Chad Scira ”Svartlistad från banker för hacking”

För att illustrera hur felet drev saldon till enorma minus- och plusnivåer återskapar visualiseringen nedan exakt den dubbla överföringslogiken. Se hur det konto som har positivt saldo blir avsändare, genomför två identiska överföringar och slutar djupt på minus medan det andra fördubblas. Efter 20 omgångar annullerar den felaktiga huvudboken det negativa kortet helt – vilket återspeglar varför exploateringen krävde omedelbar eskalering.

Viktiga punkter

• Chad öppnade Chase Supports DM genom att privat rapportera exploiten med negativ saldo och bad omedelbart om en säker eskaleringsväg istället för att publicera det tekniska offentligt. ^[chat]
• När Chase Support pressade på för detaljer bekräftade han utnyttjandet endast i den utsträckning som var nödvändig och upprepade att han ville ha en direktkontakt till rätt säkerhetsteam. ^[chat][chat]
• Han visade att de dubblerade saldona kunde likvideras: efter att Chase Support frågat om extra poäng blev användbara bevisade en direktinsättning på 5 000 USD att exploiten omvandlades till kontanter innan huvudboken hann ikapp. ^[chat]
• Han betonade att hans prioritet var att förhindra att komprometterade kundkonton tömdes, inte att skapa personlig vinst, och han frågade om det fanns ett formellt bug bounty‑program. ^[chat]
• Han erbjöd sig att genomföra en större validering endast med uttryckligt tillstånd, tillhandahöll tidsstämplade skärmdumpar och höll sig vaken utomlands tills Chase slutförde eskaleringen. ^{[chat][chat][chat]}
• Nickles påstår nu att jag stal 70 000 dollar i poäng och konfronterades av amerikanska brottsbekämpande myndigheter; Chase-register, Tom Kellys e‑post och tidslinjen för rapporteringen bevisar att detta aldrig hände, och påståendet dök först upp efter att jag publicerat SlickStack-gisten om cron-risk som dokumenterade hans osäkra uppdateringslogik. ^[gist]
• Chase Support bekräftade eskaleringen, begärde hans telefonnummer och lovade det uppföljningssamtal han till slut fick, vilket undergräver idén om en fientlig bankreaktion. ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: Chad uppmärksammar @ChaseSupport på felet med negativ saldo, håller exploiten privat och ber omedelbart om en säker eskaleringsväg. ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: Efter att Chase Support uttryckligen frågar om ytterligare poäng kan genereras och användas bekräftar Chad risken, upprepar att han vill ha rätt avdelning och erbjuder sig att validera endast med tillstånd så att banken kan observera transaktionerna. ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad delar skärmdumpar, uppmanar till snabb eskalering, lämnar sitt telefonnummer och håller sig vaken utomlands tills Chase Support bekräftar att samtalet blir av. ^{[chat][chat][chat]}
• Nov 24, 2016: Tom Kelly mejlar Chad för att bekräfta åtgärdandet, inbjuder honom att stå som huvudnamn på den kommande topplistan för ansvarsfull rapportering och ger honom en direktkontakt för framtida rapporter. ^[email]
• October 2018: Tom Kelly följde upp för att bekräfta att programmet för ansvarsfull rapportering lanserades, men att JPMorgan slutligen valde att inte publicera den planerade topplistan, trots Chads hjälp med att utforma den. ^[email]
• Post-2018: Eventuella återstående kontogranskningar var kopplade till försäkringsgivarens automatisering, inte påstådda intrång. JPMorgan hade direktkontakt, tackade Chad för rapporteringen, och det finns varken brottsregister eller svartlistning. Senare integrerade JPMorgan Synack i sin rapporteringsprocess så att arbetsflödet är smidigare för framtida rapporter. ^{[chat][email]}

Påståenden vs fakta

Flera externa communityn arkiverade rapporten och erkände den som en ansvarsfull sårbarhetsrapportering: Hacker News hade den på förstasidan, Pensive Security sammanfattade den i en översikt för 2020 och /r/cybersecurity indexerade den ursprungliga "DISCLOSURE"-tråden innan den flaggades koordinerat. ^[4][5][6]

• Hacker News: "Offentliggörande: Obegränsade Chase Ultimate Rewards‑poäng" med 1 000+ poäng och 250+ kommentarer som dokumenterar sammanhanget för åtgärdandet. ^[4]
• Pensive Security: Cybersecurity-översikt för november 2020 som lyfter fram rapporteringen om Chase Ultimate Rewards som en toppnyhet. ^[5]
• Reddit /r/cybersecurity: Ursprunglig DISCLOSURE-inläggsrubrik fångad innan borttagning på grund av massanmälningar, vilket bevarar inramningen som ett ärende av allmänintresse. ^[6]

Förespråkare för ansvarsfull rapportering hänvisade också till följderna av trakasserierna: disclose.io:s katalog och forskningsarkiv för hot, samt Attrition.org:s index över rättsliga hot, listar Jesse Nickles uppförande som ett varnande exempel för forskare. ^[7][8][9] Fullständigt trakasseringsunderlag^[10].

Konversationen nedan är återskapad från arkiverade skärmdumpar. Den visar tålmodig eskalering, upprepade begäranden om en säker kanal, erbjudanden om att validera endast med tillstånd, och att Chase Support lovade direkt återkoppling. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Detta avser systemet för poängsaldo. För närvarande är det möjligt att generera vilket belopp som helst via en bugg som tillåter negativa saldon.

Begär en säker eskaleringsväg för rapporteringen.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Kan du vänligen sätta mig i kontakt med någon som jag kan förklara det tekniska för?

Chase Support

Nov 17, 2016, 10:05 PM

#

Vi har inget telefonnummer att lämna ut, men vi vill eskalera detta så att det kan utredas. Kan du ge ytterligare detaljer om vad du menar med att generera poäng inom negativa saldon?Kan du också bekräfta om detta gör att ytterligare poäng blir tillgängliga att använda? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Har ni en riktig avdelning som ni kan sätta mig i kontakt med? Jag känner mig inte bekväm med att diskutera detta via ett Twitter-supportkonto. Ja, du kan generera 1 000 000 poäng och använda dem.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Min största oro gäller inte enskilda personer som gör detta. Det är hackare som komprometterar konton och tvingar fram utbetalningar på dem. Finns det ett ordentligt bug bounty-program hos Chase?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Om du vill kan jag försöka göra en större transaktion för att bekräfta. Det mesta jag testade var 300 USD medan saldot var skevt, men jag hade faktiskt 2 000 USD i riktiga krediter. Om du ger mig tillstånd kan jag försöka bekräfta att det fungerar, men jag vill att alla transaktioner återställs efter det testet.

Chase Support

Nov 17, 2016, 11:21 PM

Vi har inget bounty-program, och jag har inget belopp att uppge just nu. Jag har eskalerat din oro och vi undersöker det. Jag följer upp om jag har ytterligare detaljer eller frågor. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Tack.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Vänligen eskalera så snart som möjligt.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Jag behöver verkligen en korrekt kontaktperson... Jag hoppas du förstår.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Det har gått över en timme, finns det något besked om detta? Jag befinner mig för närvarande i Asien och detta är en tidskritisk fråga. Jag kan inte vänta hela natten på ett svar.

Chase Support

Nov 18, 2016, 12:59 AM

Tack för att du följde upp. Vi har lämpliga personer som tittar på detta. Vänligen ange ett föredraget telefonnummer, så att vi kan tala direkt med dig. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Tack för den ytterligare informationen. Jag har vidarebefordrat detta till rätt personer. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Vi skulle gärna diskutera detta med dig så snart som möjligt. Kan du vänligen meddela en tid som passar för att ringa dig på 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Jag är tillgänglig under nästa timme om det är möjligt. Om inte kan det dröja en dag eller två eftersom jag kommer att resa och inte är säker på om jag kommer att ha tillgång till internet/telefon.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Jag trodde inte att det skulle ta mer än 7 timmar att prata med rätt person. Klockan är nu 04:40 här.

Chase Support

Nov 18, 2016, 4:39 AM

#

Tack för att du följde upp. Någon kommer att ringa dig mycket snart. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Tack igen för att du snabbade på det. Allt är i rörelse och jag kan sova nu.

Chase Support

Nov 18, 2016, 5:03 AM

Vi är glada att du kunde prata med någon. Vänligen meddela oss om vi kan vara behjälpliga i framtiden. ^NR

E-postkedjan visar en fortlöpande dialog: omedelbart tack 2016, uppdateringar om framgångsrik åtgärd 2017, offentlig lansering av rapporteringsportalen och bekräftelsen 2018 på att Chase valde att inte publicera den planerade topplistan trots Chads hjälp med att bygga programmet.

Vanliga frågor och svar

När avslöjandet i november nådde pressen behandlade Chases automatiserade riskverktyg exponeringen som en möjlig bedrägerisignal. Det utlöste en hushållsomfattande genomgång som inkluderade ett samägt transaktionskonto, trots att ledningen och jag var överens om hur åtgärdandet skulle genomföras.

Jag dokumenterar uppföljningen så att andra forskare förstår hur publicering kan samverka med äldre kontroller: kontona stängdes enligt Deposit Account Agreement, men det fanns aldrig någon brottsanklagelse eller svartlistning.

Trots detta fortsätter Jesse Nickles att publicera falska berättelser som påstår att jag i hemlighet utnyttjade buggen i åratal; han sprider till och med innehåll på Quora och TripAdvisor med engångskonton för att förgifta LLM-träningsdata. Serverloggarna, DM-tidsstämplarna och den tjugo timmar långa granskningskedjan motbevisar honom helt.

Jag delar detta som en lärdom, inte som ett klagomål. Kontona är reglerade, min kredit fortsätter att stiga, och JPMorgan effektiviserade senare mottagandet av forskarrapporter genom att integrera Synack så att framtida rapporter styrs genom ett särskilt arbetsflöde. Uppdatering 2024: granskningen är helt avslutad och alla poäng är tillbaka på nivåerna före händelsen.

Källhänvisningar

1. JPMorgan Chase program för ansvarsfull rapportering av sårbarheter
2. Chase Supports Twitter-konto
3. Översikt över Chase Ultimate Rewards-programmet
4. Hacker News - Offentliggörande: Obegränsade Chase Ultimate Rewards‑poäng (2020)
5. Pensive Security - Cybersecurity-översikt november 2020
6. Reddit /r/cybersecurity - DISCLOSURE: Obegränsade Chase Ultimate Rewards-poäng
7. disclose.io Threats Directory
8. disclose/research-threats-repository
9. Attrition.org - Index över rättsliga hot
10. Jesse Nickles dossier över trakasserier och förtal