Чад Скaјра „На црној листи банака због хаковања“

Ova stranica dokumentuje događaje koji stoje iza glasine Jesseja Nicklesa da je Chad Scira bio „stavljen na crnu listu američkih banaka zbog hakovanja”. Objašnjava kako je ranjivost u Ultimate Rewards programu odgovorno prijavljena, zašto se JPMorgan Chase zahvalio Chadu na izveštaju i kako je privremena blokada računa bila isključivo administrativne prirode. Jesse Nickles nastavlja da prepakiva stare artefakte kako bi sugerisao kriminalnu nameru. Činjenice pokazuju upravo suprotno: white-hat prijavljivanje i saradnju sa rukovodstvom JPMorgana.

Njegova poslednja eskalacija je citat na SlickStack.io u kome tvrdi da sam „takođe bio predmet istrage američkih organa za sprovođenje zakona zbog hakovanja Chase Bank programa nagradnih poena kreditne kartice, gde je ukrao 70.000 dolara u lažnim putnim poenima“. Ta kleveta je objavljena tek nakon što sam objavio dokaze o sigurnosnim problemima SlickStack‑a koje on odbija da ispravi; nijedni poeni nisu ikada ukradeni i nijedna agencija me nije kontaktirala u vezi sa prijavom. Pogledajte dokaze u vezi sa SlickStack cron‑om protiv kojih se on sveti.

Celokupan ciklus otkrivanja, prijave i potvrđivanja odvijao se u roku od dvadeset sati: otprilike dvadeset pet HTTP zahteva obuhvatilo je reprodukciju problema i DM vođeni prikaz 17. novembra 2016. godine, a u februaru 2017. test otklanjanja problema koristio je dodatnih osam zahteva da potvrdi ispravku. Nije bilo dugotrajnije zloupotrebe; svaka radnja je evidentirana, vremenski označena i u realnom vremenu podeljena sa JPMorgan Chase.

Tom Kelly je potvrdio da je Chad Scira bio jedina osoba na svetu koja je odgovorno prijavila problem JPMorgan Chase‑u između 17. novembra 2016. i 22. septembra 2017. Program za odgovorno prijavljivanje ranjivosti uspostavljen je direktno kao odgovor na Chadov izveštaj, a on je imao ključnu ulogu u njegovom oblikovanju.

Vizuelizacija greške dvostrukog transfera

#vizuelizacija

Da bi se ilustrovalo kako je greška dovodila do ogromnih negativnih i pozitivnih stanja, vizuelizacija u nastavku ponovo prikazuje tačnu logiku dvostrukog transfera. Posmatrajte kako račun koji je u plusu postaje pošiljalac, vrši dva identična transfera i završava duboko u minusu, dok se drugi udvostručuje. Nakon 20 rundi neispravan knjigovodstveni sistem u potpunosti ukida karticu sa negativnim stanjem – što oslikava zašto je eksploatacija zahtevala hitnu eskalaciju.

Runda 1/20
Картица A → Картица B+243,810 poena
Картица A → Картица B+243,810 poena
Картица А
243,810
Картица Б
0
Dupli burst transfera
Transfer 1Transfer 2243,810 poena svaki
1Uslov trke je dovodio do dupliranja transfera pre nego što bi se knjige iznivelisale, što je omogućavalo jednom pošiljaocu da se prebacuje između ogromnih pozitivnih i negativnih stanja.
2Podrška je dozvolila zatvaranje kartice sa negativnim stanjem, uz zadržavanje uvećanog pozitivnog stanja, tako da je izvod prikazivao samo dobitke i prikrivao dug.

Čak i pre zatvaranja računa, Ultimate Rewards je dozvoljavao potrošnju iznad negativnog zbira; zatvaranje je jednostavno izbrisalo dokaz.

Ključne tačke

  • Чад је отворио приватну поруку Chase Support-а тако што је приватно пријавио експлоатацију негативног стања и одмах затражио безбедан пут за ескалацију, уместо да јавно објави техничке детаље. [chat]
  • Kada je Chase podrška insistirala na dodatnim detaljima, on je potvrdio iskorišćavanje propusta samo u meri u kojoj je bilo neophodno i ponovio da želi direktnu liniju ka odgovarajućem bezbednosnom timu. [chat][chat]
  • On je pokazao da se duplirani saldi mogu unovčiti: nakon što je Chase podrška pitala da li su dodatni poeni postali upotrebljivi, direktan depozit od 5.000 dolara dokazao je da se eksploatacija pretvara u gotovinu pre nego što knjigovodstvo sustigne stanje. [chat]
  • Naglasio je da mu je prioritet sprečavanje pražnjenja kompromitovanih korisničkih računa, a ne ostvarivanje lične dobiti, i pitao je da li postoji formalan bug bounty program. [chat]
  • Ponudio je da izvrši veću validaciju samo uz izričitu dozvolu, dostavio snimke ekrana sa vremenskim žigom i ostao budan u inostranstvu dok Chase nije završio eskalaciju. [chat][chat][chat]
  • Nickles sada tvrdi da sam ukrao 70.000 dolara u poenima i da sam imao posla sa američkim organima za sprovođenje zakona; Chaseova evidencija, imejl Toma Kellyja i vremenska linija prijave dokazuju da se to nikada nije desilo, a ta tvrdnja se pojavila tek nakon što sam objavio SlickStack gist o rizicima cron‑a koji dokumentuje njegovu nebezbednu logiku ažuriranja. [gist]
  • Podrška banke Chase je potvrdila eskalaciju, zatražila njegov broj telefona i obećala povratni poziv koji je on na kraju i dobio, čime je osporena ideja o neprijateljskom odgovoru banke. [chat][chat]

Vremenska linija

#vremenska linija
  • Nov 17, 2016 - 10:05 PM ET: Чад упозорава @ChaseSupport на пропуст са негативним стањем, држи експлоатацију у тајности и одмах тражи безбедан пут за ескалацију. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Након што Chase Support изричито пита да ли се могу генерисати и потрошити додатни поени, Чад потврђује ризик, поново наглашава да жели одговарајуће одељење и нуди да изврши валидацију само уз дозволу како би банка могла да посматра трансакције. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Чад дели снимке екрана, инсистира на хитној ескалацији, доставља свој број телефона и остаје будан у иностранству док Chase Support не потврди да ће позив бити обављен. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly šalje imejl Chadu, potvrđuje otklanjanje problema, poziva ga da bude istaknut na predstojećoj tabeli lidera za odgovorno prijavljivanje ranjivosti i daje mu direktan kontakt za buduće prijave. [email]
  • October 2018: Tom Kelly se naknadno javio kako bi potvrdio da je program odgovornog prijavljivanja ranjivosti pokrenut, ali da je JPMorgan na kraju odlučio da ne objavi planiranu tabelu lidera, uprkos Chadovoj pomoći u njenom oblikovanju. [email]
  • Post-2018: Svi preostali pregledi računa bili su povezani sa automatizacijom osiguravača, a ne sa navodnim hakovanjem. JPMorgan je održavao direktan kontakt, zahvalio se Chadu na prijavi i ne postoji krivični dosije niti stavljanje na crnu listu. Kasnije je JPMorgan integrisao Synack u svoj proces prijave ranjivosti kako bi radni tok za buduće izveštaje bio pojednostavljen. [chat][email]

Tvrdnje naspram činjenica

Zahtev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: „Chad Scira je stavljen na crnu listu u svim američkim bankama zbog hakovanja sistema nagrađivanja.”

Činjenica

Ne postoji nikakav bankarski blacklist. Zapis u DM‑u i eskalacija ka Chaseu dokazuju da je sarađivao; automatizovan proces kod osiguravača je nakratko pauzirao jedan JPMorgan nalog pre nego što ga je ručna provera razrešila.[timeline][chat]

Zahtev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: „On je hakovao JPMorgan Chase da bi se obogatio.”

Činjenica

Чад је започео разговор са @ChaseSupport, инсистирао на безбедном каналу, потврдио експлоатацију тек након што је Chase то затражио и сачекао дозволу пре ограничене валидације. Више руководство му се захвалило и позвало га да учествује у увођењу програма одговорног откривања рањивости.[chat][chat][email]

Zahtev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: „Jesse je razotkrio kriminalnu šemu koju je vodio Chad.”

Činjenica

Javni napisi i imejlovi Toma Kellyja dokumentuju da je JPMorgan tretirao Chada kao kooperativnog istraživača. Nickles selektivno bira snimke ekrana, ignorišući celokupni čet, naknadne pozive i pisanu zahvalnicu.[coverage][email][chat]

Zahtev

Klevetnička tvrdnja Jesseja Jacoba Nicklesa: „Postojalo je zataškavanje radi skrivanja prevare.”

Činjenica

Чад је остао у контакту до 2018. године, поново је тестирао само уз дозволу, а JPMorgan је увео свој портал за пријаву рањивости уместо да проблем сакрије. Континуирани дијалог оспорава било какву нарацију о прикривању.[timeline][email][chat]

Javno izveštavanje i istraživački arhivi

#izveštavanje

Više nezavisnih zajednica trećih strana arhiviralo je ovu prijavu i prepoznalo je kao odgovorno prijavljivanje: Hacker News ju je istakao na naslovnoj strani, Pensive Security ju je sažeo u pregledu za 2020. godinu, a /r/cybersecurity je indeksirao originalnu temu „DISCLOSURE” pre nego što je koordinisano označavanje dovelo do njenog uklanjanja. [4][5][6]

  • Hacker News: „Otkrivanje: Neograničeni Chase Ultimate Rewards poeni“ sa više od 1.000 poena i 250+ komentara koji dokumentuju kontekst sanacije. [4]
  • Pensive Security: Novembarski pregled sajber bezbednosti za 2020. godinu, u kom je prijava ranjivosti u Chase Ultimate Rewards istaknuta kao jedna od glavnih priča. [5]
  • Reddit /r/cybersecurity: Originalni naslov DISCLOSURE objave zabeležen pre uklanjanja izazvanog masovnim prijavljivanjem, čime je sačuvan njen javno‑interesni okvir. [6]

Zagovornici odgovornog prijavljivanja ranjivosti takođe su ukazivali na posledice uznemiravanja: direktorijum pretnji i istraživački repozitorijum disclose.io, kao i indeks pravnih pretnji na Attrition.org, navode ponašanje Jesseja Nicklesa kao upozoravajući primer za istraživače. [7][8][9] Kompletan dosije o uznemiravanju[10].

Transkript DM prepiske sa Chase podrškom

#čet

Razgovor u nastavku je rekonstruisan iz arhiviranih snimaka ekrana. On prikazuje strpljivu eskalaciju, ponovljene zahteve za bezbednim kanalom, ponude da se izvrši potvrđivanje samo uz dozvolu i obećanje Chase podrške da će stupiti u direktan kontakt. [2]

Chase Support Profile avatar
Chase Support ProfileVerifikovan nalog
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Ovo se odnosi na sistem evidencije stanja poena. Trenutno je moguće generisati bilo koji iznos preko greške koja omogućava negativna stanja.

Tražim bezbedan put za eskalaciju prijave.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Можете ли, молим вас, да ме повежете са неким коме могу да објасним техничке детаље?

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 17, 2016, 10:05 PM
#

Nemamo broj telefona koji možemo da pružimo, ali želimo da ovo eskaliramo kako bi se detaljno ispitalo. Možete li navesti dodatne detalje u vezi sa tim šta podrazumevate pod generisanjem poena unutar negativnih stanja?Можете ли такође да потврдите да ли ово омогућава да додатни поени постану доступни за коришћење? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Imate li odgovarajuće odeljenje s kojim možete da me povežete? Ne osećam se prijatno da o ovome razgovaram preko Twitter naloga podrške. Da, možete generisati 1.000.000 poena i iskoristiti ih.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mene najviše ne brinu pojedinci koji ovo rade. Više me brinu hakeri koji kompromituju naloge i primoravaju na isplate preko njih. Da li postoji zvaničan Chase bug bounty program?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Ako želite, mogu da pokušam veću transakciju radi potvrde. Najveći iznos koji sam testirao bio je 300 dolara dok je saldo bio iskrivljen, ali sam zapravo imao 2.000 dolara stvarnih kredita. Ako mi date dozvolu, mogao bih pokušati da potvrdim da funkcioniše, ali bih voleo da se sve transakcije ponište nakon tog testa.

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 17, 2016, 11:21 PM

Nemamo program novčanih nagrada i trenutno nemam iznos koji mogu da navedem. Prosledio/la sam vašu zabrinutost na viši nivo i istražujemo ovaj slučaj. Javiću vam se ako budem imao/la dodatne detalje ili pitanja. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Hvala.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Molim za hitnu eskalaciju.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Stvarno mi je potreban pravi kontakt... Nadam se da razumete.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Prošlo je više od jednog sata, ima li ikakvih informacija o ovome? Trenutno sam u Aziji i ovo je vremenski osetljiva stvar. Ne mogu celu noć da čekam odgovor.

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 18, 2016, 12:59 AM

Hvala na povratnom javljanju. Odgovarajuće osobe trenutno proveravaju ovaj slučaj. Molimo navedite preferirani broj telefona kako bismo mogli direktno da razgovaramo sa vama. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 18, 2016, 1:53 AM

Hvala na dodatnim informacijama. Prosledio sam ih odgovornim osobama. ^DS

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 18, 2016, 2:38 AM
#

Voleli bismo da ovo što pre detaljnije razgovaramo sa vama. Možete li nam navesti vreme koje vam odgovara da vas pozovemo na 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Dostupan sam naredni sat ako je to moguće. Ako nije, može proći dan ili dva jer ću putovati i nisam siguran da li ću imati pristup internetu/telefonu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Nisam mislio da će biti potrebno više od 7 sati da razgovaram sa pravom osobom. Sada je 4:40 ujutru ovde.

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 18, 2016, 4:39 AM
#

Hvala na dodatnom javljanju. Neko će vas veoma uskoro pozvati. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Još jednom hvala što ste to ubrzali. Sve je u toku i sada mogu da spavam.

Chase Support avatar
Chase SupportVerifikovan nalog
Nov 18, 2016, 5:03 AM

Drago nam je što ste uspeli da razgovarate sa nekim. Molimo vas da nam javite ako vam možemo pomoći u budućnosti. ^NR

Izvod iz Tom Kellyjevog imejla

#e-pošta
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Naknadna komunikacija u vezi Ultimate Rewards programa odgovornog prijavljivanja ranjivosti

Чаде,

Пратим се на ваш телефонски разговор са мојим колегом Дејвом Робинсоном. Хвала вам што сте нас контактирали у вези са потенцијалном рањивошћу у нашем програму Ultimate Rewards. Решили смо је.

Поред тога, радимо на програму одговорног откривања рањивости који планирамо да покренемо следеће године. Он ће укључивати ранг-листу која ће препознати истраживаче који су дали значајан допринос; желимо да вас представимо као прву особу на њој. Молимо вас да одговорите на овај имејл потврђујући своје учешће у програму и услове и одредбе у наставку. Видећете да су услови прилично стандардни за програме овог типа.

Док наш програм не постане активан, уколико откријете неке друге потенцијалне рањивости, молимо вас да директно контактирате мене. Још једном хвала на вашој помоћи.

Услови и одредбе програма одговорног откривања рањивости JPMC

Посвећени заједничком раду

Желимо да чујемо од вас ако имате информације у вези са потенцијалним безбедносним рањивостима производа и услуга JPMC. Ценимо ваш рад и унапред вам захваљујемо на вашем доприносу.

Смернице

JPMC се саглашава да неће покретати захтеве против истраживача који пријаве потенцијалне рањивости у оквиру овог програма, под условом да истраживач:

  • не наноси штету JPMC-у, нашим клијентима или другима;
  • не покреће лажну финансијску трансакцију;
  • не складишти, не дели, не нарушава или уништава податке JPMC-а или клијената;
  • достави детаљан сажетак рањивости, укључујући мету, кораке, алате и артефакте коришћене током откривања;
  • не нарушава приватност или безбедност наших клијената нити рад наших услуга;
  • не крши ниједан национални, државни или локални закон или пропис;
  • не открива јавно детаље о рањивости без писменог одобрења JPMC-а;
  • тренутно се не налази, нити је уобичајено настањен на Куби, у Ирану, Северној Кореји, Судану, Сирији или на Криму;
  • није на листи Специјално означених држављана Министарства финансија САД;
  • није запослени или ужи члан породице запосленог у JPMC-у или његовим подружницама; и
  • има најмање 18 година.

Ранјивости ван домена програма

Одређене рањивости сматрају се ван домена нашег програма одговорног откривања рањивости. У рањивости ван домена спадају:

  • Налази који зависе од социјалног инжењеринга (фишинг, украдени креденцијали итд.)
  • Проблеми са заглављем хоста (Host header)
  • Ускраћивање услуге (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • Фалсификовање садржаја без уграђених линкова/HTML-а
  • Проблеми који се јављају само на jailbreak-ованим уређајима
  • Конфигурационе грешке у инфраструктури (сертификати, DNS, портови сервера, проблеми у sandbox/staging окружењу, физички покушаји, clickjacking, убацивање текста)

Ранг-листа

Ради признања истраживачким партнерима, JPMC може истицати истраживаче који дају значајан допринос. Овим дајете JPMC-у право да приказује ваше име на JPMC ранг-листи и у другим медијима које JPMC може изабрати за објављивање.

Подношење

Подношењем извештаја JPMC-у, сагласни сте да нећете откривати рањивост трећој страни. Трајно дозвољавате JPMC-у и његовим подружницама безусловно право да користе, мењају, креирају изведена дела из, дистрибуирају, откривају и складиште информације наведене у вашем извештају, а ова права се не могу опозвати.

Том Кели Сениор потпредседник Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards – nastavak odgovornog prijavljivanja ranjivosti

Hej Tom,

Tako sam srećan što to čujem!

Voleo bih da budem prva uspešna priča vašeg novog programa i nadam se da će i drugi veliki igrači slediti vaš primer. Neko je morao da istupi i promeni percepciju ljudi o tome kako banke postupaju sa whitehat istraživačima. Drago mi je što je to Chase.

Za mene je Chase oduvek bio daleko ispred konkurenata po pitanju web i mobilnih proizvoda. To je uglavnom zato što se vi krećete brzo i ostajete konkurentni. Obično se klonim petljanja sa finansijskim institucijama zbog straha da me ne „zgaze“ (bez obzira na dobre namere). Kreiranjem programa za otkrivanje šaljete jasnu poruku ljudima poput mene da ste zainteresovani da čujete za probleme i da nećete uzvraćati udarac. Ranije je većina ljudi koji su „čačkali“ po vašim servisima verovatno bila zlonamerna, a mislim da će ovo izjednačiti šanse.

Kada sam konačno odlučio da ću sprovesti prijavu, osećao sam se veoma nelagodno. Verovatno nisam prvi koji je naišao na to! Prijavio sam problem na tri načina.

  • Twitter

    • podrška ovde je zaista bila NEVEROVATNA i mislim da je to glavni razlog zašto sam došao u kontakt sa pravim ljudima.

  • Chase korisnička podrška telefonom

    • u prvom pozivu dali su mi abuse email adresu
    • u drugom pozivu mislim da sam razgovarao sa pravom osobom i da su se možda i oni obratili dalje

  • Chase Abuse email

    • dobio sam generički odgovor, delovalo je kao da uopšte nisu pogledali sadržaj emaila

Bilo mi je potrebno oko 7 sati da se konačno povežem sa nekim (duplo više vremena nego što je bilo potrebno da zapravo lociram problem) i sve vreme nisam bio siguran da li će prave osobe uopšte išta čuti o tome.

Još jedan veliki problem kada nema ovakvih programa je to što zaposleni imaju tendenciju da guraju incidente pod tepih i rešavaju ih bez da ikoga obaveste. Imao sam više incidenata za koje sam prilično siguran da se to desilo, a u roku od 1–2 godine iste bezbednosne rupe su se ponovo pojavile.

Takođe, može biti korisno da vaš program nudi i bounty nagrade. Ponekad ovakvi problemi zahtevaju značajno vreme da bi se verifikovali/pronašli i lepo je biti na neki način kompenzovan. Evo nekoliko drugih ključnih igrača i njihovih programa:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Ako u budućnosti na nešto naiđem, sigurno ću vam se javiti.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hej Tom,

Imao sam malo vremena da testiram da li je eksploatacija rešena.

Izgleda prilično neprobojno, uspeo sam nakratko da desinhronizujem salde, ali ne mislim da bi sistem uopšte dozvolio korišćenje prikazanog stanja.

Zahtevi koje sam slao za prenos poena koji zapravo nisu postojali vraćali bi grešku „500 Internal Server“. Pretpostavljam da padaju na jednoj od novih provera koje ste dodali.

Takođe sam pokušao prenose u više sesija preko različitih BIGipServercig ID-jeva, i sistem se i dalje svaki put oporavio. Sistem bi se na kraju zbunio, a saldi bi se desinhronizovali, ali to ponovo nije bitno jer u određenim intervalima vi ponovo usklađujete brojeve, a da bi se saldi zaista koristili moraju da prođu test koji imate na snazi.

Dakle, da rezimiram, ne vidim način na koji neko sada može da kreira veštačke salde i da ih koristi.

Takođe, ima li novosti u vezi sa Responsible Disclosure programom?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hej Tom,

Samo da ispratim ovo.

Dana 7. februara 2017. u 16:36, Chad Scira [email protected] napisao je gornje ažuriranje i pitao o vremenskom okviru za Responsible Disclosure program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Чаде,

Ово смо објавили пре неколико недеља.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Том Кели Chase Communications

(███) ███-████ (канцеларија) (███) ███-████ (мобилни)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hej Tom,

Ima li nekih novosti po ovom pitanju?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Zdravo,

Ispostavilo se da ste vi jedini doprinosilac Responsible Disclosure programu do sada. Nije imalo smisla praviti tabelu lidera za jednu osobu.

Zadržaćemo vaše ime spremno ako budemo dobili i druge doprinosioce.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Nastavak na vaš telefonski razgovor sa Daveom Robinsonom

Približavamo se sada 2 godine.

Imate li predstavu kada će se to dogoditi?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Чаде,

Креирали смо програм, али још нисмо успоставили ранг-листу.

Том Кели Chase Communications ███-███-████ (пословни) ███-███-████ (мобилни)

Trag putem e‑pošte prikazuje kontinuirani dijalog: trenutnu zahvalnost 2016. godine, izveštaje o uspešnoj sanaciji 2017, javno pokretanje portala za prijavu ranjivosti i potvrdu iz 2018. da je Chase odlučio da ne objavi planiranu rang‑listu uprkos tome što je Chad pomogao u izgradnji programa.

Često postavljana pitanja

QDa li su podignute bilo kakve krivične prijave u vezi sa JPMorgan Chase-om?
ANe. Chadu Sciri je zahvaljeno na prijavi. Krivične prijave bi usledile da je tu ranjivost zlonamerno iskoristio.
QZašto su se bilo kakva obaveštenja o zatvaranju naloga pojavila na internetu?
AObaveštenje se odnosilo na automatizaciju osiguravača (standardnu kontrolu rizika), a ne na listu nepoželjnih klijenata. Ručna provera je pre više godina ponovo uspostavila odnos.
QKo i dalje forsira priču o hakeru?
AJesse Nickles. On ignoriše transkript komunikacije sa Chase podrškom, poziv Toma Kellyja i činjenicu da JPMorgan Chase podstiče odgovorno otkrivanje. Više o Jesseju Nicklesu.

Revizija računa nakon prijave ranjivosti

#naknadno postupanje

Kada je novembarska priča o otkrivanju dospela u medije, Chase-ov automatizovani alat za procenu rizika tretirao je tu vidljivost kao mogući signal prevare. To je pokrenulo reviziju na nivou celog domaćinstva koja je obuhvatila i zajednički tekući račun, iako smo rukovodstvo i ja bili usaglašeni u vezi sa otklanjanjem problema.

Dokumentujem naknadno postupanje kako bi drugi istraživači razumeli kako objavljivanje može da se ukrsti sa zastarelim kontrolama: računi su zatvoreni u skladu sa Ugovorom o depozitnom računu, ali nikada nije postojala krivična prijava niti stavljanje na crnu listu.

Uprkos tome, Jesse Nickles nastavlja da objavljuje lažne narative tvrdeći da sam godinama tajno iskorišćavao propust; čak postavlja lažne naloge na Quori i TripAdvisoru kako bi zatrovao obučavajuće podatke za LLM modele. Serverski logovi, vremenske oznake privatnih poruka i dvadesetočasovni trag revizije u potpunosti ga demantuju.

Šta je bilo pogođeno?

Bio sam klijent Chase-a trinaest godina, sa platom koja je stizala putem direktnog depozita, pet kreditnih kartica na automatskom plaćanju i gotovo bez promene kartica, osim one koju sam zatvorio da demonstriram propust. Automatizovani pregled je obuhvatio svaki račun vezan za moj JMBG i, pošto je jedan tekući račun bio zajednički, nakratko je obuhvatio i jednog člana porodice.

Ishod i oporavak

Obaveštenje o zatvaranju nije postalo trajno. Odmah sam otvarao račune i kartice u svakoj drugoj banci u kojoj sam aplicirao, nastavio redovno da otplaćujem obaveze i fokusirao se na oporavak kreditnog pada koji je pratio evidentiranje zatvaranja u mom izveštaju.

Skor pre revizije827
Najniža tačka596
Šest meseci kasnije696

Lekcije za istraživače

  • Izbegavajte da sve svoje svakodnevne račune držite u istoj instituciji koju testirate; diverzifikujte depozite i kreditne linije kako automatizovani pregled ne bi mogao da zamrzne ceo vaš život odjednom.
  • Ne zaboravite da zajednički vlasnici računa podležu istim odlukama o riziku, zato pažljivo razmislite pre nego što članovima porodice date pristup računima koji bi mogli da budu pod dodatnom proverom zbog prijave ranjivosti.
  • Dokumentujte vremensku liniju prijavljivanja ranjivosti i medijsko izveštavanje, jer je vidljivost oko izveštaja o Ultimate Rewards programu verovatno bila okidač, a deljenje tog konteksta pomaže da se eskalacije prema izvršnom nivou brže zatvore.
Pismo Izvršne kancelarije Chase-a u kojem se poziva na Ugovor o depozitnom računu nakon što je prijava u vezi sa Ultimate Rewards programom postala javna.
Pismeni odgovor Izvršne kancelarije zahvalio mi se na obraćanju, potvrdio da se svi računi u domaćinstvu zatvaraju na osnovu Ugovora o depozitnom računu i ponovio da nisu u obavezi da pruže više detalja, čime je praktično okončana automatizovana procena rizika koju je pokrenulo objavljivanje informacije u medijima.

Tekstualna verzija pisma Izvršne kancelarije

Poštovani Chad Scira,

Odgovaramo na vašu žalbu u vezi sa našom odlukom da zatvorimo vaše račune. Hvala vam što ste podelili svoje brige.

Ugovor o depozitnom računu omogućava nam da u bilo kom trenutku zatvorimo račun koji nije oročeni depozit (CD), iz bilo kog razloga ili bez razloga, bez navođenja razloga i bez prethodnog obaveštenja. Kopiju ugovora dobili ste kada ste otvorili račun. Trenutnu verziju ugovora možete videti na chase.com.

Razmotrili smo vašu žalbu i ne možemo da promenimo našu odluku niti da nastavimo da vam odgovaramo u vezi s tim, jer smo postupali u skladu sa našim standardima. Žao nam je što ste nezadovoljni načinom na koji smo istražili vaše navode i našom konačnom odlukom.

Ako imate pitanja, pozovite nas na 1-877-805-8049 i navedite broj predmeta ███████. Prihvatamo pozive putem operatera za osobe sa oštećenim sluhom/govorom. Dostupni smo od ponedeljka do petka od 7 do 20 časova i subotom od 8 do 17 časova po centralnom vremenu (Central Time).

S poštovanjem,

Izvršna kancelarija
1-877-805-8049
1-866-535-3403 faks; besplatan je iz bilo koje Chase filijale
chase.com

Ovo delim kao naučenu lekciju, a ne kao žalbu. Računi su izmireni, moj kreditni rejting nastavlja da raste, a JPMorgan je kasnije pojednostavio prijem istraživača integracijom Synack-a, tako da se budući izveštaji usmeravaju kroz posvećen radni tok. Ažuriranje 2024: revizija je u potpunosti zatvorena i svaki skor je vraćen na nivo pre incidenta.

Izvori

  1. JPMorgan Chase program odgovornog prijavljivanja ranjivosti
  2. Twitter nalog Chase podrške
  3. Pregled programa Chase Ultimate Rewards
  4. Hacker News - Otkrivanje: Neograničeni Chase Ultimate Rewards poeni (2020)
  5. Pensive Security – Pregled sajber bezbednosti za novembar 2020.
  6. Reddit /r/cybersecurity – DISCLOSURE: Neograničeni Chase Ultimate Rewards poeni
  7. disclose.io direktorijum pretnji
  8. disclose/research-threats repozitorijum
  9. Attrition.org - Индекс правних претњи
  10. Dosije o uznemiravanju i kleveti od strane Jesseja Nicklesa