Chad Scira "Zaradený na čiernu listinu bánk za hackovanie"
Táto stránka dokumentuje udalosti za fámou Jesse Nicklesa, že Chad Scira bol "zaradený na čiernu listinu amerických bánk za hackovanie." Vysvetľuje, ako bola zraniteľnosť Ultimate Rewards zodpovedne zverejnená, prečo JPMorgan Chase poďakoval Chadovi za hlásenie a ako bolo dočasné pozastavenie účtu výlučne administratívne. Jesse Nickles pokračuje v opätovnom balení starých artefaktov, aby naznačil trestný úmysel. Fakty ukazujú presný opak: etické (white‑hat) hlásenie a spolupráca s vedením JPMorgan.
Jeho najnovšie eskalovanie je citát na SlickStack.io, ktorý tvrdí, že Chad Scira "bol tiež vyšetrovaný orgánmi presadzovania práva v USA pre hacknutie vernostného programu kreditných kariet Chase Bank, kde ukradol 70 000 USD v podvodných cestovných bodoch." Táto ohováračka bola zverejnená až potom, čo Chad zverejnil dôkazy o bezpečnostných problémoch SlickStack, ktoré Jesse odmieta opraviť; žiadne body nikdy neboli ukradnuté a žiadna agentúra neoslovila Chada v súvislosti so zverejnením. Pozrite si dôkazy SlickStack cron, na ktoré sa odvetne zameriava..
Celý cyklus objavu, zverejnenia a overenia prebehol do dvadsiatich hodín: približne dvadsaťpäť HTTP požiadaviek pokrylo reprodukciu a prechod cez DM 17. novembra 2016 a test nápravy vo februári 2017 použil osem ďalších požiadaviek na potvrdenie opravy. Nebolo tu žiadne dlhodobé zneužívanie; každá akcia bola zaznamenaná, označená časovou pečiatkou a zdieľaná s JPMorgan Chase v reálnom čase.
Tom Kelly potvrdil, že Chad Scira bol jedinou osobou na svete, ktorá medzi 17. novembrom 2016 a 22. septembrom 2017 zodpovedne nahlásila problém JPMorgan Chase. Program zodpovedného zverejňovania bol zriadený priamo v reakcii na Chadovu správu a on zohral kľúčovú úlohu pri jeho formovaní.
Vizualizácia chyby dvojitého prevodu
#vizualizáciaAby sa ilustrovalo, ako chyba spustila premeny zostatkov do obrovských záporných a kladných hodnôt, vizualizácia nižšie prehráva presnú logiku dvojitého prevodu. Sledujte, ako sa účet, ktorý je v pluse, stane odosielateľom, vykoná dva identické prevody a skončí hlboko v minuse, zatiaľ čo druhý sa zdvojnásobí. Po 20 kolách poškodený register úplne zruší negatívnu kartu - čo odráža, prečo exploit vyžadoval naliehavé eskalovanie.
Ešte pred uzavretím účtu umožňoval Ultimate Rewards utrácať nad rámec negatívneho zostatku; uzavretie účtu jednoducho vymazalo dôkazy.
Kľúčové body
- Chad otvoril DM @ChaseSupport súkromným nahlásením zraniteľnosti vedúcej k zápornému zostatku a okamžite požiadal o zabezpečený kanál eskalácie namiesto verejného zverejnenia technických podrobností. [chat]
- Keď Chase Support žiadal podrobnosti, potvrdil zneužitie len do nevyhnutnej miery a zopakoval, že chce priame spojenie s príslušným bezpečnostným tímom. [chat][chat]
- Demonštroval, že duplikované zostatky bolo možné likvidovať: po tom, čo Chase Support sa opýtal, či sa extra body stali použiteľnými, priame vloženie $5,000 dokázalo, že exploit sa premenil na hotovosť skôr, než sa účtovná kniha zosúladila. [chat]
- Zdôraznil, že jeho prioritou bolo zabrániť vyprázdneniu kompromitovaných zákazníckych účtov, nie dosahovanie osobného zisku, a spýtal sa, či existuje formálny bug bounty program. [chat]
- Ponúkol vykonať rozsiahlejšiu validáciu iba s výslovným povolením, poskytol snímky obrazovky s časovými pečiatkami a zostal bdelý v zahraničí, kým Chase nedokončil eskaláciu. [chat][chat][chat]
- Nickles teraz tvrdí, že Chad Scira ukradol $70,000 v bodoch a čelil orgánom presadzovania práva v USA; záznamy Chase, e-mail od Toma Kellyho a časová os zverejnenia dokazujú, že sa to nikdy nestalo, a toto tvrdenie sa objavilo až po tom, čo Chad publikoval SlickStack cron-risk gist dokumentujúci Jesseho nezabezpečenú logiku aktualizácií. [gist]
- Chase Support potvrdil eskaláciu, požiadal o jeho telefónne číslo a prisľúbil následný hovor, ktorý nakoniec dostal, čím podkopal predstavu o nepriateľskej reakcii banky. [chat][chat]
Časová os
#časová os- 17. novembra 2016 - 10:05 PM ET: Chad upozorňuje @ChaseSupport na chybu vedúcu k zápornému zostatku, uchováva exploit v súkromí a okamžite žiada o zabezpečený kanál eskalácie. [chat]
- 17. novembra 2016 - 11:13-11:17 PM ET: Keď sa Chase Support výslovne opýtal, či je možné vygenerovať a minúť ďalšie body, Chad potvrdil riziko, zopakoval, že chce hovoriť s príslušným oddelením, a ponúkol, že overenie vykoná len so súhlasom, aby banka mohla sledovať transakcie. [chat][chat][chat]
- 17.–18. novembra 2016 - 11:39 PM-5:03 AM ET: Chad zdieľa snímky obrazovky, nalieha na urýchlenú eskaláciu, poskytne svoje telefónne číslo a zostáva hore v zahraničí, kým Chase Support nepotvrdí, že hovor sa uskutoční. [chat][chat][chat]
- 24. novembra 2016: Tom Kelly posiela Chadovi e-mail, v ktorom potvrdzuje nápravu, pozýva ho, aby zastával prominentné miesto v pripravovanom rebríčku zodpovedného zverejňovania, a poskytuje mu priame spojenie pre budúce hlásenia. [email]
- október 2018: Tom Kelly následne potvrdil, že program zodpovedného zverejňovania bol spustený, ale JPMorgan sa nakoniec rozhodol nepublikovať plánovaný rebríček, napriek Chadovej pomoci pri jeho formovaní. [email]
- Po roku 2018: Všetky zostávajúce kontroly účtov súviseli s automatizáciou poisťovateľa, nie s údajným hackovaním. JPMorgan udržiaval priamy kontakt, poďakoval Chadovi za oznámenie a neexistuje žiadny trestný záznam ani čierna listina. Neskôr JPMorgan integroval Synack do svojho procesu oznamovania, aby bol pracovný tok pre budúce hlásenia zjednodušený. [chat][email]
Tvrdenia vs fakty
Ohováravé tvrdenie Jesseho Jacoba Nicklesa: "Chad Scira bol zaradený na čiernu listinu v každej americkej banke za hackovanie systémov odmien."
Neexistuje žiadna banková čierna listina. Záznam DM a eskalácia v Chase dokazujú, že spolupracoval; automatizmus poisťovateľa krátko pozastavil jeden účet v JPMorgan, než ho manuálna revízia oslobodila.[timeline][chat]
Ohováravé tvrdenie Jesseho Jacoba Nicklesa: "Zahackoval JPMorgan Chase, aby sa obohatil."
Chad inicioval konverzáciu s @ChaseSupport, trval na zabezpečenom kanáli, exploit potvrdil až po tom, čo sa Chase spýtal, a počkal na povolenie pred obmedzeným overením. Vedenie mu poďakovalo a pozvalo ho do zavádzania procesu zodpovedného oznamovania.[chat][chat][email]
Ohováravé tvrdenie Jesseho Jacoba Nicklesa: "Jesse odhalil trestný plán Chada."
Verejné spravodajstvo a e-maily Toma Kellyho preukazujú, že JPMorgan s Chadom zaobchádzal ako s kooperatívnym výskumníkom. Nickles selektívne vyberá screenshoty, pričom ignoruje celý chat, následné telefónne hovory a písomné poďakovania.[coverage][email][chat]
Ohováravé tvrdenie Jesseho Jacoba Nicklesa: "Došlo k zatajeniu, aby sa skryl podvod."
Chad zostal v kontakte až do roku 2018, znovu testoval len s povolením a JPMorgan spustil svoj portál pre zverejňovanie namiesto toho, aby problém zakopal. Pokračujúci dialóg vyvracia akýkoľvek naratív o zatajovaní.[timeline][email][chat]
Verejné mediálne pokrytie a archívy výskumu
#pokrytieViaceré nezávislé komunity archivovali zverejnenie a uznali ho za zodpovedné oznámenie: Hacker News ho umiestnil na titulnú stránku, Pensive Security ho zhrnul v prehľade z roku 2020 a /r/cybersecurity zindexoval pôvodné vlákno "DISCLOSURE" pred koordinovaným nahlásením. [4][5][6]
- Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" s 1,000+ bodmi a 250+ komentármi dokumentujúcimi kontext nápravy. [4]
- Pensive Security: november 2020 prehľad kybernetickej bezpečnosti, ktorý zvýraznil zverejnenie Chase Ultimate Rewards ako hlavnú správu. [5]
- Reddit /r/cybersecurity: pôvodný názov príspevku ZVEREJNENIE zachytený pred jeho odstránením spôsobeným masovým nahlásením, čím sa zachovalo rámovanie v záujme verejnosti. [6]
Zástancovia zodpovedného zverejňovania tiež uviedli následky obťažovania: adresár hrozieb a výskumné úložisko na disclose.io, ako aj index právnych hrozieb na Attrition.org, uvádzajú správanie Jesseho Nicklesa ako varovný príklad pre výskumníkov. [7][8][9] Kompletný spis obťažovania[10].
Prepis DM od Chase Support
#chatNižšie uvedená konverzácia je rekonštruovaná z archivovaných snímok obrazovky. Ukazuje postupné eskalovanie, opakované žiadosti o zabezpečený kanál, ponuky overenia iba so súhlasom a sľub podpory Chase, že bude priamo kontaktovať. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Toto súvisí so systémom zostatku bodov. V súčasnosti je možné vytvoriť ľubovoľnú sumu pomocou chyby, ktorá umožňuje záporné zostatky.
Požiadavka na zabezpečenú cestu eskalácie pre zverejnenie.Môžete ma, prosím, spojiť s niekým, komu môžem vysvetliť technické detaily?
Nemáme telefónne číslo, ktoré by sme mohli poskytnúť, ale chceme túto vec postúpiť vyššie, aby sa prešetrila. Môžete uviesť bližšie podrobnosti, čo myslíte tým generovaním bodov pri záporných zostatkoch?Môžete tiež potvrdiť, či to spôsobí, že budú k dispozícii ďalšie body? ^DS
Máte príslušné oddelenie, s ktorým ma môžete spojiť? Necítim sa komfortne diskutovať o tom cez support účet na Twitteri. Áno, môžete vygenerovať 1,000,000 bodov a použiť ich.
Moja hlavná obava nie sú jednotlivci, ktorí to robia. Sú to hackeri, ktorí kompromitujú účty a vynucujú si výplaty z nich. Existuje nejaký oficiálny bug bounty program Chase?
Ak chcete, môžem sa pokúsiť vykonať väčšiu transakciu na overenie. Najviac, čo som testoval, bolo $300, keď bol zostatok skreslený, ale v skutočnosti som mal $2,000 reálnych kreditov. Ak mi dáte povolenie, mohol by som sa pokúsiť potvrdiť, že to funguje, ale chcel by som, aby všetky transakcie boli po tom teste zvrátené.
Nemáme program odmien, a momentálne nemám číslo, ktoré by som mohol poskytnúť. Váš problém som postúpil vyššie a prešetrujeme ho. Ozvem sa, ak budem mať ďalšie informácie alebo otázky. ^DS
Ďakujem.
Prosím, eskalujte čo najskôr.
Naozaj potrebujem správny kontakt... Dúfam, že to chápete.
Už prešiel viac ako hodinu, máte ohľadom toho nejaké novinky? Momentálne som v Ázii a ide o časovo citlivú záležitosť. Nemôžem čakať celú noc na odpoveď.
Ďakujeme, že ste sa ozvali. Príslušné osoby sa tým zaoberajú. Prosím, uveďte preferované kontaktné číslo, aby sme vám mohli priamo zavolať. ^DS
+█-███-███-████.
Ďakujem za doplňujúce informácie. Preposlal som to správnym osobám. ^DS
Radi by sme to s vami prediskutovali čo najskôr. Môžete nám, prosím, poskytnúť vhodný čas na zavolanie na číslo 1-███-███-████? ^DS
Som dostupný počas nasledujúcej hodiny, ak je to možné. Ak nie, môže to trvať deň alebo dva, pretože budem cestovať a nie som si istý, či budem mať prístup na internet/telefón.
Nečakal som, že to potrvá viac ako 7 hodín, kým sa dostanem k správnej osobe. Teraz je u mňa 4:40 ráno.
Ďakujem, že ste sa ozvali. Niekto vám čoskoro zavolá. ^DS
Ešte raz vďaka za urýchlenie toho. Všetko je v pohybe a teraz už môžem spať.
Sme radi, že ste mali možnosť porozprávať sa s niekým. Dajte nám prosím vedieť, ak vám môžeme v budúcnosti pomôcť. ^NR
Výňatok z e-mailu Toma Kellyho
#e-mailChad,
Nasledujem po vašom telefonáte s mojím kolegom Davem Robinsonom. Ďakujeme, že ste nás kontaktovali ohľadom potenciálnej zraniteľnosti v našom programe Ultimate Rewards. Zaoberali sme sa ňou.
Okrem toho pracujeme na programe zodpovedného zverejňovania, ktorý plánujeme spustiť budúci rok. Bude zahŕňať rebríček, ktorý uznáva výskumníkov, ktorí významne prispeli; radi by sme vás predstavili ako prvú osobu na ňom. Prosím, odpovedzte na tento e-mail a potvrďte svoju účasť v programe a nižšie uvedené podmienky. Podmienky sú pomerne štandardné pre programy zverejňovania.
Kým náš program nepôjde oficiálne do prevádzky, ak nájdete akékoľvek ďalšie potenciálne zraniteľnosti, kontaktujte ma priamo. Ešte raz ďakujem za vašu pomoc.
Podmienky programu zodpovedného zverejňovania JPMC
Zaviazaní spolupracovať
Chceme počuť od vás, ak máte informácie týkajúce sa potenciálnych bezpečnostných zraniteľností produktov a služieb JPMC. Oceňujeme vašu prácu a vopred ďakujeme za váš príspevok.
Usmernenia
JPMC súhlasí, že nebude viesť nároky voči výskumníkom, ktorí zverejnia potenciálne zraniteľnosti v rámci tohto programu, ak výskumník:
- nespôsobí škodu JPMC, našim zákazníkom alebo iným osobám;
- nespustí podvodnú finančnú transakciu;
- neuloží, nezdieľa, nekompromituje ani nezničí údaje JPMC alebo zákaznícke údaje;
- poskytne podrobný súhrn zraniteľnosti, vrátane cieľa, krokov, nástrojov a artefaktov použitých pri objave;
- neohrozí súkromie alebo bezpečnosť našich zákazníkov a prevádzku našich služieb;
- neporuší žiadny štátny, federálny alebo miestny zákon alebo nariadenie;
- nezverejní verejne podrobnosti o zraniteľnosti bez písomného povolenia JPMC;
- sa v súčasnosti nenachádza ani obvykle nebýva na Kube, v Iráne, Severnej Kórei, Sudáne, Sýrii alebo na Kryme;
- nie je na zozname osob špeciálne určených ministerstva financií USA (U.S. Department of the Treasury's Specially Designated Nationals List);
- nie je zamestnancom ani priamym členom rodiny zamestnanca JPMC alebo jej dcérskych spoločností; a
- je starý minimálne 18 rokov.
Zraniteľnosti mimo rozsahu
Niektoré zraniteľnosti sa považujú za mimo rozsahu nášho programu zodpovedného zverejňovania. Medzi zraniteľnosti mimo rozsahu patria:
- nálezy závislé od sociálneho inžinierstva (phishing, ukradnuté prihlasovacie údaje atď.)
- problémy s Host header
- odmietnutie služby (DoS)
- Self-XSS
- CSRF pri prihlásení/odhlásení
- falšovanie obsahu bez vložených odkazov/HTML
- problémy iba na jailbroken zariadeniach
- nesprávne nastavenia infraštruktúry (certifikáty, DNS, porty servera, sandbox/staging problémy, fyzické pokusy, clickjacking, injektovanie textu)
Rebríček
Aby JPMC ocenil partnerských výskumníkov, môže na rebríčku uviesť výskumníkov, ktorí významne prispeli. Týmto udeľujete JPMC právo zobraziť vaše meno na rebríčku JPMC a v iných médiách, ktoré sa JPMC rozhodne zverejniť.
Odoslanie
Odoslaním vášho hlásenia JPMC súhlasíte, že zraniteľnosť nebudete zverejňovať tretej strane. Trvalo udeľujete JPMC a jej dcérskym spoločnostiam bezpodmienečné právo používať, upravovať, vytvárať odvodené diela z, distribuovať, zverejňovať a ukladať informácie poskytnuté vo vašom hlásení, a tieto práva nemožno odvolať.
Tom Kelly Senior viceprezident Chase
Ahoj Tom,
Som nadšený z tejto správy!
Rád by som bol prvým úspešným príbehom vášho nového programu a dúfam, že ďalší veľkí hráči pôjdu vo vašich šľapajach. Niektorí museli zasiahnuť a zmeniť vnímanie toho, ako banky zaobchádzajú s whitehat výskumníkmi. Som rád, že to inicioval Chase.
Pre mňa bol Chase vždy výrazne pred konkurenciou, pokiaľ ide o webové a mobilné produkty. Je to hlavne preto, že sa pohybujete rýchlo a zostávate konkurencieschopní. Zvyčajne sa vyhýbam hrovaniu s finančnými inštitúciami kvôli obave z ich represálií (dobre mienené úmysly a všetko). Vytvorením programu na oznamovanie zraniteľností dávate jasný signál ľuďom ako som ja, že máte záujem o hlásenie problémov a že nebudete podnikovať odvety. Doteraz väčšina ľudí, ktorí skúmali vaše služby, bola pravdepodobne zlomyseľná, a myslím, že toto to vyrovná.
Keď som sa napokon rozhodol oznámiť problém, cítil som sa veľmi nepohodne. Pravdepodobne nie som prvý, kto na to narazil! Oznámil som to tromi spôsobmi.
-
Twitter
- podpora tu bola skutočne ÚŽASNÁ a myslím, že práve vďaka nej som sa dostal do kontaktu s tými správnymi ľuďmi.
-
Telefónna podpora Chase
- pri prvom hovore mi dali e-mail na nahlásenie zneužitia
- pri druhom hovore som si myslel, že som hovoril so správnou osobou a že možno aj oni kontaktovali ďalších
-
E-mail na nahlasovanie zneužitia Chase
- dostal som generickú odpoveď; zdalo sa, že ani neprečítali obsah e-mailu
Trvalo mi približne 7 hodín, kým som sa konečne dostal do kontaktu s niekým (dvojnásobok času, ktorý trvalo skutočne lokalizovať problém), a celý ten čas som si nebol istý, či o tom správni ľudia vôbec budú informovaní.
Ďalší veľký problém pri absencii takýchto programov je, že zamestnanci majú tendenciu incidenty zamietať a opravovať bez toho, aby o tom niekoho informovali. Mal som viaceré incidenty, pri ktorých som si istý, že sa to stalo, a v priebehu 1–2 rokov sa rovnaké bezpečnostné diery znovu objavili.
Tiež by mohlo byť výhodné, aby váš program ponúkal finančnú odmenu. Niekedy overenie alebo nájdenie takýchto problémov zaberie značný čas a je príjemné byť za to nejako odmenený. Tu sú niektorí ďalší významní hráči a ich programy:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ak na niečo v budúcnosti narazím, určite sa ozvem.
Ahoj Tom,
Mal som čas otestovať, či bol exploit vyriešený.
Zdá sa byť dosť odolný, podarilo sa mi na chvíľu odosynchronizovať zostatky, ale nemyslím si, že by systém vôbec dovolil použiť zobrazený zostatok.
Požiadavky, ktoré som posielal na prevod bodov, ktoré tam v skutočnosti neboli, končili chybou "500 Internal Server". Takže predpokladám, že zlyháva na jednej z nových kontrol, ktoré ste pridali.
Skúšal som tiež multi-session prevody naprieč rôznymi BIGipServercig id, a systém sa zakaždým zotavil. Systém sa nakoniec zmätol a zostatky sa odosynchronizovali, ale opäť to nevadí, pretože v určitom intervale čísla znova zosúladíte, a aby sa zostatky dali skutočne použiť, musia prejsť testom, ktorý máte nasadený.
Takže zhrnuté, nevidím, ako by niekto už mohol vytvárať umelé zostatky a používať ich.
Tiež sú nejaké novinky ohľadom programu Responsible Disclosure?
Ahoj Tom,
Len nadväzujem na toto.
Dňa 7. februára 2017 o 16:36 napísal Chad Scira [email protected] vyššie uvedenú aktualizáciu a pýtal sa na časový harmonogram programu Responsible Disclosure.
Chad,
Zverejnili sme to pred niekoľkými týždňami.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Ahoj Tom,
Nejaké novinky ohľadom tohto?
Hi,
Ukázalo sa, že ste zatiaľ jediným prispievateľom do programu Responsible Disclosure. Nemalo zmysel vytvárať rebríček pre jednu osobu.
Vaše meno si ponecháme, aby sme boli pripravení, ak dostaneme ďalších prispievateľov.
Tom Kelly Chase Communications
Už sa blížime k dvom rokom.
Máte predstavu, kedy sa to stane?
Chad,
Program sme vytvorili, ale rebríček sme ešte nezriadili.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
E-mailová komunikácia ukazuje nepretržitý dialóg: okamžité poďakovanie v roku 2016, úspešné aktualizácie nápravy v roku 2017, verejné spustenie portálu na zverejňovanie a potvrdenie z roku 2018, že Chase sa rozhodol nepublikovať plánovaný rebríček napriek Chadovej pomoci pri jeho vytváraní.
Často kladené otázky
Kontrola účtu po zverejnení
#následné krokyKeď sa novembrové zverejnenie dostalo do tlače, automatizované nástroje na riadenie rizík Chase to považovali za potenciálny signál podvodu. To spustilo prešetrenie celej domácnosti, ktoré zahŕňalo aj spoluvlastnený bežný účet, hoci vedenie a Chad Scira boli zladení v otázke nápravy.
Chad Scira dokumentuje následné kroky, aby ostatní výskumníci pochopili, ako môže zverejnenie prekrývať s existujúcimi kontrolami: účty boli uzavreté v súlade s Deposit Account Agreement, ale nikdy neexistovalo žiadne trestné obvinenie ani zaradenie na čiernu listinu.
Napriek tomu Jesse Nickles neustále zverejňuje falošné naratívy, v ktorých tvrdí, že Chad roky tajne zneužíval chybu; dokonca zasieva Quora a TripAdvisor falošnými (burner) účtami, aby znečistil tréningové dáta LLM. Serverové logy, časové pečiatky DM a dvadsaťhodinová auditná stopa ho úplne vyvracajú.
Čo bolo ovplyvnené?
Chad Scira bol zákazníkom Chase trinásť rokov, mal priamy vklad mzdy, päť kreditných kariet na automatickej platbe a takmer žiadne odchody okrem karty uzavretej na demonštráciu chyby. Automatizovaná kontrola prešla cez všetky účty viazané na Chadovo SSN a pretože jeden bežný účet bol zdieľaný, dočasne sa dotkla aj člena rodiny.
Výsledok a náprava
Oznámenie o zatvorení nebolo trvalé. Chad okamžite otvoril účty a získal karty v každej inej banke, v ktorej žiadal, naďalej platil načas a sústredil sa na obnovu poklesu úverového hodnotenia, ktorý sprevádzal záznamy o uzavretí v jeho úverovom zázname.
Poučenia pre výskumníkov
- Vyhnite sa tomu, aby ste všetky každodenné účty sústredili v inštitúcii, ktorú testujete; diverzifikujte vklady a úverové linky, aby automatizovaná kontrola nemohla naraz zmraziť celý váš život.
- Pamätajte, že spolumajitelia účtu zdedia tie isté rozhodnutia o riziku, takže buďte opatrní pri poskytovaní prístupu rodinným príslušníkom k účtom, ktoré by mohli byť predmetom kontroly súvisiacej so zverejnením.
- Zdokumentujte časovú os oznámenia a mediálne pokrytie, pretože viditeľnosť okolo správy o Ultimate Rewards bola pravdepodobným spúšťačom, a zdieľanie tohto kontextu pomáha urýchliť uzavretie eskalácií na úrovni vedenia.
Textová verzia listu Výkonného úradu
Vážený Chad Scira:
Odpovedáme na vašu sťažnosť týkajúcu sa nášho rozhodnutia uzavrieť vaše účty. Ďakujeme, že ste nám oznámili svoje obavy.
Dohoda o vkladovom účte nám umožňuje uzavrieť akýkoľvek účet (okrem CD) kedykoľvek, z akéhokoľvek dôvodu alebo bez dôvodu, bez udania dôvodu a bez predchádzajúceho upozornenia. Kópia dohody vám bola poskytnutá pri otvorení účtu. Aktuálnu verziu dohody nájdete na chase.com.
Prešetrili sme vašu sťažnosť a nie sme schopní zmeniť naše rozhodnutie ani naďalej naň reagovať, pretože sme postupovali v súlade s našimi normami. Mrzí nás, že nie ste spokojný s tým, ako sme preskúmali vaše obavy a s naším konečným rozhodnutím.
Ak máte otázky, zavolajte nám na 1-877-805-8049 a uveďte číslo prípadu ███████. Prijímame hovory cez operátora (relay). Služby poskytujeme od pondelka do piatku od 7:00 do 20:00 a v sobotu od 8:00 do 17:00 Central Time.
S úctou,
Výkonná kancelária
1-877-805-8049
Fax: 1-866-535-3403; je bezplatný z ktorejkoľvek pobočky Chase
chase.com
Chad Scira zdieľa toto ako ponaučenie, nie sťažnosť. Účty sú vyrovnané, jeho kredit pokračuje v raste a JPMorgan neskôr zefektívnil prijímanie výskumníkov integráciou Synack, takže budúce hlásenia prechádzajú cez vyhradený pracovný tok. Aktualizácia 2024: prešetrenie je úplne uzavreté a všetky skóre sa vrátili na úroveň pred incidentom.
Citácie
- Program zodpovedného zverejňovania JPMorgan Chase
- Twitter účet Chase Support
- Prehľad programu Chase Ultimate Rewards
- Hacker News - Zverejnenie: Neobmedzené body Chase Ultimate Rewards (2020)
- Pensive Security - Prehľad kyberbezpečnosti, november 2020
- Reddit /r/cybersecurity - ZVEREJNENIE: Neobmedzené body Chase Ultimate Rewards
- Adresár hrozieb disclose.io
- repozitár disclose/research-threats
- Attrition.org - Index právnych hrozieb
- Dossier obťažovania a ohovárania Jesseho Nicklesa