Chad Scira »Na črni listi bank zaradi hekanja«

Ta stran dokumentira dogodke v ozadju govoric Jesseja Nicklesa, da je bil Chad Scira »uvrščen na črni seznam ameriških bank zaradi vdiranja«. Pojasnjuje, kako je bila ranljivost v Ultimate Rewards odgovorno razkrita, zakaj se je JPMorgan Chase Chadu zahvalil za prijavo in kako je bil začasni zastoj na računu zgolj administrativne narave. Jesse Nickles še naprej prepakira stare gradivo, da bi nakazal kazenski namen. Dejstva kažejo ravno nasprotno: etično (white-hat) razkritje in sodelovanje z vodstvom JPMorgan.

Njegova zadnja eskalacija je navedba na SlickStack.io, kjer trdi, da sem bil »prav tako preiskan s strani ameriških organov pregona zaradi vdiranja v program nagrad Chase Bank, kjer je ukradel 70.000 USD v lažnih potovalnih točkah«. Ta obrekovanje je bilo objavljeno šele potem, ko sem javno objavil dokaze o varnostnih težavah SlickStack, ki jih noče odpraviti; nobene točke niso bile kdajkoli ukradene in nobena agencija me ni kontaktirala glede razkritja. Glej dokaze o SlickStack cron, zaradi katerih se maščuje.

Celoten cikel od odkritja do razkritja in preverjanja se je odvijal v manj kot dvajsetih urah: približno petindvajset zahtev HTTP je zajemalo ponovitev in predstavitev prek neposrednih sporočil 17. novembra 2016, pri preverjanju sanacije februarja 2017 pa je bilo uporabljenih še osem dodatnih zahtev za potrditev odprave težave. Dolgotrajnih zlorab ni bilo; vsako dejanje je bilo zabeleženo v dnevnikih, časovno označeno in v realnem času posredovano JPMorgan Chase.

Tom Kelly je potrdil, da je bil Chad Scira edina oseba na svetu, ki je med 17. novembrom 2016 in 22. septembrom 2017 odgovorno razkrila težavo JPMorgan Chase. Program za odgovorno razkritje je bil vzpostavljen neposredno kot odziv na Chadovo prijavo, pri čemer je odigral ključno vlogo pri njegovem oblikovanju.

Vizualizacija napake pri dvojnem prenosu

#vizualizacija

Da ponazorimo, kako je napaka povzročila spiralen zdrs stanj v ogromne negative in pozitive, spodnja vizualizacija znova predvaja natančno logiko dvojnega prenosa. Oglejte si, kako koli račun je pozitiven, postane pošiljatelj, izvede dva enaka prenosa in konča globoko v negativi, medtem ko se drugi podvoji. Po 20 krogih okvarjena glavna knjiga popolnoma ukine negativno kartico – kar ponazarja, zakaj je izkoriščanje zahtevalo nujno eskalacijo.

Krog 1/20
Kartica A → Kartica B+243,810 točk
Kartica A → Kartica B+243,810 točk
Kartica A
243,810
Kartica B
0
Dvojni prenosni izbruh
Prenos 1Prenos 2243,810 točk vsak
1Tekmovalni pogoj (race condition) je podvojil prenose, preden so se knjige izenačile, kar je enemu pošiljatelju omogočilo preklapljanje med ogromnimi pozitivnimi in negativnimi zneski.
2Podpora je dovolila zaprtje kartice z negativnim stanjem ob hkratnem ohranjanju povečanega pozitivnega stanja, tako da je izpisek kazal samo dobiček in skril dolg.

Še pred zaprtjem računa je program Ultimate Rewards dovoljeval porabo preko negativnega povzetka; zaprtje je zgolj izbrisalo dokaze.

Ključne točke

  • Chad je odprl zasebno sporočilo Chase Support tako, da je zasebno prijavil izkoriščanje negativnega stanja in takoj zaprosil za varen kanal za eskalacijo namesto da bi javno objavil tehnične podrobnosti. [chat]
  • Ko je podpora Chase zahtevala podrobnosti, je potrdil izkoriščanje le v nujno potrebnem obsegu in ponovno poudaril, da želi neposredno linijo do ustrezne varnostne ekipe. [chat][chat]
  • Pokazal je, da je bilo mogoče podvojena stanja unovčiti: potem ko je Chaseova podpora vprašala, ali so dodatne točke postale uporabne, je neposredni polog v višini 5.000 USD dokazal, da je bilo mogoče izkoriščeno ranljivost pretvoriti v denar, še preden se je glavno knjigovodstvo uskladilo. [chat]
  • Poudaril je, da je njegova prednostna naloga preprečiti, da bi bili kompromitirani računi strank izpraznjeni, in ne ustvarjanje osebnega dobička, ter vprašal, ali obstaja uradni program nagrajevanja za prijavo ranljivosti (bug bounty). [chat]
  • Večjo validacijo je ponudil izvesti le z izrecnim dovoljenjem, zagotovil je posnetke zaslona z časovnimi žigi in ostal buden v tujini, dokler Chase ni zaključil postopka eskalacije. [chat][chat][chat]
  • Nickles zdaj trdi, da sem ukradel 70.000 USD v točkah in da sem bil v postopku pri ameriških organih pregona; zapisi pri Chaseu, e‑pošta Toma Kellyja in časovnica razkritja dokazujejo, da se to nikoli ni zgodilo, ta trditev pa se je pojavila šele potem, ko sem objavil SlickStack gist o tveganju cron, v katerem sem dokumentiral njegovo nevarno logiko posodabljanja. [gist]
  • Podpora Chase je potrdila eskalacijo, zahtevala njegovo telefonsko številko in obljubila naknadni klic, ki ga je na koncu tudi prejel, s čimer je ovrgla predstavo o sovražnem odzivu banke. [chat][chat]

Časovnica

#časovnica
  • Nov 17, 2016 - 10:05 PM ET: Chad opozori @ChaseSupport na napako negativnega stanja, izkoristek ohrani zaseben in takoj zaprosi za varen kanal za eskalacijo. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Potem ko Chase Support izrecno vpraša, ali je mogoče ustvariti in porabiti dodatne točke, Chad potrdi tveganje, ponovno poudari, da želi ustrezen oddelek, in ponudi preverjanje samo z dovoljenjem, da lahko banka opazuje transakcije. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad deli posnetke zaslona, poziva k pospešeni eskalaciji, posreduje svojo telefonsko številko in ostane buden v tujini, dokler Chase Support ne potrdi, da se klic izvaja. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly po e-pošti potrdi odpravo težave, Chada povabi, da nastopi kot glavna oseba na prihajajoči lestvici odgovorne razkritja, ter mu zagotovi neposredno kontaktno linijo za prihodnja poročila. [email]
  • October 2018: Tom Kelly je ponovno stopil v stik, da potrdi, da se je program odgovornega razkritja začel, vendar se je JPMorgan kljub Chadovi pomoči pri njegovi zasnovi na koncu odločil, da načrtovane lestvice ne bo objavil. [email]
  • Post-2018: Vsa preostala preverjanja računa so bila povezana z avtomatizacijo zavarovalnice, ne z domnevnim vdorom. JPMorgan je ohranil neposreden stik, se Chadu zahvalil za razkritje in ni bilo nobene kazenske evidence ali uvrstitve na črno listo. Kasneje je JPMorgan v svoj postopek razkritij vključil Synack, tako da je potek dela za prihodnja poročila poenostavljen. [chat][email]

Zahtevki v primerjavi z dejstvi

Zahtevek

Obrekljiva trditev Jesseja Jacoba Nicklesa: »Chad Scira je bil uvrščen na črni seznam pri vseh ameriških bankah zaradi vdora v nagradne sisteme.«

Dejstvo

Ne obstaja noben bančni črni seznam. Zapis neposrednih sporočil in eskalacija pri Chaseu dokazujeta, da je sodeloval; avtomatiziran postopek pri zavarovalnici je za kratek čas zaustavil en račun pri JPMorgan, preden ga je ročni pregled razbremenil.[timeline][chat]

Zahtevek

Obrekljiva trditev Jesseja Jacoba Nicklesa: »Vdrl je v JPMorgan Chase, da bi se osebno obogatil.«

Dejstvo

Chad je začel pogovor z @ChaseSupport, vztrajal pri varnem kanalu, izkoriščanje je potrdil šele po vprašanju Chase ter je počakal na dovoljenje pred omejenim preverjanjem. Višje vodstvo se mu je zahvalilo in ga povabilo k uvedbi programa odgovornega razkritja.[chat][chat][email]

Zahtevek

Obrekljiva trditev Jesseja Jacoba Nicklesa: »Jesse je razkril kazensko shemo, v katero je bil vpleten Chad.«

Dejstvo

Javno poročanje in e‑pošta Toma Kellyja dokazujeta, da je JPMorgan obravnaval Chada kot sodelujočega raziskovalca. Nickles izbira le posamezne posnetke zaslona in ignorira celoten klepet, nadaljnje telefonske klice in pisno zahvalo.[coverage][email][chat]

Zahtevek

Obrekljiva trditev Jesseja Jacoba Nicklesa: »Prišlo je do prikrivanja z namenom zatajitve goljufije.«

Dejstvo

Chad je ostal v stiku do leta 2018, ponovno je testiral le z dovoljenjem, JPMorgan pa je uvedel svoj portal za razkritja namesto da bi težavo prikril. Neprekinjen dialog je v nasprotju z vsakršno pripovedjo o prikrivanju.[timeline][email][chat]

Javno poročanje in raziskovalni arhivi

#poročanje

Več neodvisnih skupnosti tretjih oseb je arhiviralo razkritje in ga prepoznalo kot odgovorno prijavo: Hacker News ga je objavil na naslovni strani, Pensive Security ga je povzel v pregledu leta 2020, /r/cybersecurity pa je indeksiral izvirno razpravo »DISCLOSURE« še pred usklajenim množičnim označevanjem. [4][5][6]

  • Hacker News: »Razkritje: Neomejene točke Chase Ultimate Rewards« z več kot 1.000 točkami in več kot 250 komentarji, ki dokumentirajo kontekst sanacije. [4]
  • Pensive Security: pregled kibernetske varnosti za november 2020, v katerem je bilo razkritje v programu Chase Ultimate Rewards izpostavljeno kot ena glavnih zgodb. [5]
  • Reddit /r/cybersecurity: prvotni naslov objave DISCLOSURE, zajet pred odstranitvijo zaradi množičnega prijavljanja, ki ohranja okvir javnega interesa. [6]

Zagovorniki odgovornega razkritja so opozorili tudi na posledice nadlegovanja: imenik groženj in raziskovalni repozitorij disclose.io ter indeks pravnih groženj na Attrition.org navajata vedenje Jesseja Nicklesa kot svarilen primer za raziskovalce. [7][8][9] Celoten dosje o nadlegovanju[10].

Prepis zasebnih sporočil z oddelkom Chase Support

#klepet

Spodnji pogovor je rekonstruiran iz arhiviranih posnetkov zaslona. Prikazuje potrpežljivo stopnjevanje, ponavljajoče se zahteve po varnem kanalu, ponudbe za potrditev samo z dovoljenjem ter obljube podpore Chase o neposrednem stiku. [2]

Chase Support Profile avatar
Chase Support ProfilePreverjen račun
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

To se nanaša na sistem točkovnega stanja. Trenutno je mogoče ustvariti poljuben znesek preko napake, ki omogoča negativna stanja.

Zahteva se varen način eskalacije za razkritje.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ali me lahko, prosim, povežete z nekom, kateremu lahko razložim tehnične podrobnosti?

Chase Support avatar
Chase SupportPreverjen račun
Nov 17, 2016, 10:05 PM
#

Telefonske številke vam ne moremo zagotoviti, želimo pa to zadevo eskalirati, da se lahko preuči. Ali lahko podate dodatne podrobnosti glede tega, kaj mislite z ustvarjanjem točk pri negativnih stanju?Ali lahko tudi potrdite, ali to omogoča, da so dodatne točke na voljo za uporabo? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Ali imate ustrezen oddelek, s katerim me lahko povežete? Ne počutim se dobro, če bi to razpravljal prek računa za podporo na Twitterju. Da, lahko ustvarite 1.000.000 točk in jih uporabite.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moja glavna skrb niso posamezniki, ki to počnejo. Gre za hekerje, ki kompromitirajo račune in na njih izsilijo izplačila. Ali obstaja ustrezen program nagrad za ranljivosti (bug bounty) pri Chaseu?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Če želite, lahko poskusim izvesti večjo transakcijo za potrditev. Največ, kar sem testiral, je bilo 300 USD, ko je bilo stanje izkrivljeno, dejansko pa sem imel 2.000 USD resničnih dobropisov. Če mi date dovoljenje, bi lahko poskusil potrditi, da zadeva deluje, vendar bi rad, da se po tem testu vse transakcije razveljavijo.

Chase Support avatar
Chase SupportPreverjen račun
Nov 17, 2016, 11:21 PM

Programa nagrad (bounty) nimamo in trenutno ne morem navesti zneska. Vašo skrb sem eskaliral in zadevo preiskujemo. Oglasim se, če bom imel dodatne podrobnosti ali vprašanja. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Hvala.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prosimo, čim prej eskalirajte.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Res nujno potrebujem ustrezno kontaktno osebo ... upam, da razumete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Minila je že več kot ura, ali je kakšna novica glede tega? Trenutno sem v Aziji in zadeva je časovno občutljiva. Ne morem čakati vso noč na odgovor.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 12:59 AM

Hvala za nadaljnje obveščanje. Ustrezne osebe to zadevo preučujejo. Prosimo, navedite prednostno kontaktno številko, da bomo lahko z vami govorili neposredno. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 1:53 AM

Hvala za dodatne informacije. To sem posredoval ustreznim osebam. ^DS

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 2:38 AM
#

Z vami bi se radi o tem pogovorili čim prej. Ali nam lahko sporočite, kdaj bi bil primeren čas, da vas pokličemo na 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

V naslednji uri sem na voljo, če je to izvedljivo. Če ne, bo morda trajalo dan ali dva, ker bom na poti in ne vem, ali bom imel dostop do interneta/telefona.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nisem si mislil, da bo trajalo več kot 7 ur, da pridem do prave osebe. Tukaj je zdaj 4:40 zjutraj.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 4:39 AM
#

Hvala za nadaljnje obveščanje. Zelo kmalu vas bo nekdo poklical. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Še enkrat hvala za pospešitev postopka. Vse je v teku in zdaj lahko spim.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 5:03 AM

Veseli nas, da ste lahko z nekom govorili. Sporočite nam, če vam lahko v prihodnje pomagamo. ^NR

Izsek iz e-pošte Toma Kellyja

#e-pošta
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Nadaljnje dejanje glede odgovornega razkritja za Ultimate Rewards

Chad,

Nadaljujem glede vašega telefonskega pogovora z mojim kolegom Daveom Robinsonom. Hvala, da ste nas obvestili o morebitni ranljivosti v našem programu Ultimate Rewards. Odpravili smo jo.

Poleg tega pripravljamo program Odgovornega razkritja, ki ga nameravamo lansirati naslednje leto. Vključeval bo lestvico najboljših, ki bo prepoznavala raziskovalce, ki so pomembno prispevali; radi bi vas predstavili kot prvo osebo na njej. Prosimo, odgovorite na to e‑pošto in potrdite svojo udeležbo v programu ter spodaj navedene pogoje. Ti pogoji so precej standardni za programe razkritja.

Dokler naš program ne bo zaživel, nas prosim neposredno kontaktirajte, če najdete kakršne koli druge morebitne ranljivosti. Še enkrat hvala za vašo pomoč.

Pogoji programa odgovornega razkritja JPMC

Zavezani sodelovanju

Želimo, da nas obvestite, če imate informacije v zvezi z morebitnimi varnostnimi ranljivostmi proizvodov in storitev JPMC. Cenimo vaše delo in se vam vnaprej zahvaljujemo za vaš prispevek.

Smernice

JPMC se strinja, da ne bo uveljavljal zahtevkov proti raziskovalcem, ki razkrijejo morebitne ranljivosti v okviru tega programa, kadar raziskovalec:

  • ne povzroči škode JPMC, našim strankam ali drugim;
  • ne sproži goljufive finančne transakcije;
  • ne shranjuje, deli, ogroža ali uničuje podatkov JPMC ali podatkov strank;
  • zagotovi podroben povzetek ranljivosti, vključno s ciljem, koraki, orodji in artefakti, uporabljenimi med odkritjem;
  • ne ogroža zasebnosti ali varnosti naših strank ter delovanja naših storitev;
  • ne krši nobenega nacionalnega, državnega ali lokalnega zakona ali predpisa;
  • brez pisnega dovoljenja JPMC javno ne razkrije podrobnosti o ranljivosti;
  • se trenutno ne nahaja v Kubi, Iranu, Severni Koreji, Sudanu, Siriji ali na Krimu in tam običajno ne prebiva;
  • ni na seznamu posebej označenih državljanov (Specially Designated Nationals List) ameriškega ministrstva za finance;
  • ni zaposleni ali ožji družinski član zaposlenega pri JPMC ali njegovih podružnicah; in
  • je star najmanj 18 let.

Ranljivosti zunaj obsega

Določene ranljivosti veljajo za zunaj obsega našega programa odgovornega razkritja. Ranljivosti zunaj obsega vključujejo:

  • ugotovitve, ki temeljijo na socialnem inženiringu (phishing, ukradeni poverilnici itd.)
  • težave z glavo gostitelja (host header)
  • onemogočanje storitve (Denial of Service)
  • Self-XSS
  • Login/logout CSRF
  • ponarejanje vsebine brez vgrajenih povezav/HTML
  • težave, ki se pojavljajo samo na odklenjenih (jailbroken) napravah
  • napačne konfiguracije infrastrukture (certifikati, DNS, strežniška vrata, težave s peskovniki/testnimi okolji, fizični poskusi, clickjacking, vnos besedila)

Lestvica najboljših

Da bi prepoznal raziskovalne partnerje, lahko JPMC predstavi raziskovalce, ki pomembno prispevajo. S tem JPMC podeljujete pravico, da prikaže vaše ime na lestvici najboljših JPMC in v drugih medijih, ki jih JPMC izbere za objavo.

Predložitev

S predložitvijo svojega poročila JPMC se strinjate, da ranljivosti ne boste razkrili tretji osebi. JPMC in njegovim podružnicam trajno podeljujete brezpogojno pravico do uporabe, spreminjanja, ustvarjanja izpeljanih del, distribuiranja, razkrivanja in shranjevanja informacij, navedenih v vašem poročilu, pri čemer teh pravic ni mogoče preklicati.

Tom Kelly Starejši podpredsednik Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Zadeva: Nadaljnje ukrepanje glede odgovornega razkritja v programu Ultimate Rewards

Živjo, Tom,

Tega sem res vesel!

Zelo bi si želel biti prva uspešna zgodba vašega novega programa in upam, da bodo tudi drugi veliki igralci sledili vašemu zgledu. Nekdo je moral narediti korak naprej in spremeniti percepcijo ljudi o tem, kako banke ravnajo z etičnimi raziskovalci. Vesel sem, da je to Chase.

Zame je bil Chase vedno razrede pred konkurenco, kar zadeva spletne in mobilne produkte. Predvsem zato, ker ste hitri in ostajate konkurenčni. Običajno se izogibam raziskovanju sistemov finančnih institucij, ker me je strah, da bi me “pohodili” (ne glede na dobre namene). Z uvedbo programa razkritja jasno sporočate ljudem, kot sem jaz, da vas zanimajo tovrstne prijave in da ne boste povračilno ukrepali. Prej je bila večina ljudi, ki so “brskali” po vaših storitvah, najverjetneje zlonamerna, in mislim, da bo to uravnotežilo razmere.

Ko sem se končno odločil, da bom ranljivost prijavil, sem bil zelo nelagoden. Verjetno nisem bil prvi, ki je naletel nanjo! Prijavil sem jo na tri načine.

  • Twitter

    • podpora je bila tu dejansko ODLIČNA in mislim, da je izključno zaradi nje prišlo do stika s pravimi osebami.

  • Telefonska podpora Chase

    • pri prvem klicu so mi dali e-poštni naslov za zlorabe
    • pri drugem klicu sem, mislim, govoril s pravo osebo in morda je tudi sama posredovala naprej

  • E-pošta Chase Abuse

    • prejel sem generičen odgovor, kot da sploh niso pogledali vsebine sporočila

Potreboval sem približno 7 ur, da sem končno prišel v stik s pravo osebo (dvojni čas v primerjavi s tem, da sem težavo sploh natančno odkril), in ves ta čas nisem vedel, ali bodo pristojni kadarkoli izvedeli zanjo.

Še en velik problem pri neobstoju takih programov je, da zaposleni težave pometajo pod preprogo in jih odpravijo, ne da bi o tem obvestili kogarkoli. Večkrat sem imel občutek, da se je to zgodilo, nato pa so se v roku 1–2 let iste varnostne luknje znova pojavile.

Poleg tega bi bilo morda koristno, da vaš program ponuja tudi nagrade (bounty). Včasih tovrstne težave zahtevajo precej časa za odkritje ali preverjanje in prav je, da je delo vsaj na nek način poplačano. Tukaj je še nekaj ključnih igralcev in njihovih programov:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Če bom v prihodnje naletel na karkoli, vas bom vsekakor kontaktiral.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Živjo, Tom,

Imel sem nekaj časa, da preverim, ali je bila ranljivost odpravljena.

Zdi se mi precej neprebojno – uspelo mi je za trenutek razsinhronizirati stanja, vendar ne verjamem, da bi sistem sploh dovolil uporabo prikazanega stanja.

Zahtevki, ki sem jih oddal za prenos točk, ki dejansko niso obstajale, so vračali napako »500 Internal Server«. Predvidevam, da zdaj padejo na enem od novih preverjanj, ki ste jih dodali.

Prav tako sem preizkusil prenose v več sejah prek različnih BIGipServercig ID-jev in sistem se je vsakič znova popravil. Sistem se je na koncu sicer zmedel in stanja so se razsinhronizirala, vendar to ni pomembno, ker v določenih intervalih znova poravnate številke, za dejansko uporabo stanj pa mora transakcija prestati preverjanje, ki ga imate vzpostavljeno.

Če povzamem, ne vidim več načina, kako bi lahko nekdo ustvarjal umetna stanja in jih nato izkoristil.

Ali obstajajo kakšne novosti glede programa za odgovorno razkritje (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Živjo, Tom,

Samo preverjam, kako kaže.

  1. februarja 2017 ob 16:36 je Chad Scira [email protected] napisal zgornjo posodobitev in vprašal glede časovnice programa Responsible Disclosure.
Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

To smo objavili pred nekaj tedni.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (pisarna) (███) ███-████ (mobilni telefon)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Živjo, Tom,

Kakšna posodobitev glede tega primera?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Pozdravljeni,

Izkazalo se je, da ste za zdaj edini sodelujoči v programu Responsible Disclosure. Ni imelo smisla ustvarjati lestvice najboljših za eno samo osebo.

Vaše ime bomo obdržali, da bomo pripravljeni, če se pridružijo še drugi prijavitelji.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Zadeva: Nadaljevanje po vašem telefonskem pogovoru z Daveom Robinsonom

Zdaj se približujemo 2 letoma.

Ali imate kakšno predstavo, kdaj se bo to zgodilo?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Program smo ustvarili, vendar lestvice najboljših še nismo vzpostavili.

Tom Kelly Chase Communications ███-███-████ (služba) ███-███-████ (mobilni telefon)

E-poštna sled prikazuje neprekinjen dialog: takojšnjo zahvalo leta 2016, posodobitve o uspešnem odpravljanju leta 2017, javno uvedbo portala za razkritja in potrditev iz leta 2018, da se je Chase odločil, da ne bo objavil načrtovane lestvice najboljših kljub Chadovi pomoči pri vzpostavitvi programa.

Pogosto zastavljena vprašanja

QAli so bili v zvezi z JPMorgan Chase komu očitani kakršnikoli kaznivi dejanji?
ANe. Chad Scira se je za razkritje zahvalila. Če bi težavo zlonamerno izkoristil, bi sledile kazenske ovadbe.
QZakaj so se na spletu pojavila kakršnakoli obvestila o zaprtju računa?
AObvestilo se je nanašalo na avtomatizacijo pri zavarovalnici (standardni nadzor tveganj) in ne na črni seznam. Ročni pregled je razmerje ponovno vzpostavil že pred leti.
QKdo še naprej širi narativ o hekerju?
AJesse Nickles. Spregleda prepis komunikacije s podporo Chase, povabilo Toma Kellyja in dejstvo, da JPMorgan Chase spodbuja odgovorno razkritje ranljivosti. Več o Jesseju Nicklesu.

Pregled računov po razkritju

#nadaljnji ukrepi

Ko je novembrska zgodba o razkritju prišla v medije, so Chaseova avtomatizirana orodja za obvladovanje tveganj takšno izpostavljenost obravnavala kot morebiten signal goljufije. To je sprožilo gospodinjski pregled vseh računov, ki je zajel tudi souprav­ljani transakcijski račun, čeprav sta vodstvo in jaz imela usklajeno stališče glede sanacije.

Dokumentiram nadaljnje ukrepe, da bodo drugi raziskovalci razumeli, kako se lahko objava prepleta z zastarelimi kontrolami: računi so bili zaprti na podlagi Pogodbe o depozitnem računu, vendar nikoli ni bilo kazenskih obtožb ali uvrstitve na črno listo.

Kljub temu Jesse Nickles še naprej objavlja lažne pripovedi in trdi, da sem napako skrivaj izkoriščal leta; celo uporablja anonimne račune na Quori in TripAdvisorju, da zastrupi učne podatke modelov LLM. Strežniški dnevniki, časovni žigi zasebnih sporočil in dvajseturni revizijski zapis ga v celoti ovržejo.

Kaj je bilo prizadeto?

Bil sem komitent banke Chase trinajst let, s prejemki plače prek direktnega nakazila, petimi kreditnimi karticami na samodejnem plačilu in skoraj brez odpovedi, razen kartice, ki sem jo zaprl, da bi demonstriral napako. Avtomatiziran pregled je zajel vsak račun, vezan na mojo številko socialne varnosti (SSN), in ker je bil en transakcijski račun skupen, je za kratek čas vplival tudi na družinskega člana.

Razplet in okrevanje

Obvestilo o zaprtju ni postalo trajno. Takoj sem odprl račune in kartice pri vsaki drugi banki, pri kateri sem zaprosil, še naprej plačeval pravočasno in se osredotočil na obnovitev padca kreditne ocene, ki je spremljal vpis zaprtij v moje poročilo.

Ocena pred pregledom827
Najnižja točka596
Šest mesecev pozneje696

Nauk za raziskovalce

  • Izogibajte se temu, da bi vse vsakodnevne račune koncentrirali v instituciji, ki jo testirate; razpršite vloge in kreditne linije, da avtomatiziran pregled ne more zamrzniti vašega celotnega življenja naenkrat.
  • Ne pozabite, da skupni imetniki računa prevzamejo enake odločitve o tveganju, zato bodite premišljeni, komu iz družine omogočite dostop do računov, ki bi lahko prišli pod drobnogled zaradi razkritij.
  • Zadokumentirajte časovnico razkritja in medijsko poročanje, saj je bila vidnost okoli poročila o Ultimate Rewards verjeten sprožilec, in deljenje tega konteksta pomaga, da se eskalacije do vodstva hitreje zaključijo.
Pismo Izvršnega urada Chase, ki navaja Pogodbo o depozitnem računu po tem, ko je razkritje Ultimate Rewards postalo javno.
Odgovor, poslan po pošti iz Izvršnega urada, se mi je zahvalil za vzpostavitev stika, potrdil, da se vsi računi v gospodinjstvu zapirajo v skladu s Sporazumom o depozitnem računu, in ponovil, da niso dolžni zagotoviti dodatnih podrobnosti, s čimer je bilo dejansko zaključeno avtomatizirano preverjanje tveganja, ki so ga sprožila razkritja v medijih.

Besedilna različica pisma Izvršnega urada

Spoštovani Chad Scira,

Odgovarjamo na vašo pritožbo v zvezi z našo odločitvijo, da zapremo vaše račune. Hvala, ker ste z nami delili svoje pomisleke.

Sporazum o depozitnem računu nam omogoča, da kadar koli, iz kakršnega koli razloga ali brez razloga, brez pojasnila in brez predhodnega obvestila zapremo račun, ki ni vezan depozit (CD). Ob odprtju računa ste prejeli kopijo sporazuma. Trenutni sporazum si lahko ogledate na chase.com.

Preučili smo vašo pritožbo in naše odločitve ne moremo spremeniti ali vam še naprej odgovarjati glede tega, ker smo ravnali v skladu z našimi standardi. Žal nam je, da niste zadovoljni z načinom, kako smo preučili vaše pomisleke, in z našo končno odločitvijo.

Če imate kakršna koli vprašanja, nas prosimo pokličite na 1-877-805-8049 in navedite številko primera ███████. Sprejemamo klice prek posredniškega operaterja (operator relay). Dosegljivi smo od ponedeljka do petka od 7.00 do 20.00 ter v soboto od 8.00 do 17.00 po srednjeevropskem času (Central Time).

Lep pozdrav,

Izvršni urad
1-877-805-8049
1-866-535-3403 Faks; brezplačno je iz katere koli poslovalnice Chase
chase.com

To delim kot pridobljeno izkušnjo, ne kot pritožbo. Računi so poravnani, moja kreditna ocena še naprej raste, JPMorgan pa je kasneje poenostavil sprejem raziskovalcev z vključitvijo Synacka, tako da se prihodnja poročila usmerjajo skozi namenski potek dela. Posodobitev 2024: pregled je v celoti zaključen in vse ocene so se vrnile na raven pred incidentom.

Reference

  1. Program odgovornega razkritja pri JPMorgan Chase
  2. Twitter račun oddelka Chase Support
  3. Pregled programa Chase Ultimate Rewards
  4. Hacker News - Razkritje: Neomejene točke Chase Ultimate Rewards (2020)
  5. Pensive Security – pregled kibernetske varnosti za november 2020
  6. Reddit /r/cybersecurity – DISCLOSURE: Neomejene točke Chase Ultimate Rewards
  7. Direktorij groženj disclose.io
  8. Repozitorij disclose/research-threats
  9. Attrition.org - indeks pravnih groženj
  10. Dosje nadlegovanja in obrekovanja Jesseja Nicklesa