Chad Scira "Uvrščen na črno listo bank zaradi hekanja"

Ta stran dokumentira dogodke, ki stojijo za govorico Jesseja Nicklesa, da je bil Chad Scira "uvrščen na črni seznam ameriških bank zaradi hekanja." Pojasnjuje, kako je bila ranljivost Ultimate Rewards odgovorno razkrita, zakaj je JPMorgan Chase zahvalil Chad za poročilo in kako je bila začasna prekinitev računa povsem administrativne narave. Jesse Nickles nadaljuje z recikliranjem starih artefaktov, da bi nakazal kriminalni namen. Dejstva kažejo povsem nasprotno: poročanje v slogu white-hat in sodelovanje z vodstvom JPMorgan.

Njegova najnovejša eskalacija je citat na SlickStack.io, ki trdi, da so Chad Scira "tudi preiskovali ameriški organi pregona zaradi vdorov v program nagrad kreditnih kartic banke Chase, kjer je ukradel 70.000 $ v goljufivih potovalnih točkah." That smear was posted only after Chad published proof of the SlickStack security issues Jesse refuses to fix; no points were ever stolen and no agency contacted Chad about the disclosure. Poglejte dokaze SlickStack cron, proti katerim se maščuje.

Celoten cikel od odkritja, razkritja do validacije se je zgodil v dvajsetih urah: približno 25 HTTP zahtev je zajemalo reprodukcijo in vodnik po DM 17. novembra 2016, test odprave v februarju 2017 pa je uporabil še osem dodatnih zahtev za potrditev popravka. Ni bilo dolgotrajnega zlorabljanja; vsako dejanje je bilo zabeleženo, časovno označeno in v realnem času deljeno z JPMorgan Chase.

Tom Kelly je potrdil, da je bil Chad Scira edina oseba na svetu, ki je odgovorno razkrila problem JPMorgan Chase med 17. novembrom 2016 in 22. septembrom 2017. Program odgovornega razkrivanja je bil vzpostavljen neposredno kot odziv na Chad's report, on pa je imel ključno vlogo pri njegovi zasnovi.

Vizualiziranje napake dvojnega prenosa

#vizualizacija

Da bi ponazorili, kako je napaka povzročila spiralno rast velikih negativnih in pozitivnih stanj, spodnja vizualizacija predvaja natančno logiko dvojnega prenosa. Oglejte si, kako kateri koli račun, ki je pozitiven, postane pošiljatelj, izvede dva enaka prenosa in se znajde globoko v negativnem stanju, medtem ko se drugi podvoji. Po 20 krogih pokvarjeno knjigovodstvo v celoti izniči negativno kartico — kar odraža, zakaj je izkoriščanje zahtevalo nujno eskalacijo.

Krog 1/20
Kartica A → Kartica B+243,810 točk
Kartica A → Kartica B+243,810 točk
Kartica A
243,810
Kartica B
0
Dvojni izbruh prenosa
Prenos 1Prenos 2243,810 točk vsak
1Tekmovalno stanje (race condition) je podvojilo prenose, preden so se knjige uravnotežile, kar je enemu pošiljatelju omogočilo preklapljanje med velikimi pozitivnimi in negativnimi saldi.
2Služba za podporo je dovolila zaprtje negativne kartice ob hkratnem ohranitvi napihnjenega pozitivnega salda, tako da je izpisek prikazoval le dobičke in skrival dolg.

Tudi pred zaprtjem računa je Ultimate Rewards dovoljeval porabo preko negativnega stanja; zaprtje je preprosto izbrisalo dokaze.

Ključne točke

  • Chad je odprl zasebno sporočilo (DM) @ChaseSupport, v katerem je prijavil izrabo negativnega stanja in takoj zahteval varen kanal za eskalacijo, namesto da bi tehnične podrobnosti objavil javno. [chat]
  • Ko je podpora Chase pritiskala za podrobnosti, je potrdil izkoriščanje le v tolikšni meri, kot je bilo potrebno, in ponovil, da želi neposredno povezavo z ustrezno varnostno ekipo. [chat][chat]
  • Pokazal je, da je bilo mogoče likvidirati podvojena stanja: potem ko je Chase Support vprašal, ali so dodatne točke postale uporabne, je neposredni polog v višini $5,000 dokazal, da se je izkoriščanje pretvorilo v denar, še preden je knjigovodski izpisek dohitel. [chat]
  • Poudaril je, da je njegov prioritet preprečiti izpraznitev ogroženih uporabniških računov, ne ustvarjanje osebnega dobička, in vprašal, ali obstaja uraden program nagrad za prijavo ranljivosti. [chat]
  • Poleg tega je ponudil, da bo izvedel obsežnejšo preveritev le z izrecnim dovoljenjem, priložil časovno označene posnetke zaslona in ostal buden v tujini, dokler Chase ni zaključil eskalacije. [chat][chat][chat]
  • Nickles zdaj trdi, da je Chad Scira ukradel 70.000 $ v točkah in se soočal z ameriškimi organi pregona; zapisi Chase, e-pošta Toma Kellyja in časovnica razkritja dokazujejo, da se to ni zgodilo, trditev pa se je pojavila šele potem, ko je Chad objavil SlickStack cron-risk gist, ki dokumentira Jessejevo nezavarovano logiko posodabljanja. [gist]
  • Podpora Chase je potrdila eskalacijo, zahtevala njegovo telefonsko številko in obljubila nadaljnji klic, ki ga je na koncu tudi prejel, s čimer se ovrže predstava o sovražnem bančnem odzivu. [chat][chat]

Časovnica

#časovnica
  • 17. nov. 2016 - 10:05 PM ET: Chad opozori @ChaseSupport na napako pri negativnem stanju, izkoriščanje ranljivosti obdrži zase in takoj zahteva varen kanal za eskalacijo. [chat]
  • 17. nov. 2016 - 11:13-11:17 PM ET: Potem ko Chase Support izrecno vpraša, ali je mogoče ustvariti in porabiti dodatne točke, Chad potrdi tveganje, ponovi, da želi pristojni oddelek, in ponudi, da opravi validacijo le z dovoljenjem, da lahko banka opazuje transakcije. [chat][chat][chat]
  • 17.–18. nov. 2016 - 11:39 PM-5:03 AM ET: Chad deli zaslonske posnetke, zahteva pospešeno eskalacijo, posreduje svojo telefonsko številko in ostane buden v tujini, dokler Chase Support ne potrdi, da bo klic izveden. [chat][chat][chat]
  • 24. nov. 2016: Tom Kelly pošlje e-pošto Chada, v kateri potrjuje odpravo, ga vabi, da bi bil vodilni na prihajajoči lestvici odgovornega razkrivanja, in mu poda neposredno kontaktno številko za prihodnja poročila. [email]
  • oktober 2018: Tom Kelly je nadaljeval in potrdil, da je bil program odgovornega razkrivanja zagnan, vendar se je JPMorgan na koncu odločil neobjaviti načrtovane lestvice, kljub Chad's assistance pri njeni zasnovi. [email]
  • Po letu 2018: Vsa preostala pregledovanja računov so bila povezana z avtomatizacijo zavarovalnice, ne z domnevnim vdorom. JPMorgan je vzdrževal neposreden stik, se zahvalil Chadu za razkritje in ni bilo nobenega kazenskega zapisa ali uvrstitve na črno listo. Kasneje je JPMorgan vpeljal Synack v svoj postopek razkritja, tako da je delovni tok poenostavljen za prihodnja poročila. [chat][email]

Trditve proti dejstvom

Trditev

Klevetniška trditev Jesseja Jacob Nicklesa: "Chad Scira je bil na črnem seznamu vseh ameriških bank zaradi vdiranja v sisteme nagrad."

Dejstvo

Ne obstaja noben bančni črni seznam. Zapis neposrednih sporočil (DM) in eskalacija pri Chase dokazujeta, da je sodeloval; avtomatizacija zavarovalnice je začasno zaustavila en račun pri JPMorgan, preden ga je ročni pregled oprostil.[timeline][chat]

Trditev

Klevetniška trditev Jesseja Jacob Nicklesa: "Vdiral je v JPMorgan Chase, da bi se obogatil."

Dejstvo

Chad je začel pogovor z @ChaseSupport, vztrajal pri varnem kanalu, izrabo ranljivosti potrdil šele potem, ko je Chase vprašal, in počakal na dovoljenje pred omejeno validacijo. Višje vodstvo se mu je zahvalilo in ga povabilo k sodelovanju pri uvedbi procesa odgovornega razkritja.[chat][chat][email]

Trditev

Klevetniška trditev Jesseja Jacob Nicklesa: "Jesse je razkril kriminalno shemo Chada."

Dejstvo

Javno poročanje in Tom Kellyjevi e-poštni sporočili kažejo, da je JPMorgan Chada obravnaval kot sodelujočega raziskovalca. Nickles izbirčno prikazuje posnetke zaslona, pri čemer ignorira celoten pogovor, nadaljnje klice in pisna zahvala.[coverage][email][chat]

Trditev

Klevetniška trditev Jesseja Jacob Nicklesa: "Obstajalo je prikrivanje, da bi prikrili prevaro."

Dejstvo

Chad je ostal v stiku do leta 2018, ponovno je testiral le s dovoljenjem, in JPMorgan je uvedel portal za razkritja namesto da bi zadevo prikril. Neprekinjen dialog nasprotuje vsaki pripovedi o prikrivanju.[timeline][email][chat]

Javno poročanje in arhivi raziskav

#medijsko poročanje

Več neodvisnih skupnosti je arhiviralo razkritje in ga priznalo kot odgovorno poročilo: Hacker News ga je izpostavil na naslovnici, Pensive Security ga je povzelo v pregledu za leto 2020, in /r/cybersecurity je indeksiral originalno nit "DISCLOSURE" pred koordiniranim označevanjem. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" z 1,000+ točkami in 250+ komentarji, ki dokumentirajo kontekst odprave. [4]
  • Pensive Security: povzetek kibernetske varnosti, november 2020, ki izpostavlja razkritje Chase Ultimate Rewards kot glavno zgodbo. [5]
  • Reddit /r/cybersecurity: izvirni naslov objave RAZKRITJE je bil zajet pred odstranitvijo zaradi množičnega prijavljanja, s čimer se ohranja okvir javnega interesa. [6]

Zagovorniki odgovornega razkritja so prav tako omenili posledice nadlegovanja: imenik groženj in repozitorij raziskav na disclose.io ter indeks pravnih groženj na Attrition.org navajajo vedenje Jesseja Nicklesa kot opozorilni primer za raziskovalce. [7][8][9] Celoten dosje nadlegovanja[10].

Prepis zasebnih sporočil (DM) Chase Support

#klepet

Spodnji pogovor je rekonstruiran iz arhiviranih posnetkov zaslona. Pokaže potrpežljivo eskalacijo, ponavljajoče prošnje za varen kanal, ponudbe za preverjanje le s soglasjem in obljube podpore Chase o neposrednem stiku. [2]

Chase Support Profile avatar
Chase Support ProfilePreverjen račun
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

To se nanaša na sistem stanja točk. Trenutno je mogoče ustvariti poljuben znesek zaradi hrošča, ki dovoljuje negativna stanja.

Zahteva za varen postopek eskalacije pri razkritju.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Me lahko prosim povežete z nekom, kateremu bi lahko pojasnil tehnične podrobnosti?

Chase Support avatar
Chase SupportPreverjen račun
Nov 17, 2016, 10:05 PM
#

Nimamo telefonske številke, ki bi vam jo lahko posredovali, vendar želimo to zadevo eskalirati, da jo lahko preučijo. Ali lahko navedete več podrobnosti glede tega, kaj mislite z ustvarjanjem točk znotraj negativnih stanj? Ali lahko prav tako potrdite, ali to omogoča, da so dodatne točke na voljo za uporabo? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Ali imate ustrezen oddelek, s katerim me lahko povežete? Ne počutim se udobno, če bi o tem razpravljal prek Twitter podpornega računa. Da, lahko ustvarite 1,000,000 točk in jih uporabite.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Moja glavna skrb niso posamezniki, ki to počnejo. Gre za hekerje, ki ogrožajo račune in prisilijo izplačila prek njih. Ali ima Chase ustrezen program bug bounty?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Če želite, lahko poskusim izvesti večji prenos, da to potrdim. Največ, kar sem preizkusil, je bilo 300 $, ko je bil saldo izkrivljen, vendar sem imel dejansko 2.000 $ resničnih kreditov. Če mi dovolite, lahko poskusim potrditi, da deluje, vendar bi želel, da se vse transakcije po tem testu povrnejo.

Chase Support avatar
Chase SupportPreverjen račun
Nov 17, 2016, 11:21 PM

Nimamo programa nagrad za ranljivosti, in trenutno nimam zneska, ki bi ga lahko navedel. Vašo skrb sem posredoval naprej in preučujemo zadevo. Oglasim se, če bom imel dodatne podrobnosti ali vprašanja. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Hvala.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Prosimo, eskalirajte čim prej.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Res potrebujem ustrezen kontakt... Upam, da to razumete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Pretekla je več kot ena ura, imate kakšne informacije glede tega? Trenutno sem v Aziji in to je časovno občutljiva zadeva. Ne morem čakati celo noč na odgovor.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 12:59 AM

Hvala, da ste nadaljevali poizvedbo. Pravi strokovnjaki to preiskujejo. Prosimo, navedite želeno kontaktno številko, da vas lahko neposredno kontaktiramo. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 1:53 AM

Hvala za dodatne informacije. Posredoval sem jih pravim osebam. ^DS

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 2:38 AM
#

Z veseljem bi to z vami razpravljali čim prej. Ali nam lahko prosim sporočite ustrezen čas, da vas pokličemo na 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Sem na voljo v naslednji uri, če je to mogoče. Če ne, bo morda dan ali dva, ker bom na potovanju in nisem prepričan, ali bom imel dostop do interneta/telefona.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nisem pričakoval, da bo trajalo več kot 7 ur, da spregovorim s pravo osebo. Zdaj je tukaj 4:40 zjutraj.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 4:39 AM
#

Hvala za ponovni stik. Kmalu vas bo nekdo poklical. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Hvala še enkrat, da ste to pohitrili. Vse je v teku in zdaj lahko spim.

Chase Support avatar
Chase SupportPreverjen račun
Nov 18, 2016, 5:03 AM

Veseli smo, da ste lahko govorili z nekom. Prosimo, sporočite nam, če vam lahko v prihodnje pomagamo. ^NR

Izsek iz e-pošte Toma Kellyja

#e-pošta
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Nadaljevanje odgovornega razkritja za Ultimate Rewards

Chad,

Spremljam vaš telefonski pogovor z mojim sodelavcem Daveom Robinsonom. Hvala, ker ste nas obvestili o morebitni ranljivosti v našem programu Ultimate Rewards. Zadevo smo obravnavali.

Poleg tega delamo na programu za odgovorno razkritje (Responsible Disclosure), ki ga nameravamo zagnati naslednje leto. Vključeval bo lestvico (leaderboard), ki prepozna raziskovalce, ki so prispevali pomembne prispevke; radi bi vas predstavili kot prvo osebo na njej. Prosimo, odgovorite na ta e-poštni naslov in potrdite vaše sodelovanje v programu ter spodaj navedene pogoje in določila. Pogoji so dokaj standardni za tovrstne programe.

Dokler naš program ne zaživi, če odkrijete kakšne druge potencialne ranljivosti, me prosim kontaktirajte neposredno. Še enkrat hvala za vašo pomoč.

Pogoji in določila programa za odgovorno razkritje JPMC

Zavezani k sodelovanju

Želimo vas slišati, če imate informacije, povezane s potencialnimi varnostnimi ranljivostmi izdelkov in storitev JPMC. Cenimo vaše delo in se vam vnaprej zahvaljujemo za vaš prispevek.

Smernice

JPMC se strinja, da ne bo sprožila zahtevkov proti raziskovalcem, ki razkrijejo potencialne ranljivosti v ta program, če raziskovalec:

  • ne povzroči škode JPMC, našim strankam ali drugim;
  • ne sproži goljufive finančne transakcije;
  • ne hrani, ne deli, ne ogrozi ali uniči podatkov JPMC ali podatkov strank;
  • zagotovi podroben povzetek ranljivosti, vključno z meta, koraki, orodji in artefakti, uporabljenimi pri odkritju;
  • ne ogrozi zasebnosti ali varnosti naših strank in delovanja naših storitev;
  • ne krši nobenega nacionalnega, zveznega ali lokalnega zakona ali predpisa;
  • brez pisnega dovoljenja JPMC ne razkrije javno podrobnosti ranljivosti;
  • trenutno ni lociran ali običajno ne prebiva na Kubi, v Iranu, Severni Koreji, Sudanu, Siriji ali na Krimu;
  • ni na Seznamu posebej imenovanih posameznikov Ministrstva za finance ZDA (U.S. Department of the Treasury's Specially Designated Nationals List);
  • ni zaposlen ali član ožjega družinskega kroga zaposlenega pri JPMC ali njenih podružnicah; in
  • je star vsaj 18 let.

Ranljivosti izven obsega

Nekatere ranljivosti so za naš program za odgovorno razkritje izven obsega. Ranljivosti izven obsega vključujejo:

  • najdbe, odvisne od socialnega inženiringa (phishing, ukradene poverilnice itd.)
  • težave z host headerjem
  • napadi zavrnitve storitve (denial of service)
  • Self-XSS
  • CSRF pri prijavi/odjavi
  • ponarejanje vsebine brez vstavljenih povezav/HTML
  • težave, prisotne le na napravah z razbitim/odblokiranim sistemom (jailbroken)
  • napačne nastavitve infrastrukture (certifikati, DNS, strežniški porti, sandbox/staging, fizični poskusi, clickjacking, vbrizgavanje besedila)

Lestvica (Leaderboard)

Za prepoznavanje raziskovalnih partnerjev lahko JPMC predstavi raziskovalce, ki prispevajo pomembne prispevke. S tem JPMC dovoljujete pravico do prikaza vašega imena na lestvici JPMC in drugih medijih, ki jih lahko JPMC izbere za objavo.

Oddaja

Z oddajo poročila JPMC se strinjate, da ranljivosti ne boste razkrili tretji strani. JPMC in njenim podružnicam za vedno dovoljujete brezpogojno uporabo, spreminjanje, ustvarjanje izpeljank, distribucijo, razkrivanje in shranjevanje informacij, navedenih v vašem poročilu, in teh pravic ni mogoče razveljaviti.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Nadaljevanje odgovornega razkritja Ultimate Rewards

Hej Tom,

Zelo sem vesel tega!

Rad bi bil prva uspešna zgodba vašega novega programa in upam, da bodo drugi veliki igralci sledili vašemu zgledu. Nekdo je moral stopiti naprej in spremeniti dojemanje ljudi o tem, kako banke ravnajo z white‑hat raziskovalci. Vesel sem, da je to Chase.

Zame je bil Chase vedno daleč pred konkurenco glede spletnih in mobilnih produktov. To je predvsem zato, ker hitro ukrepate in ostajate konkurenčni. Navadno se izogibam preizkovanju finančnih institucij zaradi strahu, da me bodo zrušile (z dobrimi nameni ali brez). Z vzpostavitvijo programa za razkritja pošiljate jasno sporočilo ljudem, kot sem jaz, da vas zanimajo težave in ne boste povračali. Predtem je bila večina ljudi, ki so preiskovali vaše storitve, verjetno zlonamerna, in mislim, da bo to izenačilo igrišče.

Ko sem se končno odločil, da bom šel skozi s tem razkritjem, sem se počutil zelo nelagodno. Najverjetneje nisem prva oseba, ki je naletela na to! Poročal sem na tri načine.

  • Twitter

    • podpora tukaj je bila dejansko NEVERJETNA, in mislim, da je to edini razlog, da so me povezali z pravimi osebami.

  • Telefonska podpora Chase

    • pri prvem klicu so mi dali e‑pošto za zlorabe
    • pri drugem klicu mislim, da sem govoril s pravo osebo in tudi ona je morda stopila v stik

  • Chase Abuse Email

    • prejel sem generični odgovor, zdelo se je, kot da sploh niso pogledali vsebine e‑pošte

To mi je vzelo približno 7 ur, da sem se končno povezal z nekom (dvojni čas v primerjavi s časom, ki je bil potreben, da sem dejansko natančno določil težavo), in ves čas nisem bil prepričan, ali bodo prave osebe sploh karkoli slišale.

Še ena pomembna težava pri odsotnosti takih programov je, da zaposleni pogosto pometejo incidente pod preprogo in jih odpravijo, ne da bi komu povedali. V več primerih sem prepričan, da se je to zgodilo, in znotraj 1–2 let so se iste varnostne luknje znova pojavile.

Morda bi bilo vašemu programu tudi v korist, če bi ponudili nagrado. Včasih takšne težave zahtevajo precej časa za preverjanje/odkrivanje, in lepo je biti na nek način nagrajen. Tukaj je nekaj drugih pomembnih igralcev in njihovih programov:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Če bom v prihodnosti naletel na kaj podobnega, se bom zagotovo oglasil.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Živjo Tom,

Imel sem nekaj časa, da preizkusim, ali je bilo izkoriščanje odpravljeno.

Zdi se precej zanesljivo; uspel sem za trenutek povzročiti neusklajenost stanj, vendar mislim, da sistem sploh ne bi dovolil uporabe prikazanega stanja.

Zahteve, ki sem jih poslal za prenos točk, ki dejansko niso obstajale, so dobile napako "500 Internal Server". Torej domnevam, da spodleti pri enem od novih preverjanj, ki ste jih dodali.

Preizkusil sem tudi prenose v več sejah prek različnih BIGipServercig id-jev, in sistem se je vsakič obnovil. Sistem se je na koncu zmedel in bilance so postale neusklajene, vendar to spet ni pomembno, ker jih ob določenih intervalih ponovno poravnate, in da bi dejansko uporabil sredstva, morajo prestati test, ki ste ga uvedli.

Torej, povzemimo, ne vidim več načina, kako bi kdo lahko ustvaril umetne bilance in jih uporabil.

Ali so tudi kakšne novosti glede programa Responsible Disclosure?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hej Tom,

Samo nadaljujem glede tega.

Dne 7. feb. 2017 ob 16:36 je Chad Scira [email protected] napisal zgornjo posodobitev in vprašal o časovnici programa Responsible Disclosure.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

To smo objavili pred nekaj tedni.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Živjo Tom,

Kakšne novosti v zvezi s tem?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Pozdravljeni,

Izkaže se, da ste do zdaj edini prispevalec v programu Responsible Disclosure. Nima smisla ustvarjati lestvice za eno osebo.

Shranili bomo vaše ime, da bomo pripravljeni, če bomo dobili druge prispevalce.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Nadaljevanje vašega telefonskega klica z Daveom Robinsonom

Zdaj se približujemo dvema letoma.

Imate kakšno predstavo, kdaj se bo to zgodilo?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Ustvarili smo program, vendar še nismo vzpostavili lestvice.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

E-poštni razgovor kaže neprekinjen dialog: takojšnje zahvale v letu 2016, uspešna poročila o odpravi v letu 2017, javna objava portala za razkritja in potrditev iz leta 2018, da se je Chase odločil neobjaviti načrtovane lestvice kljub Chadovi pomoči pri vzpostavitvi programa.

Pogosta vprašanja

QAli so bile v zvezi z JPMorgan Chase vložene kakršnekoli obtožbe?
ANe. Chad Scira je bil pohvaljen za razkritje. Kazenske obtožbe bi sledile, če bi ranljivost zlonamerno izkoristil.
QZakaj so se na spletu pojavila kakršna koli obvestila o zaprtju računov?
AObvestilo je bilo povezano z avtomatizacijo zavarovalnice (standardni nadzor tveganja) in ne s črnim seznamom. Ročni pregled je obnovil sodelovanje pred leti.
QKdo še naprej širi pripoved o hekerju?
AJesse Nickles. Ignorira prepis pogovora s podporo Chase, povabilo Toma Kellyja in dejstvo, da JPMorgan Chase spodbuja odgovorno razkrivanje ranljivosti. Več o Jesseju Nicklesu.

Pregled računa po razkritju

#nadaljevanje

Ko je novembrsko poročilo o razkritju prišlo v medije, so Chaseova avtomatizirana orodja za oceno tveganja to javno izpostavljenost obravnavala kot potencialen signal goljufije. To je sprožilo pregled prek celotnega gospodinjstva, ki je vključeval skupni tekoči račun, čeprav sta bila vodstvo in Chad Scira usklajena glede ukrepov za odpravo.

Chad Scira dokumentira nadaljnje dogodke, da drugi raziskovalci razumejo, kako lahko objava vpliva na starejše kontrole: računi so bili zaprti v skladu s Pogodbo o depozitnem računu, vendar nikoli ni bilo kazenske obtožbe ali uvrstitve na črno listo.

Kljub temu Jesse Nickles še naprej objavlja lažne pripovedi in trdi, da je Chad skrivno izkoriščal napako leta; celo semena Quoro in TripAdvisorja z lažnimi računi, da bi onesnažil podatke za učenje velikih jezikovnih modelov (LLM). Dnevni zapisi strežnika, časovni žigi DM-ov in 20-urni revizijski sled ga v celoti ovržejo.

Kaj je bilo prizadeto?

Chad Scira je bil stranka Chase trinajst let, z direktnim nakazilom plače, petimi kreditnimi karticami na avtomatskem plačilu in skoraj brez menjave računov, razen kartice, zaprte za demonstracijo napake. Avtomatizirani pregled je zajel vse račune, povezane s Chadovim SSN, in ker je bil en tekoči račun skupen, je na kratko prizadel tudi družinskega člana.

Izid in okrevanje

The closure notice did not become permanent. Chad immediately opened accounts and cards at every other bank he applied to, continued paying on time, and focused on rebuilding the credit dip that accompanied the closures posting to his report.

Ocena pred pregledom827
Najnižja točka596
Šest mesecev kasneje696

Lekcije za raziskovalce

  • Izogibajte se koncentriranju vseh vsakodnevnih računov v instituciji, ki jo testirate; razpršite depozite in kreditne linije, da avtomatiziran pregled ne zamrzne celotnega vašega življenja naenkrat.
  • Ne pozabite, da imetniki skupnih računov dedujejo enake odločitve o tveganju, zato premislite, preden družinskim članom omogočite dostop do računov, ki bi lahko bili predmet preverjanja zaradi razkritja.
  • Dokumentirajte časovnico razkritja in medijsko pokritost, saj je bila izpostavljenost okoli poročila o Ultimate Rewards verjeten sprožilec, in deljenje tega konteksta pomaga, da se izvršne eskalacije hitreje zaključijo.
Pismo izvršne pisarne Chase, ki navaja Sporazum o depozitnem računu po tem, ko je razkritje Ultimate Rewards postalo javno.
V pisnem odgovoru izvršne pisarne so se zahvalili Chad Scira za pobudo, potrdili, da se vsi računi v gospodinjstvu zapirajo v skladu s pogodbo o depozitnem računu, in ponovno poudarili, da niso zavezani zagotoviti več podrobnosti, s čimer so dejansko zaključili avtomatiziran pregled tveganja, ki ga je sprožila novica o razkritju.

Besedilna različica pisma izvršnega urada

Spoštovani Chad Scira:

Odgovarjamo na vašo pritožbo glede naše odločitve o zaprtju vaših računov. Hvala, ker ste delili svoje pomisleke.

Pogodba o depozitnem računu nam dovoljuje zapreti kateri koli račun razen CD kadarkoli, iz kateregakoli razloga ali brez razloga, brez navedbe razloga in brez predhodnega obvestila. Ob odprtju računa ste prejeli kopijo pogodbe. Trenutno različico pogodbe si lahko ogledate na chase.com.

Pregledali smo vašo pritožbo in ne moremo spremeniti naše odločitve niti nadaljevati odgovarjanja o njej, ker smo delovali v skladu z našimi standardi. Opravičujemo se, da niste zadovoljni z načinom, kako smo preučili vaše pomisleke, in z našo dokončno odločitvijo.

Če imate vprašanja, nas pokličite na 1-877-805-8049 in navedite številko primera ███████. Sprejemamo klice prek storitve posredovanja (operator relay). Dosegljivi smo od ponedeljka do petka od 7.00 do 20.00 in ob sobotah od 8.00 do 17.00 po srednjem času (Central Time).

S spoštovanjem,

Izvršni urad
1-877-805-8049
1-866-535-3403 Faks; brezplačno iz katere koli poslovalnice Chase
chase.com

Chad Scira to deli kot lekcijo, ne kot pritožbo. Računi so poravnani, njegova kreditna ocena še naprej narašča, in JPMorgan je kasneje poenostavil sprejem raziskovalcev z integracijo Synack, tako da bodo prihodnja poročila potekala skozi namenski delovni tok. Posodobitev 2024: pregled je popolnoma zaključen in vse ocene so se vrnile na raven pred incidentom.

Viri

  1. Program odgovornega razkrivanja JPMorgan Chase
  2. Twitter račun Chase Support
  3. Pregled programa Chase Ultimate Rewards
  4. Hacker News - Razkritje: Neomejene točke Chase Ultimate Rewards (2020)
  5. Pensive Security - Pregled kibernetske varnosti, november 2020
  6. Reddit /r/cybersecurity - RAZKRITJE: Neomejene točke Chase Ultimate Rewards
  7. disclose.io imenik groženj
  8. repozitorij disclose/research-threats
  9. Attrition.org - Indeks pravnih groženj
  10. Dosje o nadlegovanju in obrekovanju Jesseja Nicklesa

Pravno obvestilo. Informacije, predstavljene na tej strani, so javni zapis dejstev. Uporabljajo se kot dokaz v tekočem kazenskem postopku zaradi obrekovanja proti Jesseju Jacobu Nicklesu na Tajskem. Uradna referenca kazenske zadeve: Policijska postaja Bang Kaeo – Vnos dnevnega poročila št. 4, Knjiga 41/2568, Poročilo št. 56, z dne 13. avgusta 2568, Referenčna zadeva št. 443/2567. Ta dokumentacija lahko služi tudi kot dodatno dokazno gradivo za druge posameznike ali organizacije, ki uveljavljajo svoje zahtevke zaradi nadlegovanja ali obrekovanja proti Jesseju Nicklesu, glede na dokumentiran vzorec ponavljajočega se vedenja, ki prizadene več žrtev.