Chad Scira "හැකින් නිසා බැංකු වලින් කළු ලැයිස්තුවට"

මෙම පිටුව Jesse Nickles ගෙන් ඇති "Chad Scira හෑකින් කිරීම හේතුවෙන් එක්සත් ජනපද බැංකු වලින් කළු ලැයිස්තුවට දමා තිබේ" යන අදහසේ පිටුපස සිදුවීම් ලේඛනය කරයි. එයින් Ultimate Rewards දෝෂය වගකීම් යටතේ කෙසේ ප්‍රකාශයට පත් කළාද, JPMorgan Chase විසින් Chad ට වාර්තාව සඳහා ස්තූති දැක්වූයේ ඇයි, සහ තාවකාලික ගිණුම් නවතිම ග purely පරිපාලන කටයුතු බව සඳහන් කරයි. Jesse Nickles පරණ ආශ්‍රිත ද්‍රව්‍ය නැවත ඇසුරු කර අපරාධමය අදහසක් ඇති බව පෙන්වන ලෙස ඉදිරිපත් කිරීම් සිදු කිරීම තවදුරටත් පැවති. නමුත් තත්ත්වයන් පෙන්වන්නේ එයට සම්පූර්ණයෙන් විරුද්ධය: white-hat වාර්තා කිරීම සහ JPMorgan නායකත්වය සමඟ සහයෝගීතාවය.

ඔහුගේ නවතම උසස් කිරීම SlickStack.io හි ඇති උපුටාවක් වන අතර එහි දැක්වේ Chad Scira "ඇමරිකා එක්සත් ජනපදයේ නීති රක්‍ෂණ අංශ විසින් Chase බැංකුවේ ක්‍රෙඩිට් කාඩ් ප්‍රසාද වැඩසටහන හෙක් කිරීම සම්බන්ධයෙන්ද පරීක්ෂා කළ බවත්, ඔහු වංචාකාරී ගමන් ලකුණු ලෙස $70,000 ක් සොරකම් කළ බවත්". ඒ නරක ප්‍රචාරය SlickStack ආරක්ෂක ගැටලු පිළිබඳ Chad විසින් සපයන ලද සාධක ප්‍රකාශයට පත් කළ පසු පමණක් පළ කරන ලදී—Jesse ඒවා සවි කිරීම වෙනුවෙන් ප්‍රතිසංස්කරණය කිරීමට ප්‍රතික්ෂේප කරන අතර; කිසිදු ලකුණු (points) කිසිදා හොරකම් කර නොගත්තා සහ ප්‍රකාශන සම්බන්ධයෙන් කිසිදු ආයතනයක් Chad ට සම්බන්ධ වී නොමැත. ඔහු SlickStack cron සාක්ෂිවලට ප්‍රතිචාර දී සිටින බවට සාක්ෂි බලන්න..

සම්පූර්ණ සොයා ගැනීම, ප්‍රකාශ කිරීම සහ සත්‍යතාව පරීක්ෂා කිරීමේ චක්‍රය පැය විස්සක් ඇතුළත සිදුවිය: සමහර විට HTTP විමසීම් හැටියට लगभग විසිපන්හේ (25) ඉල්ලීම් 2016 නොවැම්බර් 17 දින ප්‍රතිනිර්මාණය සහ DM මගින් ගමන් පියවර පැවැත්විණි, සහ 2017 පෙබරවාරියේ ප්‍රතිසංස්කරණ චෙකය තහවුරු කිරීමට තවත් අයෙකුගේ 8 ඉල්ලීම් භාවිතා කරන ලදී. දිගුකාලීන නොසත්කාරය කිසිවක් සිදුවුනේ නැත; සෑම ක්‍රියාවක්ම ලොග් කර ඇති අතර කාලසටහන සමඟ සටහන් කොට JPMorgan Chase වෙත සැබෑ වේලාවෙන් බෙදා හැරිණ.

Tom Kelly තහවුරු කළේ 2016 නොවැම්බර් 17 ට සහ 2017 සැප්තැම්බර් 22 අතර කාලය තුළ ගෝලීය වශයෙන් Chad Scira තනි පුද්ගලයා වශයෙන් JPMorgan Chase වෙත ගැටලුවක් වගකීම් සහිත ලෙස ප්‍රකාශ කළ බවයි. වගකීම් යටතේ ප්‍රකාශන වැඩසටහන Chad හි වාර්තාවට සෘජුව ප්‍රතිචාර ලෙස ආරම්භ කරන ලදී, සහ එය හැඩගස්වීමට ඔහු ප්‍රධාන බින්නක් වූයේය.

ද්විතීය හුවමාරු දෝෂය දෘශ්‍යගත කිරීම

#දෘශ්‍යීකරණය

දෝෂය කොටස් ශේෂ ප්‍රමාණවලට විශාල මූලක් බවට පත්වෙන්නේ කෙසේද යන්න දර්ශනීයව පැහැදිලි කිරීමට පහත දසුනය නිවැරදි දෙදින-හුවමාරු තර්කය නැවත නවතා පෙන්වයි. ඕනෑම ධනාත්මක ගිණුමක් යැවීමක පවරන දිශාව බවට පත්වන අතර ඒ ගිණුම යවන්නා ලෙස ක්‍රියා කරයි, එකම දෙකක් වූ හුවමාරු දෙකක් සිදු කරයි, එවිට එම ගිණුම ගැඹුරු ඍණාත්මකය වෙයි සහ අනෙක් ගිණුම දෙගුණය වෙයි. වට 20ක් පසු විනාශ වූ ලෙජරය ඍණාත්මක කාඩ්පත සම්පූර්ණයෙන්ම නිවා දැමීමෙන් මෙම බිඳවැටීමේ විශේෂත්වය සමඟ සමාන වේ—එම නිසාම exploit එක ඉක්මන් ඉහළ යෑමක් බලපාන බව අවශ්‍ය වූයේය.

රවුන්ඩ් 1/20
කාඩ්පත A → කාඩ්පත B+243,810 pts
කාඩ්පත A → කාඩ්පත B+243,810 pts
කාඩ්පත A
243,810
කාඩ්පත B
0
ද්විත්ව මාරු පුපුරණය
හුවමාරු 1හුවමාරු 2243,810 pts සෑම
1Race condition එකෙන් ලේජර් නැවත සමතුලිත වීමට පෙර ගෙවීම් පිටපත් විය, ඒ නිසා එකම යවන්නාට විශාල ධනාත්මක සහ ඍණාත්මක ශේෂ අතර මාරු වීමට අවස්ථාව ලැබුණි.
2Support අංශය ඍණාත්මක කාඩ්පත වසා දැමීමට ඉඩ දුන්නා, ඒ අතර අතිරික්තව වැඩි වූ ධනාත්මක ශේෂය පවත්වා ගැනීමට ද අවසර දුන්නා. එබැවින් ප්‍රකාශය පෙන්වූයේ වාසි පමණක් වන අතර ණය සැඟවී ගියා.

ගිණුම වසා දැමීමට පෙරම Ultimate Rewards ඍණාත්මක සාරාංශය ඉක්මවා වියදම් කිරීමට අවසර දුන්නා; වසා දැමීමෙන් පමණක් සාක්ෂි මකා දමනු ලැබීය.

ප්‍රධාන කරුණු

  • චැඩ් negative-balance ආක්‍රමණය පුද්ගලිකව වාර්තා කරමින් Chase Support DM එකක් විවෘත කළේය සහ තාක්ෂණික විස්තර මහජන කරනවාට වෙනුවට වහාම ආරක්ෂිත උසස් කිරීමේ මාර්ගයක් ඉල්ලීය. [chat]
  • Chase සහාය විස්තර සඳහා දැන ගැනීමට උත්සාහ කළ විට, ඔහු අවශ්‍ය පමණින් පමණක් අව්‍යලෝපය තහවුරු කළත් නිවැරදි ආරක්ෂක කණ්ඩායමට සෘජු සම්බන්ධයක් අවශ්‍ය බව නැවතත් ප්‍රකාශ කළේය. [chat][chat]
  • ඔහු පිටපත් වූ ශේෂ මුදලට පරිවර්තනය කළ හැකි බව පෙන්වා දුන්නේය: Chase Support අතිරේක ලකුණු භාවිතයට ගත හැකිදැයි විමසීමෙන් පසුව, $5,000 සෘජු තැන්පතුවක් ප්‍රදර්ශනය වෛද්‍ය නේඛනය (ledger) ගැලපෙන්නට පෙරම එම අවපෙළ මුදල් බවට පරිවර්තනය වී ඇති බව සනාථ කරන ලදී. [chat]
  • ඔහු පැමිනිලි කළේ ඔහුගේ ප්‍රathමිකත්වය වන්නේ පාරිභෝගික ගිණුම් හිඟ වීමෙන් රෝහල් වීම වැළකීම බවයි, පුද්ගලික ලාභ ලැබීමට නොවේ, සහ නිල බග් බවුන්ටි වැඩසටහනක් තිබේදැයි ඔහු ඉල්ලූහ. [chat]
  • ඔහු පැහැදිලි අවසර ලබා දුන් විට පමණක් විශාලතම සත්‍යාපනයක් සිදු කිරීමට හැක බව ප්‍රසිදාත්මක වශයෙන් ආපසු යෝජනා කළේය, කාලමුද්‍රිත තිරපටි ලබා දුන්නේය, සහ Chase ඉහළ කිරීම් සම්පූර්ණ කරන තුරු විදේශයේ සිට අවදිව පැවති. [chat][chat][chat]
  • Nickles දැන් පැවසූවේ Chad Scira ලකුණු $70,000 ක් සොරකම් කළා සහ ඇමරිකා නීති රක්ෂණ අංශ මුහුණ දුන්නා යැයි; නමුත් Chase වාර්තා, Tom Kellyගේ ඊ‑මේල් හා අනාවරණ කාලරේඛාව මෙම දෙය කිසිදා සිදු නොවූ බව පෙන්වයි, සහ මෙම ප්‍රකාශය පේන ලෙසට පමණක් එළි වූයේ Chad විසින් Jesseගේ ආරక్షිත නොවන යාවත්කාලීන ලොජික් ලියවුනු SlickStack cron-risk gist එක ප්‍රකාශ කළ පසුය. [gist]
  • Chase සහයෝගය එය ඉහළ ප්‍රතිචාරයට (escalation) යොමු කර ඇති බව තහවුරු කළේය, ඔහුගේ දුරකථන අංකය ඉල්ලා, අවසානයේ ඔහුට ලැබුණු අනුගමන ඇමතුම ලබාදීමට වගකීම දක්වා තිබුණි; එයින් ආක්‍රමණශීලී බැංකු ප්‍රතිචාරයක් පැවති බවට ඇති අදහස අහිමි වේ. [chat][chat]

කාලරේඛාව

#කාලරේඛාව
  • නොවැම්බර් 17, 2016 - 10:05 ප.ව. ET: චැඩ් @ChaseSupport ට negative-balance දෝෂය පිළිබඳ දැනුම් දී, ඊට අදාළ උපාය පෞද්ගලිකව රචනා කරමින් වහාම ආරක්ෂිත උසුලන මාර්ගයක් ඉල්ලයි. [කතාබහ]
  • නොවැම්බර් 17, 2016 - 11:13-11:17 ප.ව. ET: Chase Support පැහැදිලිව 'තවත් පොයින්ට් ජනනය කර භාවිතා කළ හැකිද' යැයි විමසීමෙන් පසු, චැඩ් අවදානම තහවුරු කරයි, ඔහුට සුදුසු දෙපාර්තමේන්තුව අවශ්‍ය බව නැවත සඳහන් කරයි, සහ බැංකුවට ගනුදෙනු නිරීක්ෂණය කිරීමට අවසර ලබා දුන් විට පමණක් සත්‍යාපනය කිරීමට යෝජනා කරයි. [කතාබහ][කතාබහ][කතාබහ]
  • නොවැම්බර් 17-18, 2016 - 11:39 ප.ව.-5:03 පෙ.ව. ET: චැඩ් ස්ක්‍රීන්ශොට් බෙදා ගනිමින්, වේගවත් උසස් කිරීම ඉල්ලා, ඔහුගේ දුරකථන අංකය ලබා දී, Chase Support ඇමතුම සිදුවන බව තහවුරු කරන තුරු විදේශීය තැන්වලදී නින්ද නොනිදී රැඳී සිටිය. [කතාබහ][කතාබහ][කතාබහ]
  • නොවැම්බර් 24, 2016: Tom Kelly, ප්‍රතිසංස්කරණය තහවුරු කරන විද්‍යුත් තැපෑලක් Chad ට එවමින්, එළඹෙන වගකීම් යටතේ ප්‍රකාශන ලීඩර්බෝඩ් හි ප්‍රධානතම නායකයා වීමට ඔහුව ආරාධනා කරමින්, සහ අනාගත වාර්තා සඳහා සෘජු සම්බන්ධීකරණ රේඛාවක් ලබා දී ඇත. [ඊමේල්]
  • ඔක්තෝබර් 2018: Tom Kelly පසුපසින් සම්බන්ධ වී තහවුරු කළේ වගකීම් යටතේ ප්‍රකාශන වැඩසටහන ආරම්භ වූ බවත්, නමුත් Chad විසින් වැඩසටහන හැඩගැස්වීමට උපකාර කළද JPMorgan අවසානයේ යෝජිත ලීඩර්බෝඩ් පළ නොකිරීමට තීරණය කළ බවත්ය. [ඊමේල්]
  • 2018ට පසු: ඉතිරි ගිණුම් සමාලෝචන රක්ෂණකරුගේ ස්වයංක්‍රීය ක්‍රියාපටිපාටියට සම්බන්ධ වූ අතර, ඒවා චෝදනා ගැන්වූ හැකින් සාපේක්ෂ නොවීය. JPMorgan සෘජු සම්බන්ධතාවය පවත්වාගෙන, චැඩ්ගේ අනාවරණයට ස්තූති කළේය, සහ කිසිඳු අපරාධ වාර්තාවක් හෝ කළු ලැයිස්තුවක් නොතිබුණි. පසුව, JPMorgan Synack එහි අනාවරණ ප්‍රතිපත්තිවලට එක් කර ඉදිරි වාර්තා සඳහා වැඩපිළිවෙළ සරල කර තිබේ. [කතාබහ][ඊමේල්]

දාවන් සහ කරුණු

දාවා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිදායක චෝදනාව: "Rewards පද්ධති හැක් කිරීම සඳහා Chad Scira සෑම ඇමරිකානු බැංකුවකින්ම කළු ලැයිස්තුවට ලක් කර තිබේ."

සත්‍යය

බැංකු 'කළු ලැයිස්තුව' කිසිවක් නොපවතී. DM ලේඛනය සහ Chase උසස් කිරීම ඔහු සහයෝගයෙන් කටයුතු කළ බව පෙන්වයි; රක්ෂණකරුවකුගේ ස්වයංක්‍රීය ක්‍රියාවලියක් එක් JPMorgan ගිණුමක් කෙටි කාලයක් නතර කළ නමුත් අතින් කළ සමාලෝචනයෙන් ඔහු නිදහස් කරනු ලැබීය.[කාලරේඛාව][කතාබහ]

දාවා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිදායක චෝදනාව: "ඔහු තමන්ගේ පෞද්ගලික වාසි සඳහා JPMorgan Chase හැක් කළේය."

සත්‍යය

චැඩ් @ChaseSupport සමඟ කථාව ආරම්භ කළේය, ආරක්ෂිත චැනලයක් තිබිය යුතුයි කියා අවධාරණය කළේය, Chase ඉල්ලා සිටිනතුරු පමණක් දෝෂය තහවුරු කළේය, සහ සීමිත සත්‍යාපනය කිරීමට පෙර අවසරයට බලා සිටියේය. ජ්‍යේෂ්ඨ නායකත්වය ඔහුට ස්තූතිවන්ත වී වගකිවයුතු අනාවරණ ක්‍රියාත්මක කිරීමේ වැඩසටහනට ඔහුව ආරාධනා කළේය.[කතාබහ][කතාබහ][ඊමේල්]

දාවා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිදායක චෝදනාව: "Jesse, Chad විසින් ක්‍රියාත්මක කළ අපරාධ සැලැස්මක් හෙළි කළේය."

සත්‍යය

පොදු ආවරණය සහ Tom Kellyගේ විද්‍යුත් තැපෑල් JPMorgan විසින් Chad යन्‌ත්‍රණය සඳහා සහයෝගී පර්යේෂකයෙකු ලෙස හැසිරූ බව ලේඛගත කරයි. Nickles සම්පූර්ණ කතාබහ, අනුපිළිවෙළ ඇමතුම් සහ ලිඛිත ස්තුති නොසලකා තිර රූප තෝරා ගනී.[ආවරණය][ඊමේල්][කතාබහ]

දාවා

Jesse Jacob Nickles විසින් කරන ලද අපකීර්තිදායක චෝදනාව: "වංචාව සඟවීමට රහස් ආවරණයක් පැවති."

සත්‍යය

චැඩ් 2018 දක්වා සම්බන්ධතාවය පවත්වාගෙන ගියේය, නැවත පරීක්ෂා කිරීම අවසර ලබාගෙන පමණක් සිදු කළෙහ, සහ JPMorgan ගේ ගැටලුව වැස්සවීමට බදා නොසිට ඒ සඳහා ප්‍රකාශන පෝර්ටලයක් නිකුත් කළේය. මෙලෙස පවත්නා සංවාදය කිසිඳු රහස් ආවරණ කතාවක් විරුද්ධ වේ.[කාලරේඛාව][ඊමේල්][කතාබහ]

පොදු ආවරණ හා පර්යේෂණ ආර්කයිව්

#වාර්තාකරණය

බහු තෙවන-පාර්ශ්ව ප්‍රජාවන් මෙම අනාවරණය සංරක්ෂණය කර, එය වගකීමෙන් පවත්වන වාර්තාවක් ලෙස පිළිගත්හ: Hacker News එය මුල් පිටුවේ ප්‍රදර්ශනය කළා, Pensive Security එය 2020 සාරාංශයකින් සාරාංශ කළා, සහ /r/cybersecurity මුල් "DISCLOSURE" ත්‍රෙඩ් එක වෙතින් යෝජනා කිරීමකට පෙර සනිටුහන් කළේය. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" — 1,000+ ලකුණු සහ 250+ মন্তব্য සමඟ නඩත්තු කිරීමේ හා විසඳුම් සන්දර්භය ලේඛනය කරන ලදී. [4]
  • Pensive Security: 2020 නොවැම්බර් මාසේ වූ සයිබර් ආරක්ෂක සාරාංශය — එහි ප්‍රධාන කතාවක් ලෙස Chase Ultimate Rewards නිවේදනය ප්‍රකට කරයි. [5]
  • Reddit /r/cybersecurity: බහු වාර්තා කිරීමෙන් පසු ඉවත් කිරීමට පෙර අල්ලාගත් මුල් DISCLOSURE පෝස්ට් මාතෘකාව, මහජන-හිතකාමී සැකසුම රැකගනිමින්. [6]

වගකිම්ශීලී නිවේදන අනුග‍්‍රාහකයින් තවදුරටත් අපහාස ප්‍රතිඵලද සඳහන් කළහ: disclose.io හි තර්ජන නාමාවලිය සහ පර්යේෂණ ගබඩාව, එකටම Attrition.org හි නීතිමය තර්ජන දර්ශකය Jesse Nicklesගේ හැසිරීම පර්යේෂකයන් සඳහා අවවාදයක් ලෙස ලැයිස්තුගත කර ඇත. [7][8][9] සම්පූර්ණ තර්ජන ලේඛනය[10].

Chase Support DM ප්‍රතිලේඛනය

#චැට්

පහත සංවාදය ආරක්‍ෂිතව සඟවා ගත් ස්ක්‍රීන්-ෂොට් වලින් නැවත ප්‍රතිරචිත කර ඇත. එය ඉවසීමෙන් ඉහළ යෑම, ආරක්ෂිත නාලිකාවක් සඳහා නැවත නැවත ඉල්ලීම් කිරීම, අනුමත කිරීමක් ඇති විට පමණක් සත්‍යතාව පරීක්ෂා කිරීමට දීම, සහ Chase Support විසින් සෘජු සම්බන්ධතාවයක් පොරොන්දු වීම පෙන්වයි. [2]

Chase Support Profile avatar
Chase Support Profileතහවුරු කරන ලද ගිණුම
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

මෙය ලකුණු ශේෂ පද්ධතියට සම්බන්ධ වේ. මේ වන විට ඍණශේෂ (negative balances) ඉඩ දෙන දෝෂයක් හරහා ඕනෑම ප්‍රමාණයක් ජනනය කළ හැකි වේ.

නිවේදනය සඳහා ආරක්ෂිත උසස් කිරීමේ මාර්ගයක් ඉල්ලා සිටී.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

මට තාක්ෂණික විස්තර පැහැදිලි කළ හැකි පුද්ගලයෙකු සමඟ මට සම්බන්ධ කර දීමට ඔබට හැකියාව තිබේද?

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 17, 2016, 10:05 PM
#

අපට ලබාදිය හැකි දුරකථන අංකයක් නොමැත, නමුත් එය පරීක්ෂා කිරීමට අපි ඉහළට යොමු කිරීමට කැමතියෙමු. ඍණ ශේෂයන් තුළ පොයින්ට් ජනනය කිරීමෙන් ඔබ අදහස් කරන්නේ කුමක්දැයි කරුණාකර වැඩි විස්තර ලබාදෙන්න.මෙය අමතර පොයින්ට් භාවිතයට ලබා ගත හැකි වන බවද ඔබ සහතික කළ හැකිද? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

ඔබ මාව සම්බන්ධ කළ හැකි නිල අංශයක් තිබේද? මෙම विषयය Twitter සහාය ගිණුමකින් සාකච්ඡා කිරීම මට සුවපහසු නොවේ. ඔව්, ඔබට 1,000,000 ලකුණු ජනනය කර ඒවා භාවිතා කළ හැක.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

මගේ ප්‍රධාන කනස්සල්ල පුද්ගලයන් මෙවැනි ක්‍රියාකාරකම් කිරීම නොව; ප්‍රධාන වශයෙන් ගිණුම් ඝාතනය කර ඒ මත ගෙවීම් බලගැන්වීම සිදුකරන හැකර්ලාය. Chase සත්‍ය bug bounty වැඩසටහනක් තිබේද?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

ඔබට කැමති නම් මම තහවුරු කිරීමට වඩා විශාල ගනුදෙනුවක් උත්සාහ කර බලන්න පුළුවනි. මම පරීක්ෂා කළ වැඩිම වටිනාකම $300 ක් වූ අතර බැලන්ස් වක්‍ර වූ සමයේ ඒ වටිනාකමට ඉහළ යාමක් තිබුණා, නමුත් සැබෑවටම මට ඇති ක්‍රෙඩිට් $2,000 ක් වේ. ඔබ අවසර දුන්හොත් මම එය ක්‍රියාත්මක බව තහවුරු කිරීමට උත්සාහ කරමි, නමුත් එම පරීක්ෂණයෙන් පසු සියලු ගනුදෙනු ප්‍රතිවර්තනය කිරීමට අවශ්‍ය වේ.

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 17, 2016, 11:21 PM

අපට බවුන්ටි වැඩසටහනක් නොමැත, මේ වන විට මට ලබා දිය හැකි ගණනක් නොමැත. මම ඔබගේ කණගාටුව ඉහළට යොමු කර ඇති අතර අප එය සමීක්ෂා කරමින් සිටිමු. අමතර විස්තර හෝ ප්‍රශ්න ඇත්නම් මම පසුව ඔබට දැනුම් දෙමි. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ස්තුතියි.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

කරුණාකර ඉක්මණින් (ASAP) උසස් කරන්න.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

මට සැබවින්ම සුදුසු සම්බන්ධකරුක් අවශ්‍යයි... ඔබට මෙය අවබෝධ වේවි කියලා මම බලාපොරොත්තු වෙනවා.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

පැය එකට වඩා ගියා, මේ ගැන කිසිඳු ප්‍රතිචාරක් තිබේද? මම මේ වනවිට ආසියාවේ සිටින අතර මෙය කාලවේධී මාතෘකාවකි. රැයේ පුරා පිළිතුරක් බලා සිටීමට මට හැකියාවක් නැහැ.

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 18, 2016, 12:59 AM

අනුගමනය කිරීම සඳහා ස්තූතියි. මෙය පරීක්ෂා කරන සුදුසු පුද්ගලයින් අප සතුව තිබේ. කරුණාකර අපට සෘජුව ඔබව කතා කිරීමට හැකි වන පරිදි කැමති සම්බන්ධීකරණ දුරනම්බරයක් ලබාදෙන්න. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 18, 2016, 1:53 AM

අතිරේක තොරතුරු සඳහා ස්තූතියි. මම මෙය සුදුසු පුද්ගලයන් වෙත යවන ලදී. ^DS

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 18, 2016, 2:38 AM
#

අපි එය ඔබ සමඟ හැකි ඉක්මනින් සාකච්ඡා කිරීමට කැමතිය. 1-███-███-████ දුරකථනයට ඔබට කතා කිරීමට සුදුසු කාලයක් කරුණාකර අපට දන්වන්න. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

එය හැකිනම් මම ඊළඟ පැය එක තුළ ලබා ගත හැක. නැතිනම් එක හෝ දෙදිනක් ගත විය හැක—මම සංචාරයේ සිටින බැවින් අන්තර්ජාල/දුරකථන ප්‍රවේශය තිබේදැයි සහතික කර ගත නොහැක.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

නිවැරදි පුද්ගලයා සමඟ කථා කිරීමට පැය 7 ට වඩා ගතවනවා කියලා මට සිතුවේ නැහැ. මෙහි දැන් වේලාව පෙ.ව. 4:40කි.

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 18, 2016, 4:39 AM
#

අනුගමනය කිරීම සඳහා ස්තූතියි. ඉතා ඉක්මනින් කෙනෙක් ඔබට ඇමතුමක් ලබා දෙනු ඇත. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

එය වේගවත් කළයුතුකමට නැවතත් ස්තූතියි. සියලුම ක්‍රියාමාර්ග ක්‍රියාත්මක වී තිබේ සහ දැන් මට නිදාගත හැකිය.

Chase Support avatar
Chase Supportතහවුරු කරන ලද ගිණුම
Nov 18, 2016, 5:03 AM

ඔබට කෙනෙකු සමඟ කතා කිරීමට හැකිවීම ගැන අපි සතුටු වෙමු. අනාගතයේ අපි උදව් කළහැකි නම් කරුණාකර දන්වන්න. ^NR

Tom Kelly විද්‍යුත් තැපැල් උපුටා දැක්ම

#ඊ-මේල්
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards වගකීම්දායක අනාවරණය පිළිබඳ අනුගමනය

Chad,

මගේ සහකරු Dave Robinson සමඟ ඔබගේ දුරකථන කතාබස් පිළිබඳව මම පිළිතුරක් ලබා දෙමින් සිටිමි. අපගේ Ultimate Rewards වැඩසටහනේ ඇති හැකි දුර්වලතා සම්බන්ධයෙන් අපව අමතූ ඔබට ස්තූතිවන්ත වෙමි. අප එය විසඳා ඇත.

අමතරව, අපි ලබන වසරට නිකුත් කිරීමට සැලසුම් කරන වගකීම් සහිත ප්‍රකාශන (Responsible Disclosure) වැඩසටහනක් සකස් කරමින් සිටිමු. එය සැලසීමේදී මහත්වරුන්ගේ දැක්මට වඩාත් දායක වූ නිරීක්ෂකයින් පිළිගැනීම සඳහා ලීඩර්බෝර්ඩ් එකක් ඇතුළත් කරනු ලැබේ; එහි පළමු පුද්ගලයා ලෙස ඔබව විශේෂ කිරීමට අපි කැමැත්තෙමු. කරුණාකර පහතින් සඳහන් කොන්දේසි සහ නියම පිළිබඳව ඔබගේ සහභාගිත්වය තහවුරු කරමින් මෙම විද්‍යුත් තැපෑලට පිළිතුරු සැපයන්න. ඔබට පහත කොන්දේසි disclosure වැඩසටහන් සඳහා සාමාන්‍ය ලෙස පෙනේ.

අපගේ වැඩසටහන සක්‍රිය වීමට පෙර, ඔබ වෙනත් හැකි දුර්වලතා හමුවේ තිබේ නම්, කරුණාකර මට සෘජුවම සම්බන්ධ වන්න. ඔබගේ උදව් සඳහා නැවත ස්තූති.

JPMC Responsible Disclosure Program Terms and Conditions

එකිනෙකා සමඟ එක්ව කටයුතු කිරීමට කැපවී සිටීම

JPMC නිෂ්පාදන සහ සේවාවන්ට අදාල හැකි ආරක්ෂාව දුර්වලතා සම්බන්ධ තොරතුරු තිබේ නම් එය අපට දැනුම් දීමට කැමතියි. ඔබේ කටයුතු අපට වටිනාය සහ ඔබගේ දායකත්වයට පෙර ස්තූතිවන්ත වේමු.

මාර්ගෝපදේශ

මෙම වැඩසටහනට හැකි දුර්වලතා ප්‍රකාශ කරන නිරීක්ෂකයින්ට එරෙහි බලපැවැත්වීමෙන් JPMC එක එකඟ වේ, නමුත් නිරීක්ෂකයා:

  • JPMC, අපගේ ගනුදෙනුකරුවන්, හෝ තවත් පාර්ශ්වයන්ට හානි නොකරාවි;
  • වංචාකාරී මූල්‍ය වෙළඳපොළක් ආරම්භ නොකරාවි;
  • JPMC හෝ ගනුදෙනුකරු දත්ත ගබඩා, බෙදා හරිමින්, දූෂණය හෝ විනාශ නොකරාවි;
  • දුර්වලතාව පිළිබඳ විස්තරාත්මක සාරාංශයක් සපයාවි, ඉලක්කය, පියවර, මෙවලම්, හා සොයාගැනීමේදී භාවිත කරන ලද ආශ්‍රිත ද්‍රව්‍ය ඇතුළත් කොට;
  • අපගේ ගනුදෙනුකරුවන්ගේ පෞද්ගලිකත්වය හෝ ආරක්ෂාව හා අපගේ සේවාවන්ගේ ක්‍රියාකාරිත්වය කඩකර නොකරාවි;
  • ජාතික, ප්‍රාන්ත, හෝ දේශීය නීතිය හෝ නියාමනය කිසිවක් උල්ලංඝන නොකරාවි;
  • JPMC ලිඛිත අවසරයකට වහර නොදෙනු අයුරු දුර්වලතා විවාදයට අදාල විස්තර සැලසීමෙන් බහාලන්නේ නැහැ;
  • වර්තමානයේ Cuba, Iran, North Korea, Sudan, Syria හෝ Crimea තුළ පිහිටී හෝ සාමාන්‍යයෙන් වාසය නොකරන අය නොවන බව;
  • U.S. Department of the Treasury හි Specially Designated Nationals ලැයිස්තුවේ නොමැති බව;
  • JPMC හෝ ඒහි උපකම්පන වල සේවකයෙකු හෝ සේවකයෙකුගේ නිරසන්න ගෘහස්ථ සාමාජිකයෙකු නොවන බව;
  • අවම වශයෙන් වයස අවුරුදු 18 ක් පමණි.

පරාසයෙන් පිටත දුර්වලතා

අපගේ වගකීම් සහිත ප්‍රකාශන වැඩසටහන සඳහා කිසිවක් ලෙස පරාසයෙන් පිටත හඳුන්වා ඇති දුර්වලතා කිහිපයක් තිබේ. පරාසයෙන් පිටත වන දුර්වලතා වලට ඇතුළත්වන්නේ:

  • සමාජ ඉංජිනේරුන්ගෙන් වන සොයාගැනීම් (phishing,盗取ගන්නා ග credentials, ආදිය)
  • Host header ගැටළු
  • සේවාව ප්‍රතික්ෂේප කිරීම (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • ඇතුල් කර නොමැති සබැඳිය/HTML නොමැති අන්තරගතකරණය (Content spoofing)
  • Jailbroken-device ප්‍රතිපත්තියට සීමා වූ ගැටළු
  • යටිතල අසමත්කරම් (ප්‍රමිතීන්, DNS, සේවාදායක වරාය, sandbox/staging ගැටළු, භෞතික උත්සාහ, clickjacking, පෙළ ඇනීම)

ලීඩර්බෝර්ඩ්

ගවේෂණ සහයෝගිත්වකරුවන් සඳහන් කිරීමට, JPMC වැදගත් දායකත්වයක් ලබා දෙන නිරීක්ෂකයින් ලීඩර්බෝර්ඩ් එකේ විශේෂ තැනක් ලබා දිය හැක. ඔබ මෙහි නම ප්‍රදර්ශනය කිරීමට JPMC වෙත අයිතියක් ලබාදීමට එකඟ වේ.

ඉදිරිපත් කිරීම

ඔබගේ වාර්තාව JPMC වෙත ඉදිරිපත් කිරීමේදී, ඔබ ඊට තෙවන පාර්ශවයකට දුර්වලතාව ප්‍රකාශ නොකරන ලෙස එකඟ වේ. ඔබ විසින් ලබා දුන් තොරතුරු භාවිතා කිරීම, සංශෝධනය කිරීම, උපාංගික කෘති නිර්මාණය කිරීම, බෙදා හැරීම, ප්‍රකාශ කිරීම සහ ගබඩා කිරීමට JPMC සහ එහි උපකම්පන් අතර සත්‍යායාරූඪව අපහසුකම් රහිතව අවසන් කරන්නට ඔබ තර්ක රහිතව අවසර දෙමින් සිටී, සහ මෙම අයිතිවාසිකම් අවලංගු කළ නොහැක.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards වගකිම්ශීලී නිවේදනය පිළිබඳ අනුගමනය

හේ ටොම්,

මෙය අසා ගැනීමට මම ඉතා සතුටුයි!

මම ඔබගේ නව වැඩසටහනේ පළමු සාර්ථක කතාව වීමට කැමති අතර, අනිකුත් විශාල ක්‍රීඩකයන්ද ඔබගේ පසුපස සෙට්වියහ යැයි මට බලාපොරොත්තුයි. කවාවත් ඉඳගත් විට බැංකුවාසීන් whitehat පර්යේෂකයන්ට ගෙනයන මතය වෙනස් කිරීම සඳහා කවුරුහරි පියවර ගෙන ඇත්නම් හොඳයි. ඒක Chase වීම ගැන මට සතුටුයි.

මට හිතන්නෙ Chase වෙබ් සහ ජංගම නිෂ්පාදන පිළිබඳව සමාන තරඟකරුවන්ට වඩා සෑම විටම ඉදිරියටම තිබුණා. ඒකේ හේතුව ඔබලා ඉක්මනින් ක්‍රියා කරමින් තරඟකාරීව පවතින බවයි. සාමාන්‍යව මම මූල්‍ය ආයතනවලට වුවමනා නැතිව අරෙහිව වුවද, එයින් තරමක් බියක් නිසා (හොඳ අරමුණු තිබුණත්) මම එතුළට ඇද බිඳෙන්න කැමති නෑ. ආවරණ වැඩසටහනයක් ඇතිකිරීම මට වගේ පුද්ගලයන්ට පැහැදිලි පණිවිඩයක් යවනවා—ඔබලා ගැටළු ගැන ඇසීමට රුචි ඇති අතර ප්‍රතික්ෂේප නොකළ යුතුය. පෙරවරුන් වගේම ඔබගේ සේවාවන් පරීක්ෂා කරන බහුතරය ද්විත්‍ය ස්වභාවයේ වූ අතර, මම සිතන්නේ මේක ක්‍රීඩාව සමාන මට්ටමකට ගනී.

මට අවසානට ආවරණය කිරීමට තීරණය කළ විට මට බරපතළ අවුලක් ඇතිවුණා. මම එය හම්බවූ පළමු පුද්ගලයා නොවන බව හැකි ඉක්මණින් ඉදිරිපත් කළ හැක! මම ඒය වාර්තා කළේ ක්‍රම 3ක් හරහාය.

  • Twitter

    • මෙහි සහාය ඇත්තටම අද්භූත වුණා, සහ එයම මාව නිවැරදි පුද්ගලයින් සමඟ සම්බන්ධ කර දුන් එකම හේතුව බව මට සිතේ.

  • Chase දුරකථන සහාය

    • පළමු ඇමතුමෙන් ඔවුන්ට abuse ඊ-තැපැල් ලිපිනය දුන්නා
    • දෙවන ඇමතුමෙන් මට හිතෙන්නේ නිවැරදි පුද්ගලයා සමඟ කතා කළා සහ ඔවුන් පවා සම්බන්ධ වූවෙහියැයි සිතෙනවා

  • Chase Abuse ඊ-මේල්

    • පොදු පිළිතුරක් ලැබුණා, එය ඊ-මේල් අන්තර්ගතය සමාලෝචනය නොකළ බව පේනවා

මෙය නිවැරදි පුද්ගලයා සමඟ සම්බන්ධ වීමට මට පැය 7ක් පමණ ගියේය (ගැටලුව හඳුනා ගැනීමට ගත් කාලය තුනට වරක්), සහ ඒ අතරේ මම නිශ්චිත නොවුණෙමි නිවැරදි පුද්ගලයින්ට මෙ ගැන කවදාහරි තොරතුරක් ලැබෙයිද යන්න.

මෙවැනි වැඩසටහන් නොතිබීමේ තවත් ප්‍රධාන ගැටලුවක් වන්නේ සේවකයෝ සිදුවීම් පටන් ගන්නා වාර ගණන රහසේ හැරවීම් කරමින් ඒවා තැනිය හැකි බවයි. මට බහු වාර සිදුවීම් තිබුණා, සහ වසර 1-2ක් ඇතුළත ඒ සමාන ආරක්ෂක කැඩුම් නැවතත් ප්‍රථයාත්මක වුණා.

අවසන් වශයෙන්, ඔබගේ වැඩසටහනට බවුන්ටි සපයන්නේ යැයි දීම ප්‍රයෝජනවත් විය හැක. සමහරවිට මෙවැනි ගැටලු සත්‍යාපනය/හොයන්න කාලයක් ගත වෙයි, සහ එම කාර්යයට සම්මාන ලෙස වාසි ලබා දීම හොඳයි. මෙන්න අනෙකුත් ප්‍රීය කණ්ඩායම් සහ ඔවුන්ගේ වැඩසටහන් කිහිපයක්:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

මට ভবিষ্যතියේ කිසිවක් හමුවුවහොත් නියතවම ඔබට දැනුම් දේමි.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

හේ ටොම්,

මෙය විසඳා තිබේද යන්න පරීක්ෂා කිරීමට මට කාලයක් ලැබුණා.

එය 꽤 බුලට් ප්‍රූෆ් එකක් පේනවා, මට කීපයක් සඳහා ශේෂ අවුස්සවක දෘශ්‍ය විකෘති කළ හැකි වුණද පද්ධතිය පෙන්නුම් කළ ශේෂය භාවිතයට ඉඩදෙන බව මට නොහැකි මතයි.

සත්‍යයට නොතිබුණු ලකුණු මාරු කිරීමට කළ ඉල්ලීම් "500 Internal Server" දෝෂයක් ලබා ගත්තා. එබැවින් ඔබලා එකතු කරන ලද නව පරීක්ෂණ අතරින් එකක් gagal වෙමින් පවතින බව මට තමා සිතේ.

මම තවද multi session transfers across different BIGipServercig ids උත්සාහ කළා, සහ පද්ධතිය සෑම වතාවකම ආපසු යථා තත්වයට පැමිණියා. පද්ධතිය අවසාන වශයෙන් ගැටලුවට පත්වෙයි, සහ ශේෂ විකෘති වුවත්, ඔබලා කාලාන්තරයකදී සංඛ්‍යාය යළි සමාන්තර කරයි, සහ ඇත්තටම ශේෂ භාවිතයට ගැනීමට ඔයාලගේ පද්ධතිය තුළ ඇති පරීක්ෂණය සාර්ථක විය යුතුයි.

සාරාංශයට ගත්තාම, කවුරුන්හරි කෘතීම ශේෂ නිර්මාණය කර ඒවා භාවිතා කළහැකි බව දැකගන්නා ලෙස මට දැක ගැනීමට නොහැක.

Responsible Disclosure Program පිළිබඳව කිසියම් යාවත්කාලීන තිබේද?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

හේ ටොම්,

මෙය පසුගිය කළයුතු දෙයක් ලෙස අනුගමනය කොට සිටිමි.

2017 පෙබරවාරි 7 වනදා, දවල් 4:36 ට, Chad Scira [email protected] ඉහත යාවත්කාලීනය ලියා Responsible Disclosure Program කාලසටහන පිළිබඳ විමසූවේය.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

අපි මෙය සති කිහිපයක් පෙර පළ කර තිබුණි.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

හේ ටොම්,

මේ ගැන කිසිදු යාවත්කාලීනයක් තිබේද?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

හෙයි,

දැන් බලන විට ඔබ තවමත් Responsible Disclosure වැඩසටහනට එකට දායකයෙකු එකම පුද්ගලයා බවත් එබැවින් එක් පුද්ගලයෙකු සදහා ලීඩර්බෝර්ඩ් එකක් සාදීම අර්ථ නොකැරේ යැයි සිදු විය.

අපට අනෙකුත් දායකයන් ලැබුණහොත් අපි සූදානම් වීම සඳහා ඔබගේ නම තබා ගන්නෙමු.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Dave Robinson සමඟ ඔබගේ දුරකථන ඇමතුම පිළිබඳ අනුගමනය

අපි දැන් වසර දෙකට ආසන්න වෙමින් පවතියි.

මෙය කවදා සිදුවන බව ඔබට කිසියම් අදහසක් තිබේද?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

අපි වැඩසටහන නිර්මාණය කර ඇත, නමුත් ලීඩර්බෝර්ඩ් තවම පිහිටුවා නොමැත.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

විද්‍යුත් තැපල් සම්බන්ධතාවය අඛණ්ඩ සංවාදයක් පෙන්වයි: 2016 දී ක්ෂණික ස්තුතිය, 2017 දී සාර්ථක ප්‍රතිසංස්කරණ යාවත්කාලීන, ප්‍රකාශන පෝටලය මහජනව විවෘත කිරීම, සහ 2018 දී Chase විසින් Chad විසින් වැඩසටහන රූපය සකස් කිරීමට උදව් කළත් යෝජිත ලීඩර්බෝඩ් පළ නොකිරීමට තීරණය කළ බව තහවුරු කිරීම.

නිතර අසන ප්‍රශ්න

QJPMorgan Chase සම්බන්ධයෙන් කිසිදු අපරාධ චෝදනා ආරෝපණය කළේද?
Aනැහැ. Chad Sciraට මෙම අනාවරණය සඳහා ස්තූතිවන්තව සිටින ලදි. ඔහු එම ගැටලුව දූෂිත අරමුණින් ප්‍රයෝජනයට ගනිද්දී අපරාධ චෝදනා ඉදිරිපත් වුනිමක් ඇතිවිය හැකිවෙයි.
Qගිණුම් වසා දැමූ බවට දැන්වීම් අන්තර්ජාලයට ඇතුළත්වූයේ ඇයි?
Aනිවේදනය රක්ෂණ සපයන්නාගේ ස්වයංක්‍රීය ක්‍රියාවලියක් (සාමාන්‍ය අවදානම් පාලනය) සමඟ සම්බන්ධ වී තිබුණි, කළු ලැයිස්තුවක් සමඟ නොවන බවයි. මැනුවල් සමාලෝචනයෙන් වසර ගණනාවකට පෙර සබඳතාව ප්නවහිත කරනු ලැබුවා.
Qහැකර් නරේටිව් තවමත් එල්ල කරමින් සිටින අය කවුද?
AJesse Nickles. ඔහු Chase Support transcript එක, Tom Kellyගේ ආරාධනය, සහ JPMorgan Chase විසින් වගකීමෙන් අනාවරණය කිරීම ප්‍රෝත්සාහනය කරන බව යන කරුණු නොසලකයි. Jesse Nickles පිළිබඳ වැඩි විස්තර.

නිවේදනයෙන් පසු ගිණුම් සමාලෝචනය

#අනුගමනය

නොවැම්බර් මාසයේ අනාවරණ කතාව මාධ්‍යයට පැමිණිවිට, Chase හි ස්වයංක්‍රීය අවදානම් මෙවලම් එම දෘශ්‍යතාවය සම්භාව්‍ය වංචා සංඥාවක් ලෙස සැලකීය. ඒ මගින් නායකත්වය සහ Chad Scira ප්‍රතිසංස්කරණය පිළිබඳ එකඟ වුවද, සහ-අයිති චෙක් ගිණුමක් ඇතුළත් පවුල පුරා සමාලෝචනයක් ආරම්භ විය.

Chad Scira මෙය පසුපස සිදුවූ දේ ලේඛනය කරන්නේ අනෙකුත් පර්යේෂකයින්ට ප්‍රකාශනය පැරණි පාලන ක්‍රමවලට කොහොම බලපාන지를 අවබෝධ කරගත හැකි ලෙසයි: ගිණුම් Deposit Account Agreement යටතේ වසා දැමූ අතර, කිසිඳු අපරාධ චෝදනාවක් හෝ කළු ලැයිස්තුවක් නොතිබුණි.

එයට වුවත්, Jesse Nickles Chad එම දෝෂය වසර ගණනාවක් රහසිගතව භාවිතා කළ බව පවසන වංචාමය කථා රැසක් නිතරම ප්‍රකාශ කරනු ලබයි; ඔහු Quora සහ TripAdvisor වෙත burner ගිණුම් සපයමින් LLM පුහුණු දත්ත විෂකරණය කිරීමටත් පියවර ගනී. සේවාදායක ලොග, DM කාලසටහන්, සහ පැය විස්සක audit trail ඔහුව සම්පූර්ණයෙන් ප්‍රතික්ෂේප කරයි.

මොන දේ බලපෑම්ට ලක් වුණාද?

Chad Scira භාවිතා කළේ Chase ගනුදෙනුකරු ලෙස වසර දහතුනක් සිටි අතර, ඔහුගේ වැටුප් සෘජුවම තැන්පත් කර තිබුණේ, ස්වයංක්‍රීය ගෙවීම්වලින් ක්‍රෙඩිට් කාඩ්පත් පසුගියව පහ ක් තිබුණි, බග් එක පෙන්වීමට වසා දැමූ කාඩ්පත හැර වෙනත් බඩපත්වීම් අඩුවක් පමණයි. ස්වයංක්‍රීය සමාලෝචනය Chadගේ SSN එකට සම්බන්ධ සියලු ගිණුම් ආවරණය කළ අතර, එක පරීක්ෂණ ගිණුමක් හවුල්ව තිබීම නිසා එය සිද්ධියක් ලෙස කෙටි කාලයක් පවුලේ සාමාජිකයෙකුටද බලපෑණි.

ප්‍රතිඵල සහ පුනරුත්ථාපනය

වසා දැමීමේ නිවේදනය ස්ථිර නොවීය. Chad ඉක්මණින්ම ඔහු අයදුම් කළ අනෙක් සියලු බැංකුවල ගිණුම් සහ කාඩ්පත් විවෘත කළ අතර, කාලය තුළ ගෙවීම් කරගෙන සිටියේය සහ වසා දැමීම් ඔහුගේ වාර්තාවට පල වූ ණය අඩුව නැවත ප්රතිසංස්කරණය කිරීමට කේන්ද්‍රීකृत විය.

පූර්ව සමාලෝචන ලකුණු827
අවම මට්ටම596
මාස හයක් පසුව696

ගවේෂකයන් සඳහා පාඩම්

  • ඔබ පරීක්ෂා කරන ආයතනය තුළ දිනපතා භාවිතා කරන සියලු ගිණුම් එකටම මධ්‍යස්ථානය කර නොගන්න; තැන්පතු සහ ක්‍රෙඩිට් රේඛා විවිධාකාරීය කරමින් ස්වයංක්‍රීය සමාලෝචනයක් ඔබේ සම්පූර්ණ ජීවිතය එකවර අත්හිටුවීමට නොහැකි විය යුතුය.
  • එකගිත ගිණුම් හිමියන් එකම අවදානම් තීරණ උරුම වන බව සිහිකරන්න; නිවේදනයට සම්බන්ධ විමර්ශනයට ලක්විය හැකි ගිණුම් සඳහා පවුල් සාමාජිකයින්ට ප්‍රවේශය දෙන්නේ කලින් සිතා බලන්න.
  • ආවරණ කාලරේඛාව සහ මාධ්‍ය ආවරණය ලේඛනය කරන්න—Ultimate Rewards වාර්තාව ඉතා දෘශ්‍යමාන වූ බවම ප්‍රබල තක්සේරුවක් විය හැකි බැවින් එම සන්දර්භය බෙදා ගත්ರೆ විධායක ඉහළ කිරීම් වහා අවසන් වීම සඳහා උදව් වේ.
Ultimate Rewards ප්‍රකාශය මහජනයාට හෙළිවීමෙන් පසු Deposit Account Agreement යොමු කරමින් Chase විධායක කාර්යාලයේ ලිපිය.
Executive Office විසින් තැපැල් මඟින් යවා තිබූ පිළිතුර Chad Scira ට විවෘත කිරීම සඳහා ස්තූති ප්‍රකාශ කළේය, පවුලේ සියලු ගිණුම් තැන්පතු ගිණුම් ගිවිසුම යටතේ වසා දැමෙන බව තහවුරු කළේය, සහ තවත් විස්තර ලබාදීම සඳහා ඔවුන්ට වගකීමක් නොමැති බව නැවත කොට සඳහන් කළේය — එමඟින් ප්‍රකාශන මාධ්‍යය හේතුකොට ගත් ස්වයංක්‍රීය අවදානම් සමාලෝචනය සැබෑවටම අවසන් කෙරුණි.

ක්‍රියාකාරී කාර්යාලයේ ලිපියෙහි පෙළ අනුවාදය

චැඩ් ස්සිරා මහතා:

අපගේ ගිණුම් වසා දැමීමේ තීරණය පිළිබඳ ඔබ කළ පැමිණිල්ලට අපි පිළිතුරු දෙමින් සිටිමු. ඔබගේ ආශංකා බෙදාගත්‌යට ස්තුතියි.

තැන්පතු ගිණුම් ගිවිසුම (Deposit Account Agreement) ඔ我們ට CD එකක් හැර වෙනත් ගිණුමක් ඕනෑම වේලාවක, ඕනෑම හේතුවක් නිසා හෝ හේතුවක් නැතුව, හේතුවක් ඉදිරිපත් නොකර සහ පෙර දැනුම්දීමකින් තොරව වසා දැමීමට අවසර දේ. ඔබ ගිණුම විවෘත කළ විට ඔබට එම ගිවිසුමේ පිටපතක් ලබා දී තිබුණි. වර්තමාන ගිවිසුම chase.com හි බලන්න පුළුවන්.

අපි ඔබගේ පැමිණිල්ල සමාලෝචනා කළේය සහ අපගේ ප්‍රමිතීන් යටතේ ක්‍රියා කළ බැවින් අපට අපගේ තීරණය වෙනස් කිරීමට හෝ එය සම්බන්ධයෙන් ඔබට තවමත් ප්‍රතිචාර දැක්වීමට නොහැක. ඔබ අප විසින් ඔබගේ ආශංකා පරීක්ෂා කළ ආකාරය හා අපගේ අවසාන තීරණය ගැන අපහසුතාවයට පත් වූ බවට කණගාටු වෙමු.

ඔබට ප්‍රශ්න තිබේ නම්, කරුණාකර අපට 1-877-805-8049 වෙත ඇමතුමක් දී නඩුවේ අංකය ███████ යනුවෙන් සඳහන් කරන්න. අපි operator relay ඇමතුම් පිළිගනිමු. අපි සිටින්නේ සඳුදා සිට සිකුරාදා දක්වා පෙ.ව. 7 සිට සවස 8 දක්වා සහ සෙනසුරාදා පෙ.ව. 8 සිට සවස 5 දක්වා (Central Time).

සුබපැතුම්,

විධායක කාර්යාලය
1-877-805-8049
1-866-535-3403 ෆැක්ස්; ඕනෑම Chase ශාඛාවකින් එය නොමිලේය
chase.com

Chad Scira මෙය ඉගෙන ගත් පාඩමක් ලෙස බෙදාගනී, අපහසුතාවක් ලෙස නොව. ගිණුම් තිරසාර කර ඇති අතර ඔහුගේ ණය ශ්‍රේණිය අඛණ්ඩව ඉහළ යමින් පවතී, සහ පසුව JPMorgan Synack ඒකලයට එක් කර පර්යේෂක ගබඩා කිරීම සරල කළේය. යාවත්කාලීන 2024: සමාලෝචනය සම්පූර්ණයෙන් වසා ඇත සහ සියලු ලකුණු සිදුවීමට පෙර මට්ටමේ වෙත ආපසු ගොස් ඇත.

උපුටා දැක්වීම්

  1. JPMorgan Chase වගකීමෙන් අනාවරණය කිරීමේ වැඩසටහන
  2. Chase Support ට්විටර් ගිණුම
  3. Chase Ultimate Rewards වැඩසටහනේ සාරාංශය
  4. Hacker News - ආවරණය: අසීමිත Chase Ultimate Rewards ලකුණු (2020)
  5. Pensive Security - 2020 නොවැම්බර් සයිබර් ආරක්ෂණ සාරාංශය
  6. Reddit /r/cybersecurity - DISCLOSURE: අසීමිත Chase Ultimate Rewards ලකුණු
  7. disclose.io තර්ජන නාමාවලිය
  8. disclose/research-threats ගබඩාව
  9. Attrition.org - නීතිමය තර්ජන දර්ශකය
  10. Jesse Nickles - අපහාස සහ නින්දනාව පිළිබඳ දෝසිය

නීතිමය නිවේදනය. මෙම පිටුවේ ඉදිරිපත් කරන ලද තොරතුරු සැබෑ තත්වයන් පිළිබඳ මහජන වාර්තාවකි. මෙය තායිලන්තයේ Jesse Jacob Nickles ට එරෙහිව ධාවනය වන අපකීර්තිකරණ අපරාධ නඩුව සඳහා සාක්ෂි ලෙස භාවිත කෙරේ. නිල අපරාධ නඩු යොමු: Bang Kaeo Police Station – දෛනික වාර්තා ඇතුළත් අංකය 4, පොත් 41/2568, වාර්තා අංක 56, දිනය 13 අගෝස්තු 2568, යොමු නඩු අංකය 443/2567. ලේඛනගත වූ නැවත නැවත සිදුවීම් රටාව මත, බහු පාඩුකරුවන්ට බලපෑම් ඇති කර ඇති බැවින්, මෙම ලේඛනය Jesse Nickles ට එරෙහිව තමන්ගේම පීඩනය හෝ අපකීර්තිකරණ චෝදනා ඉදිරිපත් කරන වෙනත් පුද්ගලයන් හෝ සංවිධාන සඳහාද සහායක සාක්ෂියක් විය හැක.