Rewards была ответственно раскрыта, почему JPMorgan Chase поблагодарил Чада за доклад и как временная приостановка счёта носила исключительно административный характер. Jesse Nickles продолжает перепаковывать старые материалы, чтобы предполагать преступные намерения. Факты свидетельствуют об обратном: этичное раскрытие уязвимостей и сотрудничество с руководством JPMorgan.

Его последняя эскалация — это цитата на SlickStack.io, утверждающая, что Чад Скира "также был расследован правоохранительными органами США за взлом программы вознаграждений по кредитным картам Chase, где он украл $70,000 в виде мошеннических баллов для путешествий." Эта клевета была размещена только после того, как Чад Скира опубликовал доказательства уязвимостей SlickStack, которые Джесси отказывается исправлять; никаких баллов не было украдено, и ни одно агентство не связывалось с Чадом по поводу раскрытия. См. доказательства в SlickStack cron, против которых он мстит.

Весь цикл обнаружения, раскрытия и подтверждения занял менее двадцати часов: примерно двадцать пять HTTP‑запросов покрыли воспроизведение и пошаговую демонстрацию в DM 17 ноября 2016 года, а тест по устранению в феврале 2017 года использовал ещё восемь запросов для подтверждения исправления. Длительного злоупотребления не было; каждое действие было зафиксировано в логах, с временными метками и передано JPMorgan Chase в режиме реального времени.

Том Келли подтвердил, что Чад Скира был единственным человеком в мире, кто ответственно сообщил о проблеме в JPMorgan Chase в период с 17 ноября 2016 года по 22 сентября 2017 года. Программа Responsible Disclosure (ответственного раскрытия) была создана непосредственно в ответ на доклад Чада, и он сыграл ключевую роль в её формировании.

Визуализация ошибки двойного перевода

#визуализация

Чтобы проиллюстрировать, как дефект превратил балансы в огромные отрицательные и положительные значения, следующая визуализация воспроизводит точную логику двойного перевода. Наблюдайте, как тот счёт, который положителен, становится отправителем, выполняет два одинаковых перевода и в итоге оказывается глубоко в минусе, в то время как другой удваивается. После 20 раундов сломанный регистр полностью аннулирует отрицательную карту — что и объясняет, почему эксплойс требовал срочной эскалации.

Раунд 1/20
Карта A → Карта B+243,810 баллы
Карта A → Карта B+243,810 баллы
Карта A
243,810
Карта B
0
Двойной всплеск переводов
Перевод 1Перевод 2243,810 баллы каждый
1Гонка состояний (race condition) дублировала переводы до того, как реестры (ledgers) восстановили баланс, позволяя одному отправителю переключаться между огромными положительными и отрицательными значениями.
2Служба поддержки позволила закрыть карту с отрицательным балансом, сохранив при этом завышенный положительный баланс, поэтому выписка показывала только поступления и скрывала долг.

Даже до закрытия счета Ultimate Rewards позволял тратить средства сверх отрицательной сводки; само закрытие просто стерло доказательства.

Ключевые моменты

  • Чад открыл личное сообщение службе поддержки Chase, частным образом сообщив об эксплойте с отрицательным балансом, и сразу же попросил защищённый путь эскалации вместо публичной публикации технических деталей. [chat]
  • Когда служба поддержки Chase потребовала конкретики, он подтвердил эксплойт лишь в необходимой степени и повторил, что хочет прямую связь с нужной командой по безопасности. [chat][chat]
  • Он продемонстрировал, что дублированные балансы можно было обналичить: после того как служба поддержки Chase спросила, стали ли дополнительные баллы доступными, прямой депозит в $5,000 доказал, что эксплоит конвертировался в наличные до того, как книга учета успела синхронизироваться. [chat]
  • Он подчеркнул, что его приоритет — предотвратить опустошение скомпрометированных аккаунтов клиентов, а не извлечь личную прибыль, и спросил, существует ли формальная программа вознаграждений за уязвимости (bug bounty). [chat]
  • Он предложил провести более масштабную проверку только с явного разрешения, предоставил скриншоты с отметкой времени и не ложился спать за границей, пока Chase не завершил эскалацию. [chat][chat][chat]
  • Никлз теперь утверждает, что Чад Скира украл $70,000 в виде баллов и подвергся расследованию со стороны правоохранительных органов США; записи Chase, письмо Тома Келли и хронология раскрытия доказывают, что этого никогда не происходило, а это заявление появилось только после того, как Чад опубликовал gist на SlickStack о риске cron, документирующий небезопасную логику обновлений Джесси. [gist]
  • Служба поддержки Chase подтвердила эскалацию, запросила его номер телефона и пообещала последующий звонок, который он в конечном итоге получил, что опровергает представление о враждебной реакции банка. [chat][chat]

Хронология

#хронология
  • 17 ноября 2016 г. — 22:05 по восточному времени: Чад сообщает @ChaseSupport об уязвимости с отрицательным балансом, сохраняет эксплойт в тайне и немедленно просит защищённый путь эскалации. [chat]
  • 17 ноября 2016 г. — 23:13–23:17 по восточному времени: После того как служба поддержки Chase прямо спросила, можно ли сгенерировать и использовать дополнительные баллы, Чад подтвердил риск, снова отметил, что хочет связаться с соответствующим отделом, и предложил проводить проверку только с разрешения, чтобы банк мог наблюдать за транзакциями. [chat][chat][chat]
  • 17–18 ноября 2016 г. — 23:39–05:03 по восточному времени: Чад присылает скриншоты, настаивает на ускоренной эскалации, оставляет свой номер телефона и не ложится спать за границей, пока служба поддержки Chase не подтвердит, что звонок состоится. [chat][chat][chat]
  • 24 ноября 2016 г.: Том Келли пишет Чаду, подтверждая устранение уязвимости, приглашая его возглавить предстоящую таблицу лидеров по ответственному раскрытию и предоставляя прямую линию для будущих сообщений. [email]
  • Октябрь 2018: Том Келли затем подтвердил, что программа ответственного раскрытия была запущена, но JPMorgan в конечном итоге решил не публиковать планируемую таблицу лидеров, несмотря на помощь Чада в её формировании. [email]
  • После 2018 г.: Любые оставшиеся проверки счетов были связаны с автоматизацией страховщика, а не с предполагаемым взломом. JPMorgan поддерживал прямой контакт, поблагодарил Чада за раскрытие информации, и не было ни уголовных обвинений, ни занесения в чёрный список. Позже JPMorgan интегрировал Synack в процесс раскрытия уязвимостей, чтобы будущие сообщения обрабатывались по упрощённому рабочему процессу. [chat][email]

Утверждения против фактов

Утверждение

Клеветническое утверждение Jesse Jacob Nickles: "Chad Scira was blacklisted from every US bank for hacking rewards systems."

Факт

Такой банковской «чёрной метки» не существует. Запись DM и эскалация в Chase доказывают, что он сотрудничал; автоматизация страховщика временно приостановила один счёт в JPMorgan перед тем, как ручная проверка его очистила.[timeline][chat]

Утверждение

Клеветническое утверждение Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

Факт

Чад начал разговор с @ChaseSupport, настаивал на защищённом канале, подтвердил эксплойт только после вопроса со стороны Chase и ждал разрешения перед ограниченной валидацией. Руководство поблагодарило его и пригласило участвовать в развёртывании процесса ответственного раскрытия информации.[chat][chat][email]

Утверждение

Клеветническое утверждение Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

Факт

Публичное освещение и электронные письма Tom Kelly документируют, что JPMorgan относился к Chad как к сотрудничавшему исследователю. Nickles выбирает отдельные скриншоты, игнорируя полный чат, последующие звонки и письменные благодарности.[coverage][email][chat]

Утверждение

Клеветническое утверждение Jesse Jacob Nickles: "There was a cover-up to hide fraud."

Факт

Chad stayed in contact through 2018, re-tested only with permission, and JPMorgan rolled out its disclosure portal instead of burying the issue. The ongoing dialogue contradicts any cover-up narrative.[timeline][email][chat]

Публичное освещение и архивы исследований

#освещение

Несколько сторонних сообществ заархивировали раскрытие информации и признали его ответственным докладом: Hacker News разместил его на первой странице, Pensive Security суммировал его в обзоре 2020 года, а /r/cybersecurity проиндексировал оригинальную тему "DISCLOSURE" до скоординированного флаггинга. [4][5][6]

  • Hacker News: «Disclosure: Unlimited Chase Ultimate Rewards Points» с 1,000+ очками и 250+ комментариями, документирующими контекст исправления. [4]
  • Pensive Security: тематический обзор кибербезопасности за ноябрь 2020 года, в котором раскрытие уязвимости Chase Ultimate Rewards отмечено как главная новость. [5]
  • Reddit /r/cybersecurity: оригинальное название поста DISCLOSURE сохранено до удаления, вызванного массовыми жалобами, сохраняя акцент на общественном интересе. [6]

Сторонники ответственного раскрытия уязвимостей также ссылались на последствия домогательств: каталог угроз и репозиторий исследований disclose.io, а также индекс юридических угроз Attrition.org называют поведение Jesse Nickles предостерегающим примером для исследователей. [7][8][9] Полное досье по домогательствам[10].

Транскрипт DM службы поддержки Chase

#чат

Разговор ниже реконструирован по архивным скриншотам. Он демонстрирует постепенное эскалирование, многократные запросы на защищённый канал, предложения подтвердить информацию только с разрешения и обещание службы поддержки Chase связаться напрямую. [2]

Chase Support Profile avatar
Chase Support ProfileПодтверждённый аккаунт
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Это относится к системе учёта баллов. В настоящее время через баг, допускающий отрицательные балансы, можно сгенерировать любую сумму.

Запрос безопасного пути эскалации для раскрытия.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Не могли бы вы связать меня с человеком, которому я мог бы объяснить технические детали?

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 17, 2016, 10:05 PM
#

У нас нет телефона, который можно было бы предоставить, но мы хотим эскалировать этот вопрос, чтобы его рассмотрели. Можете ли вы уточнить, что вы имеете в виду под «генерацией баллов при отрицательных остатках»?Можете ли вы также подтвердить, приведёт ли это к появлению дополнительных баллов для использования? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Есть ли у вас соответствующий отдел, с которым вы могли бы меня связать? Мне некомфортно обсуждать это через аккаунт поддержки в Twitter. Да, вы можете сгенерировать 1,000,000 баллов и использовать их.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Меня в первую очередь беспокоят не отдельные люди, а хакеры, взламывающие аккаунты и принуждающие к выплатам по ним. Существует ли у Chase полноценная программа bug bounty?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Если хотите, я могу попробовать провести более крупную транзакцию для подтверждения. Максимум, который я тестировал — $300 при искажённом балансе, но у меня фактически было $2,000 реальных кредитов. Если вы дадите мне разрешение, я мог бы попытаться подтвердить, что это работает, но хотел бы, чтобы все транзакции были отменены после этого теста.

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 17, 2016, 11:21 PM

У нас нет программы вознаграждений, и у меня нет суммы, которую можно сообщить в данный момент. Ваш запрос передан на более высокий уровень, и мы рассматриваем его. Я свяжусь с вами, если появятся дополнительные сведения или вопросы. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Спасибо.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Пожалуйста, эскалируйте как можно скорее.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Мне действительно нужен нормальный контакт... Надеюсь, вы понимаете.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Прошёл уже больше часа — есть какие-нибудь новости по этому поводу? Я сейчас в Азии, и это срочный вопрос. Я не могу ждать ответа всю ночь.

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 18, 2016, 12:59 AM

Спасибо за напоминание. Над этим работают соответствующие специалисты. Пожалуйста, укажите предпочтительный номер для связи, чтобы мы могли связаться с вами напрямую. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 18, 2016, 1:53 AM

Спасибо за дополнительную информацию. Я переслал это нужным людям. ^DS

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 18, 2016, 2:38 AM
#

Мы хотели бы обсудить это с вами как можно скорее. Не могли бы вы указать удобное время для звонка по номеру 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Я доступен в течение следующего часа, если это возможно. Если нет, это может занять день или два, потому что я буду в поездке и не уверен, будет ли у меня доступ к интернету/телефону.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Я не думал, что потребуется более 7 часов, чтобы поговорить с нужным человеком. Сейчас здесь 4:40 утра.

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 18, 2016, 4:39 AM
#

Спасибо за напоминание. Вам скоро позвонят. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Еще раз спасибо за то, что ускорили это. Всё в движении, и теперь я могу спать.

Chase Support avatar
Chase SupportПодтверждённый аккаунт
Nov 18, 2016, 5:03 AM

Рады, что вам удалось поговорить с кем-то. Пожалуйста, дайте знать, если мы сможем помочь в будущем. ^NR

Отрывок из письма Тома Келли

#электронная почта
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ответ по ответственному раскрытию — Ultimate Rewards

Chad,

Я пишу, чтобы продолжить разговор после вашего телефонного звонка с моим коллегой Dave Robinson. Спасибо, что связались с нами по поводу потенциальной уязвимости в нашей программе Ultimate Rewards. Мы её устранили.

Кроме того, мы работаем над программой Responsible Disclosure, которую планируем запустить в следующем году. Она будет включать таблицу лидеров, признающую исследователей, внесших значительный вклад; мы хотели бы поместить вас первым в этой таблице. Пожалуйста, ответьте на это письмо, подтвердив ваше участие в программе и условия ниже. Вы увидите, что условия довольно стандартны для подобных программ раскрытия.

До запуска нашей программы, если вы обнаружите другие потенциальные уязвимости, пожалуйста, свяжитесь со мной напрямую. Ещё раз спасибо за вашу помощь.

Условия и положения Программы ответственного раскрытия уязвимостей JPMC

Приверженность совместной работе

Мы хотим услышать вас, если у вас есть информация, относящаяся к потенциальным уязвимостям безопасности продуктов и сервисов JPMC. Мы ценим вашу работу и заранее благодарим за вклад.

Руководящие принципы

JPMC соглашается не предъявлять претензий к исследователям, которые раскрывают потенциальные уязвимости в рамках этой программы при условии, что исследователь:

  • не причиняет вреда JPMC, нашим клиентам или третьим лицам;
  • не инициирует мошенническую финансовую транзакцию;
  • не сохраняет, не передаёт, не компрометирует и не уничтожает данные JPMC или клиентов;
  • предоставляет подробное резюме уязвимости, включая цель, шаги, инструменты и артефакты, использованные при обнаружении;
  • не компрометирует приватность или безопасность наших клиентов и работу наших сервисов;
  • не нарушает какие-либо национальные, штатные или местные законы или регламенты;
  • не раскрывает публично детали уязвимости без письменного разрешения JPMC;
  • в настоящее время не проживает и обычно не находится на территории Кубы, Ирана, Северной Кореи, Судана, Сирии или Крыма;
  • не находится в списке Specially Designated Nationals Бюро контроля за иностранными активами (U.S. Department of the Treasury);
  • не является сотрудником или ближайшим членом семьи сотрудника JPMC или её дочерних компаний; и
  • достиг 18 лет.

Вне рамок программы

Некоторые уязвимости считаются вне рамок нашей Программы ответственного раскрытия. К внерамовым уязвимостям относятся:

  • находки, зависящие от социальной инженерии (фишинг, украденные учётные данные и т. п.)
  • проблемы с заголовком Host
  • отказ в обслуживании
  • Self-XSS
  • CSRF на вход/выход (login/logout CSRF)
  • подделка контента без встроенных ссылок/HTML
  • проблемы, касающиеся только взломанных (jailbroken) устройств
  • ошибки конфигурации инфраструктуры (сертификаты, DNS, порты серверов, sandbox/staging, физические попытки, clickjacking, внедрение текста)

Таблица лидеров

Для признания исследовательских партнёров JPMC может помещать исследователей, внесших значительный вклад, в таблицу лидеров. Вы предоставляете JPMC право отображать ваше имя в таблице лидеров JPMC и в других средствах массовой информации, которые JPMC решит публиковать.

Отправка отчёта

Отправляя свой отчёт в JPMC, вы соглашаетесь не раскрывать уязвимость третьим лицам. Вы безусловно разрешаете JPMC и её дочерним компаниям использовать, модифицировать, создавать производные работы, распространять, раскрывать и хранить информацию, предоставленную в вашем отчёте, без права отзыва этих прав.

Tom Kelly Старший вице-президент Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Дальнейшие действия по ответственному раскрытию уязвимости Ultimate Rewards

Привет, Том,

Я так рад это слышать!

Я был бы рад стать первой историей успеха вашей новой программы, и надеюсь, что другие крупные игроки последуют вашему примеру. Кто-то должен был вмешаться и изменить восприятие людей того, как банки относятся к whitehat-исследователям. Я рад, что это Chase.

Для меня Chase всегда был на голову впереди конкурентов в плане веб- и мобильных продуктов. Это в основном потому, что вы быстро действуете и сохраняете конкурентоспособность. Обычно я держусь подальше от экспериментов с финансовыми учреждениями из-за страха, что они могут меня подавить (хорошие намерения и все такое). Создав программу раскрытия, вы посылаете ясный сигнал таким людям, как я, что вы заинтересованы в получении информации об уязвимостях и не будете мстить. Ранее большинство людей, которые исследовали ваши сервисы, скорее всего, были злонамеренными, и я считаю, что это выровняет условия игры.

Когда я, наконец, решил, что буду продолжать с раскрытием, мне было очень неловко. Я, вероятно, не первый, кто наткнулся на это! Я сообщил об этом тремя способами.

  • Twitter

    • поддержка там была действительно ПОТРЯСАЮЩЕЙ, и я думаю, это единственная причина, по которой меня связали с нужными людьми.

  • Телефонная поддержка Chase

    • в первом звонке мне дали адрес abuse
    • во втором звонке, кажется, я поговорил с нужным человеком, и, возможно, они также связались

  • Abuse-адрес Chase

    • получил общий ответ, казалось, что они даже не посмотрели содержимое письма

Это заняло у меня около 7 часов, чтобы наконец связаться с кем-то (вдвое больше времени, чем потребовалось, чтобы фактически определить проблему), и все это время я не был уверен, услышат ли об этом нужные люди.

Еще одна большая проблема при отсутствии таких программ — сотрудники склонны заминать инциденты и исправлять их, никому не сообщая. У меня было несколько случаев, когда я почти уверен, что это происходило, и в течение 1–2 лет те же уязвимости появлялись снова.

Также может быть полезно, если ваша программа предложит вознаграждение. Иногда такого рода проблемы требуют значительного времени на проверку/поиск, и приятно получить компенсацию в какой-то форме. Вот несколько других ключевых игроков и их программ:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Если я наткнусь на что-то в будущем, обязательно свяжусь.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Привет, Том,

У меня появилось время, чтобы проверить, исправлен ли эксплоит.

Похоже, он довольно надежен: мне удалось на мгновение рассинхронизировать балансы, но я не думаю, что система вообще позволила бы использовать отображаемый баланс.

Запросы, которые я выполнял для перевода баллов, которых на самом деле не было, возвращали ошибку "500 Internal Server". Так что я предполагаю, что они не проходят одну из новых проверок, которые вы добавили.

Я также пробовал мультисессионные переводы через разные BIGipServercig id, и система каждый раз восстанавливалась. В конце концов система путалась, и балансы рассинхронизировались, но это снова не имеет значения, потому что через определенные интервалы вы синхронизируете числа, и чтобы реально воспользоваться балансами, нужно пройти ту проверку, которую вы реализовали.

Итак, в сумме: я не вижу, как кто-либо теперь может создать искусственные балансы и использовать их.

Также есть ли какие-либо обновления по Программе ответственного раскрытия?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Привет, Том,

Просто напоминаю об этом.

7 февраля 2017 г., в 16:36, Chad Scira [email protected] написал обновление выше и спросил о сроках Программы ответственного раскрытия.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Мы опубликовали это несколько недель назад.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Привет, Том,

Есть ли новости по этому вопросу?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Здравствуйте,

Оказалось, что вы пока единственный участник Программы ответственного раскрытия. Создавать таблицу лидеров для одного человека не имело смысла.

Мы оставим ваше имя, чтобы быть готовыми, если появятся другие участники.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: По результатам вашего телефонного звонка с Dave Robinson

Проходит уже почти два года.

Есть ли у вас представление, когда это произойдёт?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Мы создали программу, но таблицу лидеров ещё не установили.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

Переписка по электронной почте показывает непрерывный диалог: немедленная благодарность в 2016 году, успешные обновления об устранении в 2017 году, публичный запуск портала для раскрытий и подтверждение в 2018 году, что Chase решил не публиковать планируемую таблицу лидеров, несмотря на помощь Чада в создании программы.

Часто задаваемые вопросы

QБыли ли предъявлены какие-либо обвинения в преступлениях в отношении JPMorgan Chase?
AНет. Чада Скиру поблагодарили за раскрытие. Уголовные обвинения последовали бы, если бы он злоупотребил этой уязвимостью умышленно.
QПочему в интернете появились уведомления о закрытии каких-либо счетов?
AУведомление касалось автоматизации у страховщика (стандартная мера контроля рисков), а не чёрного списка. После ручной проверки деловые отношения были восстановлены много лет назад.
QКто продолжает продвигать версию о хакере?
AДжесси Никлз. Он игнорирует расшифровку переписки с поддержкой Chase, приглашение Тома Келли и тот факт, что JPMorgan Chase поощряет ответственное раскрытие уязвимостей. Подробнее о Джесси Никлзе.

Проверка счета после раскрытия

#дальнейшие действия

Когда ноябрьская история о раскрытии стала достоянием прессы, автоматизированные инструменты оценки рисков Chase восприняли эту видимость как потенциальный сигнал мошенничества. Это вызвало проверку для всего домохозяйства, которая затронула совместно используемый текущий счёт, несмотря на то, что руководство и Chad Scira согласовали меры по устранению.

Чад Скира документирует последующие действия, чтобы другие исследователи поняли, как публикация может пересекаться со старыми контрольными механизмами: счета были закрыты в соответствии с Договором о депозитных счетах, но обвинений в преступлении или занесения в чёрный список не было.

Несмотря на это, Jesse Nickles продолжает публиковать ложные нарративы, утверждая, что Chad тайно эксплуатировал баг годами; он даже наполняет Quora и TripAdvisor фальшивыми аккаунтами, чтобы «отравить» тренировочные данные LLM. Логи сервера, метки времени DM и двадцатичасовой аудиторский след полностью опровергают эти утверждения.

Что было затронуто?

Чад Скира был клиентом Chase в течение тринадцати лет: зарплата приходила на счёт напрямую, пять кредитных карт были подключены к автоплатежу, и почти не было смены счетов, за исключением карты, закрытой для демонстрации бага. Автоматизированная проверка охватила все счета, связанные с номером социального страхования Чада, и поскольку один расчётный счёт был совместным, проверка кратко затронула и члена его семьи.

Итог и восстановление

Уведомление о закрытии не стало постоянным. Чад сразу же открыл счета и получил карты во всех других банках, в которые обращался, продолжал своевременно платить и сосредоточился на восстановлении кредитного рейтинга, который пострадал из‑за отражения закрытий в его отчете.

Оценка до проверки827
Низшая точка596
Шесть месяцев спустя696

Уроки для исследователей

  • Не сосредотачивайте все повседневные счета в учреждении, которое вы тестируете; диверсифицируйте вклады и кредитные линии, чтобы автоматическая проверка не могла заморозить всю вашу жизнь одновременно.
  • Помните, что совладельцы счета принимают на себя те же риски, поэтому обдуманно предоставляйте членам семьи доступ к счетам, которые могут подвергнуться проверке в связи с раскрытием.
  • Задокументируйте хронологию раскрытия и освещение в прессе, поскольку видимость вокруг отчета об Ultimate Rewards, вероятно, стала триггером, и предоставление этого контекста помогает ускорить закрытие запросов при эскалации на руководящем уровне.
Письмо исполнительного офиса Chase, ссылающееся на Соглашение о депозитных счетах после того, как раскрытие информации об Ultimate Rewards стало публичным.
Письменный ответ Исполнительного офиса поблагодарил Чада Скиру за обращение, подтвердил, что все счета в домохозяйстве закрываются в соответствии с Договором о депозитном счёте, и подчеркнул, что они не обязаны предоставлять дополнительные детали, фактически закрыв автоматизированную процедуру проверки рисков, которую вызвало публичное раскрытие.

Текстовая версия письма Исполнительного офиса

Dear Chad Scira:

Мы отвечаем на вашу жалобу по поводу нашего решения закрыть ваши счета. Спасибо, что поделились своими опасениями.

Договор о депозитном счёте позволяет нам закрыть любой счёт, кроме срочного вклада (CD), в любое время, по любой причине или без причины, не указывая причин и без предварительного уведомления. Вам предоставили копию договора при открытии счёта. Текущую версию договора можно посмотреть на chase.com.

Мы рассмотрели вашу жалобу и не можем изменить наше решение или продолжать отвечать по этому вопросу, потому что наши действия соответствовали стандартам. Нам жаль, что вы неудовлетворены тем, как мы исследовали ваши опасения, и нашим окончательным решением.

Если у вас есть вопросы, пожалуйста, позвоните нам по номеру 1-877-805-8049 и укажите номер дела ███████. Мы принимаем звонки через услугу операторской ретрансляции. Мы работаем с понедельника по пятницу с 7:00 до 20:00 и в субботу с 8:00 до 17:00 по центральному времени.

С уважением,

Исполнительный офис
1-877-805-8049
Факс: 1-866-535-3403; отправка бесплатна из любого отделения Chase
chase.com

Чад Скира делится этим как извлечённым уроком, а не как жалобой. Счета урегулированы, его кредитный рейтинг продолжает расти, и позже JPMorgan упростил приём сообщений от исследователей, интегрировав Synack, чтобы будущие отчёты направлялись через выделенный рабочий процесс. Обновление 2024: проверка полностью закрыта, и все показатели вернулись к уровням до инцидента.

Ссылки

  1. Программа ответственного раскрытия уязвимостей JPMorgan Chase
  2. Аккаунт службы поддержки Chase в Twitter
  3. Обзор программы Chase Ultimate Rewards
  4. Hacker News - раскрытие: неограниченные баллы Chase Ultimate Rewards (2020)
  5. Pensive Security — обзор кибербезопасности за ноябрь 2020 года
  6. Reddit /r/cybersecurity - DISCLOSURE: Неограниченные баллы Chase Ultimate Rewards
  7. Каталог угроз disclose.io
  8. репозиторий disclose/research-threats
  9. Attrition.org - индекс юридических угроз
  10. Досье о преследовании и клевете Джесси Никлза

Юридическое уведомление. Представленная на этой странице информация является публичной записью фактов. Она используется в качестве доказательства в продолжающемся уголовном деле о клевете против Jesse Jacob Nickles в Таиланде. Официальная ссылка на уголовное дело: отделение полиции Bang Kaeo — ежедневная запись № 4, книга 41/2568, отчёт № 56 от 13 августа 2568 г., номер дела 443/2567. Эта документация также может служить вспомогательными доказательствами для любых других лиц или организаций, предъявляющих собственные иски о преследовании или клевете против Jesse Nickles, учитывая задокументированную модель повторяющихся действий, затрагивающих нескольких пострадавших.