Chad Scira "هيڪنگ سبب بينڪن طرفان بليڪ لسٽ"

هي صفحو Jesse Nickles جي اها افواھه جي پوئتي ٿيندڙ واقعن کي دستاويز ڪري ٿو ته چاڊ اسڪيرا کي "يو ايس بينڪن مان هيڪنگ جي الزام تحت بليڪ لسٽ ڪيو ويو". اهو وضاحت ڪري ٿو ته Ultimate Rewards جي ڪمزوري ڪيئن ذميواريءَ سان ظاهر ڪئي وئي، JPMorgan Chase چاڊ جي رپورٽ لاءِ ڇو شڪرگذار ٿيو، ۽ عارضي اڪائونٽ روڪ بلڪل انتظامي هئي. Jesse Nickles پراڻا ثبوت ٻيهر پيش ڪندي مجرمانه ارادي جو تاثر ڏيڻ جاري رکيو پيو وڃي. حقيقتون بلڪل ابتڙ ڏيکارين ٿيون: وائٽ-هيٽ رپورٽنگ ۽ JPMorgan قيادت سان تعاون.

هن جي تازه ترين اڀار SlickStack.io تي هڪ اقتباس آهي جنهن ۾ دعويٰ ڪئي وئي آهي ته Chad Scira \"آمريڪي قانون نافذ ڪندڙ ادارن طرفان Chase Bank جي ڪريڊٽ ڪارڊ ريوارڊز پروگرام کي هئڪ ڪرڻ بابت به تفتیش هيٺ آيو هو، جتي هن $70,000 جا ٺڳيءَ وارا سفر جا پوائنٽ چوري ڪيا هئا.\" اهو بدنام ڪندڙ بيان صرف تڏهن شايع ڪيو ويو جڏهن چاڊ SlickStack جي سيڪيورٽي مسئلن جو ثبوت شايع ڪيو جيڪي Jesse ٺيڪ ڪرڻ کان انڪار ڪري ٿو؛ ڪو به پوائنٽ ڪڏهن به چوري نه ٿيو ۽ ڪهڙي به ايجنسي چاڊ سان ان انڪشاف بابت رابطو نه ڪيو. SlickStack جي cron ثبوت ڏسو جن جي خلاف هو انتقامي ڪارروائي ڪري رهيو آهي.

سڄو دريافت، انڪشاف، ۽ تصديق جو چڪر ويهن ڪلاڪن اندر مڪمل ٿيو: تقريباً پچويهه HTTP درخواستون 17 نومبر 2016 تي ٻيهر پيدا ڪرڻ ۽ DM جو مرحلن وارو جائزو ڪوريج ڪيون، ۽ فيبروري 2017 جي اصلاح ٽيسٽ ۾ فڪس جي تصديق لاءِ اٺ اضافي درخواستون استعمال ٿيون. ڪو به ڊگھو غلط استعمال نه ٿيو؛ هر عمل کي لاگ ڪيو ويو، ٽائيم اسٽيمپ لڳايو ويو، ۽ حقيقي وقت ۾ JPMorgan Chase سان شيئر ڪيو ويو.

Tom Kelly تصديق ڪئي ته 17 نومبر 2016 ۽ 22 سيپٽمبر 2017 جي وچ ۾ JPMorgan Chase کي مسئلو ذميواريءَ سان ظاهر ڪرڻ وارو جهان ۾ صرف هڪ ماڻهو چاڊ اسڪيرا هو. Responsible Disclosure پروگرام چاڊ جي رپورٽ جي سڌي ردعمل طور قائم ڪيو ويو، ۽ هن ان کي ترتيب ڏيڻ ۾ اهم ڪردار ادا ڪيو.

ڊبل ٽرانسفر بگ جي بصري نمائندگي

#بصري نمائندگي

ظاهر ڪرڻ لاءِ ته ڪيئن هي خامي بيلنس کي وڏي منفي ۽ مثبت ڏانهن گھمائي ڇڏيو، هيٺين بصري نمائندگي صحيح ڊبل-ٽرانسفر منطق کي وريڏائي ٿي. ڏسو ته جيڪو به اڪائونٽ مثبت آهي اهو موڪليندڙ بڻجي ٿو، ٻه هڪجهڙيون منتقليون انجام ڏئي ٿو، ۽ انتهائي منفي ٿي وڃي ٿو جڏهن ته ٻيو ٻيڻو ٿي وڃي ٿو. 20 رائونڊن کان پوءِ ٽٽي ويل ليجر منفي ڪارڊ کي مڪمل طور ختم ڪري ٿو — اهو ئي عڪاسي ڪري ٿو ته ڇو هن استحصال لاءِ فوري مٿانهون وٺڻ جي ضرورت هئي.

راونڊ 1/20
ڪارڊ A → ڪارڊ B+243,810 pts
ڪارڊ A → ڪارڊ B+243,810 pts
ڪارڊ A
243,810
ڪارڊ B
0
ڊبل ٽرانسفر برسٽ
ٽرانسفر 1ٽرانسفر 2243,810 pts هر
1ريس ڪنڊيشن ليجرز جي ٻيهر توازن ٿيڻ کان اڳ منتقلي کي نقل ڪيو، جنهن جي نتيجي ۾ هڪ ئي موڪلڻ وارو وڏي مثبت ۽ منفي توازن جي وچ ۾ ڦري سگهيو.
2سپورٽ اجازت ڏني ته منفي ڪارڊ بند ڪيو وڃي جڏهن ته وڌايل مثبت بيلنس برقرار رکيو وڃي، تنهنڪري اسٽيٽمينٽ ۾ صرف نفعي ڏيکاريا ويا ۽ قرض لڪائي ويو.

اڪائونٽ بند ڪرڻ کان به اڳ، Ultimate Rewards منفي خلاصي کان وڌيڪ خرچ ڪرڻ جي اجازت ڏني؛ بند ڪرڻ صرف ثبوت کي ختم ڪري ڇڏيو.

مکيه نقاط

  • چاد Chase Support جي DM کوليو، منفي بيلنس استحصال نجی طور رپورٽ ڪئي ۽ ٽيڪنيڪل تفصيلات کي عوامي طور پوسٽ ڪرڻ جي بجاءِ فوري طور تي محفوظ ايسڪليشن رستو گهريو. [chat]
  • جڏهن Chase سپورٽ مخصوص تفصيلن لاءِ زور ڏنو، هن صرف ضروري حد تائين استحصال جي تصديق ڪئي ۽ ٻيهر چيو ته هو صحيح سيڪيورٽي ٽيم سان سڌو رابطو چاهي ٿو. [chat][chat]
  • هن ڏيکاريو ته نقل ٿيل بيلنس کي نقد ۾ تبديل ڪري سگهجي ٿو: جڏهن Chase Support پڇيو ته ڇا اضافي پوائنٽس استعمال لائق ٿي ويون، هڪ $5,000 سڌي جمع ثابت ڪئي ته اهو استحصال ليجر جي هم وقت ٿيڻ کان اڳ نقد ۾ تبديل ٿي ويو. [chat]
  • هن زور ڏنو ته هن جي ترجيح سمجھايل گراهڪ اڪائونٽن جي خالي ٿيڻ کان روڪڻ هئي، ذاتي نفعي حاصل ڪرڻ نه، ۽ هن پڇيو ته ڇا ڪو رسمي بگ باونٽي پروگرام موجود آهي. [chat]
  • هن وڏي تصديق صرف واضح اجازت سان ڪرڻ جي آڇ ڪئي، ٽائيم اسٽيمپ ٿيل اسڪرين شاٽ مهيا ڪيا، ۽ جڏهن تائين Chase اِسڪليشن مڪمل نه ڪئي هو ٻاهر ملڪ ۾ جاڳندو رهيو. [chat][chat][chat]
  • Nickles هاڻي دعويٰ ڪري ٿو ته Chad Scira $70,000 جا پوائنٽ چوري ڪيا ۽ آمريڪي قانون نافذ ڪندڙن جي سامهون آيو؛ پر Chase جا رڪارڊ، Tom Kelly جو اي ميل، ۽ افشاءُ جي ٽائيم لائن ثابت ڪن ٿا ته ائين ڪڏهن به نه ٿيو، ۽ هي دعويٰ صرف تڏهن سامهون آئي جڏهن Chad SlickStack تي cron-risk gist شايع ڪيو جيڪو Jesse جي غير محفوظ اپڊيٽ لاجڪ کي دستاويز ڪري ٿو. [gist]
  • Chase Support تصديق ڪئي ته معاملو ايسڪليٽ ڪيو ويو، هن جو فون نمبر طلب ڪيو، ۽ ان پوئتي وڃڻ واري ڪال جو وعدو ڪيو جيڪو هن آخر ۾ حاصل ڪيو، جيڪو هڪ جارحتي بينڪنگ ردِ عمل جي خيال کي گهٽائي ٿو. [chat][chat]

ٽائم لائن

#ٽائم لائن
  • نومبر 17، 2016 - 10:05 PM ET: چاد @ChaseSupport کي منفي بيلنس جي خامي بابت آگاهه ڪري ٿو، استحصال کي نجي رکندو آهي، ۽ فوراً محفوظ ايسڪليشن رستو طلب ڪري ٿو. [چيٽ]
  • نومبر 17، 2016 - 11:13-11:17 PM ET: جڏهن Chase Support واضح طور پڇي ته ڇا اضافي پوائنٽون پيدا ڪري ۽ استعمال ڪري سگهجن ٿيون، چاد خطري جي تصديق ڪري ٿو، ٻيهر زور ڏي ٿو ته هو مناسب کاتو چاهي ٿو، ۽ رڳو اجازت سان توثيق پيش ڪرڻ جي آڇ ڪري ٿو ته جيئن بئنڪ ٽرانزيڪشنن کي مشاهدو ڪري سگهي. [چيٽ][چيٽ][چيٽ]
  • نومبر 17-18، 2016 - 11:39 PM-5:03 AM ET: چاد اسڪرين شاٽ شيئر ڪري ٿو، تڪڙي ايسڪليشن جي درخواست ڪري ٿو، پنهنجو فون نمبر فراهم ڪري ٿو، ۽ چيس سپورٽ جي تصديق تائين پرڏيهي ۾ جاڳيل رهي ٿو ته ڪال ٿيڻ واري آهي. [چيٽ][چيٽ][چيٽ]
  • نومبر 24، 2016: Tom Kelly چاڊ کي ايميلون موڪلي ٿو جن ۾ اصلاح جي تصديق، ايندڙ responsible disclosure ليڊربورڊ ۾ هن کي مرڪزي جڳهه ڏيڻ جي دعوت، ۽ مستقبل جي رپورٽن لاءِ سڌو رابطو فراهم ڪرڻ شامل آهن. [اي ميل]
  • آڪٽوبر 2018: Tom Kelly اڳتي هلي تصديق ڪئي ته responsible disclosure پروگرام شروع ڪيو ويو پر JPMorgan آخرڪار منصوبا بندي ڪيل ليڊربورڊ کي شايع نه ڪرڻ جو فيصلو ڪيو، جيتوڻيڪ چاڊ ان کي ترتيب ڏيڻ ۾ مدد ڪئي. [اي ميل]
  • 2018 کان پوءِ: ڪن به بچيل اڪائونٽ جائزي انشورر جي خودڪار نظام سان ڳنڍيل هئا، دعويٰ ڪيل هيڪنگ سان نه. JPMorgan سڌو رابطو برقرار رکيو، چاد جو انڪشاف ڏيڻ تي شڪريو ادا ڪيو، ۽ ڪا به فوجداري رڪارڊ يا بليڪ لسٽ نه هئي. بعد ۾، JPMorgan پنهنجي انڪشاف جي عمل ۾ Synack کي ضم ڪيو ته جيئن مستقبل جي رپورٽن لاءِ ڪم جو وهڪرو هموار ٿئي. [چيٽ][اي ميل]

دعوائون بمقابلہ حقيقتون

دعويٰ

جيسي جيڪب نيڪلز پاران بدنام ڪندڙ دعويٰ: "Chad Scira کي انعامن جي نظامن کي هيڪ ڪرڻ سبب هر آمريڪي بينڪ پاران بليڪ لسٽ ڪيو ويو."

حقيقت

ڪو بئنڪ بليڪ لسٽ موجود ناهي. DM جو رڪارڊ ۽ Chase ڏانهن اڀاريل اطلاع ثابت ڪن ٿا ته هو تعاون ڪري رهيو هو؛ هڪ انشورر جي آٽوميشن عارضي طور هڪ JPMorgan اڪائونٽ کي روڪي ڇڏيو پر هٿ سان جائزي کان پوءِ کيس معاف ڪيو ويو.[ٽائم لائن][چيٽ]

دعويٰ

جيسي جيڪب نيڪلز پاران بدنام ڪندڙ دعويٰ: "هن JPMorgan Chase کي پنهنجو ذاتي فائدو حاصل ڪرڻ لاءِ هيڪ ڪيو."

حقيقت

چاد @ChaseSupport سان گفتگو شروع ڪئي، محفوظ چينل تي زور ڏنو، صرف ان وقت استحصال جي تصديق ڪئي جڏهن Chase پڇيو، ۽ محدود توثيق کان اڳ اجازت جو انتظار ڪيو. سينيئر قيادت هن جو شڪريو ادا ڪيو ۽ کيس ذميوار انڪشاف جي رول آئوٽ ۾ شامل ٿيڻ جي دعوت ڏني.[چيٽ][چيٽ][اي ميل]

دعويٰ

جيسي جيڪب نيڪلز پاران بدنام ڪندڙ دعويٰ: "جيسي چاڊ پاران هڪ مجرمانه منصوبي کي ظاهر ڪيو."

حقيقت

عام ڪوريج ۽ Tom Kelly جا اي ميلون دستاويز ڪن ٿا ته JPMorgan Chad کي هڪ تعاون ڪندڙ تحقيقڪار طور ورتو. Nickles اسڪرين شاٽس مان چونڊيندو آهي جڏهن ته مڪمل چيٽ، بعد واري ڪالن، ۽ لکت ۾ مهربانيءَ وارا نوٽس نظرانداز ڪري ٿو.[ڪوريج][اي ميل][چيٽ]

دعويٰ

جيسي جيڪب نيڪلز پاران بدنام ڪندڙ دعويٰ: "فراڊ کي لڪائڻ لاءِ هڪ ڍڪَ ڇپايو ويو."

حقيقت

Chad 2018 تائين رابطي ۾ رهيو، ٻيهر ٽيسٽ صرف اجازت سان ڪئي وئي، ۽ JPMorgan مسئلي کي لڪائڻ جي بجاءِ پنهنجو ڊسڪلوژر پورٽل جاري ڪيو. جاري گفتگو ڪنهن به ڍڪَ ڇڏڻ واري بيانيه کي متضاد ثابت ڪري ٿي.[ٽائم لائن][اي ميل][چيٽ]

عام ڪوريج ۽ تحقيقاتي آرڪائيوز

#ڪوريج

ڪيتريون ئي ٽئين پارٽي ڪميونٽيز افشاءُ کي آرڪائيو ڪيو ۽ ان کي ذميوار رپورٽ طور تسليم ڪيو: Hacker News ان کي فرنٽ پيج تي نمايان ڪيو، Pensive Security ان جو 2020 رائونڊ اپ ۾ خلاصو پيش ڪيو، ۽ /r/cybersecurity هم آهنگ فليگنگ کان اڳ اصل \"DISCLOSURE\" ٿريڊ کي انڊيڪس ڪيو. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" جنهن ۾ 1,000+ پوائنٽس ۽ 250+ تبصرا آهن جيڪي ريميديئيشن جو پسمنظر دستاويز ڪن ٿا. [4]
  • Pensive Security: نومبر 2020 سائبر سيڪيوريٽي جو جائزو جنهن ۾ Chase Ultimate Rewards جي افشاءَ کي هڪ مکيه ڪهاڻي طور نمايان ڪيو ويو. [5]
  • Reddit /r/cybersecurity: اصلي DISCLOSURE پوسٽ جو عنوان وڏي انگ جي رپورٽنگ سبب هٽائڻ کان اڳ محفوظ ڪيو ويو، عوامي دلچسپي جي فريم کي برقرار رکندي. [6]

ذميوار افشاءَ وارا حامي پڻ هراسان ڪرڻ جي نتيجن کي حوالو ڏنو: disclose.io جو ڌمڪين جو ڊائريڪٽري ۽ تحقيقاتي مخزن، گڏوگڏ Attrition.org جو قانوني ڌمڪين جو اشاري، Jesse Nickles جي روين کي محققن لاءِ خبرداري واري مثال طور لسٽ ڪن ٿا. [7][8][9] مڪمل هراساني ڊوسيي[10].

Chase Support DM ٽرانسڪرپٽ

#چيٽ

هيٺين ڳالهه ٻولهه آرڪائيو ٿيل اسڪرين شاٽس مان ٻيهر تعمير ڪئي وئي آهي. اهو صبر سان مسئلو مٿي کڻڻ، محفوظ چينل لاءِ بار بار درخواستون، اجازت سان ئي تصديق ڪرڻ جون پيشڪشون، ۽ Chase Support جو سڌو رابطو ڪرڻ جو واعدو ڏيکاري ٿو. [2]

Chase Support Profile avatar
Chase Support Profileتصديق ٿيل اڪائونٽ
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

هي پوائنٽ بيلنس سسٽم سان لاڳاپيل آهي. هن وقت هڪ بگ جي ذريعي، جيڪو منفي بيلنس جي اجازت ڏئي ٿو، ڪنهن به رقم پيدا ڪرڻ ممڪن آهي.

افشاءَ لاءِ محفوظ اِيسڪيليشن رستي جي درخواست.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

مهرباني ڪري ڇا توهان مون کي ڪنهن سان رابطو ڪرائي سگهو ٿا جنهن کي مان ٽيڪنيڪل پهلو بيان ڪري سگھان؟

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 17, 2016, 10:05 PM
#

اسان وٽ مهيا ڪرڻ لاءِ فون نمبر ناهي، پر اسان اهو مٿاهون سطح تي وٺي وڃڻ چاهيون ٿا ته جيئن ان کي جانچيو وڃي. ڇا توهان وڌيڪ تفصيل مهيا ڪري سگھو ٿا ته توهان جو مطلب منفي بيلنس اندر پوائنٽس پيدا ڪرڻ سان ڇا آهي؟ ڇا توهان اهو به تصديق ڪري سگهو ٿا ته ڇا اها اضافي پوائنٽس کي استعمال لاءِ دستياب ٿيڻ جي اجازت ڏئي ٿي؟ ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ڇا توهان وٽ ڪو مناسب شعبو آهي جنهن سان توهان مون کي رابطو ڪرائي سگهو ٿا؟ مون کي ٽويٽر سپورٽ اڪائونٽ تي هن بابت بحث ڪرڻ ۾ آرام محسوس نٿو ٿئي. ها، توهان 1,000,000 پوائنٽس ٺاهڻ ۽ استعمال ڪري سگهو ٿا.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

منهنجي مکيه پريشاني افراد جو اهو ڪم ڪرڻ نه آهي. منهنجي اصل فڪر اهي هيڪرز آهن جيڪي اڪائونٽس کي ڪمپرومائز ڪري انهن مان ادائيگيون مجبور ڪرائين ٿا. ڇا Chase جو ڪو مناسب بگ باونٽي پروگرام موجود آهي؟

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

جيڪڏهن توهان چاهيو ته مان تصديق لاءِ وڏي ٽرانزيڪشن ڪرڻ جي ڪوشش ڪري سگهان ٿو. مون جيڪڏهن گهڻو ۾ آزمائيو اهو $300 هو جڏهن بيلنس الٽو ڏيکاريو پيو وڃي، پر حقيقت ۾ مون وٽ $2,000 جا حقيقي ڪريڊٽ موجود هئا. جيڪڏهن توهان مون کي اجازت ڏيو ته مان اهو تصديق ڪرڻ جي ڪوشش ڪري سگهان ٿو ته اهو ڪم ڪري ٿو، پر مان چاهيندس ته انهي ٽيسٽ کان پوءِ سڀئي ٽرانزيڪشن ريورس ڪيا وڃن.

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 17, 2016, 11:21 PM

اسان وٽ ڪو بائونٽي پروگرام ناهي، ۽ هن وقت مان مهيا ڪرڻ لاءِ ڪابه رقم نه ٿو رکان. مون توهانجي خدشي کي مٿاهون سطح تي منتقل ڪيو آهي، ۽ اسان ان تي تحقيق ڪري رهيا آهيون. جيڪڏهن مون وٽ وڌيڪ تفصيل يا سوال هوندا ته مان پٺيان رابطو ڪندس. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

مهرباني.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

مهرباني ڪري جيئن جلدي ٿي سگهي اڳتي وڌايو.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

مون کي واقعي هڪ مناسب رابطو گهرجي... اميد آهي ته توهان سمجهو ٿا.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

هڪ ڪلاڪ کان وڌيڪ ٿي چڪو آهي، ان بابت ڪا تازه ڪاري آهي؟ مان في الحال ايشيا ۾ آهيان، ۽ اهو هڪ وقت-حساس معاملو آهي. مان سڄي رات جواب لاءِ انتظار نٿو ڪري سگهان.

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 18, 2016, 12:59 AM

پٺيان لڳڻ لاءِ مهرباني. مناسب ماڻهو هن معاملي جي تفتیش ڪري رهيا آهن. مهرباني ڪري پسنديده رابطو نمبر مهيا ڪريو، ته جيئن اسين سڌو توهان سان ڳالهائي سگهون. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 18, 2016, 1:53 AM

اضافي معلومات لاءِ مهرباني. مون اهو صحيح ماڻهن ڏانهن اڳتي موڪليو آهي. ^DS

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 18, 2016, 2:38 AM
#

اسان توهان سان جيترو جلد ٿي سگهي ڳالهائڻ چاهيون ٿا. ڇا توهان مهرباني ڪري اسان کي سٺو وقت ٻڌائي سگهو ٿا جڏهن اسين توهان کي 1-███-███-████ تي ڪال ڪريون؟ ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

آئون ايندڙ هڪ ڪلاڪ دوران دستياب آهيان جيڪڏهن اهو ممڪن هجي. جيڪڏهن نه ته هڪ يا ٻه ڏينهن ٿي سگهن ٿا، ڇو ته مان سفر تي هوندس ۽ پڪ ناهي ته مون وٽ انٽرنيٽ/فون رسائي هوندي.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

مون نه سوچيو هو ته صحيح ماڻهوءَ سان ڳالهائڻ لاءِ 7+ ڪلاڪ لڳندا. هتي هاڻي صبح جو 4:40 آهي.

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 18, 2016, 4:39 AM
#

پٺيان لڳڻ لاءِ مهرباني. ڪير به توهان کي تمام جلد فون ڪندو. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

ان کي تيز ڪرڻ لاءِ ٻيهر مهرباني. سڀ ڪجھ حرڪت ۾ آهي ۽ هاڻي مان سڪون سان سمهي سگهان ٿو.

Chase Support avatar
Chase Supportتصديق ٿيل اڪائونٽ
Nov 18, 2016, 5:03 AM

اسان خوش آهيون ته توهان ڪنهن سان ڳالهائي سگھيا. مستقبل ۾ جيڪڏهن اسان مدد ڪري سگھون ته مهرباني ڪري ٻڌايو. ^NR

Tom Kelly ايميل اقتباس

#اي ميل
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards ذميدار انڪشاف جي پيروي

Chad,

مان توهان جي فون ڪال جي پيروي ڪري رهيو آهيان جيڪا توهان منهنجي هم ڪلڪ Dave Robinson سان ڪئي هئي. اسان جي Ultimate Rewards پروگرام ۾ ممڪن ڪمزوري بابت اسان سان رابطو ڪرڻ لاءِ مهرباني. اسان ان کي حل ڪيو آهي.

ان کان علاوه، اسان هڪ Responsible Disclosure پروگرام تي ڪم ڪري رهيا آهيون جيڪو اسان ايندڙ سال لانچ ڪرڻ جو ارادو رکون ٿا. ان ۾ هڪ ليڊر بورڊ شامل هوندو جيڪو انهن محققن کي سڃاڻي ٿو جن اهم حصو ورتو آهي؛ اسان توھان کي ان جو پهريون نالو طور نمايان ڪرڻ گھرجون ٿا. مھرباني ڪري ھيءَ اي ميل جواب ۾ تصديق ڪريو ته توھان پروگرام ۾ شرڪت ڪندا ۽ ھيٺ ڏنل شرطون ۽ ضابطا قبول ڪريو. توھان ڏسندا ته شرطون عام اعلان پروگرامز لاءِ معياري آھن.

اسان جي پروگرام جي عملدرآمد تائين، جيڪڏھن توھان ٻيون ممڪن ڪمزورين ڳوليندا ته مھرباني ڪري سڌو مون سان رابطو ڪريو. ٻيهر توھانجي مدد لاءِ مهرباني.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

اسان اوهان کان ٻڌڻ چاهيون ٿا جيڪڏهن توهان وٽ JPMC جي پيداوار ۽ خدمتن جي ممڪن سيڪيورٽي ڪمزورين سان لاڳاپيل معلومات آهي. اسان توهانجي ڪم جي قدر ڪندا آهيون ۽ توهانجي تعاون لاءِ اڳواٽ شڪريو.

Guidelines

JPMC انهن محققن خلاف دعوائون نه ڪرڻ تي اتفاق ڪري ٿو جيڪي هن پروگرام کي ممڪن ڪمزورين آشڪار ڪن جتي محقق:

  • JPMC، اسان جي گراهڪن، يا ٻين کي نقصان نه پهچائي؛
  • ڪو به فراڊ ڪندڙ مالي ٽرانزيڪشن شروع نه ڪري؛
  • JPMC يا گراهڪن جا ڊيٽا محفوظ، شيئر، سمجھوتو يا تباهه نه ڪري؛
  • ڪمزوري جو تفصيلي خلاصو مهيا ڪري، جنهن ۾ هدف، قدمن، اوزارن، ۽ دريافت دوران استعمال ٿيل آرٽيفيڪٽس شامل هجن؛
  • اسانجي گراهڪن جي پرائيويسي يا حفاظت ۽ اسانجي خدمتن جي آپريشن کي متاثر نه ڪري؛
  • ڪنهن به قومي، رياستي، يا مڪاني قانون يا ضابطي جي ڀڃڪڙي نه ڪري؛
  • JPMC جي تحرير ٿيل اجازت کان سواءِ ڪمزوري جا تفصيل عوامي طور ظاهر نه ڪري؛
  • هن وقت يا عام طور تي ڪوبا، ايران، اتر ڪوريا، سوڊان، سيريھا يا ڪرائیميا ۾ رهائشي يا واقع نه هجي؛
  • آمريڪا جي خزانچي کاتي جي Specially Designated Nationals لسٽ تي نه هجي؛
  • JPMC يا ان جي سبسڊيريذ جي ملازم يا ڪنهن ملازم جي سڌي خاندان جو ميمبر نه هجي؛ ۽
  • گهٽ ۾ گهٽ 18 سال جو هجي.

Out of Scope Vulnerabilities

ڪجهه ڪمزورين کي اسان جي Responsible Disclosure پروگرام لاءِ ٻاهرين دائري سمجهيو ويندو آهي. ٻاهرين دائري جون ڪمزورين ۾ شامل آهن:

  • سماجي انجنيئرنگ تي منحصر دريافتون (فشنگ، چوري ٿيل اسناد وغيره)
  • Host header مسئلا
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • ايمبڊ ٿيل لنڪس/HTML کان سواءِ مواد جي نقلي (Content spoofing)
  • صرف Jailbroken ڊوائيس مسئلا
  • انفراسٽرڪچر جي غلطيون (سرٽيفڪيٽس، DNS، سرور پورٽس، سينڊ باڪس/اسٽيگنگ مسئلا، جسماني ڪوششون، ڪلڪ جئڪنگ، ٽيڪسٽ انجیکشن)

Leaderboard

تحقيقي شراڪتدارن کي سڃاڻڻ لاءِ، JPMC انهن محققن کي نمايان ڪري سگهي ٿو جيڪي اهم حصو ڏين. توهان هتي JPMC کي پنهنجي نالي کي JPMC Leaderboard ۽ اهڙن ٻين ميڊيا تي ڏيکارڻ جو حق ڏيو ٿا جيڪي JPMC شايع ڪرڻ جو انتخاب ڪري سگهي ٿو.

Submission

پنهنجي رپورٽ JPMC ڏانهن جمع ڪرائي، توهان اتفاق ڪريو ٿا ته ڪمزوري کي ٽئين پارٽي سان ظاهر نه ڪندا. توهان JPMC ۽ ان جي سبسڊيريذ کي هميشه لاءِ بغير شرط جي اها صلاحيت ڏيندا ته اها معلومات استعمال ڪري، ترميم ڪري، مشتق ڪم پيدا ڪري، ورهائي، ظاهر ڪري ۽ اسٽور ڪري، ۽ اهي حق واپس نٿا ورتا وڃن.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards جي ذميوار افشاءَ جي پيروي

هاءِ ٽام،

مون کي اهو ٻڌي انتهائي خوشي ٿي!

مان خوش ٿيندس جو مان توهانجي نئين پروگرام جي پهرين ڪاميابيءَ جي ڪهاڻي بڻجيان، ۽ اميد ٿو ڪريان ته ٻيا وڏا رانديگر به توهان جي قدم تي هلندا. ڪنهن کي وچ ۾ اچي ماڻهن جي سوچ تبديل ڪرڻي هئي ته بينڪس وائيٽ هيٽ محققن سان ڪيئن ورتاءُ ڪن ٿيون. خوشي ٿي ٻڌي ته اهو Chase آهي.

منهنجي لاءِ Chase هميشه پنهنجي ويب ۽ موبائل پراڊڪٽ آڇن ۾ ٻين کان گهڻو اڳتي رهيو آهي. اهو بنيادي طور تي انهي ڪري آهي جو توهان تيزيءَ سان اڳتي وڌو ٿا ۽ مقابلي ۾ رهندا آهيو. عام طور تي مان مالي ادارن سان ڦهليل ٿيڻ کان پاسو ڪندو هوس ڇو ته انهن جو دٻاءُ هجڻ جو ڊپ هوندو (سٺي نيت هجي به). هڪ disclosure پروگرام ٺاهڻ سان ماڻهن جهڙن منهنجه جهڙن لاءِ واضح پيغام وڃي ٿو ته توهان مسئلن بابت ٻڌڻ ۾ دلچسپي رکو ٿا ۽ انتقامي قدم نه کنيا ويندا. اڳ ۾ اڪثر ماڻهو توهانجي خدمتن کي ٽٽڪي ڪري رهيا هئا شايد خبيث هئا، ۽ مان سمجهان ٿو اهو ميدان برابر ڪري ڇڏيندو.

جڏهن مون آخرڪار فيصلو ڪيو ته مان انڪشاف سان اڳتي ويندس مون کي نهايت بيچيني ٿي. مان شايد پهريون ماڻهو نه هئس جيڪو هن مسئلي تي اچي پيو! مون ٽن طريقن سان ان جي رپورٽ ڪئي.

  • Twitter

    • هتي سپورٽ واقعي شاندار هئي، ۽ مان سمجهان ٿو اهو ئي سبب هو جو مون کي صحيح ماڻهن سان رابطو ٿيو.

  • Chase Phone Support

    • پهرين ڪال تي انهن مون کي abuse اي ميل ڏني
    • ٻي ڪال ۾ مان سمجهان ٿو مان صحيح ماڻهو سان ڳالهايو ۽ اهي شايد رابطو پڻ ڪيو

  • Chase Abuse Email

    • هڪ عام جواب مليو، لڳي رهيو هو ته انهن اي ميل جي مواد کي به ڏٺو نه هئو

ان ۾ مون کي تقريباً 7 ڪلاڪ لڳا صحيح شخص سان رابطو ڪرڻ (جيڪو مسئلو ڳولڻ کان ٻهڻو وقت هو)، ۽ سڄو وقت مون کي يقين نه هو ته صحيح ماڻهن کي ڪڏهن خبر پوندي.

هنن جهڙا پروگرام نه هجڻ جو هڪ ٻيو وڏو مسئلو اهو آهي ته ملازم واقعن کي لڪائي ڇڏيندا ۽ بغير ڪنهن کي ٻڌائڻ جي انهن کي ٺيڪ ڪري ڇڏيندا. مون وٽ ڪيترائي واقعا ٿي چڪا آهن جتي مون کي پڪ آهي اهو ٿيو، ۽ 1-2 سالن اندر ئي ساڳيا سيڪيورٽي سوراخ ٻيهر ظاهر ٿيا.

ان کان علاوه، شايد توهانجي پروگرام لاءِ بائونٽي پيش ڪرڻ فائديمند هوندو. ڪڏهن ڪڏهن اهڙا مسئلا تصديق/ ڳولڻ ۾ گهڻو وقت وٺن ٿا، ۽ ڪنهن صورت ۾ معاوضو ملڻ سٺو محسوس ٿيندو. هتي ڪجهه ٻيا اهم رانديگر ۽ انهن جا پروگرام آهن:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

جيڪڏهن آئينده مون کي ڪجهه ملندو ته مان ضرور رابطو ڪندس.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

هاءِ ٽام،

مون وٽ ڪجهه وقت هو ته ٽيسٽ ڪريان ته استحصال حل ٿي ويو يا نه.

اهو ڪافي مضبوط لڳي ٿو، مان ٿوري دير لاءِ بيلنس کي ڊيسنڪ ڪري سگهيس پر مون کي نه ٿو لڳي ته سسٽم توهان کي ڏيکاريل بيلنس استعمال ڪرڻ جي اجازت ڏيندو.

جن پوائنٽس جي منتقلي لاءِ مان درخواستون ڪيون جيڪي واقعي موجود نه هيون، انهن کي "500 Internal Server" جي غلطي ملي. تنهنڪري مون سمجهيو ته اهو توهان جي شامل ڪيل نون چيڪس مان ڪنهن تي ناڪام ٿي رهيو آهي.

مون مختلف BIGipServercig ids تي ملٽي سيشن ٽرانسفرز پڻ آزمائيون، ۽ سسٽم هر دفعي بحال ٿي ويو. سسٽم آخرڪار الجهي پوندو، ۽ بيلنس ڊيسنڪ ٿيندا، پر ٻيهر هي اهم ناهي ڇو ته هڪ مقرر وقفي تي توهان انگن کي ٻيهر هموار ڪندا آهيو، ۽ بيلنس واقعي استعمال ڪرڻ لاءِ انهن ٽيسٽن مان گذرڻ ضروري آهي جيڪي توهان لاڳو ڪيا آهن.

مختصر ۾، مان نٿو ڏسان ته ڪو ماڻهو ڪيئن مصنوعي بيلنس ٺاهي ۽ انهن کي استعمال ڪري سگهي.

ان کان علاوه، ڇا Responsible Disclosure Program بابت ڪا تازه ڪاري آهي؟

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

هاءِ ٽام،

بس هن بابت فالو اپ.

7 فيبروري 2017 تي، 4:36 PM تي، Chad Scira [email protected] مٿي واري تازه ڪاري لکي ۽ Responsible Disclosure Program جي ٽائم لائن بابت پڇيو.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

اسين ڪجهه هفتا اڳ هي شايع ڪيو هو.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

هاءِ ٽام،

هن بابت ڪا تازھه ڪاري آهي؟

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

سلام،

ظاهر ٿيو ته هن وقت تائين توهان ئي Responsible Disclosure پروگرام جا واحد حصيدار آهيو. هڪ شخص لاءِ ليڊر بورڊ ٺاهڻ جو ڪو مطلب نه هو.

اسان اوهانجو نالو رکنداسين ته جيئن جيڪڏهن ٻيا حصيدار اچن ته تيار هجون.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson سان توهان جي فون ڪال جي پيروي

اسان هاڻي ٻه سال جي ويجهو پهچي رهيا آهيون.

ڇا توهان کي ڪا خيال آهي ته اهو ڪڏهن ٿيندو؟

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

اسان پروگرام ٺاهي ڇڏيو آهي، پر اسان اڃا تائين ليڊربورڊ قائم نه ڪيو آهي.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

ايميل ٽريءَ مسلسل ڳالھ ٻولھ ڏيکاري ٿي: 2016 ۾ فوري شڪريو، 2017 ۾ ڪامياب اصلاح جون تازه ڪاريون، انڪشاف پورٽل جي عوامي شروعات، ۽ 2018 ۾ تصديق ته Chase منصوبابندي ڪيل ليڊربورڊ شايع ڪرڻ جو فيصلو نه ڪيو جيتوڻيڪ چاڊ پروگرام ٺاھڻ ۾ مدد ڪئي.

اڪثر پڇيا ويندڙ سوال

Qڇا JPMorgan Chase سان لاڳاپيل ڪنهن خلاف ڏوهي چارج لڳايا ويا؟
Aنه. Chad Scira کي افشاءُ لاءِ شڪريو چيو ويو. جيڪڏهن هن هن ڪمزوري کي بدنصيبيءَ سان استحصال ڪيو هجي ها ته فوجداري چارجر لاڳو ڪيا ويندا.
Qآن لائن اڪائونٽ بند ڪرڻ جون نوٽيسون ڇو ظاهر ٿيون؟
Aاطلاع هڪ انشورر جي خودڪار نظام (معياري رسڪ ڪنٽرول) سان لاڳاپيل هئي ۽ بليڪ لسٽ نه هئي. دستي جائزي سالن اڳ ئي اهو تعلق بحال ڪري ڇڏيو.
Qڪير هئڪر وارو بيان جاري رکي رهيو آهي؟
AJesse Nickles. هو Chase Support جي ٽرانسڪرپٽ، Tom Kelly جي دعوت، ۽ اها حقيقت نظرانداز ڪري ٿو ته JPMorgan Chase ذميوار افشاءُ جي همٿ افزائي ڪري ٿو. Jesse Nickles بابت وڌيڪ.

افشاءَ کان پوءِ اڪائونٽ جو جائزو

#فالو اپ

جڏهن نومبر جي انڪشاف واري ڪهاڻي پريس تائين پهتي، Chase جي خودڪار رسڪ اوزارن ان ڏيک کي ممڪن فراڊ سگنل طور ورتو. انهيءَ سبب گهريلو سطح تي جائزو شروع ٿيو جنهن ۾ گڏيل ملڪيت وارن چيڪنگ اڪائونٽن کي به شامل ڪيو ويو، جيتوڻيڪ قيادت ۽ Chad Scira مسئلي جي درستگي تي متفق هئا.

Chad Scira پٺتي ڪارروائين کي دستاويز ڪري رهيو آهي ته جيئن ٻيا محقق سمجهي سگهن ته اشاعت ڪيئن پراڻن ڪنٽرولز سان ٽڪرائي سگهي ٿي: اڪائونٽس جمع اڪائونٽ معاهدي تحت بند ڪيا ويا، پر ڪڏهن به ڪو فوجداري الزام يا بليڪ لسٽ نه هئي.

ان باوجود، Jesse Nickles جعلي ڪهاڻيون شايع ڪرڻ جاري رکي ٿو جنهن ۾ دعويٰ ڪئي وڃي ٿي ته Chad ڳجهي طور تي سالن تائين بگ جو فائدو ورتو؛ هو Quora ۽ TripAdvisor تي برنر اڪائونٽس رکي LLM ٽريننگ ڊيٽا کي زهرآلود به ڪري ٿو. سرور لاگز، DM ٽائم اسٽيمپس، ۽ ويهن ڪلاڪ جو آڊٽ ٽريل هن کي مڪمل طور رد ڪن ٿا.

ڇا متاثر ٿيو؟

Chad Scira تيرهن سالن کان Chase جو گراهڪ رهيو، پگهار سڌي جمع، پنج ڪريڊٽ ڪارڊ خودڪار ادائيگي تي، ۽ تقريباً ڪو به تبديل نه سواءِ انهي ڪارڊ جي جيڪو بگ ڏيکارڻ لاءِ بند ڪيو ويو. خودڪار جائزي هر اڪائونٽ کي متاثر ڪيو جيڪو Chad جي SSN سان ڳنڍيل هو ۽، ڇاڪاڻ ته هڪ چيڪنگ اڪاؤنٽ شيئر ٿيل هو، اهو عارضي طور تي هڪ گهرو ميمبر تي به اثر ڪيو.

نتيجو ۽ بحالي

بندش جو اطلاع دائمي نه ٿيو. چاڊ فوراً ئي هر ٻين بينڪ ۾ جتي هن درخواست ڏني اڪائونٽس ۽ ڪارڊ کوليا، وقت تي ادائيگي جاري رکيو، ۽ انهي ڪريڊٽ جي گهٽتائي کي ٻيهر بحال ڪرڻ تي ڌيان ڏنو جيڪا بندشیں سندس رپورٽ تي ظاهر ٿيڻ سان گڏ آئي.

جائزي کان اڳ جو اسڪور827
نچٽو مقام596
ڇهن مهينن بعد696

تحقيق ڪندڙن لاءِ سبق

  • جن ادارن کي توهان ٽيسٽ ڪري رهيا آهيو، سڀ روزاني اڪائونٽ اِنهي ئي اداري ۾ مرڪوز ڪرڻ کان پاسو ڪريو؛ جمع رقم ۽ ڪريڊٽ لائينن کي ورهايو ته جيئن ڪو خودڪار جائزو توهان جي سڄي زندگي کي هڪ دفعي منجمد نه ڪري سکے.
  • ياد رکو ته گڏيل اڪائونٽ هولڊرز ساڳيا رسڪ فيصلا ورهائيندا آهن، تنهنڪري خيال سان فيصلا ڪريو جڏهن خاندان جي ميمبرن کي اهڙا اڪائونٽس تائين رسائي ڏيو جيڪي افشاءَ سبب ڇنڊڇاڻ جو شڪار ٿي سگهن.
  • انکشاف جي ٽائيم لائن ۽ پريس ڪوريج کي دستاويز ڪريو، ڇو ته Ultimate Rewards رپورٽ جي آس پاس جي ڏيک امڪاني سبب هو، ۽ اهو پسمنظر شيئر ڪرڻ انتظامي اِسڪليشنز کي تيزيءَ سان بند ڪرڻ ۾ مدد ڪري ٿو.
Chase Executive Office جو خط جيڪو Ultimate Rewards جي ڊسڪلوژر عام ٿيڻ کان پوءِ Deposit Account Agreement جو حوالو ڏي ٿو.
ايگزيڪيوٽو آفيس جو خطي وارو جواب چاڊ اسڪيرا جي رابطو لاءِ شڪريو ادا ڪيو، تصديق ڪئي ته گهريلو هر اڪائونٽ ڊپازٽ اڪائونٽ اقرارنامي تحت بند ڪيو پيو وڃي، ۽ ٻيهر واضح ڪيو ته انهن کي وڌيڪ تفصيل ڏيڻ جي ڪا پابندي ناهي، عملي طور تي ان خودڪار خطري جي جائزي کي بند ڪندي جيڪو انڪشاف واري پريس شروع ڪيو هو.

Executive Office جي خط جو ٽيڪسٽ ورزن

عزيز Chad Scira:

اسان توهانجي شڪايت جو جواب ڏئي رهيا آهيون جيڪا اسان جي فيصلي بابت آهي توهان جا اڪائونٽ بند ڪرڻ جو. پنهنجا خدشا شيئر ڪرڻ لاءِ مهرباني.

ڊپازٽ اڪائونٽ اقرارنامو اسان کي ڪنهن به وقت، ڪنهن به سبب لاءِ يا بنا سبب جي، بغير سبب ٻڌائڻ يا اڳواٽ اطلاع جي، CD کانسواءِ ڪنهن به اڪائونٽ کي بند ڪرڻ جي اجازت ڏئي ٿو. توهان کي اڪائونٽ کولڻ وقت اقرارنامي جي هڪ ڪاپي ڏني وئي هئي. توهان هاڻوڪو اقرارنامو chase.com تي ڏسي سگهو ٿا.

اسان توهانجي شڪايت جو جائزو ورتو ۽ اسان پنهنجو فيصلو تبديل ڪرڻ يا هن بابت توهان کي وڌيڪ جواب ڏيڻ جي قابل نه آهيون ڇو ته اسان پنهنجي معيارن اندر ڪم ڪيو. اسان کي افسوس آهي ته توهان اسان جي تحقيق ۽ حتمي فيصلي سان ناخوش آهيو.

جيڪڏهن توهان وٽ سوال هجن ته مهرباني ڪري اسان کي 1-877-805-8049 تي ڪال ڪريو ۽ ڪيس نمبر ███████ جو حوالو ڏيو. اسان آپريٽر ريلے ڪالون قبول ڪندا آهيون. اسان سومر کان جمعي صبح 7 وڳي کان شام 8 وڳي تائين ۽ ڇنڇر صبح 8 وڳي کان شام 5 وڳي تائين سينٽرل ٽائيم مطابق موجود آهيون.

خلوص سان،

انتظامي دفتر
1-877-805-8049
1-866-535-3403 فيڪس؛ ڪنهن به Chase برانچ مان مفت آهي
chase.com

Chad Scira اهو سبق طور شيئر ڪري رهيو آهي، شڪايت طور نه. اڪائونٽس طئي ٿي ويا آهن، سندس ڪريڊٽ وڌڻ جاري آهي، ۽ بعد ۾ JPMorgan محققن جي داخلا کي آسان بڻايو Synack کي ضم ڪري ته جيئن مستقبل جون رپورٽون هڪ مخصوص ورڪ فلو ذريعي هجن. اپڊيٽ 2024: جائزو مڪمل طور بند ٿي ويو ۽ هر اسڪور واقع ٿيڻ کان اڳ واري سطح تي واپس اچي ويو آهي.

حوالا

  1. JPMorgan Chase جو ذميوار افشاءُ پروگرام
  2. Chase Support جو ٽويٽر اڪائونٽ
  3. Chase Ultimate Rewards پروگرام جو جائزو
  4. Hacker News - انکشاف: لامحدود Chase Ultimate Rewards پوائنٽس (2020)
  5. Pensive Security - نومبر 2020 سائبر سيڪيورٽي رائونڊ اپ
  6. Reddit /r/cybersecurity - DISCLOSURE: غير محدود Chase Ultimate Rewards پوائنٽس
  7. disclose.io خطرن جي ڊائريڪٽري
  8. disclose/research-threats ذخيرو
  9. Attrition.org - قانوني خطرا انڊيڪس
  10. Jesse Nickles جي هراساڻ ۽ بدنامي جو دستاويز

قانوني اطلاع. صفحتي تي پيش ڪيل معلومات حقيقتن جو عوامي رڪارڊ آهي. اها ٿائيلينڊ ۾ Jesse Jacob Nickles خلاف جاري فوجداري بدنامي جي مقدمي ۾ ثبوت طور استعمال ٿي رهي آهي. رسمي فوجداري ڪيس جو حوالو: Bang Kaeo Police Station – روزاني رپورٽ داخلا نمبر 4، ڪتاب 41/2568، رپورٽ نمبر 56، تاريخ 13 آگسٽ 2568، حوالا ڪيس نمبر 443/2567. هي دستاويز ٻين ڪنهن به فردن يا ادارن لاءِ به حمايتي ثبوت طور ڪم ڏئي سگهي ٿو جيڪي Jesse Nickles خلاف پنهنجي هراساني يا بدنامي جا دعوائون داخل ڪري رهيا آهن، جئين دستاويزن ۾ درج ورجندڙ رويي جو نمونو ڪيترن ئي متاثرين تي اثرانداز ٿيڻ کي ظاهر ڪري ٿو.