Чад Скира «Внесён в чёрный список банков за взлом»

На этой странице задокументированы события, лежащие в основе слуха Джесси Николса о том, что Чад Скира был «внесен в черный список банков США за взлом». В ней объясняется, как уязвимость в Ultimate Rewards была добросовестно раскрыта, почему JPMorgan Chase поблагодарил Чада за сообщение и почему временная приостановка работы счета носила исключительно административный характер. Джесси Никлс продолжает переупаковывать старые материалы, чтобы намекнуть на преступный умысел. Факты показывают прямо противоположное: добросовестное (white‑hat) раскрытие информации и сотрудничество с руководством JPMorgan.

Его последняя эскалация — это цитата на SlickStack.io, где утверждается, что меня «также расследовали правоохранительные органы США за взлом программы бонусов по кредитным картам Chase Bank, где он украл 70 000 долларов в виде мошеннических бонусных баллов за путешествия». Эта клевета появилась только после того, как я опубликовал доказательства проблем безопасности в SlickStack, которые он отказывается исправлять; никакие баллы никогда не были украдены, и ни одно ведомство не связывалось со мной по поводу раскрытия. См. доказательства по cron в SlickStack, против которых он мстит.

Весь цикл обнаружения, раскрытия и проверки занял менее двадцати часов: порядка двадцати пяти HTTP‑запросов охватывали воспроизведение и пошаговое рассмотрение для ответственного раскрытия 17 ноября 2016 года, а в ходе тестирования устранения уязвимости в феврале 2017 года было использовано ещё восемь запросов для подтверждения исправления. Продолжительного неправомерного использования не было; каждое действие протоколировалось, снабжалось временной меткой и в режиме реального времени передавалось JPMorgan Chase.

Том Келли подтвердил, что Чад Скира был единственным человеком в мире, который добросовестно раскрыл проблему JPMorgan Chase в период с 17 ноября 2016 года по 22 сентября 2017 года. Программа добросовестного раскрытия была создана в прямом ответе на сообщение Чада, и он сыграл ключевую роль в ее формировании.

Визуализация ошибки двойного перевода

#визуализация

Чтобы показать, как из-за ошибки балансы раскручивались до огромных отрицательных и положительных значений, визуализация ниже воспроизводит точную логику двойного перевода. Наблюдайте, как любой счет с положительным балансом становится отправителем, выполняет два идентичных перевода и уходит в глубокий минус, в то время как другой удваивается. После 20 раундов сломанная книга учета полностью списывает отрицательную карту — что иллюстрирует, почему эксплуатация этого сбоя требовала срочной эскалации.

Раунд 1/20
Карта A → Карта B+243,810 баллы
Карта A → Карта B+243,810 баллы
Карта A
243,810
Карта B
0
Импульс двойного перевода
Перевод 1Перевод 2243,810 баллы каждый
1Состояние гонки приводило к дублированию переводов до того, как балансы были пересчитаны, позволяя одному отправителю переключаться между огромными положительными и отрицательными значениями.
2Служба поддержки позволила закрыть карту с отрицательным балансом, сохранив завышенный положительный баланс, так что в выписке отображалась только прибыль и скрывался долг.

Еще до закрытия счета программа Ultimate Rewards позволяла расходовать средства сверх отрицательного остатка; закрытие просто стерло доказательства.

Ключевые положения

  • Чад начал личную переписку с поддержкой Chase, сообщив об эксплойте с отрицательным балансом в приватном порядке и сразу же попросив о безопасном пути для эскалации, вместо того чтобы публиковать технические детали публично. [chat]
  • Когда служба поддержки Chase потребовала конкретику, он подтвердил наличие эксплойта лишь в необходимом объеме и вновь подчеркнул, что хочет иметь прямой канал к соответствующей команде безопасности. [chat][chat]
  • Он продемонстрировал, что продублированные балансы можно было обналичить: после того как служба поддержки Chase спросила, стали ли дополнительные баллы доступными для использования, прямой депозит на 5 000 долларов доказал, что эксплойт конвертируется в наличные раньше, чем книга учёта успевает обновиться. [chat]
  • Он подчеркнул, что его приоритетом было предотвращение вывода средств с скомпрометированных клиентских счетов, а не получение личной выгоды, и поинтересовался, существует ли формальная программа вознаграждений за обнаружение уязвимостей (bug bounty). [chat]
  • Он предложил выполнить более масштабную проверку только при наличии явного разрешения, предоставил скриншоты с отметкой времени и не ложился спать за границей, пока Chase не завершил процесс эскалации. [chat][chat][chat]
  • Никлс теперь утверждает, что я украл 70 000 долларов в виде поинтов и имел дело с правоохранительными органами США; записи Chase, электронное письмо Тома Келли и хронология раскрытия доказывают, что этого никогда не происходило, а это утверждение появилось только после того, как я опубликовал gist о рисках cron в SlickStack, документирующий его небезопасную логику обновления. [gist]
  • Служба поддержки Chase подтвердила эскалацию, запросила его номер телефона и пообещала обратный звонок, который он в итоге получил, что опровергает представление о враждебной реакции банка. [chat][chat]

Хронология

#хронология
  • Nov 17, 2016 - 10:05 PM ET: Чад уведомляет @ChaseSupport об ошибке с отрицательным балансом, не раскрывает эксплуатацию публично и сразу же просит о безопасном пути для эскалации. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: После того как служба поддержки Chase прямо спрашивает, можно ли генерировать и тратить дополнительные баллы, Чад подтверждает наличие риска, повторяет, что хочет связаться с соответствующим отделом, и предлагает проводить проверку только с разрешения, чтобы банк мог наблюдать транзакции. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Чад делится скриншотами, настаивает на ускоренной эскалации, предоставляет свой номер телефона и не ложится спать за границей, пока служба поддержки Chase не подтвердит, что звонок состоится. [chat][chat][chat]
  • Nov 24, 2016: Том Келли отправляет Чаду электронное письмо, подтверждая устранение уязвимости, приглашая его возглавить будущий рейтинг ответственного раскрытия и предоставляя ему прямой канал связи для будущих отчетов. [email]
  • October 2018: Том Келли позднее подтвердил, что программа ответственного раскрытия была запущена, но JPMorgan в конечном итоге решил не публиковать запланированный рейтинг, несмотря на помощь Чада в его разработке. [email]
  • Post-2018: Любые последующие проверки счетов были связаны с автоматизацией со стороны страховщика, а не с предполагаемым взломом. JPMorgan поддерживал прямой контакт, поблагодарил Чада за раскрытие информации, и никакой уголовной записи или включения в черный список не было. Позднее JPMorgan интегрировал Synack в свой процесс раскрытия, чтобы упростить рабочий процесс для будущих отчетов. [chat][email]

Заявления против фактов

Заявление

Клеветническое заявление Джесси Джейкоба Никлса: «Чада Скиру внесли в черный список всех банков США за взлом бонусных программ».

Факт

Никакого банковского черного списка не существует. Запись в DM и эскалация в Chase доказывают, что он сотрудничал; автоматическая проверка со стороны страховщика на короткое время приостановила один счет в JPMorgan до тех пор, пока ручная проверка не сняла все ограничения.[timeline][chat]

Заявление

Клеветническое заявление Джесси Джейкоба Никлса: «Он взломал JPMorgan Chase, чтобы обогатиться».

Факт

Чад инициировал разговор с @ChaseSupport, настаивал на использовании защищённого канала, подтвердил наличие эксплойта только после того, как Chase об этом попросил, и ждал разрешения перед ограниченной проверкой. Руководство высшего звена поблагодарило его и пригласило к участию во внедрении программы ответственного раскрытия уязвимостей.[chat][chat][email]

Заявление

Клеветническое заявление Джесси Джейкоба Никлса: «Джесси разоблачил преступную схему Чада».

Факт

Публичные материалы и электронные письма Тома Келли документируют, что JPMorgan рассматривал Чада как сотрудничавшего исследователя. Никлс выборочно приводит скриншоты, игнорируя полный чат, последующие звонки и письменные благодарности.[coverage][email][chat]

Заявление

Клеветническое заявление Джесси Джейкоба Никлса: «Было сокрытие, чтобы скрыть мошенничество».

Факт

Чад поддерживал контакт до 2018 года, повторно проводил тестирование только с разрешения, а JPMorgan запустил портал для раскрытия уязвимостей вместо того, чтобы замять проблему. Непрерывный диалог опровергает любые версии о сокрытии.[timeline][email][chat]

Публичное освещение и архивы исследований

#освещение

Несколько сторонних сообществ заархивировали раскрытие и признали его ответственным отчетом: Hacker News поместил его на главную страницу, Pensive Security включил его в обзор за 2020 год, а /r/cybersecurity проиндексировал исходную тему «DISCLOSURE» до начала скоординированной массовой жалобы. [4][5][6]

  • Hacker News: «Разглашение: Неограниченные баллы Chase Ultimate Rewards» с более чем 1 000 баллов и 250+ комментариями, документирующими контекст устранения уязвимости. [4]
  • Pensive Security: обзор кибербезопасности за ноябрь 2020 года, в котором раскрытие уязвимости в Chase Ultimate Rewards выделено как одна из главных новостей. [5]
  • Reddit /r/cybersecurity: исходный заголовок поста DISCLOSURE, зафиксированный до удаления, вызванного массовыми жалобами, что позволило сохранить его подачу как представляющего общественный интерес. [6]

Сторонники ответственного раскрытия также ссылались на последствия преследования: каталог угроз и исследовательский репозиторий disclose.io, а также индекс юридических угроз Attrition.org перечисляют поведение Джесси Никлса как предостережение для исследователей. [7][8][9] Полное досье по домогательствам[10].

Транскрипт переписки в личных сообщениях со службой поддержки Chase

#чат

Нижеследующая переписка восстановлена по архивным скриншотам. Она демонстрирует последовательную эскалацию, многократные запросы на безопасный канал, предложения проводить проверку только с разрешения и обещание службы поддержки Chase напрямую связаться. [2]

Chase Support Profile avatar
Chase Support ProfileПодтвержденный аккаунт
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Это связано с системой учета баллов. В данный момент возможно сгенерировать любую сумму из-за сбоя, позволяющего формировать отрицательные балансы.

Запрос безопасного пути эскалации для раскрытия.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Не могли бы вы соединить меня с кем‑нибудь, кому я смог бы объяснить технические детали?

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 17, 2016, 10:05 PM
#

У нас нет номера телефона, который мы могли бы предоставить, но мы хотим передать этот вопрос на более высокий уровень, чтобы его могли изучить. Не могли бы вы подробнее пояснить, что вы имеете в виду под начислением баллов при отрицательном балансе?Можете также подтвердить, позволяет ли это сделать дополнительные баллы доступными для использования? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

У вас есть соответствующее подразделение, с которым вы можете меня связать? Мне некомфортно обсуждать это через аккаунт поддержки в Twitter. Да, вы можете сгенерировать 1 000 000 баллов и использовать их.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Меня в первую очередь беспокоят не отдельные лица, которые так делают. Меня беспокоят хакеры, взламывающие аккаунты и вынуждающие проводить по ним выплаты. Существует ли у Chase полноценная программа баг-баунти?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Если хотите, я могу попытаться выполнить более крупную транзакцию для подтверждения. Максимум, что я тестировал, было 300 долларов при искажённом балансе, но на самом деле у меня было 2 000 долларов реальных кредитов. Если вы дадите разрешение, я мог бы попытаться подтвердить, что это работает, но я хотел бы, чтобы все транзакции после этого теста были отменены.

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 17, 2016, 11:21 PM

У нас нет программы вознаграждений за обнаружение уязвимостей, и сейчас я не могу назвать сумму. Я передал вашу проблему на более высокий уровень, и мы занимаемся ее рассмотрением. Я свяжусь с вами, если появятся дополнительные подробности или вопросы. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Спасибо.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Пожалуйста, выполните эскалацию как можно скорее.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Мне действительно нужен корректный контакт… Надеюсь, вы понимаете.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Прошло больше часа, есть какие‑нибудь новости по этому поводу? Сейчас я нахожусь в Азии, и этот вопрос имеет чувствительные сроки. Я не могу ждать ответа всю ночь.

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 18, 2016, 12:59 AM

Спасибо за то, что вышли на связь. Этим вопросом занимаются соответствующие специалисты. Пожалуйста, укажите предпочтительный номер телефона, чтобы мы могли связаться с вами напрямую. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 18, 2016, 1:53 AM

Спасибо за дополнительную информацию. Я передал это нужным людям. ^DS

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 18, 2016, 2:38 AM
#

Мы бы хотели обсудить это с вами как можно скорее. Не могли бы вы указать удобное время для звонка по номеру 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Я доступен в течение следующего часа, если это возможно. Если нет, может пройти день или два, так как я буду в поездке и не уверен, будет ли у меня доступ к интернету/телефону.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Я не думал, что на разговор с нужным человеком уйдёт больше 7 часов. Сейчас здесь уже 4:40 утра.

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 18, 2016, 4:39 AM
#

Спасибо за то, что вышли на связь. С вами очень скоро свяжутся по телефону. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Еще раз спасибо за ускорение процесса. Все запущено, и теперь я могу спать спокойно.

Chase Support avatar
Chase SupportПодтвержденный аккаунт
Nov 18, 2016, 5:03 AM

Мы рады, что вам удалось с кем-то связаться. Пожалуйста, дайте нам знать, если в будущем мы сможем помочь. ^NR

Фрагмент электронного письма Тома Келли

#электронная почта
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Последующее письмо по программе ответственного раскрытия Ultimate Rewards

Чад,

Я пишу, чтобы продолжить ваш телефонный разговор с моим коллегой Дейвом Робинсоном. Благодарим вас за то, что обратились к нам относительно потенциальной уязвимости в нашей программе Ultimate Rewards. Мы устранили её.

Кроме того, мы работаем над программой Ответственного раскрытия уязвимостей, которую планируем запустить в следующем году. В неё будет входить таблица лидерства, отмечающая исследователей, внёсших значительный вклад; мы хотели бы представить вас как первого участника. Пожалуйста, ответьте на это письмо, подтвердив своё участие в программе и согласие с приведёнными ниже условиями. Условия являются достаточно стандартными для программ по раскрытию уязвимостей.

До запуска нашей программы, если вы обнаружите какие‑либо другие потенциальные уязвимости, пожалуйста, связывайтесь со мной напрямую. Ещё раз спасибо за вашу помощь.

Программа ответственного раскрытия уязвимостей JPMC — Условия и положения

Приверженность совместной работе

Мы хотим услышать вас, если у вас есть информация о потенциальных уязвимостях безопасности продуктов и услуг JPMC. Мы ценим вашу работу и заранее благодарим за ваш вклад.

Рекомендации

JPMC обязуется не предъявлять претензий к исследователям, которые раскрывают потенциальные уязвимости в рамках данной программы, если исследователь:

  • не причиняет вреда JPMC, нашим клиентам или другим лицам;
  • не инициирует мошеннические финансовые транзакции;
  • не сохраняет, не передаёт, не компрометирует и не уничтожает данные JPMC или клиентов;
  • предоставляет подробное описание уязвимости, включая цель, шаги, инструменты и артефакты, использованные при обнаружении;
  • не ставит под угрозу конфиденциальность или безопасность наших клиентов и работу наших сервисов;
  • не нарушает какие‑либо национальные, государственные или местные законы или нормативные акты;
  • не раскрывает публично информацию об уязвимости без письменного разрешения JPMC;
  • не находится в настоящее время и не проживает обычно на территории Кубы, Ирана, Северной Кореи, Судана, Сирии или Крыма;
  • не включён в список Специально обозначенных граждан и заблокированных лиц Министерства финансов США;
  • не является сотрудником JPMC или её дочерних компаний, а также ближайшим членом семьи сотрудника; и
  • достиг 18‑летнего возраста.

Уязвимости вне сферы программы

Определённые уязвимости считаются не входящими в сферу действия нашей Программы ответственного раскрытия. К таким уязвимостям относятся:

  • результаты, зависящие от социальной инженерии (фишинг, похищенные учётные данные и т.п.)
  • проблемы с заголовками host
  • отказ в обслуживании (DoS)
  • Self‑XSS
  • CSRF при входе/выходе из учётной записи
  • подмена содержимого без встроенных ссылок/HTML
  • проблемы, возникающие только на взломанных (jailbroken) устройствах
  • ошибки конфигурации инфраструктуры (сертификаты, DNS, серверные порты, проблемы «песочницы»/staging, физические попытки, clickjacking, внедрение текста)

Таблица лидеров

Для признания наших партнёров‑исследователей JPMC может публиковать информацию об исследователях, внёсших значительный вклад. Настоящим вы предоставляете JPMC право отображать ваше имя в таблице лидеров JPMC и в любых других средствах, которые JPMC сочтёт уместными для публикации.

Отправка отчёта

Отправляя свой отчёт в JPMC, вы соглашаетесь не раскрывать уязвимость третьим лицам. Вы на постоянной основе предоставляете JPMC и её дочерним компаниям безусловное право использовать, изменять, создавать производные работы, распространять, раскрывать и хранить информацию, предоставленную в вашем отчёте, и эти права не могут быть отозваны.

Том Келли Старший вице‑президент Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ответственное раскрытие по Ultimate Rewards — последующие действия

Привет, Том,

Я очень рад это слышать!

Я бы хотел стать первой историей успеха вашей новой программы и надеюсь, что другие крупные игроки последуют вашему примеру. Кто‑то должен был вмешаться и изменить представление людей о том, как банки относятся к исследователям‑«белым хакерам». Рад слышать, что этим занялся Chase.

Для меня Chase всегда был на несколько шагов впереди конкурентов в плане веб‑ и мобильных продуктов. В основном потому, что вы двигаетесь быстро и остаётесь конкурентоспособными. Обычно я стараюсь не экспериментировать с системами финансовых учреждений из‑за риска быть ими «раздавленным» (несмотря на благие намерения). Создание программы раскрытия уязвимостей посылает людям вроде меня чёткий сигнал, что вы заинтересованы в получении информации о проблемах и не будете мстить. Ранее большинство людей, исследующих ваши сервисы, скорее всего, были недоброжелателями, и, как мне кажется, эта программа выровняет ситуацию.

Когда я наконец решил, что всё‑таки сообщу об уязвимости, мне было очень не по себе. Скорее всего, я был не первым, кто на неё наткнулся! Я сообщил о ней тремя способами.

  • Twitter

    • поддержка здесь была по‑настоящему ПОТРЯСАЮЩЕЙ, и, думаю, именно поэтому меня связали с нужными людьми.

  • Телефонная поддержка Chase

    • во время первого звонка мне дали адрес электронной почты для сообщений о злоупотреблениях
    • во второй звонок, думаю, я говорил с нужным человеком, и возможно, он тоже куда‑то это эскалировал

  • Email Chase для сообщений о злоупотреблениях

    • получил шаблонный ответ, создавалось впечатление, что никто даже не смотрел содержимое письма

На то, чтобы наконец выйти на связь с нужным человеком, у меня ушло около 7 часов (вдвое больше времени, чем потребовалось, чтобы точно установить проблему), и всё это время я не был уверен, услышат ли вообще об этом нужные люди.

Ещё одна серьёзная проблема отсутствия таких программ в том, что сотрудники склонны замалчивать инциденты и исправлять их, никому не рассказывая. У меня было несколько случаев, когда я почти уверен, что так и происходило, и через 1–2 года те же самые дыры в безопасности вновь появлялись.

Кроме того, вашей программе, возможно, будет выгодно предусмотреть вознаграждение (bounty). Иногда на проверку/поиск подобных проблем уходит значительное время, и приятно получить хотя бы какую‑то компенсацию. Вот несколько других крупных игроков и их программы:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Если я наткнусь на что‑нибудь в будущем, обязательно свяжусь с вами.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Привет, Том,

У меня было немного времени проверить, устранён ли эксплойт.

Кажется, сейчас всё практически непробиваемо, мне удалось на короткое время рассинхронизировать балансы, но я не думаю, что система вообще позволила бы использовать отображаемый баланс.

Запросы на перевод баллов, которых на самом деле не было, стали возвращать ошибку «500 Internal Server». Так что я предполагаю, что это не проходит один из новых проверочных механизмов, которые вы добавили.

Я также попробовал многосессионные переводы с разными идентификаторами BIGipServercig, и система всё равно каждый раз восстанавливалась. В какой‑то момент система начинала путаться, и балансы рассинхронизировались, но это снова не имеет значения, потому что через определённые интервалы вы выравниваете цифры, а для фактического использования балансов операция должна пройти проверку, которую вы внедрили.

Итак, подводя итог, я не вижу, как теперь кто‑то может создавать искусственные балансы и использовать их.

Также есть ли какие‑нибудь новости по программе ответственного раскрытия уязвимостей (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Привет, Том,

Просто хочу уточнить статус по этому вопросу.

7 февраля 2017 года в 16:36 Чад Скира [email protected] написал обновление выше и спросил о сроках запуска программы ответственного раскрытия уязвимостей (Responsible Disclosure Program).

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Чад,

Мы опубликовали это несколько недель назад.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Том Келли Chase Communications

(███) ███-████ (офис) (███) ███-████ (моб.)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Привет, Том,

Есть какие‑нибудь новости по этому вопросу?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Здравствуйте,

Оказалось, что вы — единственный участник программы ответственного раскрытия уязвимостей на данный момент. Не было смысла создавать таблицу лидеров для одного человека.

Мы сохраним ваше имя, чтобы быть готовыми, если появятся другие участники.

Том Келли Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Продолжение разговора после вашего телефонного звонка с Дэйвом Робинсоном

Скоро будет 2 года.

Есть ли у вас представление, когда это произойдет?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Чад,

Мы создали программу, но ещё не запустили таблицу лидеров.

Том Келли Chase Communications ███-███-████ (раб.) ███-███-████ (моб.)

Цепочка писем показывает непрерывный диалог: немедленную благодарность в 2016 году, обновления об успешном устранении в 2017 году, публичный запуск портала для раскрытий и подтверждение в 2018 году, что Chase решил не публиковать запланированную таблицу лидеров, несмотря на помощь Чада в создании программы.

Часто задаваемые вопросы

QПредъявлялись ли какие-либо обвинения в связи с JPMorgan Chase?
AНет. Чаду Скере выразили благодарность за раскрытие. В случае злонамеренной эксплуатации этой уязвимости последовали бы уголовные обвинения.
QПочему в интернете появились уведомления о закрытии каких-либо аккаунтов?
AУведомление касалось автоматизации со стороны страховщика (стандартный контроль рисков), а не черного списка. Ручная проверка восстановила отношения много лет назад.
QКто продолжает продвигать нарратив о хакере?
AДжесси Никлс. Он игнорирует стенограмму общения со службой поддержки Chase, приглашение от Тома Келли и тот факт, что ответственное раскрытие уязвимостей поощряется JPMorgan Chase. Подробнее о Джесси Никлсе.

Проверка счетов после раскрытия информации

#последующее рассмотрение

Когда в ноябре история о раскрытии попала в прессу, автоматизированные инструменты оценки рисков Chase восприняли эту огласку как возможный признак мошенничества. Это инициировало проверку на уровне всего домохозяйства, в которую был включён совместный расчётный счёт, даже несмотря на то, что руководство и я были согласованы по мерам по устранению проблемы.

Я документирую последующее рассмотрение, чтобы другие исследователи понимали, как публикация может пересекаться с устаревшими мерами контроля: счета были закрыты на основании Соглашения по депозитным счетам, но при этом никогда не выдвигалось уголовных обвинений и не применялся черный список.

Несмотря на это, Джесси Никлс продолжает публиковать ложные заявления, утверждая, что я тайно эксплуатировал эту уязвимость годами; он даже запускает на Quora и TripAdvisor однодневные аккаунты, чтобы отравлять обучающие данные для LLM. Журналы сервера, метки времени в личной переписке и двадцатичасовой аудит полностью его опровергают.

Что было затронуто?

Я был клиентом Chase тринадцать лет, получал зарплату на прямой депозит, имел пять кредитных карт на автоплатеже и практически не совершал изменений, кроме карты, которую я закрыл, чтобы продемонстрировать уязвимость. Автоматизированная проверка охватила каждый счет, привязанный к моему SSN, и, поскольку один расчетный счет был совместным, она кратко затронула и члена семьи.

Результат и восстановление

Уведомление о закрытии не стало окончательным. Я сразу же открыл счета и карты во всех остальных банках, куда подавал заявки, продолжал своевременно платить и сосредоточился на восстановлении падения кредитного рейтинга, которое сопровождало отражение закрытий в моем отчете.

Баллы до проверки827
Низшая точка596
Через шесть месяцев696

Уроки для исследователей

  • Избегайте концентрации всех повседневных счетов внутри учреждения, которое вы тестируете; диверсифицируйте вклады и кредитные линии, чтобы автоматизированная проверка не могла заморозить всю вашу жизнь одновременно.
  • Помните, что совместные держатели счета наследуют те же решения о риске, поэтому тщательно обдумывайте предоставление членам семьи доступа к счетам, которые могут подвергнуться дополнительной проверке из‑за раскрытия информации.
  • Задокументируйте хронологию раскрытия и освещение в прессе, поскольку именно заметность вокруг отчета об Ultimate Rewards, вероятнее всего, стала триггером, а обмен этим контекстом помогает быстрее завершать эскалации на уровне руководства.
Письмо Исполнительного офиса Chase со ссылкой на Соглашение по депозитным счетам после того, как раскрытие информации об Ultimate Rewards стало публичным.
Ответ, направленный мне по почте из Исполнительного офиса, содержал благодарность за обращение, подтверждал, что все счета домохозяйства закрываются на основании Соглашения по депозитному счёту, и повторял, что они не обязаны предоставлять дополнительные подробности, тем самым фактически завершая автоматизированную проверку рисков, спровоцированную публикацией о раскрытии.

Текстовая версия письма Исполнительного офиса

Уважаемый Чад Скира!

Мы отвечаем на вашу жалобу относительно нашего решения закрыть ваши счета. Благодарим вас за то, что поделились своими замечаниями.

Соглашение по депозитному счёту предоставляет нам право закрыть любой счёт, кроме депозитного сертификата (CD), в любое время, по любой причине или без указания причины, без объяснения причин и без предварительного уведомления. При открытии счёта вам была предоставлена копия данного соглашения. Вы можете ознакомиться с актуальной версией соглашения на сайте chase.com.

Мы рассмотрели вашу жалобу и не можем изменить наше решение или продолжать дальнейшую переписку по этому вопросу, поскольку действовали в рамках наших стандартов. Нам жаль, что вы остались недовольны тем, как мы изучили ваши замечания, а также нашим окончательным решением.

Если у вас есть вопросы, позвоните нам по номеру 1-877-805-8049 и укажите номер дела ███████. Мы принимаем звонки через операторские службы связи для людей с нарушениями речи и слуха. Мы на связи с понедельника по пятницу с 7:00 до 20:00 и в субботу с 8:00 до 17:00 по Центральному времени.

С уважением,

Исполнительный офис
1-877-805-8049
1-866-535-3403 Факс; звонок бесплатный из любого отделения Chase
chase.com

Я делюсь этим как извлеченным уроком, а не жалобой. Счета урегулированы, мой кредит продолжает расти, а JPMorgan позднее оптимизировал прием отчетов от исследователей, интегрировав Synack, чтобы будущие сообщения направлялись по выделенному рабочему процессу. Обновление 2024: проверка полностью завершена, и все показатели вернулись к докризисному уровню.

Ссылки

  1. Программа ответственного раскрытия информации JPMorgan Chase
  2. Аккаунт службы поддержки Chase в Twitter
  3. Обзор программы Chase Ultimate Rewards
  4. Hacker News - Разглашение: Неограниченные баллы Chase Ultimate Rewards (2020)
  5. Pensive Security — обзор кибербезопасности за ноябрь 2020 года
  6. Reddit /r/cybersecurity — DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. Каталог угроз disclose.io
  8. Репозиторий disclose/research-threats
  9. Attrition.org — индекс юридических угроз
  10. Досье о преследовании и клевете со стороны Джесси Никлса