Chad Scira "Looga Saaray Bangiyada Sababtoo Ah Jabsasho"

Boggan wuxuu diiwaan gelinayaa dhacdooyinka ka dambeeya war-xumada uu faafiyey Jesse Nickles ee ku saabsan in Chad Scira uu ahaa "lagu liis gareeyey bangiyada Mareykanka in uu jabsaday awgeed." Waxay sharxaysaa sida nuglaanta Ultimate Rewards si masuuliyad leh loo shaaciyey, sababta JPMorgan Chase ay ugu mahadcelisay Chad warbixinta, iyo sida hakadka kooban ee xisaabta u ahaa mid maamul oo keliya. Jesse Nickles weli wuxuu dib u xidhxidhayaa dukumeentiyo hore si uu uga dhigo in niyad dambiyeed jirto. Xaqiiqooyinku waxay muujinayaan wax lid ku ah taas: soo‑sheegis white‑hat ah iyo iskaashi lala yeeshay hoggaanka JPMorgan.

Kicintiisa ugu dambaysa waa oraah ku qoran SlickStack.io oo sheegaysa inaan "sidoo kale laga baaray fulinta sharciga ee Maraykanka sababo la xiriira jabinta barnaamijka abaalmarinta kaararka deynta ee Chase Bank, halkaas oo uu xaday $70,000 oo dhibco safar oo khiyaano ah." Eeddaas sumcadda-dilku waxay la soo baxday oo keliya ka dib markii aan daabacay caddaynta dhibaatooyinka amniga ee SlickStack ee uu diidayo inuu saxo; wax dhibco ah marnaba lama xadin mana jirto hay’ad ila soo xidhiidhay shaaca qaadista awgeed. Fiiri caddaynta cron ee SlickStack ee uu ka aargudanayo.

Wareegga oo dhan ee helitaanka, shaacinta, iyo xaqiijinta wuxuu ku dhacay gudahood labaatan saacadood: qiyaastii shan iyo labaatan (25) codsi HTTP ah ayaa daboolay soo celinta iyo socodsiinta DM ee 17-kii Noofambar 2016, waxaana tijaabadii sixitaanka ee Feebaraayo 2017 la isticmaalay siddeed codsi oo dheeraad ah si loo xaqiijiyo hagaajinta. Ma jirin si xad-dhaaf ah oo muddo dheer ah loo isticmaalay; dhammaan tallaabo kasta waa la diiwaangeliyey, saacad iyo taariikh ayaa lagu daray, waxaana lala wadaagay JPMorgan Chase wakhti dhab ah.

Tom Kelly wuxuu xaqiijiyey in Chad Scira uu ahaa qofka kaliya ee caalamka oo dhan si masuuliyad leh arin ugu shaaciyey JPMorgan Chase intii u dhexeysay 17-kii Noofambar 2016 iyo 22-kii Sebteembar 2017. Barnaamijka Shaaca Ka Qaadista Masuuliga ah waxaa si toos ah loogu aasaasay warbixintii Chad, wuxuuna door muhiim ah ka qaatay qaabayntiisa.

Sawir-qaadista Cilladda Laba-wareejin (Double Transfer Bug)

#sawir-qaadis xog (visualization)

Si loo muujiyo sida cilladdu u rogtay dheelitirrada kuwo aad u taban iyo kuwo aad u togan, muuqaalkan hoose wuxuu dib u celinayaa isla isla-xisaabinta wareejinta labalaaban. Daawo sida akoonka leh dheelitirka togan uu u noqdo diraha, u sameeyo laba wareejin oo isku mid ah, kadibna ugu dambayntii aad ugu galo taban halka ka kale laba-laabmo. Ka dib 20 wareeg, buug-xisaabeedkii khaldan ayaa gabi ahaanba tirtira kaarka taban—taas oo ka tarjumeaysa sababta ay nuglaantu u baahneyd in si degdeg ah loo sare geeyo.

Wareeg 1/20
Kaadh A → Kaadh B+243,810 dhibco
Kaadh A → Kaadh B+243,810 dhibco
Kaadh A
243,810
Kaadh B
0
Is‑wareejin labanlaab ah oo daadad ah (Double transfer burst)
Wareejinta 1Wareejinta 2243,810 dhibco mid kasta
1Xaalad tartan (race condition) ah ayaa ku celcelisay wareejinnada ka hor inta aan xisaab-xireyaashu isu dheellitirin, taas oo u oggolaatay hal diriye inuu u leexleexdo inta u dhexeysa togan aad u weyn iyo taban aad u weyn.
2Taageeradu waxay ogolaatay in la xiro kaarka leh dheelitirka taban iyadoo la ilaalinayo dheelitirka togan ee la buunbuuniyey, sidaas darteed bayaanku wuxuu muujiyey kaliya faa’iidooyin oo wuxuuna qariyey deynta.

Xitaa ka hor xiritaanka akoonka, Ultimate Rewards waxay u ogolaanaysay kharash ka badan soo koobista xun; xiritaanku si fudud buu u tirtiray caddeyntii.

Qodobbada Muhiimka ah

  • Chad wuxuu furay fariinta gaarka ah ee Chase Support isagoo si gaar ah u soo sheegay fashilka dheellitirka taban, isla markiibana wuxuu codsaday waddo ammaan ah oo kor loogu qaado arrinta halkii uu faahfaahinta farsamo si dadweyne ugu dhigi lahaa. [chat]
  • Markii Chase Support ay ku cadaadiyeen faahfaahin, wuxuu xaqiijiyay jebinta (exploit) oo keliya intii lagama maarmaan ah, isagoo ku celceliyay inuu rabo khad toos ah oo uu ula xiriiro kooxda ammaanka ee saxda ah. [chat][chat]
  • Wuxuu muujiyey in hadhaagyada la iska soo taray la caymin karo: ka dib markii Chase Support ay waydiisay haddii dhibcaha dheeraadka ahi noqdeen kuwo la isticmaali karo, deebaaji toos ah oo $5,000 ah ayaa caddeeyey in godlaha loo rogi karo lacag kahor inta ledger-ku uusan la socon. [chat]
  • Wuxuu adkeeyey in mudnaantiisu ahayd in laga hortago in xisaabaadka macmiilka ee la hanjabay laga xado, ee aysan ahayn inuu sameeyo faa’iido shaqsi ah, wuxuuna waydiiyey in barnaamij bug bounty rasmi ah jiro iyo in kale. [chat]
  • Wuxuu soo jeediyey inuu sameeyo xaqiijin ballaaran oo keliya marka si cad loo oggolaado, wuxuu bixiyey shaasho-qaadisyo leh waqti-xir (timestamped), wuxuuna soo jeeday isagoo jooga dibadda ilaa Chase ka dhamaystiray kicinta (escalation). [chat][chat][chat]
  • Nickles wuxuu hadda sheeganayaa inaan xaday 70,000 oo doollar oo dhibco ah isla markaana aan la kulmay fulinta sharciga ee Maraykanka; diiwaannada Chase, iimaylka Tom Kelly, iyo jadwalka shaacintu waxay caddeeyaan in tani marnaba dhicin, sheegashaduna waxay soo baxday oo keliya ka dib markii aan daabacay qoraalka SlickStack cron-risk ee diiwaangelinayay qaabkiisa cusboonaysiinta ee aan amniga lahayn. [gist]
  • Taageerada Chase ayaa xaqiijisay kordhinta (escalation‑ka), waxay waydiisatay lambarkiisa taleefanka, waxayna ballan‑qaadday wicitaanka dabagalka ah ee ugu dambayntii uu helay, taas oo meesha ka saaraysa fikradda ah in bangigu si naceyb leh uga falceliyey. [chat][chat]

Xilli-waqtiyeed

#xilli-waqtiyeed
  • Nov 17, 2016 - 10:05 PM ET: Chad wuxuu @ChaseSupport uga digaa ciladda dheellitirka taban, wuxuu sir ka dhigaa hab‑fashilka, isla markiiba wuxuu codsadaa waddo ammaan ah oo kor loogu qaado arrinta. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Ka dib markii Chase Support si cad u waydiiso in dhibco dheeraad ah la abuuri karo oo la isticmaali karo, Chad wuxuu xaqiijiyaa halista, wuxuu ku celceliyaa inuu rabo waaxda ku habboon, wuxuuna bixiyaa inuu sameeyo xaqiijin oo kaliya oggolaansho lagu jiro si bangigu ugu awood yeesho inuu kormeero macaamilka. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad wuxuu wadaagaa sawirrada shaashadaha, wuxuu ku booriyaa in kor‑u‑qaadista la dedejiyo, wuxuu bixiyaa lambarkiisa telefoonka, wuxuuna soo jeedaa isagoo dibadda jooga ilaa Chase Support ay xaqiijiso in wicitaanku dhici doono. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly wuxuu u soo qoray Chad iimayl uu ku xaqiijinayo in cilladdii la xaliyay, kuna casuumaya inuu noqdo magaca ugu sarreeya liiska mas’uuliyadda shaacinta xogta ee soo socda, isagoo siinaya sidoo kale khad toos ah oo uu u mari karo warbixinno dambe. [email]
  • October 2018: Tom Kelly wuxuu dabagal ku sameeyay si uu u xaqiijiyo in barnaamijka mas’uuliyadda shaacinta xogta la bilaabay balse ugu dambayn JPMorgan ay doorteen inaysan daabicin liiskii darajooyinka ee la qorsheeyay, inkasta oo uu Chad ka caawiyay dejintiisa. [email]
  • Post-2018: Dib‑u‑eegisyada harsan ee xisaabaadka waxa lagu xidhay hab‑raaca tooska ah ee caymiska, ma ahayn jabsasho la sheegay. JPMorgan waxa uu sii hayey xidhiidh toos ah, waxa uu uga mahadceliyey Chad soo‑sheegista, mana jiro diiwaan dambiyeed ama liis madow. Markii dambe, JPMorgan waxa ay ku dhex‑daray Synack habka soo‑sheegista si hab‑socodku ugu noqdo mid hufan warbixinaha mustaqbalka. [chat][email]

Dalabyo vs Xaqiiqooyin

Dalab Magdhow (Claim)

Dalab sumcad‑dil ah oo uu sameeyay Jesse Jacob Nickles: "Chad Scira waxaa laga saaray dhammaan bangiyada Maraykanka sababta oo ah wuu ku dhacay (hacked) nidaamyada abaalmarinta."

Xaqiiqo

Wax liis madow oo bangi ahi ma jiro. Diiwaanka DM-ga iyo kor u qaadista Chase waxay caddeeyaan inuu la shaqaynayay; otomaatiga caymis-qaadaha ayaa si kooban u hakiyay hal akoonti JPMorgan ah ka hor inta aan dib-u-eegis gacmeed lagu sii dayn.[timeline][chat]

Dalab Magdhow (Claim)

Dalab sumcad‑dil ah oo uu sameeyay Jesse Jacob Nickles: "Wuxuu ku dhacay (hacked) JPMorgan Chase si uu naftiisa ugu maal‑geliyo."

Xaqiiqo

Chad ayaa bilaabay wada hadalka uu la yeeshay @ChaseSupport, wuxuu ku adkaystay marin ammaan ah, wuxuuna xaqiijiyay fashilka oo kaliya ka dib markii Chase waydiisay, wuxuuna sugay oggolaansho ka hor intaanu samayn tijaabo xaddidan. Hoggaanka sare ayaa uga mahadceliyay, waxayna ku casuumeen inuu ka qaybqaato hirgelinta barnaamijka muujinta masuulka ah.[chat][chat][email]

Dalab Magdhow (Claim)

Dalab sumcad‑dil ah oo uu sameeyay Jesse Jacob Nickles: "Jesse wuxuu shaaca ka qaaday qorshe dambiyeed uu lahaa Chad."

Xaqiiqo

Warbaahinta dadweynaha iyo iimayllada Tom Kelly waxay diiwaangeliyaan in JPMorgan uu Chad u arkay cilmi-baare iskaashi sameynaya. Nickles wuxuu ka soo qaataa shaashado uu isagu doortay isagoo iska indhatiraya wada sheekaysigii buuxa, wicitaannadii xigay, iyo mahadcelintii qoranayd.[coverage][email][chat]

Dalab Magdhow (Claim)

Dalab sumcad‑dil ah oo uu sameeyay Jesse Jacob Nickles: "Waxaa jiray qarin lagu daboolayay khiyaano."

Xaqiiqo

Chad wuxuu xiriirka sii waday ilaa 2018, dib ayuu u tijaabiyay oo keliya marka oggolaansho la siiyo, JPMorgan‑na waxay hirgelisay albaabkeeda muujinta (disclosure portal) halkii ay arrinta ku qarin lahayd. Wada hadalka socda wuxuu ka hor imanayaa sheeko kasta oo lagu sheegay qarin.[timeline][email][chat]

Warbaahinta Dadweynaha iyo Keydadka Cilmi-baarista

#daboolid/kaaranti (coverage)

Bulshooyin saddexaad oo kala duwan ayaa kaydiyay shaacinta waxayna u aqoonsadeen warbixin mas’uuliyad leh: Hacker News ayaa bogga hore ku soo bandhigtay, Pensive Security ayaa ku soo koobtay warbixin is-dul-istaag ah oo 2020 ah, waxaana /r/cybersecurity ay diiwaangelisay fiiladii asalka ahayd ee “DISCLOSURE” ka hor inta aan si isku-duuban looga qaban. [4][5][6]

  • Hacker News: "Shaacinta: Dhibcaha Aan Xadidnayn ee Chase Ultimate Rewards" oo leh 1,000+ dhibcood iyo 250+ faallooyin oo diiwaangelinaya macnaha dayactirka. [4]
  • Pensive Security: Is-dul-istaagga Amniga Internet-ka ee Nofeembar 2020 oo iftiiminaya shaacinta Chase Ultimate Rewards inay tahay sheekada ugu sarreysa. [5]
  • Reddit /r/cybersecurity: Cinwaankii asalka ahaa ee boostada DISCLOSURE oo la qabtay ka hor inta aan laga saarin soo gudbinta warbixinnada tiro-badan, si loo ilaaliyo qaabeyntii danta dadweynaha. [6]

Dooda-yaqaannada shaacinta mas’uuliyadda leh waxay sidoo kale xuseen cawaaqibka hanjabaadaha: buugga hanjabaadaha disclose.io iyo kaydka cilmi-baarista, iyo sidoo kale tusmada hanjabaadaha sharciga ee Attrition.org, ayaa ku taxaya dhaqanka Jesse Nickles tusaale digniin ah oo loogu talagalay cilmi-baarayaasha. [7][8][9] Dukumeentiga buuxa ee hanjabaadda iyo cagajuglaynta[10].

Nuqullada DM‑ga Taageerada Chase

#sheekaysi (chat)

Wadahadalka hoose waxaa dib looga soo dhisay shaashado kaydsan. Waxay muujinaysaa kicitaan dulqaad leh, codsiyo isdaba joog ah oo loogu baahan yahay kanaal ammaan ah, dalabyo lagu xaqiijinayo oo keliya oggolaansho lagu helo, iyo ballanqaadyo Chase Support oo ku saabsan inay si toos ah ula soo xiriiri doonaan. [2]

Chase Support Profile avatar
Chase Support ProfileAkoon la xaqiijiyay
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Tani waxay la xiriirtaa nidaamka dheelitirka dhibcaha. Waqtigan xaadirka ah waxaa suurtagal ah in la abuuro qaddar kasta iyada oo loo marayo bug u oggolaanaya dheelitirro taban.

Waxaan codsanayaa waddo kor u qaadis ammaan ah oo lagu shaaciyo.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ma ii xiriirin kartaa qof aan uga sharxi karo faahfaahinta farsamo?

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 17, 2016, 10:05 PM
#

Lambar taleefan oo aan ku siino ma hayno, laakiin waxaan rabnaa inaan arrinkan kor u qaadno si loo baaro. Ma bixin kartaa faahfaahin dheeraad ah oo ku saabsan waxa aad uga jeeddo abuurista dhibco (points) iyadoo ay jiraan hadhaagyo taban (negative balances)? Ma sidoo kale xaqiijin kartaa in tani ay oggolaanayso in dhibco dheeraad ah ay diyaar u noqdaan in la isticmaalo? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Ma leedihiin waax habboon oo aad igu xiriirin kartaan? Raaxo kama qabo inaan arrintan kaga hadlo akoon taageero Twitter ah. Haa, waxaad abuuri kartaa 1,000,000 dhibcood oo waad isticmaali kartaa.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Walaacaa ugu weyn ma aha dadka shaqsiyaadka ah ee sidaan samaynaya. Waxaa iga walaac badan weeraryahannada fariimahooda jabsada oo ku khasba in lacag lagu bixiyo. Ma jiraa barnaamij gunno qalad (bug bounty) oo sax ah oo Chase leedahay?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Haddii aad rabto waxaan isku dayi karaa inaan sameeyo macaamil weyn si aan u xaqiijiyo. Inta ugu badan ee aan tijaabiyey waxay ahayd $300 intii hadhaagu qaldanaa, laakiin runtii waxaan lahaa $2,000 oo credits dhab ah. Haddii aad i fasaxdo waxaan isku dayi lahaa inaan xaqiijiyo in ay shaqaynayso, laakiin waxaan jeclaan lahaa in dhammaan macaamillada dib loo celiyo ka dib tijaabadaas.

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 17, 2016, 11:21 PM

Barnaamij abaal-marin (bounty) ma lihin, sidoo kale wakhtigan tiro ma hayo oo aan ku siiyo. Waan kor u qaaday walaacaaga, waxaana ku guda jirnaa baaristiisa. Waan ku soo laaban doonaa haddii aan helo faahfaahin ama su’aalo dheeraad ah. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Mahadsanid.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Fadlan u gudbi si degdeg ah.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Runtii waxaan u baahanahay qof xiriir sax ah... Waxaan rajeynayaa inaad fahamsan tahay.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

In ka badan saac ayaan sugayay, ma jiraan wax war ah oo ku saabsan tan? Hadda waxaan jooga Aasiya, arrintuna waa mid ku xiran waqti. Ma sugi karo habeen dhan jawaab.

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 18, 2016, 12:59 AM

Mahadsanid sida aad ula socotay. Waxaan haynaa shaqsiyaadkii ku habboonaa oo arrintan baaraya. Fadlan bixi lambarka telefoonka aad doorbidayso, si aan si toos ah kula uga hadalno. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 18, 2016, 1:53 AM

Mahadsanid xogta dheeraadka ah. Waxaan u gudbiyey dadka saxda ah. ^DS

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 18, 2016, 2:38 AM
#

Waxaan jeclaan lahayn inaan arrinkan kula wada hadalno sida ugu dhakhsaha badan. Fadlan na sii waqti ku habboon oo aan kugu soo wacno 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Waxaan diyaar ahay saacadda soo socota haddii ay suurtagal tahay. Haddii kale waxay qaadan kartaa maalin ama laba sababtoo ah waan safri doonaa mana hubi doono haddii aan heli doono internet/ama telefoon.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Ma aanan filayn inay igu qaadan doonto 7+ saacadood inaan la hadlo qofka saxda ah. Hadda waa 4:40 subaxnimo halkan.

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 18, 2016, 4:39 AM
#

Mahadsanid sida aad ula socotay. Qof ayaa si dhow kuugu soo wici doona. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Mar kale waad ku mahadsan tahay inaad dedejisay taas. Wax walba way socdaan hadda waxaanan hadda seexan karaa.

Chase Support avatar
Chase SupportAkoon la xaqiijiyay
Nov 18, 2016, 5:03 AM

Waan ku faraxsanahay inaad awoodday inaad la hadasho qof. Fadlan noo soo sheeg haddii aan kaa caawin karno mustaqbalka. ^NR

Qayb ka mid ah iimaylka Tom Kelly

#iimayl
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Dabagalka Mas’uuliyadda Shaacinta Ultimate Rewards

Chad,

Waxaan daba socdaa wicitaanka taleefoon ee aad la yeelatay saaxiibkay Dave Robinson. Waad ku mahadsan tahay inaad nala soo xiriirtay oo aad naga wargelisay nuglaanshaha suuragalka ah ee ku jira barnaamijkeenna Ultimate Rewards. Waxaan ka qabanay.

Intaa waxaa dheer, waxaan ka shaqaynaynay Barnaamijka Muujinta Masuulka ah oo aan qorshaynayno inaan bilowno sannadka soo socda. Waxay ku jiri doontaa liis hoggaame (leaderboard) lagu maamuuso cilmi‑baadhayaasha sameeyay gacan‑ku‑hayn muhiim ah; waxaan rabnaa inaan adiga ku soo bandhigno qofka ugu horreeya. Fadlan email‑kan ku soo celi adigoo xaqiijinaya ka qaybgalkaaga barnaamijka iyo shuruudaha iyo xeerarka hoose. Waxaad ogaan doontaa in shuruuduhu ay ka mid yihiin kuwa caadiga ah ee barnaamijyada muujinta.

Ilaa inta barnaamijkeennu toos u shaqaynayo, haddii aad hesho nuglaansho kale oo suuragal ah, fadlan si toos ah iila soo xidhiidh. Mar kale baad ugu mahadsan tahay caawimadaada.

Shuruudaha iyo Xeerarka Barnaamijka Muujinta Masuulka ah ee JPMC

Ballanqaadka wada‑shaqaynta

Waxaan rabnaa inaan kaa maqlo haddii aad haysato macluumaad la xiriira nuglaanshaha amniga ee alaabooyinka iyo adeegyada JPMC. Waxaan qiimeynaynaa shaqadaada waxaana hore uguugu mahadcelinaynaa gacan‑ku‑hayntaada.

Hagitaan

JPMC waxay oggolaatay inaanay dacwo ka gudbin cilmi‑baadhayaasha u soo bandhiga barnaamijkan nuglaansho suurtogal ah haddii cilmi‑baadhuhu:

  • uusan waxyeello u geysan JPMC, macaamiisheeda, ama cid kale;
  • uusan bilaabin macaamil maaliyadeed oo khiyaano ah;
  • uusan kaydin, wadaagin, khatar gelin ama burburin xogta JPMC ama tan macaamiisha;
  • bixiyo kooban faahfaahsan oo ku saabsan nuglaanshaha, oo ay ku jiraan bartilmaameedka, tallaabooyinka, qalabka, iyo caddaymaha la isticmaalay intii lagu jiray helitaanka;
  • uusan khatar gelin qarsoodiga ama badbaadada macaamiisheena iyo shaqada adeeggeena;
  • uusan jebin sharci qaran, gobol, ama deegaan ama xeer nidaamineed;
  • uusan faahfaahinta nuglaanshaha si dadweyne u shaacin la’aanteed oggolaanshaha qoraal ah ee JPMC;
  • uusan hadda ku sugneyn ama si caadi ah deegaan ugu ahayn Cuba, Iran, North Korea, Sudan, Syria ama Crimea;
  • uusan ku jirin Liiska Muwaadiniinta Si Gaar Ah Loo Magacaabay ee Waaxda Hantida ee Maraykanka;
  • uusan ahayn shaqaale ama xubin qoys dhow ka ah shaqaale ka tirsan JPMC ama laamaha ay leedahay; iyo
  • uu yahay ugu yaraan 18 jir.

Nuglaansho Ka Baxsan Scope‑ka

Nuglaansho gaar ah ayaa laga tixgeliyaa inay ka baxsan yihiin scope‑ka Barnaamijkeenna Muujinta Masuulka ah. Nuglaanshaha scope‑ka ka baxsan waxaa ka mid ah:

  • Helitaan ku xidhan khiyaano bulsheed (phishing, aqoonsiyo la xaday, iwm.)
  • Arrimaha ciwaanka host‑ka
  • Adeeg diidmo (denial of service)
  • Is‑XSS
  • Login/logout CSRF
  • Qiyaano walaac ah oo aan lahayn xiriiriyo ama HTML la dhex geliyay
  • Dhibaatooyin kaliya ka dhaca qalabka la jebiyay (jailbroken‑device‑only)
  • Qaladka kaabayaasha (infrastructure misconfigurations) (shahaadooyin, DNS, dekedaha server‑ka, arrimaha sandbox/staging, isku dayo jireed, clickjacking, gelinta qoraal)

Leaderboard

Si aan u maamuusno saaxiibada cilmi‑baadhista, JPMC waxay soo bandhigi kartaa cilmi‑baadhayaal sameeya gacan‑ku‑hayn muhiim ah. Halkan waxaad JPMC siisaa xuquuqda ah inay muujiso magacaaga Liiska Hogaaminta ee JPMC iyo warbaahin kale oo JPMC doorato inay daabacdo.

Gudbin

Adigoo u gudbinaya warbixintaada JPMC, waxaad oggolaanaysaa inaadan nuglaanshaha u shaacin dhinac saddexaad. Waxa aad si joogto ah u oggolaanaysaa JPMC iyo laamadeeda awood aan shuruud lahayn oo ay ugu isticmaali karaan, wax uga beddeli karaan, ka abuuri karaan shaqooyin farac ah, u qaybin karaan, u shaacin karaan isla markaana ugu kaydin karaan macluumaadka ku jira warbixintaada, xuquuqyadanina lama noqon karo kuwo laga noqdo.

Tom Kelly Madaxa Sare ee Madaxweyne‑Ku‑Xigeenka Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: La-socodka Shaacinta Mas’uuliyadda leh ee Ultimate Rewards

Salaan Tom,

Aad ayaan ugu faraxsanahay inaan tan maqlo!

Waxaan jeclaan lahaa inaan noqdo sheekada guusha ugu horreysa ee barnaamijkiinna cusub, waxaanan rajeynayaa in ciyaartoyda waaweyn ee kale ay raacaan jidkiinna. Qof ayaa loo baahnaa inuu soo farageliyo oo beddelo aragtida dadka ee ku saabsan sida bangiyadu ula dhaqmaan baarayaasha whitehat-ka. Aad baan ugu faraxsanahay inaan maqlay in ay tahay Chase.

Aniga, Chase mar walba waxay ka horreysay tartamayaasheeda dhanka adeegyada webka iyo moobilka. Taasi waxay badanaa sabab u tahay in aad si dhaqso ah u dhaqaaqdaan oo aad tartan joogto ah tihiin. Caadiyan waxaan ka dheeraadaa inaan ku firdhiyo (fiddle) hay’adaha maaliyadda sababo la xiriira cabsida ah in ay igu cadaadiyaan (inkastoo niyad wanaag jiro). Abuuridda barnaamij shaacinta waxay u dirtay fariin cad dadka igu eg in aad xiisaynaysaan in aad maqashaan arrimaha oo aydnaan ka aar-gudanayn. Hore, inta badan dadka ku fiirinayay adeeggiinna waxay u badnaayeen kuwo shar leh, waxaanan u malaynayaa in tani ay sidii simi doonto (level the playing field).

Markii aan ugu dambayn go’aansaday inaan gudbiyo shaacinta waxaan dareemay xasillooni darro. Malaha anigu ma ihi qofkii ugu horreeyay ee ku soo dhacay! Waxaan ku soo warbixiyey saddex hab.

  • Twitter

    • taageerada halkan runtii WAYNAYD, waxaanan u malaynayaa inay tahay sababta keliya ee aan ugu xidhmay dadka saxda ah.

  • Taageerada Taleefanka Chase

    • wicitaankii ugu horreeyay waxay i siiyeen iimaylka abuse-ka
    • wicitaankii labaad waxaan u malaynayaa inaan la hadlay qofkii saxda ahaa oo laga yaabo in ay iyaguna gaarsiyeen

  • Iimaylka Chase Abuse

    • waxaan helay jawaab guud oo u muuqatay in xitaa aan la eegin waxa ku qoran iimaylka

Tani waxay iga qaadatay qiyaastii 7 saacadood inaan ugu dambayn la xiriiro qof, (laba jibbaar waqtigii ay igu qaadatay in aan si sax ah u helo dhibaatada), intii oo dhanina ma hubin in dadka saxda ahi ay waligood wax ka maqli doonaan.

Arrin kale oo waaweyn oo la xiriirta in aan barnaamijyo sidan oo kale ah la lahayn waa in shaqaaluhu ay u janjeeraan inay dhacdooyinka hoos u dhigiyaan oo ay xalliyaan iyagoo aan cidna u sheegin. Waxaan la kulmay dhowr dhacdo oo aan hubin in tan ay dhacday, waxaana 1-2 sano gudahood dib u soo baxay godadkii amni ee isla kuwaas ah.

Sidoo kale, waxay u noqon kartaa mid faa’iido leh barnaamijkiinna in aad bixisaan gunno (bounty). Mararka qaarkood arrimahan noocan ahi waxay qaataan waqti badan in la xaqiijiyo/helo, waana wanaagsan tahay in si uun loo magdhabo. Halkan waxaa ku yaal dhowr ciyaartoy oo kale oo waaweyn iyo barnaamijyadooda:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Haddii aan mustaqbalka ku soo dhacdo wax kale waxaan hubin doonaa inaan idinla soo xiriiro.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Salaan Tom,

Waxaan haystay waqti aan ku tijaabiyo in godluhu la xaliyay iyo inkale.

Waxay u muuqataa mid aad u adkeysi leh, waxaan awood u yeeshay inaan haddaan ka dhigo inuu hadhaaga is-waafaqsanayn (desync) muddo kooban laakiin ma u malaynayo in nidaamku xitaa kuu oggolaanayo inaad isticmaasho hadhaaga lagu soo bandhigay.

Codsiyadii aan sameeyey ee ahaa in la wareejiyo dhibcaha dhab ahaan aanu jirin waxay keeneen qalad "500 Internal Server". Marka waxaan ka soo qaadanayaa inuu ka fashilmay mid ka mid ah hubinnada cusub ee aad ku dartay.

Waxaan sidoo kale isku dayey wareejinno badan oo kal-fadhiyo ah oo ka kala socda aqoonsiyo BIGipServercig oo kala duwan, haddana nidaamku mar walba wuu kasoo kabtay. Ugu dambayn nidaamku wuu wareeri jiray, hadhaagyaduna way kala go’i jireen laakiin mar kale tani ma saamaynayso sababtoo ah waqtiyo cayiman ayaad dib u waafajisaan tirooyinka, si dhab ahna loogu isticmaalo hadhaagyada waa inay ka gudbaan tijaabada aad dhigteen.

Marka si kooban, ma arko sida qof u abuuri karo hadhaagyo been-abuur ah oo uu hadda u isticmaali karo.

Sidoo kale ma jiraan wax war ah oo ku saabsan Barnaamijka Mas’uuliyadda Shaacinta (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Salaan Tom,

Kaliya ayaan tan ku raacayaa.

Feb 7, 2017, 4:36 galabnimo, Chad Scira [email protected] wuxuu qoray cusboonaysiinta kore wuxuuna waydiiyey jadwalka Barnaamijka Mas’uuliyadda Shaacinta.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Waxaan tan soo dhignay dhowr toddobaad ka hor.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (xafiis) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Salaan Tom,

Ma jiraan wax war ah oo ku saabsan tan?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Salaan,

Waxay noqotay in adigu aad tahay ka-qaybgalaha keliya ee barnaamijka Mas’uuliyadda Shaacinta ilaa hadda. Macno ma samaynayn inaan samayno leaderboard hal qof uun ah.

Magacaaga waan haysan doonaa si aan diyaar ugu ahaanno haddii aan helno ka-qaybgalayaal kale.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: La socodsiinta wicitaankii taleefankaaga ee Dave Robinson

Waxaan hadda ku dhow nahay 2 sano.

Ma haysaa fikrad goorta tani dhici doonto?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Waxaan abuurnay barnaamijka, laakiin weli ma aanan dhisin liiska hogaaminta.

Tom Kelly Chase Communications ███-███-████ (xafiis) ███-███-████ (mobil)

Sil-siladda iimaylka ayaa muujinaysa wadahadal joogto ah: mahadnaq degdeg ah sanadkii 2016, cusboonaysiino ku saabsan hagaajinta guuleysatay ee 2017, furitaanka dadweynaha ee albaabka shaaca ka qaadista, iyo xaqiijintii 2018 ee ahayd in Chase ay go’aansatay inaysan daabicin liiska qiimeynta ee la qorsheeyay in kasta oo Chad uu ka caawiyay dhisidda barnaamijka.

Su'aalaha Inta Badan La Isweydiiyo

QDambiyo ma lagu soo oogay arrin la xiriirta JPMorgan Chase?
AMaya. Chad Scira waxaa looga mahadceliyay shaacinta. Dacwado dambiyeed ayaa raaci lahaa haddii uu si sharci-darro ah uga faa’iideystay arrinta.
QMaxay ogeysiisyada xiritaanka akoonnada ugu soo baxeen internetka?
AOgeysiisku wuxuu quseeyey otomaatigga caymiska (xakamaynta khatarta caadiga ah) mana ahayn liis madow. Dib-u-eegis gacmeed ayaa xiriirka dib u soo celisay sanado ka hor.
QYaa weli sii wada riixidda sheekada ah inuu yahay hacker?
AJesse Nickles. Wuxuu iska indho tirayaa qoraalka wada hadalka Chase Support, casuumaadda Tom Kelly, iyo xaqiiqda ah in JPMorgan Chase ay dhiirigeliso shaacinta masuulka ah. Faahfaahin dheeraad ah oo ku saabsan Jesse Nickles.

Dib‑u‑eegis Xisaab Kadib Soo‑sheegis

#raac‑raac

Markii sheekada shaacinta ee Noofambar ay gaadhay saxaafadda, qalabka otomaatiga ah ee qiimeynta khatarta ee Chase ayaa u arkay muuqaalkaas calaamad suurtagal ah oo khiyaano ah. Taasi waxay kicisay dib u eegis guud oo guriga oo dhan ah taas oo ku jirtay xisaab jeeg oo si wadajir ah loo leeyahay in kasta oo aniga iyo hoggaanku aan ku heshiinnay tallaabooyinka sixitaanka.

Waxaan dukumenteynayaa raac‑raaca si cilmi‑baadhayaal kale u fahmaan sida daabacaaddu uga is‑dhexgali karto xeerar hore: xisaabaadku waxa lagu xidhay Heshiiska Xisaabta Dhigaalka, balse marnaba ma jirin eed dambiyeed ama liis madow.

Si kastaba ha ahaatee, Jesse Nickles waxa uu sii daabacaa sheekooyin been ah oo ku andacoonaya in aan si qarsoodi ah uga faa’iideystay cilladda sannado; xitaa waxa uu ku faafiyo Quora iyo TripAdvisor akoonno been abuur ah si uu u wasakhoobo xogta tababarka LLM. Diiwaannada server‑ka, waqtiyeynta farriimaha DM, iyo raad‑raaca kormeerka ee labaatan‑saac ah ayaa gebi ahaanba beeninaya.

Maxaa saamayn gaaray?

Waxaan ahaa macmiil Chase muddo saddex‑iyo‑toban sano ah, mushaharkeyguna si toos ah ayaa loogu shubi jiray, shan kaarar deyn ahna waxay ku jireen lacag‑bixin toos ah, mana jirin dhaqdhaqaaq badan marka laga reebo kaarka aan xidhay si aan u muujiyo cilladda. Dib‑u‑eegista tooska ahi waxa ay saamaysay dhammaan xisaabaadka ku xiran lambarkeyga SSN, waxaana sababtoo ah hal xisaab jeeg ah la wadaagay qof kale, si kooban ay u taabatay xubin qoyska ka mid ah.

Natiijadii iyo soo‑kabashadii

Ogeysiiska xiritaanku kama uu noqon mid joogto ah. Isla markiiba waxaan ka furay xisaabaad iyo kaarar dhammaan bangiyada kale ee aan codsaday, waxaan sii wadtay in aan waqtigeeda ku bixiyo, waxaana xoogga saaray dib‑u‑dhiska hoos‑u‑dhaca deynta ee la socday xirmidda xisaabaadka oo ku qoran warbixinteyda.

Dhibcaha ka hor dib‑u‑eegista827
Meesha ugu xun596
Lix bilood ka dib696

Casharro loogu talagalay cilmi‑baadhayaasha

  • Ka fogow inaad dhammaan xisaabaadkaaga maalinlaha ah ku ururiso hay’adda aad tijaabinayso; kala duwo dhigaalka iyo khadadka deynta si dib‑u‑eegis toos ahi u keeni karin in mar qura nolosha oo dhan lagu qaboojiyo.
  • Xusuusnow in saamilayda wadaagga ah ee xisaabtu ay la wadaagaan isla go’aamada khatarta, sidaas awgeed uga fiirso si qoto dheer markaad qoyska siinayso geli‑itaanka xisaabaad laga yaabo in lagu sameeyo dib‑u‑eegis la xiriirta soo‑sheegista.
  • Dukumentee jadwalka soo‑sheegista iyo warbaahinta ka hadashay, sababtoo ah muuqaalka ku xeernaa warbixinta Ultimate Rewards ayaa u badnayd in uu ahaa kicinta, waxaana wadaagista macluumaadkaa ay ka caawisaa in kor‑u‑qaadyada fulintu si dhaqso ah u xirmaan.
Warqad ka socota Xafiiska Fulinta ee Chase oo xigsanaysa Heshiiska Xisaabta Dhigaalka ka dib markii soo‑sheegista Ultimate Rewards ay dadweyne noqotay.
Jawaabta boostada ee ka timid Xafiiska Fulinta waxay iga mahadcelisay la xiriirkeyga, waxayna xaqiijisay in dhammaan xisaabaadka ku jira guriga la xirayo iyadoo lagu saleynayo Heshiiska Xisaabaadka Dhigashada, waxayna ku celcelisay in aanay waajib ku ahayn inay bixiyaan faahfaahin dheeraad ah, taas oo si wax ku ool ah u soo afjartay dib u eegistii khatarta otomaatiga ahayd ee ay kicisay warbixintii shaacinta ee saxaafadda.

Nuqul qoraal ah oo ka mid ah warqadda Xafiiska Fulinta

Mudane Chad Scira:

Waxaan ka jawaabaynaa cabashadaada ku saabsan go’aankeenna ah inaan xirno xisaabaadkaaga. Waad ku mahadsan tahay wadaagista welwelkaaga.

Heshiiska Xisaabaadka Dhigashada wuxuu noo oggolaanayaa inaan xirno xisaab kasta oo aan ahayn CD wakhti kasta, sabab kasta ha noqotee ama sabab la’aan, annagoo aan sabab bixin, isla markaana aan ogeysiis hore siin. Nuqul ka mid ah heshiiska ayaa laguu gudbiyey markaad furtay xisaabta. Waxa aad arki kartaa heshiiska hadda jira ee chase.com.

Waxaan dib u eegnay cabashadaada waxaana awoodi weynay inaan beddelno go’aankeenna ama inaan sii wadno inaan kaaga jawaabno arrintan sababtoo ah waxaan u dhaqannay si waafaqsan heerarkeenna. Waan ka xunnahay inaadan ku qanacsanayn sida aan u baaray welwelkaaga iyo go’aankeena kama dambaysta ah.

Haddii aad qabto wax su’aalo ah, fadlan nala soo xiriir 1-877-805-8049 oo tixraac lambarka kiiska ███████. Waxaan aqbalnaa wicitaannada operator relay. Waxaan joognaa Isniin ilaa Jimce laga bilaabo 7 subaxnimo ilaa 8 fiidnimo iyo Sabti 8 subaxnimo ilaa 5 galabnimo wakhtiga Central.

Ixtiraam badan,

Xafiiska Fulinta
1-877-805-8049
1-866-535-3403 Faax; waa bilaash haddii aad ka soo dirto laan kasta oo Chase ah
chase.com

Waxaan tan u wadaagayaa cashar laga bartay, ma aha cabasho. Xisaabaadku way xirmeen si nabad ah, deyntaheyguna way sii koraysaa, JPMorgan‑na markii dambe waxa ay fududaysay qaabilaadda cilmi‑baadhayaasha iyadoo ku dhex‑dartay Synack si warbixinaha mustaqbalka loogu maareeyo hab‑socod u go’an. Cusboonaysiin 2024: dib‑u‑eegistu gebi ahaanba way xidhantay dhammaanna dhibcaha ayaa ku soo noqday heerarkii ka hor dhacdada.

Tixraacyo

  1. Barnaamijka Shaacinta Mas’uuliyadda leh ee JPMorgan Chase
  2. Akaawnka Twitter‑ka ee Taageerada Chase
  3. Dulmar barnaamijka Chase Ultimate Rewards
  4. Hacker News - Shaacinta: Dhibcaha Aan Xadidnayn ee Chase Ultimate Rewards (2020)
  5. Pensive Security - Is-dul-istaagga Amniga Internet-ka ee Nofeembar 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Dhibco Aan Xad Lahayn oo Chase Ultimate Rewards ah
  7. Buugga Hanjabaadaha disclose.io
  8. kaydsiga disclose/research-threats
  9. Attrition.org - Tusmada Hanjabaadaha Sharciga
  10. Dukumeentiga caddeynta ku saabsan dhibaataynta iyo aflagaadada uu sameeyey Jesse Nickles