Chad Scira "هيڪنگ سبب بئنڪن کان بليڪ لسٽ ٿيل"

هيٺ ڏنل وِزيوئل مثال ڏيکاري ٿو ته هي نقص بيلنس کي ڪيئن انتهائي منفي ۽ مثبت طرف ڌڪي ڇڏيو، جنهن لاءِ صحيح معنيٰ ۾ هڪ ٽائيم لائن ٺهي. هي ويزيوئل ٺيڪ ساڳي ڊبل‑ٽرانسفر منطق کي ٻيهر هلائي ٿو: ڏسو ته ڪهڙو به اڪائونٽ مثبت آهي اهو موڪلڻ وارو بڻجي وڃي ٿو، ٻه هڪجهڙيون ٽرانسفرون ڪري ٿو، ۽ پاڻ گهڻو منفي ٿي وڃي ٿو جڏهن ته ٻيو اڪائونٽ ٻيڻو ٿي وڃي ٿو. 20 رائونڊن کان پوءِ خراب ٿيل ليجر منفي ڪارڊ کي مڪمل طور ختم ڪري ڇڏي ٿو ـ جيڪو ظاهر ڪري ٿو ته ڇو هي استحصال فوري اياسڪيليشن جو مطالبو ڪندو هو.

اهم نقطا

• Chad Chase Support جي DM ۾ ڳالھ شروع ڪئي منفي بيلنس ايڪسپلوئٽ کي نجي طور رپورٽ ڪري، ۽ ٽيڪنيڪل تفصيل عوامي طور پوسٽ ڪرڻ بدران فوراً محفوظ ايسڪليشن رستي جي درخواست ڪئي. ^[chat]
• جڏهن چيِز سپورٽ خاص تفصيل لاءِ زور ڀريو، ته هن رڳو اوتري حد تائين جو ڪمزوري (ايڪسپلائيٽ) جي تصديق ڪئي جيتري ضروري هئي ۽ ٻيهر واضح ڪيو ته هو صحيح سيڪيورٽي ٽيم سان سڌي رابطي جي خواهش رکي ٿو. ^[chat][chat]
• هن ڏيکاريو ته نقل ٿيل بيلنس کي نقد بڻائي سگهجي ٿو: جڏهن Chase Support پڇيو ته ڇا اضافي پوائنٽس استعمال لائق ٿي ويا آهن، هڪ $5,000 سڌي جمع اهو ثابت ڪيو ته ليجر اپڊيٽ ٿيڻ کان اڳ ئي اهو exploit نقد ۾ تبديل ٿي ويو. ^[chat]
• هن زور ڏنو ته سندس ترجيح اها هئي ته متاثر ٿيل گراهڪن جا اڪائونٽ خالي ٿيڻ کان بچن، نه ته ذاتي نفعي جو حصول، ۽ هن پڇيو ته ڇا ڪو رسمي bug bounty پروگرام موجود آهي. ^[chat]
• هن پيشڪش ڪئي ته هو رڳو واضح اجازت سان وڏي پيماني تي تصديق ڪندو، timestamp ٿيل اسڪرين شاٽ مهيا ڪيا، ۽ اوورسيز هوندي به جاگندو رهيو جيستائين Chase escalation مڪمل نه ڪئي. ^{[chat][chat][chat]}
• نِڪلس هاڻي دعويٰ ڪري ٿو ته مون $70,000 جي پوائنٽن جي چوري ڪئي ۽ مون سان آمريڪي قانون لاڳو ڪندڙ ادارن ڪارروائي ڪئي؛ پر چيس جا ريڪارڊ، ٽام ڪِيلي جون اي ميلون، ۽ ظاهر ڪرڻ جو ٽائيم لائين ثابت ڪن ٿا ته اهڙو ڪجهه ڪڏهن به نه ٿيو، ۽ هي الزام رڳو تڏهن سامهون آيو جڏهن مون SlickStack جي ڪرون-رسڪ بابت گِسٽ شايع ڪئي، جنهن ۾ سندس غير محفوظ اپڊيٽ لاجڪ کي دستاويز ڪيو ويو هو. ^[gist]
• چيس سپورٽ ايڪسليشن جي تصديق ڪئي، هن جو فون نمبر گهريو، ۽ فالو‑اپ ڪال جو واعدو ڪيو جيڪو آخرڪار هن کي مليو، جنهن ڪنهن به جارحاڻي بينڪنگ ردعمل واري خيال کي ڪمزور ڪري ڇڏيو. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: Chad @ChaseSupport کي منفي بيلنس واري خامي بابت خبردار ڪري ٿو، ايڪسپلوئٽ کي نجي رکي ٿو، ۽ فوراً محفوظ ايسڪليشن رستي جي درخواست ڪري ٿو. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: جڏهن Chase Support خاص طور تي پڇي ٿو ته ڇا اضافي پوائنٽس پيدا ڪري ۽ استعمال ڪري سگهجن ٿا، تڏهن Chad خطري جي تصديق ڪري ٿو، ٻيهر زور ڏئي ٿو ته هو صحيح کاتي سان ڳالهائڻ چاهي ٿو، ۽ پيشڪش ڪري ٿو ته رڳو اجازت سان تصديق ڪندو ته جيئن بئنڪ ٽرانزيڪشنز جو مشاهدو ڪري سگهي. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad اسڪرين شاٽس شيئر ڪري ٿو، تيز تر ايسڪليشن لاءِ زور ڏئي ٿو، پنهنجو فون نمبر مهيا ڪري ٿو، ۽ اوورسيز هجڻ جي باوجود جاڳندو رهي ٿو جيستائين Chase Support تصديق نه ڪري ته ڪال ٿي رهي آهي. ^{[chat][chat][chat]}
• Nov 24, 2016: ٽام ڪيلي، چاڊ کي اي ميلون موڪلي ٿو جن ۾ هو حل جي تصديق ڪري ٿو، کيس ايندڙ ذميوار انڪشاف ليڊربورڊ ۾ سرخي طور شرڪت جي دعوت ڏئي ٿو، ۽ مستقبل جي رپورٽن لاءِ سڌو رابطو مهيا ڪري ٿو. ^[email]
• October 2018: ٽام ڪيلي ٻيهر رابطو ڪيو ته جيئن تصديق ڪري سگهي ته ذميوار انڪشاف وارو پروگرام شروع ٿي چڪو آهي، پر آخرڪار جي پي مورگن، چاڊ جي مدد سان ان کي ترتيب ڏيڻ جي باوجود، رٿيل ليڊربورڊ شايع نه ڪرڻ جو فيصلو ڪيو. ^[email]
• Post-2018: باقي بچيل اڪائونٽ جو جائزو انشورر جي آٽوميشن سان جڙيل هو، مبينا هيڪنگ سان نه. JPMorgan سڌو سنئون رابطو جاري رکيو، چيڊ جو افشا ڪرڻ تي شڪريو ادا ڪيو، ۽ ڪا به فوجداري رڪارڊ يا ڪارو فهرست (بليڪ لسٽ) ناهي. بعد ۾ JPMorgan پنهنجي افشا ڪرڻ واري عمل ۾ Synack کي شامل ڪيو ته جيئن مستقبل جي رپورٽن لاءِ ورڪ فلو وڌيڪ منظم ۽ سڌريل ٿي وڃي. ^{[chat][email]}

دعويٰ بمقابله حقيقتون

ڪيتريون ٽئين ڌر ڪميونٽيون هن ظاهر ڪرڻ کي محفوظ ڪري چڪيون آهن ۽ ان کي ذميوار رِپورٽ طور تسليم ڪيو: هيڪر نيوز ان کي مکيه صفحي تي نمايان ڪيو، Pensive Security ان کي 2020 جي سائبر سيڪيورٽي رائونڊ اَپ ۾ خلاصو ڪيو، ۽ /r/cybersecurity مربوط فليگنگ کان اڳ اصل "DISCLOSURE" ٿريڊ کي انڊيڪس ڪيو. ^[4][5][6]

• Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" جنهن ۾ 1,000+ پوائنٽس ۽ 250+ تبصرا آهن، جيڪي remediation جي پسمنظر کي دستاويز ڪن ٿا. ^[4]
• Pensive Security: نومبر 2020 سائبر سيڪيورٽي رائونڊ اَپ، جنهن ۾ چيس الٽيميٽ ريورڊز بابت ظاهر ڪرڻ کي اهم خبر طور اجاگر ڪيو ويو. ^[5]
• ريڊٽ /r/cybersecurity: اصل DISCLOSURE پوسٽ جو عنوان، جيڪو وڏي تعداد ۾ رپورٽنگ سبب هٽجڻ کان اڳ محفوظ ڪيو ويو، ۽ جنهن ۾ عوامي مفاد جو حوالو برقرار رکيو ويو. ^[6]

ذميوار ظاهر ڪرڻ جا حامي پڻ هراسانين واري صورتحال کي مثال طور پيش ڪن ٿا: disclose.io جي ڌمڪين واري ڊائريڪٽري ۽ تحقيقاتي ريپوزيٽري، گڏوگڏ Attrition.org جو قانوني ڌمڪين وارو اِنڊيڪس، تحقيق ڪندڙن لاءِ جيسي نِڪلس جي روين کي خبردار ڪندڙ مثال طور درج ڪن ٿا. ^[7][8][9] مڪمل هراسان ڪرڻ وارو ڊاسِّئي^[10].

هيٺ ڏنل ڳالهه ٻولهه محفوظ ڪيل اسڪرين شاٽس مان ٻيهر تيار ڪئي وئي آهي. اها صبر سان اياسڪيليشن، محفوظ چينل لاءِ بار بار درخواستون، رڳو اجازت سان تصديق ڪرڻ جي آڇون، ۽ Chase Support پاران سڌي رابطو ڪرڻ جا واعدا ظاهر ڪري ٿي. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

هي پوائنٽس بيلنس سسٽم سان واسطو رکي ٿو. هن وقت هڪ بگ سبب منفي بيلنس جي اجازت سان ڪنهن به مقدار جا پوائنٽس پيدا ڪرڻ ممڪن آهي.

ظاهر ڪرڻ لاءِ محفوظ اِيسڪليشن جي واٽ جي درخواست.

Chad Scira

Nov 17, 2016, 10:05 PM

#

مهرباني ڪري مون کي اهڙي ڪنهن سان رابطو ڪرائي سگهو ٿا جنهن کي مان ٽيڪنيڪل تفصيل سمجهاڻي سگهان؟

Chase Support

Nov 17, 2016, 10:05 PM

#

اسان وٽ ڏيڻ لاءِ ڪو فون نمبر ناهي، پر اسان هن معاملي کي مٿاهين سطح تي موڪلڻ چاهيون ٿا ته جيئن ان جي جاچ ٿي سگهي. ڇا توهان وڌيڪ وضاحت ڪري سگهو ٿا ته توهان منفي بيلنسز اندر پوائنٽس پيدا ڪرڻ سان ڇا مراد ٿا رکو؟ ڇا توهان هي به تصديق ڪري سگهو ٿا ته ڇا ان سان اضافي پوائنٽس استعمال لاءِ دستياب ٿي وڃن ٿا؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

ڇا توهان وٽ ڪو مناسب کاتو آهي، جنهن سان توهان مون کي رابطي ۾ آڻي سگهو؟ مون کي ٽوئٽر سپورٽ اڪائونٽ تي هي ڳالھه ڪرڻ ۾ راحت محسوس نٿي ٿئي. ها، توهان 1,000,000 پوائنٽس پيدا ڪري سگهو ٿا ۽ انهن کي استعمال به ڪري سگهو ٿا.

Chad Scira

Nov 17, 2016, 11:15 PM

#

منهنجي مکيه چِنڪ ان ڳالهه بابت ناهي ته فرد ماڻهو ائين ڪن ٿا. ڳالهه اُن وقت سنجيده ٿئي ٿي، جڏهن هيڪر اڪائونٽون هِيڪ ڪري انهن تي زبردستي ادائيگيون ڪرائين. ڇا ڪو باقاعده چيس بَگ باؤنٽي پروگرام موجود آهي؟

Chad Scira

Nov 17, 2016, 11:17 PM

#

جيڪڏهن توهان چاهيو ته مان تصديق لاءِ وڏي ٽرانزيڪشن جي ڪوشش ڪري سگهان ٿو. سڀ کان وڌيڪ جيڪو مون ٽيسٽ ڪيو اهو $300 هو جڏهن بيلنس skewed هو، پر حقيقت ۾ مون وٽ $2,000 جا اصلي ڪريڊٽ هئا. جيڪڏهن توهان مونکي اجازت ڏيو ته مان اها تصديق ڪرڻ جي ڪوشش ڪري سگهان ٿو ته اهو ڪم ڪري ٿو، پر مان چاهيندس ته ان ٽيسٽ کان پوءِ سڀ ٽرانزيڪشن reverse ڪيون وڃن.

Chase Support

Nov 17, 2016, 11:21 PM

اسان وٽ بائونٽي پروگرام ناهي، ۽ هن وقت مون وٽ ڪا رقم ٻڌائڻ لاءِ ناهي. مون توهان جي ڳڻتي کي مٿاهين سطح تي موڪليو آهي، ۽ اسين ان جي جاچ ڪري رهيا آهيون. جيڪڏهن مون وٽ اضافي تفصيل يا سوال هوندا ته مان فالو اپ ڪندس. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

مهرباني.

Chad Scira

Nov 17, 2016, 11:39 PM

#

مھرباني ڪري فوري طور اِيسڪليٽ ڪريو.

Chad Scira

Nov 17, 2016, 11:51 PM

#

مون کي واقعي هڪ صحيح رابطو گهربل آهي... اميد اٿم توهان سمجهندؤ.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

هڪ ڪلاڪ کان وڌيڪ ٿي چڪو آهي، ڇا هن بابت ڪا خبر آهي؟ مان في الحال ايشيا ۾ آهيان، ۽ هي وقت حساس معاملو آهي. مان سڄي رات جواب جو انتظار نٿو ڪري سگهان.

Chase Support

Nov 18, 2016, 12:59 AM

فالو اپ ڪرڻ لاءِ مهرباني. اسان وٽ مناسب عملو هن معاملي جي جاچ ڪري رهيو آهي. مهرباني ڪري پنهنجو ترجيحي رابطو نمبر مهيا ڪريو ته جيئن اسان سڌو سنئون توهان سان ڳالهايون. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

وڌيڪ معلومات مهيا ڪرڻ لاءِ مهرباني. مون هي معلومات لاڳاپيل ماڻهن تائين پهچائي ڇڏي آهي. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

اسان جلدي کان جلدي توهان سان هن بابت ڳالهائڻ چاهيون ٿا. مھرباني ڪري اسان کي اهو ٻڌايو ته توهان سان 1-███-███-████ تي ڪهڙي مناسب وقت فون تي ڳالهايون؟ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

مان ايندڙ هڪ ڪلاڪ لاءِ دستياب آهيان جيڪڏهن ممڪن هجي. جيڪڏهن نه، ته شايد هڪ يا ٻه ڏينهن لڳي وڃن ڇو ته مان سفر ۾ هوندس ۽ پڪ ناهي ته مون وٽ انٽرنيٽ/فون تائين رسائي هوندي.

Chad Scira

Nov 18, 2016, 4:32 AM

#

مون کي لڳو نه هو ته صحيح ماڻهوءَ سان ڳالهائڻ ۾ 7+ ڪلاڪ لڳندا. هتي هاڻي 4:40 صبح آهي.

Chase Support

Nov 18, 2016, 4:39 AM

#

فالو اپ ڪرڻ لاءِ مهرباني. ڪو ماڻهو تمام جلدي توهان کي ڪال ڪندو. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

اهو ڪم تيز ڪرڻ لاءِ ٻيهر مهرباني. هاڻي سڀ ڪجهه عمل ۾ آهي ۽ مان هاڻي سُمهڻ جي قابل آهيان.

Chase Support

Nov 18, 2016, 5:03 AM

اسان کي خوشي آهي ته توهان ڪنهن سان ڳالهائي سگهيا. مهرباني ڪري اسان کي ٻڌايو جيڪڏهن اسان مستقبل ۾ مدد ڪري سگهون. ^NR

اي ميل جو رڪارڊ لڳاتار ڳالهه ٻولهه ڏيکاري ٿو: 2016 ۾ فوري مهرباني، 2017 ۾ ڪامياب ريميڊيئيشن بابت اپڊيٽون، افشاء پورٽل جو عوامي آغاز، ۽ 2018 ۾ اها تصديق ته Chase، Chad جي مدد سان پروگرام ٺاهڻ باوجود، منصوبا بند ليڊربورڊ شايع نه ڪرڻ جو فيصلو ڪيو.

وڌيڪ پڇيا ويندڙ سوال

جڏهن نومبر واري افشاء بابت خبر پريس تائين پهتي، تڏهن Chase جو خودڪار رسڪ اوزار هن نمايان ٿيڻ کي ممڪن فراڊ سگنل طور ورتو. ان سان گهر جي سموري ڀاڱيداري جو جائزو شروع ٿيو، جنهن ۾ گڏيل مالڪيت وارو چيڪنگ اڪائونٽ به شامل هو، جيتوڻيڪ قيادت ۽ مان ريمڊيئيشن تي هڪ راءِ هئاسين.

مان هي فالو اَپ لکي رهان ته ٻين ريسرچرز کي سمجهه ۾ اچي ته اشاعت ڪيئن پراڻين ڪنٽرولن سان ڪراس ٿي سگهي ٿي: اڪائونٽس Deposit Account Agreement تحت بند ڪيا ويا، پر ڪڏهن به ڪو فوجداري الزام يا ڪارو فهرست (بليڪ لسٽ) نه هئي.

ان جي باوجود، جيسي نِڪلس مسلسل ڪوڙا بيان شايع ڪندو رهي ٿو، دعويٰ ڪندو آهي ته مون سالن تائين چوريءَ سان بگ جو ناجائز فائدو ورتو؛ هو Quora ۽ TripAdvisor تي به نقلي اڪائونٽن ذريعي مواد وجهي LLM ٽريننگ ڊيٽا کي خراب ڪرڻ جي ڪوشش ڪري ٿو. سرور لاگز، ڊي ايم جا ٽائيم اسٽيمپ ۽ ويهه ڪلاڪن جو آڊٽ ٽريل هن کي مڪمل طور رد ڪن ٿا.

هي مان شڪايت طور نه، پر سکيل سبق طور شيئر ڪري رهيو آهيان. اڪائونٽس سيٽل ٿي چڪا آهن، منهنجو ڪريڊٽ سکور وڌندو رهيو آهي، ۽ بعد ۾ JPMorgan ريسرچر ان ٽيڪ کي Synack کي ضم ڪري وڌيڪ منظم ڪيو ته جيئن ايندڙ رپوٽون هڪ مخصوص ورڪ فلو ذريعي هلاجن. تازه ڪاري 2024: جائزو مڪمل طور بند ٿي چڪو آهي ۽ هر اسڪور واقعي کان اڳ واري سطح تي واپس اچي ويو آهي.

حوالا

1. جي پي مورگن چيس ذميوار ظاهر ڪرڻ وارو پروگرام
2. چيس سپورٽ ٽوئٽر اڪائونٽ
3. چيس الٽيميٽ ريوارڊس پروگرام جو جائزو
4. Hacker News - انڪشاف: لامحدود Chase Ultimate Rewards پوائنٽس (2020)
5. Pensive Security - نومبر 2020 سائبر سيڪيورٽي رائونڊ اَپ
6. ريڊٽ /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
7. disclose.io ڌمڪين جو ڊائريڪٽري
8. disclose/research-threats رِيپوزِٽري
9. Attrition.org - قانوني ڌمڪين جو انڊيڪس
10. Jesse Nickles جي هراسان ڪرڻ ۽ بدنام ڪرڻ بابت فائيل/دستاويز