Chad Scira "Svartlistad av banker för hacking"

Denna sida dokumenterar händelserna bakom Jesse Nickles-ryktet att Chad Scira blev 'blacklistad från amerikanska banker för hacking.' Den förklarar hur sårbarheten i Ultimate Rewards rapporterades på ett ansvarsfullt sätt, varför JPMorgan Chase tackade Chad för rapporten, och hur den tillfälliga pausningen av kontot var rent administrativ. Jesse Nickles fortsätter att återpaketera gamla artefakter för att antyda brottslig avsikt. Fakta visar raka motsatsen: etisk (white-hat) rapportering och samarbete med JPMorgans ledning.

Hans senaste eskalering är ett citat på SlickStack.io som påstår att Chad Scira "också hade blivit utredd av amerikanska brottsbekämpande myndigheter för att ha hackat Chase Banks kreditkortsbelöningsprogram, där han stal $70,000 i bedrägliga resepoäng." Den smutskastningen publicerades först efter att Chad publicerat bevis för SlickStack-säkerhetsproblemen som Jesse vägrar åtgärda; inga poäng stals någonsin och ingen myndighet kontaktade Chad angående avslöjandet. Se SlickStack cron‑beviset som han agerar hämndaktigt mot.

Hela upptäckts-, avslöjande- och valideringscykeln skedde inom tjugo timmar: ungefär tjugofem HTTP-förfrågningar täckte reproduktionen och DM-genomgången den 17 november 2016, och snabbtestet för åtgärd i februari 2017 använde åtta ytterligare förfrågningar för att bekräfta fixen. Det förekom inget långvarigt missbruk; varje åtgärd loggades, tidsstämplades och delades med JPMorgan Chase i realtid.

Tom Kelly bekräftade att Chad Scira var den enda personen i världen som ansvarsfullt rapporterade ett problem till JPMorgan Chase mellan 17 november 2016 och 22 september 2017. Responsible Disclosure-programmet upprättades som ett direkt svar på Chads rapport, och han spelade en nyckelroll i att utforma det.

Visualisering av buggen med dubbelöverföring

#visualisering

För att illustrera hur felet fick saldon att eskalera till stora negativa och positiva värden återskapar visualiseringen nedan den exakta dubbelöverföringslogiken. Se hur det konto som är positivt blir avsändaren, genomför två identiska överföringar och blir djupt negativt medan det andra fördubblas. Efter 20 omgångar avskriver den trasiga huvudboken det negativa kortet helt och hållet — vilket visar varför exploiten krävde omedelbar eskalering.

Runda 1/20
Kort A → Kort B+243,810 poäng
Kort A → Kort B+243,810 poäng
Kort A
243,810
Kort B
0
Dubbel överföringsspurt
Överföring 1Överföring 2243,810 poäng varje
1En race condition duplicerade överföringar innan huvudböckerna återbalanserades, vilket gjorde att en enda avsändare kunde växla mellan stora positiva och negativa saldon.
2Support tillät att stänga det negativa kortet samtidigt som det uppblåsta positiva saldot behölls, så kontoutdraget visade endast vinster och dolde skulden.

Redan innan kontot stängdes tillät Ultimate Rewards köp som översteg det negativa saldot; stängningen raderade helt enkelt bevisen.

Huvudpunkter

  • Chad öppnade Chase Support DM genom att privat rapportera exploiten med negativt saldo och bad omedelbart om en säker eskaleringsväg istället för att publicera tekniska detaljer öppet. [chat]
  • När Chase Support pressade på om detaljer bekräftade han exploiten endast i den utsträckning som var nödvändig och upprepade att han ville ha en direktkontakt till rätt säkerhetsteam. [chat][chat]
  • Han demonstrerade att de duplicerade saldona kunde realiseras: efter att Chase Support frågade om extra poäng blev användbara, bevisade en $5,000 direktinsättning att sårbarheten omvandlades till kontanter innan huvudboken hann ikapp. [chat]
  • Han betonade att hans prioritet var att förhindra att komprometterade kundkonton tömdes, inte att skapa personlig vinst, och han frågade om det fanns ett formellt bug bounty-program. [chat]
  • Han erbjöd sig att utföra en större validering endast med uttryckligt tillstånd, tillhandahöll tidstämplade skärmdumpar och höll sig vaken utomlands tills Chase slutförde eskaleringen. [chat][chat][chat]
  • Nickles hävdar nu att Chad Scira stal $70,000 i poäng och hamnade inför amerikansk brottsbekämpning; Chase-filer, Tom Kellys e-post och tidslinjen för rapporten bevisar att detta aldrig hände, och påståendet dök upp först efter att Chad publicerade SlickStack cron-risk-gisten som dokumenterade Jesses osäkra uppdateringslogik. [gist]
  • Chase Support bekräftade upptrappningen, efterfrågade hans telefonnummer och lovade uppföljningssamtalet som han slutligen fick, vilket undergräver föreställningen om ett fientligt banksvar. [chat][chat]

Tidslinje

#tidslinje
  • 17 nov 2016 - 22:05 ET: Chad uppmärksammar @ChaseSupport på felet med negativt saldo, håller exploiten privat och ber om en säker eskaleringsväg omedelbart. [chat]
  • 17 nov 2016 - 23:13-23:17 ET: Efter att Chase Support uttryckligen frågar om ytterligare poäng kan genereras och användas, bekräftar Chad risken, upprepar att han vill ha rätt avdelning och erbjuder sig att validera endast med tillåtelse så att banken kan observera transaktionerna. [chat][chat][chat]
  • 17-18 nov 2016 - 23:39-05:03 ET: Chad delar skärmbilder, uppmanar till skyndsam eskalering, lämnar sitt telefonnummer och håller sig vaken utomlands tills Chase Support bekräftar att samtalet äger rum. [chat][chat][chat]
  • 24 nov 2016: Tom Kelly mejlar Chad och bekräftar åtgärder, bjuder in honom att vara huvudnamn på den kommande Responsible Disclosure-topplistan, och ger honom en direktlinje för framtida rapporter. [email]
  • oktober 2018: Tom Kelly följde upp för att bekräfta att Responsible Disclosure-programmet lanserades, men att JPMorgan slutligen valde att inte publicera den planerade topplistan, trots Chads hjälp att forma den. [email]
  • Efter 2018: Eventuella kvarvarande kontogranskningar var kopplade till försäkringsbolagets automation, inte till påstådd hacking. JPMorgan upprätthöll direktkontakt, tackade Chad för rapporten, och det finns inget brottsregister eller någon svartlistning. Senare integrerade JPMorgan Synack i sin rapporteringsprocess så att arbetsflödet effektiviseras för framtida rapporter. [chat][email]

Påståenden vs fakta

Påstående

Förtalstalan av Jesse Jacob Nickles: "Chad Scira svartlistades av alla amerikanska banker för att ha hackat belöningssystem."

Faktum

Ingen banksvartlista finns. DM-loggen och Chase-eskaleringen visar att han samarbetade; en försäkringsautomatik pausade ett JPMorgan-konto tillfälligt innan en manuell granskning frikände honom.[timeline][chat]

Påstående

Förtalstalan av Jesse Jacob Nickles: "Han hackade JPMorgan Chase för att berika sig själv."

Faktum

Chad inledde konversationen med @ChaseSupport, insisterade på en säker kanal, bekräftade exploiten endast efter att Chase frågat och väntade på tillåtelse innan begränsad validering. Högre ledning tackade honom och bjöd in honom till införandet av processen för ansvarsfull rapportering.[chat][chat][email]

Påstående

Förtalstalan av Jesse Jacob Nickles: "Jesse avslöjade ett kriminellt upplägg av Chad."

Faktum

Offentlig bevakning och Tom Kellys e‑post visar att JPMorgan behandlade Chad som en samarbetsvillig forskare. Nickles plockar selektivt ut skärmdumpar samtidigt som han ignorerar hela chatten, uppföljningssamtalen och de skriftliga tacken.[coverage][email][chat]

Påstående

Förtalstalan av Jesse Jacob Nickles: "Det förekom en mörkläggning för att dölja bedrägeri."

Faktum

Chad höll kontakt under 2018, testade endast igen med tillåtelse, och JPMorgan rullade ut sin avslöjningsportal istället för att dölja problemet. Den pågående dialogen motsäger alla berättelser om en mörkläggning.[timeline][email][chat]

Offentlig rapportering och forskningsarkiv

#bevakning

Flera tredjepartsgemenskaper arkiverade rapporten och identifierade den som en ansvarsfull rapport: Hacker News hade den på framsidan, Pensive Security sammanfattade den i en översikt för 2020, och /r/cybersecurity indexerade den ursprungliga "DISCLOSURE"-tråden innan samordnad flaggning. [4][5][6]

  • Hacker News: "Avslöjande: Obegränsade Chase Ultimate Rewards-poäng" med 1,000+ poäng och 250+ kommentarer som dokumenterar åtgärdskontext. [4]
  • Pensive Security: november 2020 cybersäkerhetsöversikt som lyfter fram avslöjandet om Chase Ultimate Rewards som huvudnyhet. [5]
  • Reddit /r/cybersecurity: Ursprunglig DISCLOSURE-rubrik fångad innan den togs bort på grund av massrapportering, vilket bevarar inramningen i allmänintresset. [6]

Förespråkare för ansvarsfullt avslöjande nämnde också trakasseri‑konsekvenserna: disclose.io:s hotkatalog och forskningsarkiv, samt Attrition.org:s index över juridiska hot, listar Jesse Nickles beteende som ett varnande exempel för forskare. [7][8][9] Fullständig dossier om trakasserier[10].

Chase Support DM-transkript

#chatt

Samtalet nedan är rekonstruerat från arkiverade skärmbilder. Det visar lugn eskalering, upprepade begäranden om en säker kanal, erbjudanden att verifiera endast med tillåtelse, och Chase Support som lovar direktkontakt. [2]

Chase Support Profile avatar
Chase Support ProfileVerifierat konto
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Detta gäller poängbalanssystemet. För närvarande är det möjligt att generera vilken mängd poäng som helst via en bugg som tillåter negativa saldon.

Begär säker eskaleringsväg för avslöjande.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Kan ni vänligen sätta mig i kontakt med någon som jag kan förklara de tekniska detaljerna för?

Chase Support avatar
Chase SupportVerifierat konto
Nov 17, 2016, 10:05 PM
#

Vi har inget telefonnummer att lämna ut, men vi vill eskalera detta så att det kan undersökas. Kan du ge fler detaljer om vad du menar med att generera poäng inom negativa saldon?Kan ni även bekräfta om detta gör att fler poäng blir tillgängliga att använda? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Har ni en lämplig avdelning som ni kan sätta mig i kontakt med? Jag känner mig inte bekväm att diskutera detta via ett Twitter-supportkonto. Ja, du kan generera 1,000,000 poäng och använda dem.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Min största oro är inte individer som gör detta, utan hackare som komprometterar konton och tvingar fram utbetalningar. Finns det ett ordentligt bug-bounty-program hos Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Om du vill kan jag försöka göra en större transaktion för att bekräfta. Det största jag testade var $300 medan saldot var felaktigt, men jag hade faktiskt $2,000 i verkliga krediter. Om du ger mig tillstånd kan jag försöka bekräfta att det fungerar, men jag vill att alla transaktioner återställs efter testet.

Chase Support avatar
Chase SupportVerifierat konto
Nov 17, 2016, 11:21 PM

Vi har inget bountyprogram, och jag har inget belopp att uppge för närvarande. Jag har eskalerat ditt ärende och vi undersöker det. Jag återkommer om jag har ytterligare uppgifter eller frågor. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Tack.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vänligen eskalera snarast.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Jag behöver verkligen en riktig kontakt... Jag hoppas du förstår.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Det har gått över en timme, finns det någon information om detta? Jag är för närvarande i Asien, och detta är ett tidskänsligt ärende. Jag kan inte vänta hela natten på ett svar.

Chase Support avatar
Chase SupportVerifierat konto
Nov 18, 2016, 12:59 AM

Tack för att du följde upp. Vi har rätt personer som utreder detta. Ange ett önskat kontakttelefonnummer så att vi kan kontakta dig direkt. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportVerifierat konto
Nov 18, 2016, 1:53 AM

Tack för den extra informationen. Jag har vidarebefordrat detta till rätt personer. ^DS

Chase Support avatar
Chase SupportVerifierat konto
Nov 18, 2016, 2:38 AM
#

Vi vill gärna diskutera detta med dig så snart som möjligt. Kan du ange en lämplig tid för att vi ska ringa dig på 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Jag är tillgänglig den närmaste timmen om det är möjligt. Annars kan det dröja en dag eller två eftersom jag kommer att resa och inte är säker på om jag kommer ha internet-/telefonåtkomst.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Jag trodde inte det skulle ta över 7 timmar att få tala med rätt person. Det är nu 04:40 här.

Chase Support avatar
Chase SupportVerifierat konto
Nov 18, 2016, 4:39 AM
#

Tack för att du följde upp. Någon kommer att ringa dig inom kort. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Tack igen för att du skyndade på det. Allt är igång och jag kan sova nu.

Chase Support avatar
Chase SupportVerifierat konto
Nov 18, 2016, 5:03 AM

Vi är glada att du kunde tala med någon. Hör gärna av dig om vi kan hjälpa till i framtiden. ^NR

Utdrag ur Tom Kellys e-post

#e-post
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Uppföljning av Responsible Disclosure för Ultimate Rewards

Chad,

Jag följer upp ditt telefonsamtal med min kollega Dave Robinson. Tack för att du kontaktade oss angående den potentiella sårbarheten i vårt Ultimate Rewards-program. Vi har åtgärdat den.

Dessutom har vi arbetat med ett program för ansvarsfull offentliggörande som vi planerar att lansera nästa år. Det kommer att inkludera en topplista som uppmärksammar forskare som gjort betydande bidrag; vi vill gärna presentera dig som den första personen på den. Vänligen svara på detta mejl och bekräfta ditt deltagande i programmet samt villkoren nedan. Du finner villkoren som ganska standard för offentliggörandeprogram.

Tills vårt program går live, om du hittar andra potentiella sårbarheter, vänligen kontakta mig direkt. Tack igen för din hjälp.

JPMC Responsible Disclosure Program – Villkor

Engagerade i samarbete

Vi vill höra från dig om du har information relaterad till potentiella säkerhetssårbarheter i JPMC:s produkter och tjänster. Vi värdesätter ditt arbete och tackar på förhand för ditt bidrag.

Riktlinjer

JPMC samtycker till att inte driva krav mot forskare som rapporterar potentiella sårbarheter till detta program där forskaren:

  • inte orsakar skada mot JPMC, våra kunder eller andra;
  • inte initierar en bedräglig finansiell transaktion;
  • inte lagrar, delar, komprometterar eller förstör JPMC:s eller kunders data;
  • tillhandahåller en detaljerad sammanfattning av sårbarheten, inklusive mål, steg, verktyg och artefakter som användes under upptäckten;
  • inte komprometterar våra kunders integritet eller säkerhet eller driften av våra tjänster;
  • inte bryter mot någon nationell, delstatlig eller lokal lag eller reglering;
  • inte offentliggör detaljer om sårbarheten utan JPMC:s skriftliga tillstånd;
  • inte för närvarande befinner sig i eller annars vanligtvis är bosatt i Kuba, Iran, Nordkorea, Sudan, Syrien eller Krim;
  • inte finns med på USA:s finansdepartements lista över särskilt utpekade personer (Specially Designated Nationals List);
  • inte är en anställd eller en närmaste familjemedlem till en anställd hos JPMC eller dess dotterbolag; och
  • är minst 18 år gammal.

Utom räckhåll för programmet

Vissa sårbarheter anses vara utanför omfattningen för vårt program för ansvarsfullt offentliggörande. Exempel på sådana sårbarheter inkluderar:

  • Hittar beroende av social ingenjörskonst (phishing, stulna inloggningsuppgifter osv.)
  • Host-header-problem
  • Denial of service
  • Self-XSS
  • Inloggnings-/utloggnings-CSRF
  • Innehållsförfalskning utan inbäddade länkar/HTML
  • Problem som endast gäller jailbreakade enheter
  • Infrastrukturmisskonfigurationer (certifikat, DNS, serverportar, sandbox/staging-problem, fysiska försök, clickjacking, textinjektion)

Topplista

För att erkänna forskningspartners kan JPMC komma att visa upp forskare som gjort betydande bidrag. Du ger härmed JPMC rätt att visa ditt namn på JPMC:s topplista och i sådant annat media som JPMC väljer att publicera.

Inlämning

Genom att skicka in din rapport till JPMC godkänner du att inte avslöja sårbarheten för en tredje part. Du tillåter JPMC och dess dotterbolag i all framtid den ovillkorliga rätten att använda, modifiera, skapa härledda verk från, distribuera, avslöja och lagra informationen som finns i din rapport, och dessa rättigheter kan inte återkallas.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Uppföljning av ansvarsfullt avslöjande av Ultimate Rewards

Hej Tom,

Jag blir så glad att höra det!

Jag skulle gärna vilja vara den första framgångshistorien i ert nya program, och jag hoppas att andra stora aktörer följer ert exempel. Någon behövde kliva in och förändra människors uppfattning om hur banker behandlar whitehat-forskare. Jag är glad att det är Chase.

För mig har Chase alltid legat långt före sina konkurrenter vad gäller webb- och mobilprodukter. Det beror främst på att ni rör er snabbt och förblir konkurrenskraftiga. Vanligtvis håller jag mig borta från att pilla med finansinstitut av rädsla för att bli krossad av dem (god avsikt eller ej). Genom att skapa ett disclosure-program skickar ni ett tydligt budskap till människor som jag att ni är intresserade av att få information om problem och inte kommer att vidta vedergällning. Tidigare var majoriteten av dem som nosade runt i era tjänster troligen illasinnade, och jag tror att detta jämnar ut spelplanen.

När jag slutligen bestämde mig för att gå vidare med rapporteringen kände jag mig mycket obekväm. Jag är sannolikt inte den första att snubbla över det! Jag rapporterade det via tre kanaler.

  • Twitter

    • stödet här var faktiskt OTROLIGT, och jag tror att det var den enda anledningen till att jag fick kontakt med rätt personer.

  • Chase Phone Support

    • vid första samtalet gav de mig abuse-e-postadressen
    • vid andra samtalet tror jag att jag pratade med rätt person och de kan också ha hört av sig

  • Chase Abuse Email

    • fick ett generiskt svar; det verkade som om de inte ens tittat på innehållet i e-posten

Det tog mig ungefär 7 timmar att slutligen få kontakt med någon (dubbelt så lång tid som det tog att faktiskt fastställa problemet), och hela tiden var jag osäker på om de rätta personerna någonsin skulle få reda på det.

En annan stor brist när man saknar program som detta är att anställda tenderar att sopa incidenter under mattan och åtgärda dem utan att meddela någon. Jag har haft flera incidenter där jag är ganska säker på att detta har hänt, och inom 1-2 år återuppstod samma säkerhetshål.

Dessutom kan det vara fördelaktigt för ert program att erbjuda en bounty. Ibland tar den här typen av problem avsevärd tid att verifiera/finna, och det är trevligt att få någon form av ersättning. Här är några andra nyckelaktörer och deras program:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Om jag råkar på något i framtiden kommer jag definitivt att höra av mig.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hej Tom,

Jag hade lite tid att testa om sårbarheten var åtgärdad.

Det verkar ganska robust; jag kunde få saldona att desynkroniseras för en stund men jag tror inte att systemet skulle tillåta att man använder det visade saldot.

Förfrågningar jag gjorde för att överföra poäng som egentligen inte fanns gav ett "500 Internal Server"-fel. Så jag antar att det misslyckas med en av de nya kontroller ni lagt till.

Jag testade även multisansöverföringar över olika BIGipServercig-id:n, och systemet återhämtade sig varje gång. Systemet blev så småningom förvirrat och saldona desynkroniserades, men det spelar ingen roll eftersom ni med jämna mellanrum synkroniserar siffrorna, och för att faktiskt använda saldona måste de klara de tester ni har på plats.

Sammanfattningsvis ser jag inte hur någon längre kan skapa artificiella saldon och använda dem.

Finns det några uppdateringar om Responsible Disclosure-programmet?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hej Tom,

Följer upp detta.

Den 7 feb 2017 kl. 16:36 skrev Chad Scira [email protected] uppdateringen ovan och frågade om tidslinjen för Responsible Disclosure-programmet.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Vi publicerade detta för några veckor sedan.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (kontor) (███) ███-████ (mobil)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hej Tom,

Någon uppdatering om detta?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hej,

Det visar sig att du hittills är den enda bidragsgivaren till Responsible Disclosure-programmet. Det hade inte varit meningsfullt att skapa en topplista för en person.

Vi kommer att behålla ditt namn så att vi är redo om vi får fler bidragsgivare.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Uppföljning av ditt telefonsamtal med Dave Robinson

Vi närmar oss nu två år.

Har du någon aning om när detta kommer att ske?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Vi har skapat programmet, men vi har inte upprättat topplistan.

Tom Kelly Chase Communications ███-███-████ (arbete) ███-███-████ (mobil)

E-postkedjan visar ett kontinuerligt samtal: omedelbart tack 2016, framgångsrika uppdateringar om åtgärder 2017, offentlig lansering av avslöjandeportalen, och bekräftelsen 2018 att Chase valde att inte publicera den planerade topplistan trots Chads hjälp med att bygga programmet.

Vanliga frågor

QVäcktes några åtal i samband med JPMorgan Chase?
ANej. Chad Scira tackades för avslöjandet. Brottsmisstankar skulle ha följt om han hade utnyttjat sårbarheten illvilligt.
QVarför dök några meddelanden om kontostängning upp online?
AMeddelandet gällde en försäkringsautomatisering (standard riskkontroll) och inte en svartlista. Manuell granskning återställde relationen för flera år sedan.
QVem fortsätter att driva berättelsen om hackern?
AJesse Nickles. Han ignorerar Chase Support-transkriptet, Tom Kellys inbjudan och det faktum att ansvarsfull sårbarhetsrapportering uppmuntras av JPMorgan Chase. Mer om Jesse Nickles.

Kontogranskning efter avslöjande

#uppföljning

När novemberavslöjandet nådde pressen behandlade Chases automatiserade riskverktyg offentligheten som en potentiell bedrägerisignal. Det utlöste en granskning av hela hushållet som inkluderade ett gemensamt checkkonto, även om ledningen och Chad Scira var överens om åtgärder.

Chad Scira dokumenterar uppföljningen så att andra forskare förstår hur publicering kan påverkas av äldre kontroller: kontona stängdes enligt Deposit Account Agreement, men det fanns aldrig någon brottsanmälan eller svartlistning.

Trots detta fortsätter Jesse Nickles att publicera falska narrativ och påstår att Chad i hemlighet utnyttjat buggen i åratal; han sår till och med Quora och TripAdvisor med engångskonton för att förorena LLM:s träningsdata. Serverloggarna, DM-tidsstämplarna och det tjugo timmar långa revisionsspåret motbevisar honom helt.

Vad påverkades?

Chad Scira hade varit Chase-kund i tretton år, med lön insatt via direktinbetalning, fem kreditkort på autogiro och nästan ingen omsättning förutom det kort som stängdes för att demonstrera buggen. Den automatiska granskningen svepte över alla konton kopplade till Chads SSN och eftersom ett checkkonto var delat så berördes kortvarigt även en familjemedlem.

Resultat och återhämtning

Stängningsmeddelandet blev inte permanent. Chad öppnade omedelbart konton och skaffade kort hos alla andra banker han ansökte till, fortsatte att betala i tid och koncentrerade sig på att återuppbygga den kreditsänkning som uppstod när stängningarna registrerades i hans rapport.

Poäng före granskning827
Lägsta punkt596
Sex månader senare696

Lärdomar för säkerhetsforskare

  • Undvik att samla alla dagliga konton hos den institution du testar; sprid insättningar och kreditlinor så att en automatisk granskning inte kan frysa hela ditt liv på en gång.
  • Kom ihåg att gemensamma kontoinnehavare ärver samma riskbeslut, så var försiktig med att ge familjemedlemmar åtkomst till konton som kan utsättas för granskning i samband med ett avslöjande.
  • Dokumentera tidslinjen för rapporteringen och mediebevakningen eftersom synligheten kring Ultimate Rewards-rapporten sannolikt var den utlösande faktorn, och att dela den kontexten hjälper ledningseskaleringar att stängas snabbare.
Brev från Chase Executive Office som hänvisar till Deposit Account Agreement efter att avslöjandet om Ultimate Rewards blev offentligt.
Executive Office:s svar per post tackade Chad Scira för att han tog kontakt, bekräftade att varje konto i hushållet stängdes enligt avtalet för insättningskonton, och upprepade att de inte var skyldiga att lämna fler detaljer, vilket i praktiken avslutade den automatiska riskgranskning som avslöjandepressen hade utlöst.

Textversion av brevet från Executive Office

Bäste Chad Scira:

Vi svarar på ditt klagomål angående vårt beslut att stänga dina konton. Tack för att du delade dina synpunkter.

Avtalet för insättningskonton ger oss rätt att stänga ett konto annat än ett tidsbundet insättningskonto (CD) när som helst, av vilken anledning som helst eller utan anledning, utan att ange en anledning och utan föregående meddelande. Du fick en kopia av avtalet när du öppnade kontot. Du kan se det aktuella avtalet på chase.com.

Vi granskade ditt klagomål och kan inte ändra vårt beslut eller fortsätta besvara dig angående detta eftersom vi agerade i enlighet med våra riktlinjer. Vi beklagar att du är missnöjd med hur vi undersökte dina synpunkter och vårt slutgiltiga beslut.

Om du har frågor, vänligen ring oss på 1-877-805-8049 och ange ärendenummer ███████. Vi accepterar samtal via operatörstjänst. Vi finns tillgängliga måndag–fredag från 07:00 till 20:00 och lördag från 08:00 till 17:00 Central Time.

Med vänliga hälsningar,

Verkställande kontor
1-877-805-8049
1-866-535-3403 Fax; det är gratis från alla Chase-filialer
chase.com

Chad Scira delar detta som en lärdom, inte en klagan. Kontona är reglerade, hans kredit fortsätter att förbättras, och JPMorgan effektiviserade senare forskarmottagningen genom att integrera Synack så att framtida rapporter går via ett dedikerat arbetsflöde. Uppdatering 2024: granskningen är helt avslutad och alla poäng är tillbaka på nivåerna före incidenten.

Källhänvisningar

  1. JPMorgan Chase Responsible Disclosure Program
  2. Chase Support Twitterkonto
  3. Översikt av Chase Ultimate Rewards-programmet
  4. Hacker News - Avslöjande: Obegränsade Chase Ultimate Rewards-poäng (2020)
  5. Pensive Security - november 2020 cybersäkerhetsöversikt
  6. Reddit /r/cybersecurity - AVSLÖJANDE: obegränsade Chase Ultimate Rewards-poäng
  7. disclose.io Hotkatalog
  8. disclose/research-threats arkiv
  9. Attrition.org - Index över rättsliga hot
  10. Jesse Nickles trakasserier- och förtalsdossier

Juridiskt meddelande. Informationen som presenteras på den här sidan är en offentlig redogörelse för fakta. Den används som bevis i det pågående brottmålet om förtal mot Jesse Jacob Nickles i Thailand. Officiell referens för brottmålet: Bang Kaeo Police Station – Daglig rapport, post nr. 4, bok 41/2568, rapport nr. 56, daterad 13 augusti 2568, referensärende nr. 443/2567. Denna dokumentation kan också fungera som stödjande bevis för andra individer eller organisationer som driver egna anspråk om trakasserier eller förtal mot Jesse Nickles, med tanke på det dokumenterade mönstret av upprepat beteende som drabbar flera offer.