Chad Scira „Na čiernej listine bánk za hekovanie“

Táto stránka dokumentuje udalosti stojace za fámou Jesseho Nicklesa, že Chad Scira bol „zaradený na čiernu listinu amerických bánk za hacking“. Vysvetľuje, ako bola zraniteľnosť Ultimate Rewards zodpovedne zverejnená, prečo spoločnosť JPMorgan Chase poďakovala Chadovi za nahlásenie a ako bolo dočasné pozastavenie účtu čisto administratívne. Jesse Nickles naďalej prebalzuje staré podklady, aby naznačil trestný úmysel. Fakty ukazujú presný opak: white-hat nahlasovanie a spoluprácu s vedením JPMorgan.

Jeho najnovšia eskalácia je citát na SlickStack.io, v ktorom tvrdí, že som „bol tiež vyšetrovaný orgánmi činnými v trestnom konaní USA za hackovanie vernostného programu kreditných kariet Chase Bank, kde ukradol 70 000 USD v podvodných cestovateľských bodoch“. Táto očierňujúca tvrdenie bolo zverejnené až po tom, čo som publikoval dôkazy o bezpečnostných problémoch SlickStack, ktoré odmieta opraviť; žiadne body nikdy neboli ukradnuté a žiadny úrad ma v súvislosti so zverejnením nekontaktoval. Pozrite si dôkazy z cron úlohy SlickStack, proti ktorým sa mstí.

Celý cyklus zistenia, oznámenia a overenia prebehol v priebehu dvadsiatich hodín: približne dvadsaťpäť požiadaviek HTTP pokrývalo reprodukciu a postup krok za krokom cez súkromné správy (DM walkthrough) dňa 17. novembra 2016 a test nápravy vo februári 2017 použil osem ďalších požiadaviek na potvrdenie opravy. Nedošlo k žiadnemu dlhodobému zneužívaniu; každý úkon bol zaznamenaný, opatrený časovou pečiatkou a v reálnom čase zdieľaný so spoločnosťou JPMorgan Chase.

Tom Kelly potvrdil, že Chad Scira bol jedinou osobou na svete, ktorá v období od 17. novembra 2016 do 22. septembra 2017 zodpovedne nahlásila problém spoločnosti JPMorgan Chase. Program zodpovedného zverejňovania bol zavedený priamo v reakcii na Chadovo hlásenie a zohral kľúčovú úlohu pri jeho formovaní.

Vizualizácia chyby pri dvojitom prevode

#vizualizácia

Na ilustráciu toho, ako chyba roztočila zostatky do obrovských mínusov a plusov, nižšie uvedená vizualizácia prehráva presnú logiku dvojitého prevodu. Sledujte, ako sa vždy účet s kladným zostatkom stáva odosielateľom, vykoná dva identické prevody a skončí hlboko v mínuse, zatiaľ čo druhý sa zdvojnásobí. Po 20 kolách chybná účtovná kniha úplne zruší kartu s negatívnym zostatkom – čo odzrkadľuje, prečo si zneužitie vyžadovalo urgentnú eskaláciu.

Kolo 1/20
Karta A → Karta B+243,810 body
Karta A → Karta B+243,810 body
Karta A
243,810
Karta B
0
Dvojitý prenosový výbuch
Prevod 1Prevod 2243,810 body každý
1Preteková podmienka duplikovala prevody predtým, než sa hlavné knihy znovu vyrovnali, čo umožnilo jedinému odosielateľovi prepínať medzi obrovskými kladnými a zápornými zostatkami.
2Podpora umožnila zatvoriť kartu s negatívnym zostatkom a ponechať nafúknutý kladný zostatok, takže výpis vykazoval iba zisky a skrýval dlh.

Ešte pred zatvorením účtu Ultimate Rewards umožňoval míňanie nad rámec negatívneho súhrnu; samotné zatvorenie len vymazalo dôkazy.

Kľúčové body

  • Chad otvoril súkromnú správu Chase Support tak, že neverejne nahlásil exploit so záporným zostatkom a namiesto zverejnenia technických detailov verejne okamžite požiadal o bezpečný spôsob eskalácie. [chat]
  • Keď podpora Chase žiadala konkrétne informácie, potvrdil zneužitie iba v nevyhnutnom rozsahu a zopakoval, že chce mať priamy kontakt na správny bezpečnostný tím. [chat][chat]
  • Preukázal, že duplikované zostatky bolo možné zlikvidovať: po tom, čo sa podpora Chase spýtala, či boli extra body použiteľné, priamy vklad 5 000 USD dokázal, že zneužitie sa premenilo na hotovosť skôr, než sa účtovná kniha stihla zosúladiť. [chat]
  • Zdôraznil, že jeho prioritou bolo zabrániť odčerpaniu ohrozených účtov zákazníkov, nie dosiahnuť osobný zisk, a spýtal sa, či existuje formálny bug bounty program. [chat]
  • Ponúkol, že vykoná rozsiahlejšie overenie iba s výslovným povolením, poskytol snímky obrazovky s časovými pečiatkami a zostal vzhuru v zahraničí, kým Chase nedokončila eskaláciu. [chat][chat][chat]
  • Nickles teraz tvrdí, že som ukradol body v hodnote 70 000 USD a čelil vyšetrovaniu orgánov činných v trestnom konaní v USA; záznamy Chase, email od Toma Kellyho a časová os zverejnenia dokazujú, že sa to nikdy nestalo a toto tvrdenie sa objavilo až potom, ako som zverejnil gist o riziku cronu v SlickStack, v ktorom som zdokumentoval jeho nezabezpečenú logiku aktualizácií. [gist]
  • Podpora Chase potvrdila eskaláciu, vyžiadala si jeho telefónne číslo a prisľúbila následný telefonát, ktorý napokon aj dostal, čím spochybnila predstavu o nepriateľskej reakcii banky. [chat][chat]

Časová os

#časová os
  • Nov 17, 2016 - 10:05 PM ET: Chad upozorní @ChaseSupport na chybu so záporným zostatkom, uchová exploit v súkromí a okamžite žiada o bezpečný spôsob eskalácie. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Potom, čo sa podpora Chase výslovne opýta, či je možné generovať a míňať dodatočné body, Chad potvrdzuje riziko, opakuje, že chce príslušné oddelenie, a ponúka sa, že vykoná overenie len s povolením, aby banka mohla sledovať transakcie. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad zdieľa snímky obrazovky, žiada o urýchlenú eskaláciu, poskytne svoje telefónne číslo a zostane hore v zahraničí, až kým Chase Support nepotvrdí, že sa hovor uskutoční. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly posiela Chadovi e-maily, v ktorých potvrdzuje nápravu, pozýva ho, aby bol hlavným menom pripravovaného rebríčka zodpovedného zverejňovania, a poskytuje mu priamy kontakt na budúce hlásenia. [email]
  • October 2018: Tom Kelly nadviazal, aby potvrdil, že program zodpovedného zverejňovania bol spustený, ale že JPMorgan sa nakoniec rozhodol nezverejniť plánovaný rebríček, a to aj napriek Chadovej pomoci pri jeho tvorbe. [email]
  • Post-2018: Všetky následné kontroly účtov súviseli s automatizáciou zo strany poisťovateľa, nie s domnelým hekovaním. JPMorgan udržiaval priame kontakty, poďakoval Chadovi za oznámenie a neexistuje žiadny záznam o trestnom čine ani žiadna čierna listina. Neskôr JPMorgan integroval Synack do svojho procesu oznamovania, aby bol pracovný postup pri budúcich hláseniach zefektívnený. [chat][email]

Tvrdenia vs. fakty

Nárok

Pohŕdavé (ohováračské) tvrdenie Jesseho Jacoba Nicklesa: „Chad Scira bol zaradený na čiernu listinu vo všetkých amerických bankách za hackovanie odmeňovacích systémov.“

Fakt

Neexistuje žiadna čierna listina bánk. Záznam v DM a eskalácia v rámci Chase dokazujú, že spolupracoval; automatizovaný proces poisťovne krátko pozastavil jeden účet JPMorgan, než ho manuálna kontrola znovu schválila.[timeline][chat]

Nárok

Pohŕdavé (ohováračské) tvrdenie Jesseho Jacoba Nicklesa: „Nabúral sa do JPMorgan Chase, aby sa obohatil.“

Fakt

Chad začal konverzáciu s @ChaseSupport, trval na bezpečnom kanáli, exploit potvrdil až po otázke zo strany Chase a s povolením vykonal len obmedzené overenie. Vrcholový manažment mu poďakoval a zapojil ho do zavádzania zodpovedného oznamovania zraniteľností.[chat][chat][email]

Nárok

Pohŕdavé (ohováračské) tvrdenie Jesseho Jacoba Nicklesa: „Jesse odhalil trestnú schému, ktorú viedol Chad.“

Fakt

Verejné spravodajstvo a emaily Toma Kellyho dokumentujú, že JPMorgan vnímal Chada ako spolupracujúceho výskumníka. Nickles selektívne vyberá snímky obrazovky a ignoruje kompletný chat, následné hovory aj písomné poďakovanie.[coverage][email][chat]

Nárok

Pohŕdavé (ohováračské) tvrdenie Jesseho Jacoba Nicklesa: „Došlo k ututlaniu s cieľom zakryť podvod.“

Fakt

Chad zostal v kontakte do roku 2018, znovu testoval len s povolením a JPMorgan namiesto ututlania problému zaviedol svoj portál na oznamovanie zraniteľností. Prebiehajúci dialóg odporuje akejkoľvek verzii o zatajovaní.[timeline][email][chat]

Verejné spravodajstvo a výskumné archívy

#pokrytie

Viaceré nezávislé komunity tretej strany zverejnenie archivovali a uznali ho ako zodpovedné nahlásenie: Hacker News ho mal na titulnej stránke, Pensive Security ho zhrnula v prehľade za rok 2020 a /r/cybersecurity zaindexoval pôvodné vlákno „DISCLOSURE“ ešte pred koordinovaným nahlasovaním. [4][5][6]

  • Hacker News: „Zverejnenie: Neobmedzené body Chase Ultimate Rewards“ s viac ako 1 000 bodmi a 250+ komentármi dokumentujúcimi kontext nápravy. [4]
  • Pensive Security: Prehľad kybernetickej bezpečnosti za november 2020, ktorý vyzdvihuje zverejnenie zraniteľnosti v programe Chase Ultimate Rewards ako hlavnú správu. [5]
  • Reddit /r/cybersecurity: Pôvodný názov príspevku DISCLOSURE zachytený pred odstránením spôsobeným hromadným nahlasovaním, ktorý zachováva pôvodný rámec vo verejnom záujme. [6]

Zástancovia zodpovedného zverejňovania tiež poukazovali na následky obťažovania: adresár hrozieb a výskumné úložisko disclose.io, ako aj index právnych hrozieb Attrition.org uvádzajú správanie Jesseho Nicklesa ako výstražný príklad pre výskumníkov. [7][8][9] Kompletný spis o obťažovaní[10].

Prepis DM s podporou Chase

#chat

Nižšie uvedená konverzácia je zrekonštruovaná z archivovaných snímok obrazovky. Dokladuje trpezlivú eskaláciu, opakované žiadosti o bezpečný kanál, ponuky na overenie len s povolením a prísľuby podpory Chase, že sa ozvú priamo. [2]

Chase Support Profile avatar
Chase Support ProfileOverený účet
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Týka sa to systému bodových zostatkov. V súčasnosti je možné generovať akékoľvek množstvo bodov prostredníctvom chyby, ktorá umožňuje negatívne zostatky.

Žiadam o bezpečnú eskalačnú cestu pre zverejnenie.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Môžete ma, prosím, prepojiť s niekým, komu môžem vysvetliť technické podrobnosti?

Chase Support avatar
Chase SupportOverený účet
Nov 17, 2016, 10:05 PM
#

Nemáme telefónne číslo, ktoré by sme mohli poskytnúť, ale chceme tento prípad eskalovať, aby sa mohol preveriť. Môžete uviesť ďalšie podrobnosti o tom, čo máte na mysli pod generovaním bodov pri záporných zostatkoch?Môžete tiež potvrdiť, či to umožňuje, aby sa sprístupnili na použitie dodatočné body? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Máte príslušné oddelenie, s ktorým ma môžete spojiť? Necítim sa komfortne preberať to cez twitterový účet podpory. Áno, môžete vygenerovať 1 000 000 bodov a použiť ich.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mojou hlavnou obavou nie sú jednotlivci, ktorí to robia. Ide o hackerov, ktorí kompromitujú účty a vynucujú si na nich výplaty. Existuje riadny bug bounty program Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ak chcete, môžem skúsiť urobiť väčšiu transakciu na potvrdenie. Najviac, čo som testoval, bolo 300 USD, keď bol zostatok skreslený, ale v skutočnosti som mal 2 000 USD v reálnych kreditoch. Ak mi udelíte povolenie, mohol by som sa pokúsiť potvrdiť, že to funguje, ale chcel by som, aby boli všetky transakcie po tomto teste zvrátené.

Chase Support avatar
Chase SupportOverený účet
Nov 17, 2016, 11:21 PM

Nemáme program odmien (bounty) a v tejto chvíli nemám sumu, ktorú by som mohol uviesť. Váš podnet som postúpil na vyššiu úroveň a zaoberáme sa ním. Ozvem sa, ak budem mať ďalšie podrobnosti alebo otázky. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Ďakujem.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prosím, eskalujte čo najskôr.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Naozaj potrebujem riadny kontakt... Dúfam, že to chápete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Ubehla už viac ako hodina, sú o tom nejaké správy? Momentálne som v Ázii a ide o časovo citlivú záležitosť. Nemôžem čakať celú noc na odpoveď.

Chase Support avatar
Chase SupportOverený účet
Nov 18, 2016, 12:59 AM

Ďakujeme, že ste sa ozvali. Záležitosť preverujú príslušné osoby. Uveďte, prosím, preferované kontaktné telefónne číslo, aby sme s vami mohli hovoriť priamo. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportOverený účet
Nov 18, 2016, 1:53 AM

Ďakujeme za dodatočné informácie. Postúpil som to správnym osobám. ^DS

Chase Support avatar
Chase SupportOverený účet
Nov 18, 2016, 2:38 AM
#

Radi by sme sa s vami porozprávali čo najskôr. Môžete nám, prosím, uviesť vhodný čas, kedy vám môžeme zavolať na číslo 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Som k dispozícii nasledujúcu hodinu, ak je to možné. Ak nie, môže to byť deň alebo dva, pretože budem cestovať a nie som si istý, či budem mať prístup na internet/telefón.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nemyslel som si, že bude trvať viac ako 7 hodín, kým sa dovolám správnej osobe. Tu je teraz 4:40 ráno.

Chase Support avatar
Chase SupportOverený účet
Nov 18, 2016, 4:39 AM
#

Ďakujeme, že ste sa ozvali. Niekto vám veľmi skoro zavolá. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ešte raz ďakujem za urýchlenie. Všetko je v pohybe a teraz môžem spať.

Chase Support avatar
Chase SupportOverený účet
Nov 18, 2016, 5:03 AM

Sme radi, že sa vám podarilo s niekým hovoriť. Dajte nám, prosím, vedieť, ak vám v budúcnosti môžeme pomôcť. ^NR

Výňatok z e‑mailu od Toma Kellyho

#e-mail
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Nadviazanie na program zodpovedného zverejňovania Ultimate Rewards

Chad,

nadväzujem na tvoj telefonát s mojím kolegom Daveom Robinsonom. Ďakujeme, že si nás kontaktoval ohľadom potenciálnej zraniteľnosti v našom programe Ultimate Rewards. Upravili sme ju.

Okrem toho pracujeme na programe zodpovedného oznamovania zraniteľností (Responsible Disclosure), ktorý plánujeme spustiť budúci rok. Bude obsahovať rebríček, ktorý bude oceňovať výskumníkov, ktorí významne prispeli; radi by sme ťa na ňom uviedli ako prvého. Prosím, odpovedz na tento email s potvrdením svojej účasti v programe a s potvrdením nižšie uvedených podmienok. Zistíš, že podmienky sú pomerne štandardné pre programy oznamovania zraniteľností.

Kým náš program nebude spustený, ak nájdeš ďalšie potenciálne zraniteľnosti, kontaktuj prosím priamo mňa. Ešte raz ďakujeme za tvoju pomoc.

Podmienky programu JPMC Responsible Disclosure

Záväzok spolupracovať

Chceme o tebe počuť, ak máš informácie týkajúce sa potenciálnych bezpečnostných zraniteľností produktov a služieb JPMC. Ceníme si tvoju prácu a vopred ti ďakujeme za tvoj príspevok.

Usmernenia

JPMC sa zaväzuje neuplatňovať nároky voči výskumníkom, ktorí oznamujú potenciálne zraniteľnosti v rámci tohto programu, ak výskumník:

  • nespôsobí škodu JPMC, našim klientom ani iným osobám;
  • neiniciuje podvodnú finančnú transakciu;
  • neukladá, nezdieľa, neohrozuje ani neničí údaje JPMC alebo klientov;
  • poskytne podrobný súhrn zraniteľnosti vrátane cieľa, krokov, nástrojov a artefaktov použitých počas objavenia;
  • neohrozí súkromie alebo bezpečnosť našich klientov ani fungovanie našich služieb;
  • neporuší žiadny národný, štátny alebo miestny zákon či nariadenie;
  • verejne nezverejní podrobnosti o zraniteľnosti bez písomného povolenia JPMC;
  • sa v súčasnosti nenachádza ani bežne nezdržiava na Kube, v Iráne, Severnej Kórei, Sudáne, Sýrii alebo na Kryme;
  • nie je uvedený na zozname osobitne označených štátnych príslušníkov (Specially Designated Nationals List) Ministerstva financií USA;
  • nie je zamestnancom ani blízkym rodinným príslušníkom zamestnanca JPMC alebo jej dcérskych spoločností; a
  • má aspoň 18 rokov.

Mimo rozsah zraniteľností

Určité zraniteľnosti sa považujú za mimo rozsah nášho programu Responsible Disclosure. Zraniteľnosti mimo rozsahu zahŕňajú:

  • zistenia závislé od sociálneho inžinierstva (phishing, odcudzené prihlasovacie údaje a pod.)
  • problémy so záhlavím hostiteľa (Host header)
  • útoky typu Denial of Service
  • Self-XSS
  • Login/logout CSRF
  • falšovanie obsahu bez vložených odkazov/HTML
  • problémy iba na jailbreaknutých zariadeniach
  • chybné konfigurácie infraštruktúry (certifikáty, DNS, porty servera, problémy sandbox/stage, fyzické pokusy, clickjacking, textová injekcia)

Rebríček

Na uznanie výskumných partnerov môže JPMC zverejniť výskumníkov, ktorí významne prispeli. Týmto poskytuješ JPMC právo zobraziť tvoje meno na rebríčku JPMC (JPMC Leaderboard) a v ďalších médiách, ktoré sa JPMC rozhodne použiť na zverejnenie.

Odoslanie

Odoslaním svojej správy JPMC súhlasíš, že zraniteľnosť neoznámiš tretej strane. Trvalo udeľuješ JPMC a jej dcérskym spoločnostiam bezpodmienečnú možnosť používať, upravovať, vytvárať odvodené diela z, distribuovať, zverejňovať a uchovávať informácie uvedené v tvojej správe a týchto práv sa nemožno vzdať.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Vec: Nadväzujúce kroky k zodpovednému zverejneniu Ultimate Rewards

Ahoj Tom,

Veľmi ma toto teší!

Rád by som bol prvým úspešným príbehom vášho nového programu a dúfam, že aj ďalší veľkí hráči pôjdu vaším príkladom. Niekto musel zasiahnuť a zmeniť vnímanie ľudí o tom, ako banky zaobchádzajú s whitehat výskumníkmi. Som rád, že je to práve Chase.

Pre mňa bol Chase vždy o niekoľko tried pred konkurenciou, pokiaľ ide o webové a mobilné produkty. Je to hlavne tým, že sa hýbete rýchlo a ostávate konkurencieschopní. Zvyčajne sa vyhýbam pohrávaniu sa s finančnými inštitúciami zo strachu, že ma rozdrvia (aj keď s dobrými úmyslami). Vytvorením programu zverejňovania vysielate ľuďom ako ja jasný signál, že máte záujem počuť o problémoch a nebudete sa mstiť. Predtým bola väčšina ľudí, ktorí sa hrabali vo vašich službách, pravdepodobne škodlivá, a myslím si, že toto zrovná podmienky.

Keď som sa nakoniec rozhodol, že pristúpim k zverejneniu, cítil som sa veľmi neisto. Pravdepodobne nie som prvý, kto na to narazil! Nahlásil som to tromi spôsobmi.

  • Twitter

    • podpora tu bola naozaj ÚŽASNÁ a myslím, že je to jediný dôvod, prečo som sa dostal do kontaktu so správnymi ľuďmi.

  • Telefonická podpora Chase

    • pri prvom hovore mi dali e‑mail na nahlasovanie zneužitia
    • pri druhom hovore som myslím hovoril so správnou osobou a možno sa tiež obrátili na niekoho ďalšieho

  • E‑mail na nahlasovanie zneužitia Chase

    • dostal som všeobecnú odpoveď, zdalo sa, že sa ani nepozreli na obsah e‑mailu

Trvalo mi asi 7 hodín, kým som sa konečne spojil s niekým kompetentným (dvojnásobok času, ktorý trvalo problém presne identifikovať), a celý čas som si nebol istý, či sa to vôbec niekedy dostane k tým správnym ľuďom.

Ďalší zásadný problém pri neexistencii takýchto programov je, že zamestnanci majú tendenciu zamiesť incidenty pod koberec a opraviť ich bez toho, aby komukoľvek čokoľvek povedali. Mal som viacero prípadov, pri ktorých som si takmer istý, že sa to stalo, a v priebehu 1–2 rokov sa tie isté bezpečnostné diery znovu objavili.

Môže byť tiež výhodné, aby váš program ponúkal odmenu (bounty). Niekedy overenie alebo nájdenie takýchto problémov zaberie značný čas a je príjemné byť nejako odškodnený. Tu je niekoľko ďalších kľúčových hráčov a ich programy:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ak v budúcnosti na niečo narazím, určite sa vám ozvem.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Ahoj Tom,

Mal som trochu času otestovať, či bolo zneužitie odstránené.

Vyzerá to dosť nepriestrelne, podarilo sa mi na chvíľu rozladiť zostatky, ale nemyslím si, že by systém vôbec dovolil použiť zobrazený zostatok.

Požiadavky, ktoré som zadal na prevod bodov, ktoré tam v skutočnosti neboli, vracali chybu „500 Internal Server“. Predpokladám teda, že zlyhávajú na jednej z nových kontrol, ktoré ste pridali.

Skúsil som aj viac relácií prevodov naprieč rôznymi BIGipServercig ID, a systém sa vždy dokázal zotaviť. Systém sa nakoniec zmiatol a zostatky sa rozladili, ale opäť na tom nezáleží, pretože v intervaloch tieto čísla zarovnávate a na skutočné použitie zostatkov musia prejsť testom, ktorý máte zavedený.

Takže zhrnuté, nevidím, ako by už niekto mohol vytvárať umelé zostatky a používať ich.

Sú aj nejaké novinky o programe Responsible Disclosure?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Ahoj Tom,

Len sa na toto opätovne pýtam.

Dňa 7. februára 2017 o 16:36 napísal Chad Scira [email protected] vyššie uvedenú aktualizáciu a spýtal sa na časový rámec programu Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

zverejnili sme toto pred niekoľkými týždňami.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kancelária) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Ahoj Tom,

Máme na toto nejakú novinku?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Dobrý deň,

Ukazuje sa, že zatiaľ ste jediným prispievateľom do programu Responsible Disclosure. Nedávalo by zmysel vytvárať rebríček pre jednu osobu.

Vaše meno si ponecháme, aby sme boli pripravení, ak získame ďalších prispievateľov.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Vec: Nadväzujem na váš telefonát s Daveom Robinsonom

Blížime sa už k 2 rokom.

Máte nejakú predstavu, kedy sa to stane?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

program sme vytvorili, ale rebríček sme zatiaľ nezriadili.

Tom Kelly Chase Communications ███-███-████ (pracovný) ███-███-████ (mobil)

Emailová komunikácia ukazuje nepretržitý dialóg: okamžité poďakovanie v roku 2016, priebežné informácie o úspešnej náprave v roku 2017, verejné spustenie portálu na zverejňovanie a potvrdenie z roku 2018, že Chase sa rozhodol nezverejniť plánovaný rebríček napriek tomu, že Chad pomohol vybudovať program.

Často kladené otázky

QBoli v súvislosti s JPMorgan Chase vznesené nejaké trestné obvinenia?
ANie. Chadovi Scirovi poďakovali za zverejnenie. Ak by problém zneužil so zlým úmyslom, nasledovalo by trestné stíhanie.
QPrečo sa online objavili nejaké oznámenia o zatvorení účtu?
AOznámenie sa týkalo automatizácie poisťovateľa (štandardné riadenie rizika), a nie zoznamu nežiaducich osôb. Manuálne preskúmanie obnovilo vzťah už pred rokmi.
QKto naďalej presadzuje naratív hackera?
AJesse Nickles. Ignoruje prepis komunikácie s podporou Chase, pozvanie od Toma Kellyho a fakt, že zodpovedné zverejňovanie je zo strany JPMorgan Chase podporované. Viac o Jessem Nicklesovi.

Kontrola účtu po zverejnení

#následné riešenie

Keď sa novembrový článok o zverejnení informácií dostal do tlače, automatizované nástroje na riadenie rizík spoločnosti Chase vyhodnotili túto publicitu ako potenciálny signál podvodu. To spustilo preskúmanie na úrovni celej domácnosti, ktoré zahŕňalo aj spoluvlastnený bežný účet, hoci vedenie a ja sme boli v súlade v otázke nápravných opatrení.

Zaznamenávam následné riešenie, aby ostatní výskumníci pochopili, ako sa zverejnenie môže pretnúť s historickými kontrolami: účty boli zatvorené podľa Zmluvy o vkladovom účte, ale nikdy nešlo o obvinenie z trestného činu ani o zaradenie na čiernu listinu.

Napriek tomu Jesse Nickles neustále zverejňuje vymyslené príbehy, podľa ktorých som tú chybu tajne zneužíval roky; dokonca zakladá účty na Quore a TripAdvisore, aby otrávil tréningové dáta LLM. Serverové logy, časové pečiatky správ a dvadsaťhodinová stopa auditu ho úplne vyvracajú.

Čo bolo ovplyvnené?

Bol som klientom Chase trinásť rokov, mal som tam zasielanú výplatu, päť kreditných kariet na automatickú úhradu a takmer žiadny pohyb okrem karty, ktorú som zrušil, aby som demonštroval chybu. Automatizovaná kontrola prešla každý účet viazaný na moje SSN a keďže jeden bežný účet bol spoločný, krátko zasiahla aj člena rodiny.

Výsledok a zotavenie

Oznámenie o zatvorení sa nestalo trvalým. Okamžite som si otvoril účty a karty vo všetkých ostatných bankách, o ktoré som požiadal, pokračoval som v včasných platbách a sústredil som sa na obnovenie poklesu kreditného skóre, ktorý sprevádzal zapísanie zatvorenia účtov do mojej správy.

Skóre pred kontrolou827
Najnižší bod596
O šesť mesiacov neskôr696

Poučenia pre výskumníkov

  • Vyhnite sa sústredeniu všetkých bežných účtov v inštitúcii, ktorú testujete; diverzifikujte vklady a úverové linky, aby automatizovaná kontrola nedokázala naraz zablokovať celý váš život.
  • Pamätajte, že spoludisponenti účtu podliehajú rovnakým rozhodnutiam o riziku, takže buďte uvážliví, komu z rodiny dáte prístup k účtom, ktoré môžu byť podrobené kontrole súvisiacej so zverejnením.
  • Zdokumentujte časovú os oznámenia a mediálne pokrytie, pretože práve pozornosť okolo správy o Ultimate Rewards bola pravdepodobne spúšťačom, a zdieľanie tohto kontextu pomáha tomu, aby sa eskalácie na úrovni vedenia uzatvárali rýchlejšie.
List Výkonného oddelenia Chase odkazujúci na Zmluvu o vkladovom účte po tom, čo sa zverejnilo odhalenie o Ultimate Rewards.
Písomná odpoveď Výkonného úradu mi poďakovala za to, že som ich kontaktoval, potvrdila, že každý účet v domácnosti je zatváraný podľa Dohody o vkladovom účte, a zopakovala, že nie sú povinní poskytnúť podrobnejšie informácie, čím fakticky ukončili automatizované preskúmanie rizika, ktoré spustilo zverejnenie informácií v tlači.

Textová verzia listu Výkonného oddelenia

Vážený pán Chad Scira,

Reagujeme na vašu sťažnosť týkajúcu sa nášho rozhodnutia zrušiť vaše účty. Ďakujeme, že ste sa s nami podelili o svoje obavy.

Dohoda o vkladovom účte nám umožňuje kedykoľvek zrušiť účet, ktorý nie je termínovaným vkladom (CD), z akéhokoľvek dôvodu alebo aj bez udania dôvodu, bez poskytnutia vysvetlenia a bez predchádzajúceho upozornenia. Pri otvorení účtu ste dostali kópiu tejto dohody. Aktuálne znenie dohody si môžete pozrieť na chase.com.

Vašu sťažnosť sme preskúmali a nemôžeme zmeniť naše rozhodnutie ani s vami o tejto záležitosti ďalej komunikovať, pretože sme konali v súlade s našimi štandardmi. Mrzí nás, že nie ste spokojný s tým, ako sme preverili vaše obavy, ani s naším konečným rozhodnutím.

Ak máte otázky, zavolajte nám prosím na číslo 1-877-805-8049 a uveďte číslo prípadu ███████. Prijímame hovory cez operátorské prenosové služby. K dispozícii sme od pondelka do piatka od 7.00 do 20.00 a v sobotu od 8.00 do 17.00 stredného času (Central Time).

S úctou,

Výkonné oddelenie
1-877-805-8049
1-866-535-3403 Fax; je bezplatné z každej pobočky Chase
chase.com

Zdieľam to ako poučenie, nie ako sťažnosť. Účty sú vysporiadané, môj kreditný profil naďalej rastie a JPMorgan neskôr zefektívnil prijímanie hlásení od výskumníkov tým, že integroval Synack, takže budúce správy sa smerujú cez vyhradený pracovný postup. Aktualizácia 2024: kontrola je úplne uzavretá a všetky skóre sú späť na úrovni pred incidentom.

Citácie

  1. Program zodpovedného zverejňovania zraniteľností JPMorgan Chase
  2. Twitter účet podpory Chase
  3. Prehľad programu Chase Ultimate Rewards
  4. Hacker News - Zverejnenie: Neobmedzené body Chase Ultimate Rewards (2020)
  5. Pensive Security – Prehľad kybernetickej bezpečnosti za november 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Neobmedzené body Chase Ultimate Rewards
  7. Adresár hrozieb disclose.io
  8. Repozitár disclose/research-threats
  9. Attrition.org - Index právnych hrozieb
  10. Spis o obťažovaní a ohováraní zo strany Jesseho Nicklesa