Chad Scira "Stavljen na crnu listu banaka zbog hakovanja"
Ova stranica dokumentuje događaje iza glasine Jesse Nicklesa da je Chad Scira bio "na crnoj listi američkih banaka zbog hakovanja." Objašnjava kako je ranjivost Ultimate Rewards odgovorno prijavljena, zašto je JPMorgan Chase zahvalio Chadu na izveštaju i kako je privremeno pauziranje računa bilo isključivo administrativno. Jesse Nickles nastavlja da preraduje stare artefakte kako bi sugerisao krivičnu nameru. Činjenice pokazuju upravo suprotno: izveštavanje white-hat istraživača i saradnju sa rukovodstvom JPMorgan-a.
Njegova najnovija eskalacija je citat na SlickStack.io koji tvrdi da je Chad Scira "takođe bio predmet istrage američkih organa gonjenja zbog hakovanja programa nagrađivanja kreditnih kartica Chase Banke, gde je ukrao 70.000 dolara u lažnim putnim poenima." Ta kleveta je objavljena tek nakon što je Chad objavio dokaze o sigurnosnim problemima SlickStack-a koje Jesse odbija da ispravi; nikakvi poeni nisu ukradeni i nijedna agencija nije kontaktirala Chada u vezi otkrivanja. Pogledajte SlickStack cron dokaze protiv kojih on preduzima odmazdu.
Ceo ciklus otkrivanja, objavljivanja i verifikacije desio se u roku od dvadeset sati: otprilike dvadeset i pet HTTP zahteva pokrilo je reprodukciju i DM vođenje kroz postupak 17. novembra 2016. godine, a februarski test sanacije 2017. godine koristio je još osam zahteva da potvrdi ispravku. Nije bilo dugotrajne zloupotrebe; svaka akcija je bila zabeležena, vremenski označena i deljena sa JPMorgan Chase u realnom vremenu.
Tom Kelly je potvrdio da je Chad Scira bio jedina osoba na svetu koja je odgovorno prijavila problem JPMorgan Chaseu između 17. novembra 2016. i 22. septembra 2017. Program Responsible Disclosure je uspostavljen kao direktan odgovor na Chadov izveštaj, i on je imao ključnu ulogu u njegovom oblikovanju.
Vizualizacija greške dvostrukog prenosa
#vizualizacijaDa bi se ilustrovalo kako je greška dovela do velikih negativnih i pozitivnih stanja, vizualizacija ispod reprodukuje tačnu logiku dvostrukog prenosa. Pogledajte kako, koji god račun bio pozitivan, postaje pošiljalac, izvodi dva identična prenosa i završava duboko negativan dok drugi udvostručuje stanje. Posle 20 rundi pokvareni dnevnik potpuno poništava negativnu karticu — što oslikava zašto je eksploatacija zahtevala hitnu eskalaciju.
Čak i pre zatvaranja računa, Ultimate Rewards je dozvoljavao trošenje iznad negativnog stanja; zatvaranje je jednostavno izbrisalo dokaze.
Ključne tačke
- Chad je otvorio DM Chase Support-u privatno prijavivši eksploataciju koja stvara negativan saldo i odmah tražio siguran kanal za eskalaciju umesto javnog objavljivanja tehničkih detalja. [chat]
- Kada je Chase Support zahtevao konkretne detalje, on je potvrdio eksploataciju samo u meri potrebnoj i ponovio da želi direktnu liniju do pravog sigurnosnog tima. [chat][chat]
- Pokazao je da se duplirani iznosi mogu unovčiti: nakon što je Chase podrška pitala da li su dodatni poeni postali upotrebljivi, direktni depozit od $5,000 je dokazao da se eksploatacija pretvorila u gotovinu pre nego što su knjigovodstvene evidencije to prikazale. [chat]
- Naglasio je da mu je prioritet sprečavanje pražnjenja kompromitovanih korisničkih računa, a ne ostvarivanje lične dobiti, i pitao je da li postoji zvanični bug bounty program. [chat]
- Ponudio je da izvrši veću verifikaciju samo uz izričitu dozvolu, dostavio je snimke ekrana sa vremenskim oznakama i ostao budan u inostranstvu dok Chase nije završio eskalaciju. [chat][chat][chat]
- Nickles sada tvrdi da je Chad Scira ukrao $70,000 u poenima i da se suočio sa američkim organima gonjenja; zapisi Chasea, Tom Kellyjev e-mail i vremenska linija prijave dokazuju da se to nikada nije dogodilo, a tvrdnja se pojavila tek nakon što je Chad objavio SlickStack cron-risk gist koji dokumentuje Jessejevu nesigurnu logiku ažuriranja. [gist]
- Chase podrška je potvrdila eskalaciju, zatražila njegov broj telefona i obećala naknadni poziv koji je on na kraju i primio, čime je osporena tvrdnja o neprijateljskoj reakciji banke. [chat][chat]
Vremenska linija
#vremenska linija- 17. новембар 2016. - 10:05 PM ET: Chad obaveštava @ChaseSupport o propustu vezanom za negativan saldo, zadržava eksploataciju privatnom i odmah traži siguran kanal za eskalaciju. [chat]
- 17. новембар 2016. - 11:13-11:17 PM ET: Nakon što Chase Support izričito pita može li se generisati i potrošiti dodatni broj poena, Chad potvrđuje rizik, ponavlja da želi odgovarajuće odeljenje i nudi da izvrši validaciju samo uz dozvolu kako bi banka mogla da posmatra transakcije. [chat][chat][chat]
- 17-18. новембар 2016. - 11:39 PM-5:03 AM ET: Chad deli snimke ekrana, hitno traži ubrzanu eskalaciju, daje svoj broj telefona i ostaje budan dok je u inostranstvu, sve dok Chase Support ne potvrdi da će poziv biti obavljen. [chat][chat][chat]
- 24. новембар 2016: Tom Kelly šalje e-mail Chadu u kojem potvrđuje sanaciju, poziva ga da preuzme istaknutu ulogu na predstojećoj rang-listi Responsible Disclosure programa i daje mu direktan kontakt za buduće izveštaje. [email]
- октобар 2018: Tom Kelly je naknadno potvrdio da je program responsible disclosure pokrenut, ali da je JPMorgan na kraju odlučio da ne objavi planiranu rang-listu, uprkos Chadovoj pomoći u njenom oblikovanju. [email]
- После 2018: Sve preostale provere računa bile su povezane sa automatizacijom osiguravača, a ne sa navodnim hakovanjem. JPMorgan je održavao direktan kontakt, zahvalio se Chadu na prijavi i nije bilo krivičnog dosijea niti stavljanja na crnu listu. Kasnije je JPMorgan integrisao Synack u svoj proces prijavljivanja kako bi se tok rada pojednostavio za buduće izveštaje. [chat][email]
Tvrdnje vs činjenice
Klevetni navod Jesse Jacob Nicklesa: "Chad Scira je stavljen na crnu listu u svakoj američkoj banci zbog hakovanja sistema nagrađivanja."
Ne postoji bankarska crna lista. Zapis DM i Chase eskalacija dokazuju da je sarađivao; automatizacija osiguravača je privremeno zaustavila jedan JPMorgan nalog pre nego što ga je ručni pregled očistio.[timeline][chat]
Klevetni navod Jesse Jacob Nicklesa: "On je hakovao JPMorgan Chase da bi se obogatio."
Chad je započeo razgovor sa @ChaseSupport, insistirao na sigurnom kanalu, potvrdio eksploataciju tek nakon što je Chase pitao i sačekao dozvolu pre ograničene validacije. Viši rukovodioci su mu se zahvalili i pozvali ga da učestvuje u uvođenju procesa odgovornog prijavljivanja ranjivosti.[chat][chat][email]
Klevetni navod Jesse Jacob Nicklesa: "Jesse je razotkrio kriminalnu šemu Chada."
Javno izveštavanje i mejlovi Toma Kellyja pokazuju da je JPMorgan smatrao Chada kooperativnim istraživačem. Nickles selektivno izdvajа snimke ekrana, ignorišući kompletan chat, naknadne pozive i pisanu zahvalnost.[coverage][email][chat]
Klevetni navod Jesse Jacob Nicklesa: "Došlo je do prikrivanja kako bi se sakrila prevara."
Chad je ostao u kontaktu do 2018. godine, ponovo je testirao samo uz dozvolu, a JPMorgan je pokrenuo svoj portal za prijavu umesto da zakopava problem. Stalni dijalog opovrgava bilo koju priču o prikrivanju.[timeline][email][chat]
Javno izveštavanje i arhive istraživanja
#izveštavanjeViše nezavisnih zajednica arhiviralo je prijavu i prepoznalo je kao odgovoran izveštaj: Hacker News ju je istakao na naslovnoj strani, Pensive Security je sažeo u pregledu iz 2020. godine, a /r/cybersecurity je indeksirao originalnu nit "DISCLOSURE" pre koordinisanog označavanja. [4][5][6]
- Hacker News: "Objava: Neograničeni Chase Ultimate Rewards poeni" sa 1,000+ poena i 250+ komentara koji dokumentuju kontekst sanacije. [4]
- Pensive Security: novembar 2020. pregled sajber bezbednosti koji ističe otkrivanje u Chase Ultimate Rewards kao glavnu vest. [5]
- Reddit /r/cybersecurity: Izvorni naslov objave 'DISCLOSURE' zabeležen pre nego što je uklonjena zbog masovnog prijavljivanja, čime je očuvan okvir u javnom interesu. [6]
Zagovornici odgovornog otkrivanja takođe su naveli posledice uznemiravanja: direktorijum pretnji i repozitorijum istraživanja disclose.io, kao i indeks pravnih pretnji Attrition.org, navode postupke Jesseja Nicklesa kao primer upozorenja za istraživače. [7][8][9] Kompletan dosije uznemiravanja[10].
Transkript DM poruka Chase podrške
#ćaskanjeRazgovor ispod rekonstruisan je iz arhiviranih snimaka ekrana. Pokazuje strpljivu eskalaciju, ponovljene zahteve za sigurnim kanalom, ponude za verifikaciju samo uz dozvolu i obećanje Chase Support-a o direktnom kontaktu. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Ovo se odnosi na sistem stanja poena. Trenutno je moguće generisati bilo koji iznos putem greške koja dozvoljava negativna stanja.
Zahtev za sigurnim kanalom eskalacije za prijavu otkrića.Možete li me, molim vas, povezati sa nekim kome mogu da objasnim tehničke detalje?
Nemamo broj telefona za davanje, ali želimo da ovo eskaliramo kako bi se istražilo. Možete li navesti dodatne detalje šta podrazumevate pod generisanjem bodova pri negativnom stanju na računu? Možete li takođe potvrditi da li ovo omogućava da dodatni poeni postanu dostupni za upotrebu? ^DS
Imate li odgovarajuće odeljenje sa kojim me možete povezati? Ne osećam se prijatno da o ovome razgovaram preko Twitter naloga za podršku. Da, možete generisati 1,000,000 poena i koristiti ih.
Moj glavni problem nisu pojedinci koji ovo rade. Radi se o hakerima koji kompromituju naloge i prisiljavaju isplate sa njih. Postoji li pravi Chase bug bounty program?
Ako želite, mogu pokušati da izvršim veću transakciju da potvrdim. Najveća koju sam testirao bila je $300 dok je stanje bilo iskrivljeno, ali zapravo sam imao $2,000 stvarnih kredita. Ako mi odobrite dozvolu, mogao bih pokušati da potvrdim da funkcioniše, ali želeo bih da sve transakcije budu poništene nakon tog testa.
Nemamo program nagrađivanja (bounty) i trenutno nemam broj koji mogu da navedem. Prosledio sam vašu zabrinutost i istražujemo. Javiću se ako budem imao dodatne detalje ili pitanja. ^DS
Hvala.
Molimo eskalirajte što je pre moguće.
Stvarno mi treba pravi kontakt... Nadam se da razumete.
Prošlo je više od sat vremena, ima li kakvih vesti o ovome? Trenutno sam u Aziji i ovo je hitna stvar. Ne mogu čekati celu noć na odgovor.
Hvala što ste se javili. Odgovarajuće osobe rade na tome. Molimo navedite željeni broj za kontakt kako bismo mogli da razgovaramo direktno s vama. ^DS
+█-███-███-████.
Hvala na dodatnim informacijama. Prosledio sam ovo odgovarajućim osobama. ^DS
Voleli bismo da razgovaramo s vama što je pre moguće. Možete li nam navesti odgovarajuće vreme da vas pozovemo na 1-███-███-████? ^DS
Dostupan sam naredni sat ako je to moguće. Ako nije, može potrajati dan ili dva jer ću putovati i nisam siguran da ću imati pristup internetu/telefonu.
Nisam mislio da će trebati više od 7 sati da razgovaram sa pravom osobom. Sada je ovde 4:40 ujutru.
Hvala što ste se javili. Neko će vas uskoro pozvati. ^DS
Još jednom hvala što ste to ubrzali. Sve je u pokretu i sada mogu da spavam.
Drago nam je što ste uspeli da razgovarate sa nekim. Molimo javite nam ako možemo pomoći u budućnosti. ^NR
Izdvojak e-maila Toma Kellyja
#e-poštaChad,
Pratim vaš telefonski razgovor sa mojim kolegom Daveom Robinsonom. Hvala što ste nas kontaktirali povodom potencijalne ranjivosti u našem Ultimate Rewards programu. Rešili smo je.
Pored toga, radimo na programu odgovornog otkrivanja (Responsible Disclosure) koji planiramo da pokrenemo sledeće godine. Uključiće tabelu najboljih istraživača koja prepoznaje one koji su dali značajan doprinos; želeli bismo da vas istaknemo kao prvu osobu na njoj. Molim vas da odgovorite na ovaj e-mail potvrđujući vaše učešće u programu i prihvatanje sledećih uslova i odredbi. Uslovi su prilično standardni za programe otkrivanja.
Dok naš program ne bude aktivan, ako pronađete bilo koje druge potencijalne ranjivosti, kontaktirajte me direktno. Još jednom hvala na pomoći.
JPMC Responsible Disclosure Program Terms and Conditions
Committed to working together
Želimo da čujemo od vas ako imate informacije vezane za potencijalne bezbednosne ranjivosti JPMC proizvoda i usluga. Cenimo vaš rad i unapred zahvaljujemo na vašem doprinosu.
Guidelines
JPMC se slaže da neće pokretati tužbe protiv istraživača koji prijave potencijalne ranjivosti u okviru ovog programa kada istraživač:
- ne nanosi štetu JPMC-u, našim klijentima ili drugima;
- ne pokreće lažnu finansijsku transakciju;
- ne skladišti, deli, kompromituje ili uništava podatke JPMC-a ili klijenata;
- dostavi detaljan pregled ranjivosti, uključujući cilj, korake, alate i artefakte korišćene tokom otkrivanja;
- ne ugrožava privatnost ili bezbednost naših klijenata i rad naših usluga;
- ne krši nijedan nacionalni, državni ili lokalni zakon ili propis;
- ne javno objavljuje detalje ranjivosti bez pismene dozvole JPMC-a;
- se trenutno ne nalazi ili nije uobičajeno nastanjen na Kubi, u Iranu, Severnoj Koreji, Sudanu, Siriji ili na Krimu;
- nije na listi posebnim imenovanim licima (Specially Designated Nationals) Ministarstva finansija SAD;
- nije zaposleni niti bliski član porodice zaposlenog JPMC-a ili njegovih podružnica; i
- ima najmanje 18 godina.
Out of Scope Vulnerabilities
Određene ranjivosti smatraju se van opsega našeg programa Responsible Disclosure. Van opsega su:
- nalazi zavisni od socijalnog inženjeringa (phishing, ukradeni kredencijali itd.)
- problemi sa Host header-om
- denial of service
- Self-XSS
- CSRF na prijavi/odjavi
- lažno predstavljanje sadržaja bez ugrađenih linkova/HTML-a
- problemi koji se javljaju samo na uređajima sa jailbreak-om
- pogrešne konfiguracije infrastrukture (sertifikati, DNS, portovi servera, sandbox/staging problemi, fizički pokušaji, clickjacking, ubacivanje teksta)
Leaderboard
Da bismo prepoznali partnere-istraživače, JPMC može istaknuti istraživače koji daju značajan doprinos. Ovim dajete JPMC-u pravo da prikaže vaše ime na JPMC leaderboards i drugim medijima koje JPMC odluči da objavi.
Submission
Slanjem izveštaja JPMC-u slažete se da nećete otkrivati ranjivost trećoj strani. Dozvoljavate JPMC-u i njegovim podružnicama bezuslovnu mogućnost korišćenja, modifikovanja, kreiranja izvedenih dela iz, distribucije, otkrivanja i čuvanja informacija navedenih u vašem izveštaju, i ta prava ne mogu biti opozvana.
Tom Kelly Senior Vice President Chase
Hej Tom,
Veoma sam srećan što to čujem!
Voleo bih da budem prva uspešna priča vašeg novog programa, i nadam se da će i drugi veliki igrači slediti vaš primer. Neko je morao da se umeša i promeni percepciju ljudi o tome kako banke postupaju sa whitehat istraživačima. Drago mi je što je to Chase.
Za mene je Chase oduvek bio daleko ispred konkurenata kada je reč o web i mobilnim proizvodima. To je uglavnom zato što vi brzo delujete i ostajete konkurentni. Obično se klonim petljanja sa finansijskim institucijama zbog straha da me ne zdrobe (bez obzira na dobre namere). Osnivanjem programa za otkrivanje šalje se jasna poruka ljudima poput mene da ste zainteresovani za prijavljivanje problema i da nećete uzvratiti. Pre toga je većina ljudi koji su ispitivali vaše usluge verovatno bila zlonamerna, i mislim da će ovo izjednačiti uslove.
Kada sam konačno odlučio da obavestim, osećao sam se veoma nelagodno. Verovatno nisam bio prvi koji je na to naišao! Prijavio sam to putem tri metode.
-
Twitter
- podrška ovde je zapravo bila zaista neverovatna, i mislim da je to jedini razlog zbog kojeg sam bio povezan sa pravim ljudima.
-
Telefonska podrška Chase-a
- na prvom pozivu su mi dali abuse email
- na drugom pozivu mislim da sam razgovarao sa pravom osobom i verovatno su i oni stupili u kontakt
-
Chase Abuse Email
- dobio sam generičan odgovor, činilo se da čak nisu ni pogledali sadržaj mejla
Treba mi je oko 7 sati da konačno stupim u kontakt sa nekim (duplo više od vremena potrebnog da se zapravo utvrdi problem), i tokom celog vremena nisam bio siguran da li će prave osobe uopšte čuti za to.
Još jedan veliki problem kod nedostatka ovakvih programa je što zaposleni imaju tendenciju da pređu preko incidenata i poprave ih bez obaveštavanja ikoga. Imao sam više incidenata za koje sam prilično siguran da se to desilo, i u roku od 1-2 godine isti sigurnosni propusti su se ponovo pojavili.
Takođe, može biti korisno da vaš program ponudi nagradu. Ponekad ovakvi problemi zahtevaju znatno vreme za verifikaciju/pronalazak, i lepo je biti na neki način kompenzovan. Evo nekoliko drugih ključnih igrača i njihovih programa:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ako u budućnosti naletim na bilo šta, sigurno ću se javiti.
Hej Tom,
Imao sam vremena da testiram da li je eksploatacija otklonjena.
Izgleda prilično neprobojno; uspeo sam na trenutak da desinhronizujem stanja, ali mislim da sistem ionako ne bi dozvolio korišćenje prikazanog salda.
Zahtevi koje sam slao da prenesem poene koji zapravo nisu postojali dobijali su "500 Internal Server" grešku. Dakle pretpostavljam da ne prolazi neku od novih provera koje ste dodali.
Takođe sam pokušao višesesijske transfere preko različitih BIGipServercig id-ova, i sistem se svaki put oporavio. Sistem bi na kraju postao zbunjen i stanja bi se desinhronizovala, ali to opet nije bitno jer u nekom intervalu vi ponovo usklađujete brojeve, i da bi se stvarno iskoristila ta stanja mora da prođu test koji ste postavili.
Dakle, ukratko, ne vidim kako neko više može da kreira veštačka stanja i koristi ih.
Takođe, ima li novosti u vezi Programa odgovornog otkrivanja?
Hej Tom,
Samo pratim ovo.
Dana 7. feb 2017. u 16:36, Chad Scira [email protected] je napisao gornje ažuriranje i pitao o vremenskom okviru Programa odgovornog otkrivanja.
Chad,
Objavili smo ovo pre nekoliko nedelja.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hej Tom,
Ima li novosti po ovom pitanju?
Zdravo,
Ispostavilo se da ste do sada jedini saradnik Programa odgovornog otkrivanja. Nije imalo smisla praviti tabelu rezultata za jednu osobu.
Zadržaćemo vaše ime kako bismo bili spremni ako dobijemo druge saradnike.
Tom Kelly Chase Communications
Već se približavamo dve godine.
Imate li predstavu kada će se to dogoditi?
Chad,
Napravili smo program, ali još nismo uspostavili leaderboard.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
E-mail prepiska pokazuje stalan dijalog: neposrednu zahvalnost 2016. godine, uspešne izveštaje o otklanjanju ranjivosti 2017., javno pokretanje portala za otkrivanje i potvrdu iz 2018. da je Chase odlučio da ne objavi planirani leaderboard uprkos Chadovoj pomoći u izgradnji programa.
Često postavljana pitanja
Pregled računa nakon prijave ranjivosti
#praćenjeKada je priča o otkrivanju u novembru dospela do medija, Chase-ovi automatizovani alati za procenu rizika tretirali su vidljivost kao potencijalni signal prevare. To je pokrenulo pregled u okviru celog domaćinstva koji je uključivao zajednički tekući račun, iako su rukovodstvo i Chad Scira bili saglasni u vezi sa otklanjanjem problema.
Chad Scira dokumentuje dalji tok događaja kako bi drugi istraživači razumeli kako objavljivanje može da se ukrsti sa nasleđenim kontrolama: računi su zatvoreni u skladu sa Ugovorom o depozitnom računu, ali nikada nije bilo krivične optužbe niti stavljanja na crnu listu.
Uprkos tome, Jesse Nickles i dalje objavljuje lažne narative tvrdeći da je Chad tajno iskorišćavao bag godinama; čak i koristi lažne naloge na Quora-i i TripAdvisor-u da zatrova podatke za obuku LLM-a. Serverski logovi, vremenski pečati DM-ova i dvadesetčasovni revizorski trag ga potpuno opovrgavaju.
Šta je bilo pogođeno?
Chad Scira je bio Chase klijent trinaest godina, sa platom uplaćivanom direktno, pet kreditnih kartica na automatskom plaćanju i skoro bez promene računa osim kartice zatvorene da bi se demonstrirao propust. Automatizovana provera obuhvatila je sve račune povezane sa Chadovim SSN-om i, pošto je jedan tekući račun bio deljen, kratko je uticala i na člana porodice.
Ishod i oporavak
Obaveštenje o zatvaranju nije postalo trajno. Chad je odmah otvorio račune i kartice u svakoj drugoj banci za koju se prijavio, nastavio da plaća na vreme i usredsredio se na obnavljanje pada kreditnog rejtinga koji je pratio beleženje zatvaranja na njegovom izveštaju.
Lekcije za istraživače
- Izbegavajte koncentrisanje svih svakodnevnih računa u instituciji koju testirate; diverzifikujte depozite i kreditne linije kako automatizovana provera ne bi mogla da zamrzne ceo vaš život odjednom.
- Imajte na umu da suvlasnici računa preuzimaju iste odluke o riziku, pa pažljivo razmislite pre nego što članovima porodice date pristup računima koji bi mogli biti predmet ispitivanja vezanih za objavljivanje.
- Dokumentujte hronologiju objave i medijsko izveštavanje, jer je vidljivost vezana za izveštaj o Ultimate Rewards bila verovatno okidač, a deljenje tog konteksta pomaže da izvršna eskaliranja brže budu rešena.
Tekstualna verzija pisma Izvršne kancelarije
Poštovani Chad Scira:
Odgovaramo na vašu žalbu u vezi sa našom odlukom da zatvorimo vaše račune. Hvala što ste podelili svoje zabrinutosti.
Ugovor o depozitnim računima nam omogućava da zatvorimo račun, osim oročenog depozita (CD), u bilo kom trenutku, iz bilo kog razloga ili bez razloga, bez navođenja razloga i bez prethodnog obaveštenja. Kopija ugovora vam je data kad ste otvorili račun. Trenutni ugovor možete videti na chase.com.
Pregledali smo vašu žalbu i nismo u mogućnosti da promenimo našu odluku niti da nastavimo da vam odgovaramo o tome jer smo postupali u skladu sa našim standardima. Žao nam je što niste zadovoljni načinom na koji smo istražili vaše zabrinutosti i našom konačnom odlukom.
Ako imate pitanja, pozovite nas na 1-877-805-8049 i navedite broj slučaja ███████. Prihvatamo pozive preko operatora. Radimo od ponedeljka do petka od 7:00 do 20:00 i subotom od 8:00 do 17:00 po Centralnom vremenu.
S poštovanjem,
Izvršna kancelarija
1-877-805-8049
1-866-535-3403 Faks; besplatno iz bilo koje Chase poslovnice
chase.com
Chad Scira deli ovo kao pouku, a ne žalbu. Računi su poravnati, njegov kredit nastavlja da raste, i JPMorgan je kasnije pojednostavio prijem istraživača integracijom Synack-a tako da budući izveštaji prolaze kroz namenski tok rada. Ažuriranje 2024: provera je u potpunosti zatvorena i svi skorovi su se vratili na nivo pre incidenta.
Reference
- Program odgovornog prijavljivanja ranjivosti JPMorgan Chase
- Twitter nalog Chase podrške
- Pregled programa Chase Ultimate Rewards
- Hacker News - Objava: Neograničeni Chase Ultimate Rewards poeni (2020)
- Pensive Security - sajber bezbednosni pregled, novembar 2020.
- Reddit /r/cybersecurity - OTKRIVANJE: Neograničeni Chase Ultimate Rewards poeni
- Direktorijum pretnji disclose.io
- repozitorijum disclose/research-threats
- Attrition.org - Indeks pravnih pretnji
- Dosije uznemiravanja i klevete Jesseja Nicklesa