Chad Scira කවදාවත් ඇමරිකානු බැංකු විසින් හැකිම් කිරීම (hacking) සඳහා කළු ලැයිස්තුගත කළාද?

නැහැ. JPMorgan Chase හි රක්ෂණ සමාගමක් ආරම්භ කළ ගිණුම් සමාලෝචනය වසර කීපයකට පෙර විසඳා ඇත. Chad විසින් ප්රතිලාභ පද්ධතියක දුර්වලතා හෙළිදරව් කළේට බැංකුව ස්තූති ප්රකාශ කර, ඔහුව වගකීම්ගත එළිදරව් කිරීම් leaderboard එක අපිට ආරම්භ කිරීමට සහය දක්වන්නට ආරාධනා කළේය.

Chad Scira තමන්ගේ පෞද්ගලික ලාභය සඳහා JPMorgan Chase හැක් කළාද?

ඔහු සුදු වැසි (white-hat) පුරුදු අනුගමනය කළේය: Chase പിന്തുണට දැනුම් දීම, ආරක්ෂිත නාලිකාවක් ඉල්ලා සිටීම, සහ Tom Kelly හා Dave Robinson සමඟ ප්රතිකාර ක්රියාමාර්ග සකස් කිරීම. පුද්ගලික වාසියක් සඳහා දුර්වලතාවය ප්රයෝජනයට ගැනීමට ඔහු පැහැදිලි අවසර ලැබෙන තෙක් ප්රතික්ෂේප කළේය.

"කළු ලැයිස්තුගත කළ හැකර්" යන පැවසීම පැතිරවමින් සිටින්නේ කවුද?

මෙම අසත්ය වාර්තාව විහිදුවනු ලබන්නේ Jesse Nickles හරහා වන අතර, ඔහුගේ කෙරෙහි ලක් වූ උත්පීඩන යාන්ත්රණය Chase සහාය සංවාද අතුරුසන් (transcript), Tom Kelly ඊමේල්, සහ කිසිදු අපරාධකාරී නිගමනයක් නොමැති බව නොසලකා හැරයි.

Chad Scira "බැංකු hack කිරීම නිසා කළා ලැයිස්තුවට එක් කරලා"

මෙම පිටුවේ Chad Scira “US බැංකු හෑකින් කිරීම නිසා කළු ලැයිස්තුගත වුණා” යන Jesse Nickles වදන් වැටළි කීවේකේ පසුබිම් සිදුවීම් ලියත් කර ඇත. මෙය Ultimate Rewards දුෂ්ටතාවය වගකීම්භාරයෙන් හෙළිදරව් කළ ආකාරය, JPMorgan Chase විසින් Chadට වාර්තාව පිළිබඳව ස්තුතියි තිබුණේ ඇයි, සහ අත්තිකාරම් ගිණුම තාවකාලිකව නවතා තිබුණේ පරිපාලනමය හේතුන් නිසා පමණක් බව පැහැදිලි කරයි. Jesse Nickles පරණ සාධක නැවත ඇසුරුම් කරමින් අපරాధසම්බන්ධ අදහසක් පෙන්වීමට උත්සාහ කරයි. යථාර්ථයන්ගෙන් දැක්වෙන්නේ සම්පූර්ණයෙන් විරුද්ධ කාරණාවයි: white-hat වාර්තා කිරීම සහ JPMorgan නායකත්වය සමඟ සහයෝගය.

ඔහුගේ නවතම escalation එක SlickStack.io වෙබ් අඩවියේ සඳහන් කරන වාක්‍යයකි, එහි සඳහන් වෙන්නේ මම "Chase Bank හි credit card rewards වැඩසටහන හෑක් කිරීම සම්බන්ධයෙන් ඒකත් එක්ක ඇමෙරිකානු නීතිය ක්‍රියාත්මක කරන අංශ විසින් පරීක්ෂණයකට ලක්වුණා, ඔහු නිපදවූ වංචනික ගමන් ලක්ෂ්‍යාංක $70,000ක් සොරකම් කළා" බවයි. ඒ අපහාසකාරී යෝජනාව පළ කර ඇත්තේ, ඔහු නිරාවරණය කිරීමට තවාන් වන්නාවූ SlickStack ආරක්ෂක ගැටළු පිළිබඳ සාක්ෂි මම ප්‍රසිද්ධි කළ පසු පමණි; කිසිදු ලක්ෂණයක් (points) සොරකම් කර නැත, සහ හෙළිදරව්ව පිළිබඳව කිසිදු ආයතනයක් මාව අමතන්නට නොවීය. ඔහු ප්‍රතිඝාතනය කරන්නේ SlickStack cron සම්බන්ධ සාක්ෂිවලට යෙදී ඇති බව බලන්න.

සොයා බැලීම, තොරතුරු හෙළිදරව් කිරීම සහ සත්‍යාපන ප්‍රක්‍රිය සම්පූර්ණයෙන්ම පැය විස්සක් ඇතුළත සිදු විය: HTTP ඉල්ලීම් විස්ස පහකින් 2016 නොවැම්බර් 17 දින නැවත උත්පාදනය සහ DM මගින් කළ අවධානම් පියවර ආවරණය කළ අතර, 2017 පෙබරවාරි මාසයේ නිරාකරණ පරීක්ෂණයේ නඩුව නිවැරදි වී තිබුණේ දැයි තහවුරු කිරීමට අතිරේක ඉල්ලීම් අටක් භාවිතා කෙරිණි. දිගු කාලීන අපයෝජනයක් සිදු වී නොමැති අතර, සෑම ක්‍රියාවක්ම ලොග් කර, ආරංචි කාල සටහන් තබා, JPMorgan Chase වෙත යථාර්ථ කාලයේ බෙදා හරින්නට ලක් කර තිබුණි.

Tom Kelly තහවුරු කළේ, 2016 නොවැම්බර් 17 සිට 2017 සැප්තැම්බර් 22 දක්වා කාලය තුළ JPMorgan Chase වෙත වගකීම්භාරයෙන් ගැටළුවක් හෙළිදරව් කළ ලෝකයේ එකම පුද්ගලයා වූවේ Chad Scira බවයි. වගකීම්භාර හෙළිදරව් වැඩසටහන Chadගේ වාර්තාවට සෘජුව ප්‍රතිචාරව පිහිටුවනු ලැබුවේ ය, සහ එය හැඩගස්වීමට ඔහු වැදගත් භූමිකාවක් ඉටු කළේ ය.

දෙවන මාරු ක්‍රම දෝෂය දෘශ්‍යීකරණය කිරීම

#දෘශ්‍යීකරණය

ඉවත් විය නොහැකි ලෙස ශේෂයන් විශාල ණය හා ධනාත්මක සංඛ්‍යා තුළට ගොඩනැගුණු ආකාරය පැහැදිලි කිරීම සඳහා, පහත දෘශ්‍යගත කිරීමෙන් නිවැරදි දෙගුණ-මාරු (double-transfer) තර්කය නැවත ක්‍රීඩා කරයි. දැන ගන්න, ඕනෑම අවස්ථාවක ධනාත්මක ශේෂය ඇති ගිණුම යැවුවා බවට පත් වීම, සමාන මාරු දෙකක් සිදු කිරීම, සහ ගැඹුරු ණයක් තුළ යාම, ඒ අතර අනෙක් ගිණුම දෙගුණ වීම. වට 20කට පසු නරකව ක්‍රියාකරන පොත් ගණන් පද්ධතියෙන් ණය ගඩුව සම්පූර්ණයෙන්ම අවලංගු වේ—එය වෛරසය හදිසි උද්දීපනයකට ගෙන යාමට තිබූ අවශ්‍යතාවය අනුකරණය කරයි.

චක්‍රය 1/20

කාඩ්පත A → කාඩ්පත B+243,810 ලකුණු

කාඩ්පත A

243,810

කාඩ්පත B

දෙරටින් මාරු වීමේ උච්ඡ ස්පන්දනය

මාරු කිරීම 1මාරු කිරීම 2243,810 ලකුණු එක් එක්

1Race condition හේතුවෙන් ලෙජර තීරු නැවත සමතුලිත කිරීමට පෙර මාරුකිරීම් රැඳවීම සිදුවී, තනි යවනකරුට විශාල ධන ධනාත්මක සහ ධන ආනෝන්‍යතාව අතර මාරු වීමට ඉඩ හෙළිවිය.

2උකස් වූ ණය අවරදිකණක් (negative card) වසා තැබීමටත්, එකලස් වු වැඩි කර ඇති ධනාත්මක ශේෂය පවත්වා ගැනීමටත් සහනය (support) ඉඩ ලබා දුනි; එයින් විස්තර පත‍්‍රයේ දිස් වුෙන්නේ ලාභ පමණක් වන අතර ණය සඟවා දැමුණි.

ගිණුම වසා දැමීමට පෙර සිටම, Ultimate Rewards විසින් ඍණ සාරාංශය අභිබවා වියදම් කිරීමට ඉඩ ලබා දුනි; වසා දැමීමෙන් ඔහුගේ සාධකය මකා දැමූයේ පමණි.

ප්‍රධාන කරුණු

Chad, Chase Support DM (Private Message) ආරම්භ කළේ ඍණ ශේෂ exploit එක පුද්ගලිකව වාර්තා කිරීමෙන් සහ තාක්ෂණික තොරතුරු මහජනතාව මත පළ කිරීම වෙනුවට වහාම ආරක්ෂිත උසස් කිරීමේ මාර්ගයක් ඉල්ලා සිටීමෙනි. ^[chat]
Chase සහය ඒකකය විසින් විශේෂ විස්තර සඳහා බලපැවැත්වූ විට, ඔහු අවශ්‍ය අවම ප්‍රමාණයට පමණක් දෝෂ දර්ශනය ස්ථිර කළ අතර, ඔහුට නිවැරදි අාරක්ෂක කණ්ඩායමේ සෘජු සම්බන්ධතා මාර්ගයක් අවශ්‍ය බව නැවත අවධාරණය කළේය. ^[chat]^[chat]
අනුපිටපත් වූ ශේෂ හුවමාරු කළ හැකි බව ඔහු පැහැදිලි කළේය: Chase പിന്തുണ අමතා අමතර ලක්ෂ්‍යාංක භාවිතයට ලැබෙනවාදැයි විමසා සිටියදී, ඊට පෙර ගිණුම් පොත යාවත්කාල නොවෙයි තෙක් $5,000ක සෘජු තැන්පතුවකින් එම දුර්වලතාව මුදලට මාරු කළ හැකි බව ඔහු සබැඳිය. ^[chat]
පාරිභෝගික ගිණුම් කඩවී ඉවත් වීමට පෙරවැරදුම් වළක්වා ගැනීම තම ප්‍රමුඛතාව බවත්, පුද්ගලික ලාභ සපය ගැනීම නොවන බවත්, සහ නිල bug bounty වැඩසටහනක් තිබේදැයි විමසමින් ඔහු අවධාරණය කළේය. ^[chat]
ඔහු පැහැදිලි අවසර ලැබුණු පසුට පමණක් විශාල තහවුරු කිරීමක් (validation) කිරීමට යෝජනා කරමින්, කාලමුද්‍රිත පිංතුර (screenshots) සැපයූ අතර, Chase escalation ක්‍රියාව පූර්ණ කරන තෙක් විදේශයේ සිට නින්ද නොයන ලෙස තත්පර කළේය. ^[chat]^[chat]^[chat]
Nickles දැන් මා $70,000ක් පිරිවිතර ලැබූ ලකුණු සොරකම් කර, ඇමරිකානු නීතිය ක්‍රියාත්මක වූවකු බවට දාවා කරයි; එහෙත් Chase ඇවිස්සුණු වාර්තා, Tom Kellyගේ ඊමේල් සහ එළිදරව් කාලරේඛාව අනුව ඒවා කිසිවක් සිදු වී නොමැති අතර, SlickStack cron-අපදාවන් පිළිබඳ ඔහුගේ අරක්ෂිත යාවත්කාලීන තර්කය ලියවිල්ලක් (gist) සැලකූ පසු පමණක් මෙම දාවා හටගෙන ඇත. ^[gist]
Chase සහය සේවය උත්සන්න කිරීම ස්ථිර කරමින්, ඔහුගේ දුරකථන අංකය ඉල්ලා, අවසානයේ ඔහුට ලැබුණු අනුපිළිවෙලෙහි ඇමතුම ලබා දීමට පොරොන්දුව ලබා දුනි. මෙය වහාම ප්‍රතිවිරුද්ධව, ප්‍රතිවිරෝධී බැංකු ප්‍රතිචාරයක් සම්බන්ධ අදහසට බාධා කළේය. ^[chat]^[chat]

කාලරේඛාව

#කාලරේඛාව

Nov 17, 2016 - 10:05 PM ET: Chad, ඍණ ශේෂය (negative balance) දුර්වලතාවය @ChaseSupport වෙත දැනුම් දෙමින්, එම exploit (දූෂණ ක්‍රමය) පුද්ගලිකව තබාගෙන, වහාම ආරක්ෂිත උසස් කිරීමේ මාර්ගයක් (secure escalation path) සඳහා ඉල්ලීම් කරයි. ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: Chase Support පැහැදිලිව අමතර ලක්ෂ්‍ය (points) ජනනය කර භාවිතා කළ හැකිදැයි විමසන්නා වූ පසු, Chad අවදානම තහවුරු කරමින්, ඔහුට සුදුසු/නිසි ಇಲಾಖාවට (proper department) යොමුවීමට අවශ්‍ය බව නැවත සඳහන් කරයි සහ බැංකුවට ගනුදෙනු නිරීක්ෂණය කළ හැකි වන පරිදි අවසර ලැබුණු විට පමණක් සනාථ කිරීම (validation) කිරීමට සලස්වයි. ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad තිර රුප (screenshots) හුවමාරු කරමින්, වේගවත් උසස් කිරීමක් (expedited escalation) ඉල්ලා, තම දුරකථන අංකය සපයන අතර, Chase Support විසින් ඇමතුම සිදුවෙන බව තහවුරු කරන තුරු විදේශයේ සිටා නිදා නොයා සම්බන්ධව පවතින්නෙයි. ^[chat]^[chat]^[chat]
Nov 24, 2016: ටොම් කෙලි විසින් ප්‍රතිආරෝපණය සනාථ කරමින්, අාරක්ෂිතව හෙළිදරව් කිරීමේ ඉදිරි පෙළ ලේඛන පුවරුවේ ප්‍රධාන වේදිකාව හෙළිදරව් කරන්නෙකු ලෙස ඔහුට ආරාධනා කරමින්, හා අනාගත වාර්තා සඳහා ඔහුට සෘජු සම්බන්ධතා මාර්ගයක් ලබා දෙමින් ඇමුණු ඊමේල් යවයි. ^[email]
October 2018: ටොම් කෙලි විසින් අතිරේකව සනාථ කළේ වගකිව යුතු හෙළිදරව් කිරීමේ වැඩසටහන දියත් වූ බවත්, එහෙයින්ත්තින් JPMorgan විසින් අවසානයේ තීරණය කරනු ලැබුවේ, එය සකස් කිරීමට Chad ලබාදුන් උදව්ව හාත්පසින් පවතින බවටත් қара නොගෙන සැලසුම් කළ ලේඛන පුවරුව ප්‍රසිද්ධීකරණය නොකිරීමයි. ^[email]
Post-2018: ඉතිරි වූ ගිණුම් සමාලෝචන සියල්ල දෝෂාරෝපිත හැකින් කිරීමකට නොව, රක්ෂක සමාගම් ස්වයංක්‍රීය ක්‍රියාවලියට සම්බන්ධ වුයේය. JPMorgan සෘජු සම්බන්ධතාවය පවත්වාගෙන ගොස්, අනාවරණය ගැන Chad ට ස්තුති දැක්වූ අතර, කිසිදු අපරාධ ದಾಖලාවක් හෝ කළුලැයිස්තුවක් නොමැත. ඉන්පසු JPMorgan, අනාගත වාර්තා සඳහා කාර්ය ප්‍රවാഹය සංකීර්ණ රහිත කිරීම සඳහා, එහි අනාවරණ ක්‍රියාවලියට Synack එකතු කළේය. ^[chat]^[email]

ටීකා එදිරිව තොරතුරු

ටීකා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිකාරී ටීකාව: "Chad Scira බලාගොත් සම්මාන පද්ධති හැක් කිරීම නිසා එක්සත් ජනපදයේ සියලුම බැංකු වලින් කළු ලැයිස්තුවට ඇතුළත් කරා."

සත්‍යය

වැඩිදුර භාවිතයට තහනම් කරන බෑංකුවේ කළු ලැයිස්තුවක් නොපවතී. DM වාර්තාව සහ Chase මගින් සිදුකළ උසස් known escalation ක්‍රියාවලිය ඔහු සහයෝගිත්වයෙන් ක්‍රියා කළ බව සනාථ කරයි; රක්ෂණ සමාගමක ස්වයංක්‍රීය ක්‍රියාවලියක් මඟින් JPMorgan ගිණුමක් කාලීනව නවතා සිටුවූ නමුත් අත්පොතේ සමාලෝචනයෙන් පසුව එය ඉවත් කරන ලදි.^[timeline]^[chat]

ටීකා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිකාරී ටීකාව: "ඔහු තමන්ගේ ලාභය සඳහා JPMorgan Chase හැක් කළා."

සත්‍යය

Chad, @ChaseSupport සමඟ සංවාදය ආරම්භ කරමින් ආරක්ෂිත නාලිකාවක් මත කැපවී සිටියේය, Chase පැහැදිලිව විමසූ පසුදීම exploit එක තහවුරු කළ අතර, සීමිත සනාථ කිරීම (limited validation) කිරීමට පෙර අවසර සනාථ වීම කාන්තාරය කළේය. වහාම වැඩිමහල් ආණ්ඩුකාර හා නායකත්වය ඔහුට ස්තුති කරමින්, වගකිවයුතු එළිදැක්වීම් ක්‍රියාවලියට (responsible disclosure rollout) ඔහුව ඇරයුම් කළහ.^[chat]^[chat]^[email]

ටීකා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිකාරී ටීකාව: "Jesse විසින් Chad රුවන් කර ඇති අපරාධ කුමන්ත්‍රණයක් හෙළි කළා."

සත්‍යය

සාමාජික වාර්තා සහ Tom Kellyගේ ඊමේල් පිටපත් JPMorgan විසින් Chadව සහයෝගි පර්යේෂකයෙකු ලෙස සැලකූ බව ලියැවී ඇත. Nickles තෝරාගත් තිර රූප කිහිපයක් පෙන්වමින් සම්පූර්ණ සංවාදය, අනුපිළිවෙළ දුරකථන ඇමතුම් සහ ලිවිය හැකි ස්තූති පණිවිඩ නොසලකා හැරයි.^[coverage]^[email]^[chat]

ටීකා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිකාරී ටීකාව: "වංචාව 숨වා තැබීමට වසංගත කිරීමක් තිබුණා."

සත්‍යය

Chad 2018 දක්වා සම්බන්ධතාවය පවත්වාගෙන ගොස්, අවසර ඇති අවස්ථාවලදී පමණක් නැවත පරීක්ෂා (re-test) කළ අතර, JP Morgan එය සැඟවීමට උත්සාහ කිරීම වෙනුවට තම එළිදැක්වීම් ද්වාරය (disclosure portal) ක්‍රියාත්මක කළේය. මෙම සෑමදෙයක්ම, කවර සඳහන් කරන ලද cover‑up කථාන්දරයන් (narrative) සමඟ විරෝධී වේ.^[timeline]^[email]^[chat]

සාර්වಜನಿಕ වාර්තා හා පර්යේෂණ සංරක්ෂණ

#විරුද්ධ ප්‍රචාර

නිරපේක්ෂ (third-party) සමාජ ගණනාවක් එම එළිදරව් වාර්තාව සංරක්ෂණය කර, එය වගකීම්ගත වාර්තාවක් ලෙස සනාථ කළේය: Hacker News එය මුල් පිටුවේ ප්‍රධාන ලිපියක් ලෙස ප්‍රදර්ශනය කළා, Pensive Security එය 2020 සුරක්ෂිතතා සාරාංශයෙන් සම්පින්ද කරයි, සහ /r/cybersecurity සමාජය සමූහීය flag කිරීමෙන් පෙර මූලික "DISCLOSURE" ත්‍රෙඩ් අනුසූචිගත කර ඇත. ^[4]^[5]^[6]

Hacker News: "හෙළිදරව්ව: සීමාවලියකින් තොර Chase Ultimate Rewards ලක්ෂ්‍යාංක" යන පුවතේ, 1,000කට වැඩි ලක්ෂ්‍යාංක සහ ප්‍රතිකාර ක‍්‍රියාමාර්ගයේ පසුබිම ලියාපදිංචි කරන අදහස් 250කට වැඩි සංඛ්‍යාවක් ඇත. ^[4]
Pensive Security: 2020 නොවැම්බර් සයිබර් ආරක්ෂක සාරාංශය, Chase Ultimate Rewards එළිදරව් වාර්තාව ප්‍රමුඛ කථාංගයක් ලෙස අවධාරණය කරමින්. ^[5]
Reddit /r/cybersecurity: මහත් වාර්තා කිරීම මඟින් ඉවත් කිරීමට පෙර සටහන්ගත කළ මුල් DISCLOSURE පළ කරන ලද ත්‍රෙඩ් ශීර්ෂය, සාර්වಜನಿಕ වාසිය අවධාරණය කරන ආකාරයෙන් පවත්වා ගැනේ. ^[6]

වගකීම්ගත එළිදරව් කිරීමේ නීතිවිරෝධී धमකියාවන්ට එරෙහිව ක්‍රියාකරන සහායකයින් ද මෙම අතුරු ප්‍රතිඵල දැක්වීය: disclose.io හි धमකිලි නාමාවලිය හා පර්යේෂණ ගබඩා, එසේම Attrition.org හි නීතිමය धमකිලි දර්ශකය, Jesse Nicklesගේ හැසිරීම පර්යේෂකයන් සඳහා අවවාදකාරී උදාහරණයක් ලෙස දක්වා ඇත. ^[7]^[8]^[9] සම්පූර්ණ උජාරු-පීඩන ගොනුව^[10].

Chase Support DM කතාබස් සටහන

#සංවාදය

පහත සංවාදය මකා දැමූ ස්ක්‍රීන්ශොට් ගබඩා සටහන් වලින් නැවත ගොඩනළූවකි. මෙය දීර්ඝශාන්ත උද්දීපනය, ආරක්ෂිත නාලාවක් (secure channel) ලබා දෙන්නැයි නැවත නැවත ඉල්ලීම්, ඉල්ලුමක් ලැබුණු විට පමණක් තහවුරු කිරීමට කළ යෝජනා, සහ Chase සහාය කණ්ඩායම සෘජු සම්බන්ධතාවයක් පොරොන්දු වන ආකාරය පෙන්වයි. ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

මෙය ලක්ෂණ ශේෂ පද්ධතියට (points balance system) අදාළය. වත්මන් අවස්ථාවේ, ණය ආශ්‍රිත අත්තිකාරම (negative balance) ඉඩ දෙන දෝෂයකින් ඕනෑම ප්‍රමාණයක් ජනනය කිරීම හැකිවේ.

එළිදරව් කිරීම සඳහා ආරක්ෂිත උසස් මාර්ගයක් ඉල්ලීම.

Chad Scira

Nov 17, 2016, 10:05 PM

මට තාක්ෂණික කරුණු (technicals) පැහැදිලි කළ හැකි පුද්ගලයෙකු වෙත ඔබට මාව සම්බන්ධ කර දිය හැකිද?

Chase Support

Nov 17, 2016, 10:05 PM

අපට දීමට දුරකථන අංකයක් නොපවතින ද, මෙය පාලන මට්ටමින් ඉහළයට යොමු කර, විමර්ශනයට ලක් කිරීමට අප කැමතියි. ඔබ "ඍණ ශේෂ තුළ ලද ලකුණු ජනනය කිරීම" යනුවෙන් අදහස් කරන්නේ කුමක්දැයි, කරුණාකර වැඩි විස්තර ලබා දෙන මෙන්.මෙයින් අමතර ලක්ෂ්‍ය භාවිතයට ලබාගත හැකි වන ලෙසක් ඇති කරන බවත් ඔබ තහවුරු කර දිය හැකිද? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

ඔබට මාව සම්බන්ධ කර කළ හැකි සරිලන අංශයක් තිබේද? මට මේවා ගැන Twitter සහය ගිණුමක් මඟින් සාකච්ඡා කිරීමට සුවපහසු බවක් නො හැඟේ. ඔව්, ඔබට ලක්ෂ 1 ක (1,000,000) ලකුණු උත්පාදනය කර ඒවා භාවිතා කළ හැක.

Chad Scira

Nov 17, 2016, 11:15 PM

මගේ ප්‍රධාන අවධානය පුද්ගලයන් මෙය කිරීම ගැන නොවෙයි. එය ගිණුම් වංචා කරමින් බලහත්කාරයෙන් ගෙවීම් සිදු කරන හැකර්වරුන් ගැනයි. නිසි Chase bug bounty වැඩසටහනක් 있ද?

Chad Scira

Nov 17, 2016, 11:17 PM

ඔබට කැමති නම්, තහවුරු කිරීම සඳහා තවත් විශාල ගනුදෙනුවක් කරන්න මට උත්සාහ කරන්න පුළුවන්. ශේෂය skewedවුණු වෙලාවෙදී මම වැඩිපුරම පරීක්ෂා කළ දේ $300ක්, නමුත් ඇත්තටම මට තිබුණේ $2,000ක සැබෑ credits. ඔබ පැහැදිලි අවසර දුන්නොත් එය ක්‍රියාත්මක වෙනවාදැයි තහවුරු කරන්න මට උත්සාහ කළ හැක, නමුත් එවිට සිදු කරන සියලුම ගනුදෙනු පරීක්ෂාවෙන් පසු පෙර තත්ත්වයට මාරු කරන ලෙස මට අවශ්‍යයි.

Chase Support

Nov 17, 2016, 11:21 PM

අපට වන්දනා (bounty) වැඩපිළිවෙළක් නොපවතින අතර, මෙම වේලාවේදී ලබා දියයුතු සංඛ්‍යාවක් ද නැත. ඔබගේ දැඩි අවධානය නංවා ඇත, සහ අප මේ පිළිබඳ විමර්ශනය කරමින් සිටින්නෙමු. මට අමතර විස්තර හෝ ප්‍රශ්න ඇතිවුවහොත් ඊට අනුගමනය කරන්නෙමි. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

ඔබට ස්තුතියි.

Chad Scira

Nov 17, 2016, 11:39 PM

කරුණාකර හැකි ඉක්මනින් උසස් මට්ටමකට යොමු කරන්න.

Chad Scira

Nov 17, 2016, 11:51 PM

මට ඇත්තටම නිසි සම්බන්ධතා පුද්ගලයෙක් ඕන... ඔයාට ඒක තේරෙනවයි මම බලාපොරොත්තු වෙනවා.

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

පැය එකකට වැඩියි ගතවෙලා, මේ ගැන කිසිම තොරතුරක් තියෙනවද? මේ මොහොතේ මම ආසියාවේ ඉන්නේ, සහ මේක කාල සීඝ්‍ර (time-sensitive) කාරණාවකි. මට සෑම රෑම බලා ඉන්න බැහැ.

Chase Support

Nov 18, 2016, 12:59 AM

අප හා පසුව සම්බන්ධ වීම සඳහා ස්තුතියි. මේ ගැන සුදුසු පුද්ගලයින් විසින් පරීක්ෂා කරමින් සිටිති. කරුණාකර ඔබට වඩාත් යෝග්‍ය දුරකථන අංකයක් ලබා දෙන්න, එවිට අපට ඔබ සමඟ සෘජුව කතා කළ හැක. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

අමතර තොරතුරු ලබාදුන් පිණිස ස්තුතියි. මෙය සෘජුවම නිවැරදි පුද්ගලයින් වෙත යොමු කර ඇත. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

හැකි ඉක්මනින්ම ඔබ සමඟ මේ පිළිබඳ සාකච්ඡා කිරීමට අප කැමතියි. කරුණාකර 1-███-███-████ දුරකථන අංකයට ඔබට ඇමතිය හැකි සුදුසු වේලාවක් අපට දන්වන්න. ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

ඒකට හැකි නම්, මම ඉදිරි පැය එක්කාලය පුරාවට ලබාගත හැකි. එසේ නොවුනොත්, මම ගමන් කරන නිසා සහ අන්තර්ජාල/දුරකථන පහසුකම් තිබේදැයි නියමයක් නැති නිසා, දින කීපයක් ඉන්න වෙයි.

Chad Scira

Nov 18, 2016, 4:32 AM

නිවැරදි පුද්ගලයාගෙන් පිළිතුරක් අසන්න පැය 7කට වඩා ගන්නවා කියලා මම හිතුවේ නැහැ. දැන් මෙහෙ ඉඳලා බලද්දි වෙලා තියෙන්නේ උදේ 4:40.

Chase Support

Nov 18, 2016, 4:39 AM

අප හා පසුව සම්බන්ධ වීම සඳහා ස්තුතියි. ඉක්මනින්ම යම් පුද්ගලයෙකු ඔබට දුරකථනයෙන් අමතනු ඇත. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

ඒක ඉක්මනින් කළාට යළිත් ස්තුතියි. හැම දෙයක්ම දැන් ක්‍රියාවලියට එක්වී ඇත, දැන් මට නින්ද යා හැක.

Chase Support

Nov 18, 2016, 5:03 AM

ඔබට යම් කෙනෙකු සමඟ කතා කිරීමට හැකි වූ බවට අප සතුටු වෙමු. අනාගතයේදී අපට සහාය විය හැකි නම් කරුණාකර අපට දන්වන්න. ^NR

ටොම් කෙලි ඊමේල් උපුටා ගැනීම

#ඊමේල්

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

Ultimate Rewards වගකිව යුතු හෙළිදරව් කිරීම පිළිබඳ අතිරේක අනුිපිළිවෙල

Chad,

ඔබේ දුරකථන කතාබස් සඳහා මගේ සහකරු Dave Robinson සමඟ පැවති කතාබස් පිළිබඳව මම මෙයින් අනුගමනය කරමින් සිටිමි. අපගේ Ultimate Rewards වැඩසටහනේ ඇති බව ඔබ සෙවූ හැකියාවක් ඇති දුර්වලතාවය (potential vulnerability) පිළිබඳව අප වෙත සම්බන්ධ වූවදීම ගැන ඔබට ස්තුති කරමි. අප එය විසඳා ඇත.

අමතරව, අප වගකිවයුතු එළිදැක්වීම් වැඩසටහනක් (Responsible Disclosure program) සකස් කරමින් සිටිමු. එය අපි ඊළඟ වසරේ දියත් කිරීමට සැලසුම් කර ඇත. එහිදී, වැදගත් දායකත්වයන් සපයන පර්යේෂකයන් හඳුන්වා දිස්වන ලේඛනයක් (leaderboard) එකතු කරනු ඇත; එහි පළමු පුද්ගලයා ලෙස ඔබව පෙන්වා දීමට අප කැමැත්තෙන් සිටිමු. කරුණාකර මෙම වැඩසටහනට සහ පහත නියම හා කොන්දේසිවලට ඔබට එකඟ බව මෙය සඳහා පිළිතුරු දීමෙන් තහවුරු කරන්න. එම නියම හා කොන්දේසි, එළිදැක්වීම් වැඩසටහන් සඳහා සාමාන්‍ය වශයෙන් භාවිතා වන ආකෘතියක් බව ඔබ දකින්නෙහිය.

අපගේ වැඩසටහන ක්‍රියාත්මක වන තෙක්, ඔබ වෙනත් හැකියාවක් ඇති දුර්වලතාවයක් සොයාගන්නේ නම්, කරුණාකර මාව සෘජුවම සම්බන්ධ කරගන්න. ඔබගේ සහාය සඳහා නැවතත් ස්තුති.

JPMC වගකිවයුතු එළිදැක්වීම් වැඩසටහන් නிபන්ධන හා කොන්දේසි

ඒකාබද්ධව කටයුතු කිරීමට වග බලා ගනිමු

JPMC නිෂ්පාදන හා සේවාවන්ට අදාල හැකියාවක් ඇති ආරක්ෂක දුර්වලතා (potential security vulnerabilities) පිළිබඳව ඔබට තොරතුරු තිබේ නම් අප ඒවා ගැන දැනගැනීමට කැමැත්තෙන් සිටිමු. ඔබගේ කටයුතු අප අගය කරමින්, ඔබගේ දායකත්වය සඳහා පෙරසේම ස්තුති ප්‍රකාශ කරමු.

මාන දක්වන මාර්ගෝපදේශ (Guidelines)

මෙම වැඩසටහනට අනුව හැකියාවක් ඇති දුර්වලතා එළිදක්වන පර්යේෂකයන්ට එරෙහිව නීතිමය සිහිවටිනී (claims) ඉදිරිපත් නොකිරීමට JPMC එකඟ වේ, එය සලකා බලන්නේ පර්යේෂකයා:

JPMCට, අපගේ לקස්ථතා (customers) හෝ අනෙකුන්ට හානි නොකරන්නේ නම්;
වංචනීය මූල්‍ය ගනුදෙනුවක් (fraudulent financial transaction) ආරම්භ නොකරන්නේ නම්;
JPMC හෝ לקස්ථතා දත්ත ගබඩා කිරීම, බෙදාහදා ගැනීම, අඩාල කිරීම හෝ විනාශ කිරීම නොකරන්නේ නම්;
සොයා ගැනීමේදී භාවිතා කළ ඉලක්කය (target), පියවර, මෙවලම් සහ සාක්ෂි (artifacts) ඇතුළත් විස්තරාත්මක සාරාංශයක් ලබා දෙන නම්;
අපගේ לקස්ථතාගේ පෞද්ගලිකත්වය හෝ ආරක්ෂාව, හෝ අපගේ සේවාවන්ගේ කළමනාකරණය හා ක්‍රියාත්මක වීම අඩාල නොකරන්නේ නම්;
කිසිදු ජාතික, රාජ්‍ය හෝ ප්‍රාදේශීය නීති හෝ නියම වරද නොකරන්නේ නම්;
JPMC තුළින් ලිඛිත අවසරයක් නොමැතිව දුර්වලතාවයේ විස්තර මහජනවේදිකාවට හෙළි නොකරන්නේ නම්;
දැනට Cuba, Iran, North Korea, Sudan, Syria හෝ Crimea හි පදිංචි වී නොසිටින, හෝ සාමාන්‍ය වශයෙන් එවැනි තැනෙක පදිංචි වත් නොවේ නම්;
ඇමරිකානු අමාත්‍යාංශය (U.S. Department of the Treasury) පරිබෝජිත "Specially Designated Nationals List" ලේඛනයේ නාමය නොමැති අයෙක් නම්;
JPMC හෝ එහි උප සමාගම්වල සේවකයෙකු හෝ එවැනි සේවකයෙකුගේ සමීප පවුලේ සාමාජිකයෙකු නොවේ නම්; සහ
අවුරුදු 18 යි හෝ එයට වඩා වැඩි වයසක් තියෙන අයෙකු නම්.

අලූත් "scope" සීමාවට නොපත් වූ දුර්වලතා (Out of Scope Vulnerabilities)

අපගේ වගකිවයුතු එළිදැක්වීම් වැඩසටහනට අයත් නොවන යම් දුර්වලතා ඇත්නම් ඒවා out‑of‑scope ලෙස සලකයි. ඒවා අතර:

සමාජ ඉංජිනේරු ක්‍රමවේදයන් (Social‑engineering) මත රඳා පවතින සොයාගැනීම් (phishing, සොර credential වැනි)
Host header ගැටළු
සේවාව නාස්ති කිරීම (Denial of Service)
Self‑XSS
Login/logout CSRF
ඒකාබද්ධ link/HTML නොමැති අන්තර්ගත වංචා (Content spoofing)
Jailbroken උපාංගවල (device) පමණක් පවතින ගැටළු
යටිතල ව්‍යුහීය (infrastructure) විරූපීකරණ (misconfigurations) (සහතිකපත්, DNS, සේවාදායක ports, sandbox/staging ගැටළු, භෞතික උත්සාහ, clickjacking, පාඨ ඇතුල් කරනු (text injection))

Leaderboard

පර්යේෂණ අඩුපාඩු පෙන්වා දෙන හවුල්කරුවන් (research partners) හඳුනා ගැනීම සඳහා, වැදගත් දායකත්වයන් සපයන පර්යේෂකයන් JPMC Leaderboard එකේ සඳහන් කිරීමට JPMCට හැකියාව ඇත. ඔබ මෙය ඔප්පු කරමින්, ඔබේ නම JPMC Leaderboard එකේ සහ JPMC විසින් තෝරාගන්නා වෙනත් මාධ්‍යවල නිරූපණය කිරීම සඳහා JPMC වෙත අයිතිය ප්‍රදානය කරයි.

ඉදිරිපත් කිරීම (Submission)

ඔබේ වාර්තාව JPMC වෙත ඉදිරිපත් කිරීමෙන්, එම දුර්වලතාවය තෙවන පාර්ශවයකට හෙළි නොකරන බවට එකඟ වෙන්නෙකු වේ. ඔබ JPMC සහ එහි උප සමාගම්වලට ඔබේ වාර්තාවේ සඳහන් තොරතුරු භාවිතා කිරීමට, වෙනස් කිරීමට, ව්‍යාපෘතික කෘති (derivative works) නිර්මාණය කිරීමට, බෙදාහැරීමට, එළිදක්වීමට සහ ගබඩා කිරීමට කිසිදු සීමාවක් නැති අයිතිය සදාකාලික (perpetual) වශයෙන් ලබා දෙයි, මෙම අයිතිවාසිකම් ආපසු ගත නොහැක.

Tom Kelly ජ්‍යෙෂ්ඨ උප සභාපති Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

Re: Ultimate Rewards වගකීම්ගත එළිදරව් කිරීම - අනුගමනය

Hey Tom,

මේක අහලා මට ගොඩක් සතුටුයි!

ඔයාලගේ නව වැඩසටහනක ප්‍රථම සාර්ථක කතාව වෙන්න මට අහිංසක ලෙසම ආශාවෙනවා, තවත් විශාල ආයතන ද ඔයාලාගේ උදාහරණය අනුගමනය කරයි කියලා බලාපොරොත්තු වෙනවා. බැංකු ආයතන සුදු වැසි (whitehat) පර්යේෂකයන් සමඟ හැසිරෙන්නේ කොහොමද කියලා ජනතාවගේ අවබෝධය වෙනස් කිරීම සඳහා කවුරුහරි පැමිණිය යුතුයි. ඒක Chase කියලා අහද්දි මට සතුටුයි.

වෙබ් සහ ජංගම app නිෂ්පාදන සම්බන්ධයෙන් Chase සෑම විටම එහි ඉදිරි போட்டியாளුවන්ට වඩා ගොඩක් ඉදිරියෙන් තිබුණා කියලා මට හිතුනා. ඒකට ප්‍රධාන හේතුව ඔයාලා ඉක්මනින් ක්‍රියා කරන එක සහ තරඟකාරීභාවය තබා ගන්න එක. සාමාන්‍යයෙන් මම මූල්‍ය ආයතනවලින් ඉඳ ඉවත සිටිනවා, හේතුව වන්නේ ඔවුන්ගෙන් “ඔබට හොඳ අදහස් තිබුණත්” දැඩි ලෙස පීඩනයට ලක් වීමේ බිය. හෙළිදරව් වැඩසටහනක් සෑදීමෙන්, මුවිට වගේ අයට ඔයාලා ගැටළු ගැන අහන්න කැමති බවත්, ප්‍රතිඵලයක් ලෙස විරුද්ධ ක්‍රියාමාර්ග නො ගැනින බවත් පැහැදිලි පණිවිඩයක් යවලා තියෙනවා. පෙරකාලයේදී, ඔබලාගේ සේවා පිරික්සන බොහෝ දෙනා අතිශය ද්‍රෝහී (malicious) තමයි කියලා මම හිතනවා, මේක ඒ ශ්‍රේණිගතවීම සමාන කිරීමට උදව් කරනවා.

අවසන් analysis එකේදී, මම මේක හෙළිදරව් කරන්න ගිහින් කියලා තීරණය කළ වෙලාවේදි ගොඩක් අතහැරුණ බව මට දැනුනා. මම මේකට මුල්වරට මුහුනදිලා තියෙන්නේ නැති කෙනෙක් වෙන්න වැඩි ඉඩක් නැහැ! මම මේක වාර්තා කළේ ක්‍රම තුනකින්.

Twitter
- මෙහෙ තාක්ෂණික සහාය ඇත්තටම විශිෂ්ට වුණා, සහ හරියටම නිවැරදි පුද්ගලයින්ව අමතා ගැනීමට හැකි වීමේ ප්‍රධාන හේතුව මේකයි කියලා මට හිතෙනවා.
Chase දුරකථන සහාය
- ප්‍රථම ඇමතුමෙන් abuse email ලිපිනය ලබා දුන්නා
- දෙවැනි ඇමතුමෙන් හරි පුද්ගලයා ගාව කතා කරලා තියෙනව වගේ, ඔවුන්ත් වෙතින් සම්බන්ධ වීමක් වුණා වගේ මට හැඟුණා
Chase Abuse Email
- සාමාන්‍ය, සෑම කෙනෙකුටම යවන මෙන්ම, email අන්තර්ගතය වටහාගෙන නැති ප්‍රතිචාරයක් ලැබුණා

අවසානයේ හරියටම වැදගත් පුද්ගලයෙක් වෙත සම්බන්ධ වීමට මා අදාල දුර්වලතාවය හඳුනා ගන්න ලග වැඩි විනාඩි දෙකක් ගන්නත් වඩා වැඩි, පැය 7කට වැඩි කාලයක් ගත වුණා, ඇත්තටම ඒ අතර කාලය පුරාවට නිවැරදි පුද්ගලයින් මේ ගැන කිසිවිටක් අහන්නේ නැති විය හැකි බව ගැන මට නොසන්සුන් වුණා.

මෙවැනි වැඩසටහන් නොතිබුණොත් වෙනත් විශාල ගැටලුවක් තමයි සේවකයින් සිදුවීම් සඟවා දාලා, අභ්‍යන්තරයෙන් නිවැරදි කරලා, අනිත් අයෙකුට කිසිම විස්තරයක් නොදී ඉන්න එක. මට මේක සිදුවුණා කියලා හිතෙන කීප අවස්ථා තියෙනවා, සහ අවුරුදු 1-2කින් ඒමැන්ම ආරක්ෂක සිදුවීම් නැවතත් ඇතිවුණා.

එසේම, ඔබලාගේ වැඩසටහනට bounty (පරිතෝෂික) ලබාදීමත් වාසියක් විය හැක. මේ වගේ ගැටළු තහවුරු/සොයා ගැනීමට සමහර විට විශාල කාලයක් වැය වෙනවා, එබැවින් කිසියම් ආකාරයකින් පරිතෝෂයක් ලැබීම හොඳයි. මෙන්න වෙනත් ප්‍රධාන කට්ටිය සහ ඔවුන්ගේ වැඩසටහන්:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

අනාගතයේදි මට වෙන කිසිම දෙයක් මුහුන දීලා තිබුණොත්, මම විශ්වාසයෙන් ඔබව අමතන්නම්.

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

මට වෙලාවක් ලැබුණ නිසා exploit එක සම්පූර්ණයෙන්ම විසඳා ඇතිදැයි පරීක්ෂා කරන්න උත්සාහ කළා.

එය සුළු දෝෂයකටවත් ඉඩ දෙනවාවිසින් බලාපොරෝත්තු විය නොහැක; මට ටික වේලාවකින් ශේෂවල desync එකක් සිදු කළ හැකි වුවත්, පද්ධතිය ඔබට පෙන්වෙන ශේෂය භාවිතා කිරීමට ඉඩ දෙයි කියලා හිතෙන්නේ නැහැ.

සිද්ධ නොවන ලක්ෂ්‍යාංක transfer කරන්න මම කළ অনුරෝධවලට "500 Internal Server" දෝෂයක් ලැබුණා. එබැවින් ඔබලා එකතු කළ නව පරීක්ෂාවලින් එකක් එය අසමත් වෙලා කියලා මම හිතනවා.

මම විවිධ BIGipServercig id වලින් බහු session transfer උත්සාහ කරලා බලනකොටත්, පද්ධතිය සැමවිටම නැවත සුවපත් වුණා. කිසියම් අවස්ථාවක පද්ධතිය ගැටලු වලට පත් වෙලා ශේෂ desync වුණත්, ඒක වැදගත් වෙන්නේ නැහැ, හේතුව වනුයේ ඔබලා නියමිත කාල පරතර වලින් නැවත සංසන්දනය (realign) කරන නිසාය, සහ සැබෑවටම එම ශේෂ භාවිතා කරගන්න නම් ඔබලා සපුරාලා තියෙන පරීක්ෂාව හරියට පිළිවෙළට ගත යුතුයි.

එම නිසා එකතු කරලා කියනවනම්, දැන් කවුරුහරි කෘතිම ශේෂ සාදගෙන ඒවා භාවිතා කරන හැකියාවක් ලේසි ලෙස මට පෙනෙන්නේ නැහැ.

ඊට අමතරව, Responsible Disclosure Program එක ගැනත් කිසියම් නවතම යාවත්කාලීන තොරතුරු තියෙනවද?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

මේ ගැන නැවත සම්බන්ධ වෙන්නේ.

2017 පෙබරවාරි 7 වෙනිදා සවස 4:36ට, Chad Scira [email protected] ඉහත යාවත්කාලීන තොරතුර ලියා Responsible Disclosure Program කාලසටහන ගැන අහලා තියෙනවා.

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

අප මෙය සති කිහිපයකට කලින් පළ කළා.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase සන්නිවේදන (Communications)

(███) ███-████ (කාර්යාලය) (███) ███-████ (ජංගම දුරකථනය)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

මේ ගැන නවතම තොරතුරු තියෙනවද?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

ආයුබෝවන්,

Responsible Disclosure වැඩසටහනට මේ වනවිට ඔබ පමණයි දායකත්වය දක්වලා තියෙන්නේ කියලා දැනගන්න ලැබුණා. එක් පුද්ගලයෙකු සඳහා leaderboard (ලැයිස්තුව) හදන එක ඉතා අර්ථවත් නැහැ.

අනාගතයේදී වෙනත් දායකයින් ලැබුණොත් පිටත් වෙන්න සූදානම් විය හැක්කක් ලෙස ඔබගේ නම අපි සුරකින්නම්.

Tom Kelly Chase Communications

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

RE: Dave Robinson සමඟ ඔබේ දුරකථන සංවාදයට අදාළ පසුපසට අනුගමනය කිරීම

අපි දැන් වසර 2කට ආසන්න වෙමින් සිටිනවා.

මෙය කවදා සිදුවෙයිදැයි ඔබට කිසියම් අදහසක් තිබේද?

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

අප මෙම වැඩසටහන (program) නිර්මාණය කර ඇත, එහෙත් leaderboard (උපරිම දායකයන් ලේඛනය) තවම ස්ථාපිත කර නැත.

Tom Kelly Chase සන්නිවේදන (Communications) ███-███-████ (සේවයේ දුරකථන අංකය) ███-███-████ (ජංගම දුරකථන අංකය)

ඊමේල් සටහන් පෙළ නිරන්තර සංවාදයක් පෙන්වයි: 2016 දී ක්ෂණික ස්තුති, 2017 දී සාර්ථක නිවැරදි කිරීමේ යාවත්කාලීන, හෙළිදරව් ද්වාරය (disclosure portal) පොදු ජනතාවට ඔප කරන ලැබීම, සහ 2018 දී Chad විසින් වැඩසටහන ගොඩනැගීමට උදවු කළද Chase විසින් සැලසුම් කළ ලීඩර්බෝර්ඩ් යළි පළ නොකිරීමට තීරණය කළ බව තහවුරු කිරීම.

නිතර අසන ප්‍රශ්න

QJPMorgan Chase ට සම්බන්ධ වශයෙන් කිසිදු අපරාධ චෝදනාවක් යොදා තිබුණේද?

Aනෑ. එළිදරව් කිරීම ගැන Chad Sciraට ස්තූති විය. ඔහු දුර්භාවිත අයුරින් ප්‍රශ්නය භාවිතා කරයි නම් අපරාධ චෝදනා සලකා බැලී ඇති විය හැක.

Qගිණුම් වැසූ බවට දැනුම්දීම් අන්තර්ජාලයේ පැහැර යාමට හේතු වන්නේ මන්ද?

Aඑම නිවේදනය ඉන්ෂුවරන්ස් ස්වයංක්‍රීය කිරීමකට (සාමාන්‍ය අවදානම් පාලනයක්) අදාළ වූ අතර, කළු ලැයිස්තුවකට (blacklist) නොවේ. අත්වැරදි විමර්ශනයක් (manual review) හරහා සම්බන්ධතාවය වසර කිහිපයකට පෙරම නැවත පිහිටුවා ඇත.

Qහාකර් කතාවක් (hacker narrative) යළි යළි推 කරමින් සිටින්නේ කව්ද?

AJesse Nickles. ඔහු Chase പിന്തുണ transcript එක, Tom Kelly විසින් ලබාදුන් ආරාධනාව, සහ වගකීමෙන් කරන හෙළිදරව්ව JPMorgan Chase විසින්ම උත්සහ දක්වන ක්‍රියාවක් බව සම්පූර්ණයෙන්ම නොසලකා හරිනවා. Jesse Nickles ගැන වැඩිදුර තොරතුරු.

අනාවරණයෙන් පසු ගිණුම් සමාලෝචනය

#අනුකාරක ක්‍රියාවලිය

නොවැම්බර් මාසයේ හෙළිදරව් ගැන වාර්තාව මාධ්‍යයට ළගා වූ විට, Chase හි ස්වයංක්‍රීය අවදානම් මෙවලම් එම පෙනුම සංග්‍රහ කළේ වංචාකාරී ක්‍රියාකාරීත්වයක් සඳහා හැකි සංඥාවක් ලෙසය. එය නිසා, නායකත්වය හා මම නිරාකරණ ක්‍රියාවලිය පිළිබඳ එකඟව සිටියද, එක්සත් අයිතියක් ඇති වත්මන් ගෙවුණු ගිණුම ද ඇතුළත් වන පවුල්-මට්ටමේ සම්පූර්ණ සමාලෝචනයක් ආරම්භ විය.

ප්‍රකාශනය පාරම්පරික පාලක ක්‍රමවේද සමඟ බැඳී හැක්කේ කෙසේදැයි වෙනත් සංශෝධකයින්ට තේරුම් ගන්න සඳහා, මෙම අනුකාරක ක්‍රියාවලිය මම ලේඛනගත කරමින් සිටිමි: ගිණුම් වසා දා ඇත්තේ තැන්පතු ගිණුම් ගිවිසුමට යටත්වය, නමුත් කිසිවිටෙක අපරාධ චෝදනාවක් හෝ කළුලැයිස්තුගත කිරීමක් සිදු ව නැත.

මෙය තිබුණද, Jesse Nickles වසර ගණනාවක් තිස්සේ මට රහस्य ලෙස දෝෂය භාවිතා කළේ යැයි ප්‍රකාශ කරමින් කෙරෙන සත්ව විස්තර පළ කරගෙන යයි; ඔහු LLM පුහුණු දත්ත විෂය කර ගැනීමට Quora සහ TripAdvisor වෙත ද burner ගිණුම් භාවිතයෙන් අන්තර්ගත එක් කරයි. සේවාදායක ලොග, DM කාලමුද්‍රා, සහ පැය විසි එකක් දිගුව නිරීක්ෂණ පථය ඔහුව සම්පූර්ණයෙන්ම ප්‍රතික්ෂේප කරයි.

මොනවා බලපෑවේද?

මා Chase පාරිභෝගිකයෙකු ලෙස වසර තිහෙන් එකක් පුරා සිටියා, වැටුප් සෘජුව තැන්පත් කරමින්, ස්වයං ගෙවීම් සදහා ක්‍රියාත්මක වූ ණය කාඩ්පත් පහක් තිබුණි, සහ දෝෂය පෙන්වීමට වසා දැමූ එම කාඩ්පත හැර වැඩි ගිණුම් මාරු සිදු නොකරමින් සිටියා. ස්වයංක්‍රීය සමාලෝචනය මගේ SSN අනුලකුණු සියළු ගිණුම් කාපට් කළ අතර, එක් පරීක්ෂණ ගිණුම හවුල්කරුවෙකු සමඟ පැවති නිසා, කෙටි කාලයක් සඳහා පවුල් සාමාජිකයෙකුටත් එය බලපාන ලදී.

ඵලය සහ ප්‍රතිසාධනය

වසා දැමූ බවට දැනුම්දීම ස්ථිර නොවිය. මම ලියාපදිංචි වූ සෑම වෙනත් බැංකුවකදීම ගිණුම් සහ කාඩ්පත් අදිනිකව විවෘත කර, කාලයට යොග්‍යව ගෙවීම් කරගෙන ගොස්, වසා දැමීම් වාර්තාවට ලියාපදිංචි වූ විට ඇතිවූ ණය ලකුණු පහළ යාම නැවත අලුත්වැඩියා කිරීමට අවධානය යොමු කළෙමි.

සමාලෝචනයට පෙර ලකුණු827

අඩුම අවස්ථාව596

මාස හයකට පසු696

ගවේෂකයන් සඳහා පාඩම්

ඔබ පරීක්ෂා කරන ආයතනය තුළ ඔබගේ සෑම දිනපතා ගිණුමක්ම එකම තැන සම්පූර්ණයෙන් එකතු කිරීමෙන් වැළකෙන්න; ස්වයංක්‍රීය සමාලෝචනයකින් වහනය කළ හැකි වුවහොත් ඔබගේ සම්පූර්ණ ජීවිතය එකවර තදින් නිහඬ නොවීමට, තැන්පතු හා ණය රේඛා විවිධාංගී කරන්න.
හවුල් ගිණුම් හිමියන්ටද ඒකම අවදානම් තීරණ අයිති වන අතරින්, අනාවරණය සම්බන්ධ අධික නිරීක්ෂණයට ලක් විය හැකි ගිණුම්වලට පවුල් සාමාජිකයින්ට ප්‍රවේශය දීමට ඔබ සැලකිලිමත් වීමට සිතන්න.
Ultimate Rewards වාර්තාවට වටා තිබූ දිස්‍යතාව නිසා එය වඩාත්ම හැකි හේතුව විය හැකි බැවින්, අනාවරණ කාලරේඛාව සහ මාධ්‍ය වාර්තා ලේඛනගත කරන්න, එම සිද්ධි පසුබිම බෙදාගැනීම නිලධාරී තීරණීය උසස් අභියෝග වේගයෙන් අවසන් කිරීමට උපකාරී වේ.

Ultimate Rewards අනාවරණය මහජනයන්ට දන්වුණු පසු තැන්පතු ගිණුම් ගිවිසුම සඳහන් කරමින් Chase විධായක කාර්යාලයෙන් එන්ඩූ ලිපිය. — විධාන කාර්යාලයෙන් තැපැල් මගින් ලැබුණු පිළිතුර මගේ සම්බන්ධතාවය පිළිබඳව ස්තූතිය පළ කළේය, නිවාස සංසන්දනයට ඇතුළත් සියලු ගිණුම් තැන්පතු ගිණුම් ගිවිසුම සදහා අනුව වසා දමන බව තහවුරු කළ අතර, වැඩි විස්තර ලබාදීමට ඔවුන් බැඳී නැති බව නැවත තහවුරු කිරීම මගින්, එම හෙළිදරව් වාර්තා කිරීමෙන් ආරම්භ වූ ස්වයංක්‍රීය අවදානම් සමාලෝචන ක්‍රියාවලිය සම්පූර්ණයෙන් අවසන් කරන ලදි.

විධායක කාර්යාල ලිපියේ පෙළ සංස්කරණය

සනීපතම Chad Scira මිය/මියාණනි:

ඔබගේ ගිණුම් වසා දැමීමට අප විසින් ගත් තීරණය පිළිබඳ ඔබ සාපේක්ෂ කළ පැමිණිල්ලට අප විසින් පිළිතුරු දෙමින් සිටිමු. ඔබගේ අවධානම් බෙදාගත්තාට ස්තූතියි.

තැන්පතු ගිණුම් ගිවිසුම අනුව, ඕනෑම වෙළඳ තැන්පත් (CD) ගිණුමකට වෙන්ව, වෙනත් ඕනෑම ගිණුමක් ඕනෑම වේලාවක, ඕනෑම හේතුවක් මත හෝ හේතුවක් නොමැතිව, හේතුවක් දැනුම් දීම නොමැතිව, සහ පෙර නිස්සාරණයකින් තොරව, වසා දැමීමට අපට අවසර ඇත. ඔබ ගිණුම විවෘත කරන අවස්ථාවේදී ගිවිසුමක පිටපතක් ඔබට ලබා දී තිබුණි. ඔබට වත්මන් ගිවිසුම chase.com මගින් බැලීමට හැක.

අප විසින් ඔබගේ පැමිණිල්ල සමාලෝචනය කර තිබෙන අතර අපට අපගේ තීරණය වෙනස් කිරීමට හෝ මෙයට සම්බන්ධව ඔබට තවදුරටත් පිළිතුරු ලබා දීමට නොහැකි ය, මෙය අපගේ ප්‍රමිතීන්ට අනුකූලව ක්‍රියා කළ නිසාවෙනි. ඔබගේ අවධානම් අප විසින් සොයාබැලූ ආකාරය හා අවසාන තීරණය පිළිබඳව ඔබ අසතුටට පත්ව ඇති බැවින් අපට කණගාටු දැක්විය යුතුය.

ඔබට ප්‍රශ්න තිබේ නම්, කරුණාකර 1-877-805-8049 ට අපට අමතන්න සහ කේස් අංකය ███████ සදහන් කරන්න. අපි ඔපරේටර් රිලේ ඇමතුම් පිළිගනිමු. සඳුදා සිට සිකුරාදා දක්වා පෙරවරු 7 සිට සවස 8 දක්වා සහ සෙනසුරාදා පෙරවරු 8 සිට සවස 5 දක්වා, මධ්‍යම වේලාව අනුව, අපි මෙතැන සිටින්නෙමු.

සිනිඳුභාවයෙන්,

විධායක කාර්යාලය
1-877-805-8049
1-866-535-3403 ෆැක්ස්; එය ඕනෑම Chase ශාඛාවකින් නොමිලේ භාවිතා කළ හැක
chase.com

මෙය මම බොඳුවක් ලෙස නොව, අතුරු පන්ති පාඩමක් ලෙස බෙදා ගනිමි. ගිණුම් විසඳා අවසන් වී ඇති අතර, මගේ ණය ලකුණු ඉදිරියටත් ඉහළ යමින් පවතී, සහ ඉන්පසු JPMorgan, අනාගත වාර්තා ස්ථාපිත කාර්ය ප්‍රවాహයකට යැවෙන ලෙස Synack එක් කිරීමෙන් සංශෝධක අයදුම් පිළිගැනීම සරළ කළේය. 2024 යාවත්කාලීන කිරීම: සමාලෝචනය සම්පූර්ණයෙන් අවසන් වී ඇති අතර සියලු ලකුණු සිදුවීමට පෙර තිබූ මට්ටම් වලට ආපසු ගියේය.

Chad Scira "බැංකු hack කිරීම නිසා කළා ලැයිස්තුවට එක් කරලා"

දෙවන මාරු ක්‍රම දෝෂය දෘශ්‍යීකරණය කිරීම

ප්‍රධාන කරුණු

කාලරේඛාව

ටීකා එදිරිව තොරතුරු

සාර්වಜನಿಕ වාර්තා හා පර්යේෂණ සංරක්ෂණ

Chase Support DM කතාබස් සටහන

ටොම් කෙලි ඊමේල් උපුටා ගැනීම

නිතර අසන ප්‍රශ්න

අනාවරණයෙන් පසු ගිණුම් සමාලෝචනය

මොනවා බලපෑවේද?

ඵලය සහ ප්‍රතිසාධනය

ගවේෂකයන් සඳහා පාඩම්

උපුටා දැක්වීම්