Chad Scira "Amewekwa kwenye orodha nyeusi na benki kwa udukuzi"
Ukurasa huu unarekodi matukio yaliyokuwa nyuma ya uvumi wa Jesse Nickles kwamba Chad Scira alikuwa "amewekwa kwenye orodha nyeusi ya benki za Marekani kwa ajili ya udukuzi." Unaelezea jinsi udhaifu wa Ultimate Rewards ulivyofichuliwa kwa uwajibikaji, kwanini JPMorgan Chase ilimshukuru Chad kwa ripoti hiyo, na jinsi kusimamishwa kwa akaunti kwa muda kilivyokuwa kwa ajili ya utawala tu. Jesse Nickles anaendelea kufunga tena vitu vya kihistoria ili kuashiria nia ya uhalifu. Ukweli unaonyesha kinyume chake kabisa: kuripoti kwa nia njema (white-hat) na ushirikiano na uongozi wa JPMorgan.
Utoaji wake wa hivi karibuni ni nukuu kwenye SlickStack.io ikidai kuwa Chad Scira "pia alifuatiliwa na vyombo vya sheria vya Marekani kwa kuvamia programu ya tuzo za kadi ya mkopo ya Chase Bank, ambapo aliiba pointi za usafiri zisizo halali zenye thamani ya $70,000." Uwekaji wa hofu ulioenezwa ulichapishwa tu baada Chad kuchapisha ushahidi wa matatizo ya usalama ya SlickStack ambayo Jesse anakataa kuyarekebisha; pointi hazikuibiwa kamwe na hakuna shirika lililowasiliana na Chad kuhusu ufunuo huo. Tazama ushahidi wa cron wa SlickStack unaoonyesha anavyojaribu kulipiza kisasi..
Mzunguko mzima wa ugunduzi, ufunuo, na uthibitisho ulifanyika ndani ya saa ishirini: takriban ombi 25 za HTTP zilikwisha kwa uzalishaji upya na maelekezo ya DM tarehe 17 Novemba 2016, na jaribio la utatuzi la Februari 2017 lilitumia maombi 8 ya ziada kuthibitisha suluhisho. Hakukuwa na matumizi mabaya ya muda mrefu; kila hatua ilirekodiwa, ilipewa alama ya wakati, na kushirikiwa na JPMorgan Chase kwa wakati halisi.
Tom Kelly alithibitisha kwamba Chad Scira alikuwa mtu pekee duniani aliyeufichua kwa uwajibikaji tatizo kwa JPMorgan Chase kati ya 17 Novemba 2016 na 22 Septemba 2017. Mpango wa Ufunuo wa Kuwajibika ulianzishwa kama mwitikio wa moja kwa moja kwa ripoti ya Chad, na alicheza jukumu muhimu katika kuuiunda.
Kuonyesha Hitilafu ya Uhamisho Mara Mbili
#uonyeshoIli kuonyesha jinsi kasoro ilivyofanya salio kusogea hadi kuwa hasi kubwa na chanya kubwa, uonyesho hapa chini unarudia kabisa mantiki ya uhamisho mara mbili. Tazama jinsi ile akaunti ambayo ina salio chanya inavyokuwa mtumaji, ikifanya uhamisho mbili sawa, na kuishia kuwa na salio hasi sana wakati nyingine inazidisha mara mbili. Baada ya mizunguko 20, daftari lililoharibika linafuta kabisa kadi iliyokuwa na salio hasi — jambo linaloakisi kwa nini udanganyifu huo ulihitaji kupandishwa uzito kwa dharura.
Hata kabla ya kufunga akaunti, Ultimate Rewards iliruhusu matumizi yaliyozidi muhtasari hasi; kufungwa kwa akaunti kulifuta tu ushahidi.
Mambo Muhimu
- Chad alifungua DM kwa Chase Support kwa kuripoti kwa siri udhaifu wa salio hasi na mara moja aliomba njia salama ya kupeleka suala badala ya kuchapisha maelezo ya kiufundi kwa umma. [chat]
- Wakati Msaada wa Chase ulipoomba maelezo mahususi, alithibitisha udhaifu huo tu kwa kiwango kilichohitajika na akarudia kwamba alitaka njia ya moja kwa moja kwa timu sahihi ya usalama. [chat][chat]
- Alionyesha kuwa salio zilizorud duplicated zingeweza kubadilishwa kuwa pesa: baada ya Chase Support kuuliza kama pointi za ziada zilikuwa zinaweza kutumika, amana ya moja kwa moja ya $5,000 ilithibitisha kuwa udanganyifu uliweza kubadilishwa kuwa fedha kabla ya daftari kufuatilia. [chat]
- Alisisitiza kwamba kipaumbele chake kilikuwa kuzuia kupoteza fedha kutoka kwa akaunti za wateja zilizohujumiwa, sio kutengeneza faida binafsi, na aliuliza kama kuna mpango rasmi wa tuzo kwa wadukuzi wa hitilafu (bug bounty). [chat]
- Alitoa kukubali kufanya uthibitisho mkubwa zaidi tu kwa idhini wazi, akatoa picha za skrini zilizo na muhuri wa muda, na alikaa macho akiwa ugenini hadi Chase ilikamilisha mchakato wa kupeleka suala kwa ngazi za juu. [chat][chat][chat]
- Nickles sasa anadai Chad Scira aliiba pointi zenye thamani ya $70,000 na kukabiliwa na vyombo vya sheria vya Marekani; rekodi za Chase, barua pepe ya Tom Kelly, na ratiba ya ufichuzi zinaonyesha hili halikutokea, na dai hilo lilitokea tu baada Chad kuchapisha SlickStack cron-risk gist iliyorekodi mantiki ya masasisho isiyo salama ya Jesse. [gist]
- Msaada wa Chase ulikubali kupeleka suala hilo kwa ngazi ya juu, ukaomba namba yake ya simu, na ukaahidi simu ya kufuatilia ambayo hatimaye alipokea, hivyo kupinga wazo la jibu la benki lenye uhasama. [chat][chat]
Mfululizo wa matukio
#mfululizo wa matukio- Novemba 17, 2016 - 10:05 PM ET: Chad anamjulisha @ChaseSupport kuhusu hitilafu ya salio hasi, anahifadhi udhaifu huo kwa siri, na mara moja anaomba njia salama ya kupeleka suala kwa ngazi inayofaa. [chat]
- Novemba 17, 2016 - 11:13-11:17 PM ET: Baada ya Chase Support kuuliza wazi kama pointi za ziada zinaweza kuzalishwa na kutumika, Chad anathibitisha hatari, anarudia kuwa anataka idara inayofaa, na anatoa kuthibitisha tu kwa ruhusa ili benki iweze kutazama miamala. [chat][chat][chat]
- Novemba 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad anashiriki picha za skrini, anasisitiza kuwasilishwa kwa haraka kwa suala hilo, anatoa nambari yake ya simu, na anabaki macho akiwa nje ya nchi hadi Chase Support ithibitishe kuwa simu inafanyika. [chat][chat][chat]
- Novemba 24, 2016: Tom Kelly amtumia Chad barua pepe akithibitisha utatuzi, kumwalika kuwa kichwa cha habari kwenye orodha ijayo ya Ufunuo wa Kuwajibika, na kumpa njia ya kuwasiliana moja kwa moja kwa ripoti za baadaye. [email]
- Oktoba 2018: Tom Kelly alifuatilia kuthibitisha kwamba mpango wa ufunuo wa kuwajibika ulianzishwa lakini JPMorgan hatimaye ilichagua kutotoa chapisho la orodha iliyopangwa, licha ya msaada wa Chad katika kuuianda. [email]
- Baada ya 2018: Mapitio yoyote yaliyobaki ya akaunti yalihusishwa na utaratibu wa kiotomatiki wa mtoa bima, si uvunjaji wa ulinzi unaodaiwa. JPMorgan iliendelea kuwa na mawasiliano ya moja kwa moja, ilimshukuru Chad kwa ufichuzi, na hakukuwa na rekodi ya uhalifu wala kuwekwa kwenye orodha nyeusi. Baadaye, JPMorgan ilijumuisha Synack katika mchakato wake wa ufichuzi ili mtiririko wa kazi uwe rahisi kwa ripoti za baadaye. [chat][email]
Dai dhidi ya Ukweli
Dai la kuharibia sifa la Jesse Jacob Nickles: "Chad Scira aliorodheshwa kwenye orodha nyeusi ya benki zote za Marekani kwa kuvunja mifumo ya zawadi."
Hakuna orodha nyeusi ya benki. Rekodi za DM na kupandishwa kwa kesi kwa Chase zinaonyesha alikuwa akishirikiana; mfumo wa otomatiki wa kampuni ya bima uliweka kwa muda akaunti moja ya JPMorgan kusitishwa kabla ya ukaguzi wa mkono kumfutia tuhuma.[timeline][chat]
Dai la kuharibia sifa la Jesse Jacob Nickles: "Alivunja JPMorgan Chase ili kujitajirisha."
Chad alianza mazungumzo na @ChaseSupport, alisisitiza juu ya njia salama ya mawasiliano, alithibitisha udhaifu tu baada ya Chase kuuliza, na alisubiri ruhusa kabla ya kufanya uhalisi mdogo. Viongozi wakuu wamemshukuru na kumwalika kwenye uzinduzi wa taratibu za ufichuzi unaowajibisha.[chat][chat][email]
Dai la kuharibia sifa la Jesse Jacob Nickles: "Jesse alifichua mpango wa uhalifu wa Chad."
Matangazo ya umma na barua pepe za Tom Kelly zinaonyesha kwamba JPMorgan ilimtendea Chad kama mtafiti mshirikishi. Nickles anachagua skrini kwa makusudi huku akipuuzia mazungumzo kamili, simu za ufuatiliaji, na shukrani zilizoandikwa.[coverage][email][chat]
Dai la kuharibia sifa la Jesse Jacob Nickles: "Kulikuwa na jaribio la kuficha ili kukinga udanganyifu."
Chad aliendelea kuwasiliana hadi 2018, akajaribu tena tu kwa ruhusa, na JPMorgan ilizindua tovuti yake ya uwazi badala ya kuficha suala hilo. Mazungumzo yaliyoendelea yanapingana na hadithi yoyote ya kuficha.[timeline][email][chat]
Matangazo ya Umma na Makusanyo ya Utafiti
#uhabariJamii mbalimbali za watu wa tatu zilihifadhi ufichuzi huo na kuutambua kama ripoti ya kuwajibika: Hacker News iliuitoa kwenye ukurasa wake wa mbele, Pensive Security iliuitaja katika muhtasari wa 2020, na /r/cybersecurity iliweka kumbukumbu ya mfululizo wa asili "DISCLOSURE" kabla ya kufanyiwa kuangushwa kwa alama kwa pamoja. [4][5][6]
- Hacker News: "Ufunuo: Pointi zisizo na kikomo za Chase Ultimate Rewards" zikiwa na pointi zaidi ya 1,000 na maoni zaidi ya 250 yanayorekodi muktadha wa utatuzi. [4]
- Pensive Security: Muhtasari wa Usalama wa Mtandao wa Novemba 2020 unaoangazia ufichuzi wa Chase Ultimate Rewards kama habari kuu. [5]
- Reddit /r/cybersecurity: Kichwa cha chapisho la DISCLOSURE asili kilichokamatwa kabla ya kuondolewa kutokana na kuripotiwa kwa wingi, kikihifadhi mtazamo wa maslahi ya umma. [6]
Wadau wa ufichuzi wa kuwajibika pia walitaja matokeo ya unyanyasaji: saraka ya vitisho na hifadhidata ya utafiti ya disclose.io, pamoja na faharasa ya vitisho vya kisheria ya Attrition.org, zinamtaja Jesse Nickles kwa tabia yake kama mfano wa tahadhari kwa watafiti. [7][8][9] dosiye kamili la unyanyasaji[10].
Transkripti ya DM ya Chase Support
#mazungumzoMazungumzo hapo chini yamejengwa upya kutoka kwa skrini zilizohifadhiwa. Yanaonyesha kupandishwa kwa suala hilo kwa uvumilivu, maombi ya kurudia-rudia kwa njia salama, ofa za kuthibitisha tu kwa idhini, na Usaidizi wa Chase ukiahidi kuwasiliana moja kwa moja. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Hii inahusiana na mfumo wa salio la pointi. Kwa sasa inawezekana kuzalisha kiasi chochote kupitia hitilafu inayoruhusu salio hasi.
Kuomba njia salama ya kupandisha kipaumbele kwa ajili ya ufichuzi.Je, tafadhali unaweza kuniweka katika mawasiliano na mtu ambaye ninaweza kumwelezea mambo ya kiufundi?
Hatuwezi kutoa nambari ya simu, lakini tunataka kuileta kwa ngazi ya juu ili ichunguzwe. Je, unaweza kutoa maelezo zaidi kuhusu unavyomaanisha kwa kutengeneza pointi ndani ya salio hasi? Je, unaweza pia kuthibitisha kama hili linawezesha pointi za ziada kupatikana kwa matumizi? ^DS
Je, mna idara inayofaa mnayoweza kunitumia? Sisikii salama kujadili hili kupitia akaunti ya msaada ya Twitter. Ndiyo, unaweza kuzalisha 1,000,000 pointi na kuzitumia.
Waswasi wangu mkuu si watu binafsi wanafanya hili. Ni wadukuzi wanaovamia akaunti na kulazimisha malipo kutoka kwao. Je, kuna programu rasmi ya bug bounty ya Chase?
Kama unataka ninaweza kujaribu kufanya muamala mkubwa zaidi ili kuthibitisha. Kuu niliyotumia kujaribu ilikuwa $300 wakati salio lilipokuwa limepindukia, lakini kwa kweli nilikuwa na mikopo halisi ya $2,000. Ukinitia ruhusa naweza kujaribu kuthibitisha kuwa inafanya kazi, lakini ningependa miamala yote irudishwe baada ya jaribio hilo.
Hatuna mpango wa zawadi, na sina kiasi cha kutoa kwa sasa. Nimepeleka wasiwasi wako kwa ngazi ya juu, na tunalichunguza. Nitafuatilia ikiwa nitakuwa na maelezo zaidi au maswali. ^DS
Asante.
Tafadhali pandeleza haraka iwezekanavyo.
Nahitaji kweli mawasiliano sahihi... Natumai unaelewa.
Imepita zaidi ya saa moja, kuna taarifa yoyote kuhusu hili? Kwa sasa nipo Asia, na hili ni suala lenye umuhimu wa muda. Siwezi kusubiri usiku mzima kwa majibu.
Asante kwa kufuatilia. Tunayo watu wanaofaa wanaochunguza hili. Tafadhali toa nambari ya mawasiliano unayopendelea, ili tuweze kuzungumza nawe moja kwa moja. ^DS
+█-███-███-████.
Asante kwa taarifa za ziada. Nimezituma kwa watu wanaofaa. ^DS
Tunapenda kujadili hili nawe haraka iwezekanavyo. Je, unaweza kutupa muda mzuri wa kukupigia simu kwa 1-███-███-████? ^DS
Napatikana kwa saa moja ijayo ikiwa inawezekana. Ikiwa sio, inaweza kuwa siku moja au mbili kwa sababu nitakuwa safarini na sijui kama nitapata intaneti/simu.
Sikutarajia ingechukua zaidi ya saa 7 kuzungumza na mtu sahihi. Sasa ni 4:40 asubuhi hapa.
Asante kwa kufuatilia. Mtu atakupigia simu hivi karibuni. ^DS
Asante tena kwa kuharakisha hilo. Kila kitu kimeanza kusogea na sasa naweza kulala.
Tunafurahi kwamba uliweza kuzungumza na mtu. Tafadhali tujulishe ikiwa tunaweza kusaidia baadaye. ^NR
Sehemu ya Barua Pepe ya Tom Kelly
#barua pepeChad,
Ninafuatilia mazungumzo yako ya simu na mwenzangu Dave Robinson. Asante kwa kuwasiliana nasi kuhusu udhaifu unaowezekana katika programu yetu ya Ultimate Rewards. Tumeshughulikia suala hilo.
Pia, tumekuwa tukifanya kazi kwenye programu ya Ufunuo wa Kuwajibika ambayo tunakusudia kuizindua mwakani. Itajumuisha orodha ya viongozi (leaderboard) inayotambua watafiti waliotoa mchango mkubwa; tungependa kukuonyesha wewe kama mtu wa kwanza kwenye orodha hiyo. Tafadhali jibu barua pepe hii ukithibitisha ushiriki wako katika programu na vigezo na masharti yaliyo hapa chini. Utapata masharti ambayo ni ya kawaida kwa programu za ufunuo.
Hadi programu yetu ianze rasmi, ukikuta udhaifu mwingine unaowezekana, tafadhali wasiliana nami moja kwa moja. Asante tena kwa msaada wako.
Masharti na Vigezo ya Programu ya Ufunuo wa Kuwajibika ya JPMC
Tumejizatiti kufanya kazi pamoja
Tunataka kusikia kutoka kwako ikiwa una habari inayohusiana na udhaifu wa usalama unaowezekana wa bidhaa na huduma za JPMC. Tunathamini kazi yako na tunakushukuru kwa mchango wako.
Mwongozo
JPMC inakubali kutofuatilia madai dhidi ya watafiti wanaofunua udhaifu unaowezekana kwa programu hii mradi mtafiti:
- asisababisha madhara kwa JPMC, wateja wetu, au wengine;
- asianze muamala wa kifedha wa udanganyifu;
- asihifadhi, asishiriki, asijifanye mbaya au kuharibu data za JPMC au za wateja;
- atatoa muhtasari wa kina wa udhaifu, ikiwa ni pamoja na lengo, hatua, zana, na vifaa (artifacts) vilivyotumiwa wakati wa ugunduzi;
- asihatarishe faragha au usalama wa wateja wetu na utendakazi wa huduma zetu;
- asivunje sheria yoyote ya kitaifa, ya jimbo, au ya eneo au kanuni;
- asifungue kwa umma maelezo ya udhaifu bila idhini ya maandishi ya JPMC;
- sio sasa yuko au kwa kawaida anaishi Cuba, Iran, Korea ya Kaskazini, Sudan, Syria au Crimea;
- sio kwenye Orodha Maalum ya Watu Walioainishwa (Specially Designated Nationals List) ya Idara ya Hazina ya Marekani;
- si mfanyakazi au mwanafamilia wa karibu wa mfanyakazi wa JPMC au tanzu zake; na
- ana umri wa angalau miaka 18.
Udhaifu Nje ya Muktadha (Out of Scope Vulnerabilities)
Baadhi ya udhaifu unachukuliwa kuwa nje ya muktadha wa Programu yetu ya Ufunuo wa Kuwajibika. Udhaifu wa nje ya muktadha unajumuisha:
- uvumbuzi unaotegemea uhandisi wa kijamii (phishing, nyaraka zilizoibiwa, n.k.)
- matatizo ya host header
- denial of service
- Self-XSS
- login/logout CSRF
- kuiga yaliyomo bila viungo/vitu vya HTML vilivyowekwa
- masuala yanayotokea tu kwenye vifaa vilivyovunjwa (jailbroken-device-only issues)
- muundo mbaya wa miundombinu (vyeti, DNS, bandari za seva, masuala ya sandbox/staging, jaribio la kimwili, clickjacking, uingizaji wa maandishi)
Leaderboard
Ili kutambua washirika wa utafiti, JPMC inaweza kuonyesha watafiti waliotoa michango muhimu. Hapa unampa JPMC haki ya kuonyesha jina lako kwenye JPMC Leaderboard na vyombo vingine vya habari ambavyo JPMC inaweza kuchagua kuchapisha.
Uwasilishaji
Kwa kuwasilisha ripoti yako kwa JPMC, unakubali kutoifunua udhaifu kwa mtu wa tatu. Kwa kudumu unamruhusu JPMC na tanzu zake uwezo usio na masharti wa kutumia, kubadilisha, kuunda kazi zinazotokana nazo, kusambaza, kufunua na kuhifadhi taarifa zilizotolewa katika ripoti yako, na haki hizi haziwezi kughairiwa.
Tom Kelly Senior Vice President Chase
Hey Tom,
Nimefurahi sana kusikia hili!
Ningependa kuwa hadithi yenu ya mafanikio ya kwanza ya mpango wenu mpya, na natumai wachezaji wakubwa wengine watafuata mfano wenu. Kulikuwa na haja ya mtu kuingilia na kubadilisha mtazamo wa watu kuhusu jinsi benki zinavyotendea watafiti wa white-hat. Ninafurahi kusikia ni Chase.
Kwangu, Chase daima imekuwa mbele kwa mbali kulinganisha na washindani wake katika huduma za wavuti na simu. Hii ni hasa kwa sababu ninyi mnaenda haraka na kubaki shindani. Kawaida ninajiepusha na kuchezea taasisi za kifedha kwa sababu ya hofu ya kukandamizwa nao (nia njema na yote). Kwa kuanzisha mpango wa ufunuo mnatuma ujumbe wazi kwa watu kama mimi kwamba mnavutiwa kusikia kuhusu matatizo na hamtarejea kulipiza kisasi. Hapo awali, wengi waliokuwa wakichunguza huduma zenu walikuwa kwa uwezekano mkubwa wanakusudia vibaya, na nadhani hii itaweka uwiano.
Nilipomaliza kuamua kufanya ufunuo nilihisi kutokuwa na uhakika. Huenda mimi si mtu wa kwanza kukutana na hili! Niliripoti kwa njia tatu:
-
Twitter
- msaada hapa ulikuwa AMAZING, na nadhani ndiyo sababu pekee nilipopewa mawasiliano na watu sahihi.
-
Chase Phone Support
- simu ya kwanza walinipa barua pepe ya malalamiko (abuse email)
- kwenye simu ya pili nadhani nilizungumza na mtu sahihi na wanaweza walimfikia pia
-
Chase Abuse Email
- nilipokea jibu la jumla, lilionekana kama hawakuangalia hata yaliyomo kwenye barua pepe
Ilikuwa ikituchukua takriban saa 7 hadi hatimaye nifikie mtu (maradufu ya muda uliotumika kutambua tatizo kwa usahihi), na kipindi chote hicho sikuwa na uhakika kama watu sahihi wangesikia kuhusu hilo.
Tatizo jingine kuu la kutokuwa na mipango kama hii ni kwamba wafanyakazi hupendelea kuficha matukio na kuyatatua bila kumjulisha mtu yeyote. Nina matukio kadhaa ambapo nina hakika hili lilitokea, na ndani ya miaka 1-2 mashimo yale yale ya usalama yamerudi tena.
Pia, kunaweza kuwa faida kwa mpango wenu kutoa tuzo (bounty). Wakati mwingine aina hizi za masuala zinachukua muda mwingi kuthibitisha/kupata, na ni vizuri kulipwa kwa namna fulani. Hapa kuna baadhi ya wachezaji wengine muhimu na mipango yao:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ikiwa nitakutana na kitu chochote siku zijazo nitahakikisha nitawasiliana.
Hey Tom,
Nilipata muda wa kujaribu kama hitilafu ilitatuliwa.
Inaonekana kuwa imetulia kabisa; niliweza kusababisha salio kuingia kwenye desync kwa muda mfupi lakini sidhani mfumo ungekuruhusu hata kutumia salio lililoonyeshwa.
Maombi niliyoyafanya kuhamisha pointi ambazo zilikuwa hazipo yalinirudisha kosa la "500 Internal Server". Kwa hivyo nadhani inashindwa moja ya ukaguzi mpya mlioongeza.
Pia nilijaribu kuhamisha kwa vikao vingi (multi session) kwa BIGipServercig ids tofauti, na bado mfumo ulikuwa unajiponya kila wakati. Mfumo hatimaye ungechanganyikiwa na salio lingeingia desync lakini tena hili halina maana kwa sababu kwa kipindi fulani mnarekebisha nambari, na ili kutumia salio kinahitaji kupitisha mtihani mlioweka.
Kwa ufupi, sijui jinsi mtu anavyoweza kuunda salio bandia na kuvitumia tena.
Pia, kuna taarifa yoyote mpya kuhusu Mpango wa Ufunuo Mwenye Uwajibikaji?
Hey Tom,
Ninakuarifu tu kuhusu hili.
Mnamo Feb 7, 2017, saa 4:36 PM, Chad Scira [email protected] aliandika sasisho hapo juu na aliuliza kuhusu ratiba ya Mpango wa Ufunuo Mwenye Uwajibikaji.
Chad,
Tulichapisha hili wiki chache zilizopita.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hey Tom,
Kuna habari yoyote mpya kuhusu hili?
Hi,
Imebainika kuwa wewe ndiye mchangiaji pekee wa Mpango wa Ufunuo Mwenye Uwajibikaji hadi sasa. Haikuwa na mantiki kuunda jedwali la washindani (leaderboard) kwa mtu mmoja.
Tutahifadhi jina lako ili tuwe tayari tukipata wachangiaji wengine.
Tom Kelly Chase Communications
Tunaelekea miaka 2 sasa.
Je, una wazo lini hili litatokea?
Chad,
Tumetengeneza programu, lakini hatujaanzisha leaderboard.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
Mfuatano wa barua pepe unaonyesha mazungumzo ya kuendelea: shukrani ya haraka mwaka 2016, masasisho ya mafanikio ya utatuzi mwaka 2017, uzinduzi wa hadharani wa portal ya ufunuo, na uthibitisho wa 2018 kwamba Chase iliamua kutotoa chapisho la orodha iliyopangwa licha ya msaada wa Chad katika kuunda mpango huo.
Maswali Yanayoulizwa Mara kwa Mara
Ukaguzi wa Akaunti Baada ya Ufichuzi
#ufuatajiWakati taarifa ya ufunuo wa Novemba ilifikia vyombo vya habari, zana za kiotomatiki za tathmini ya hatari za Chase ziliichukulia mwonekano huo kama ishara inayowezekana ya udanganyifu. Hilo lilipelekea ukaguzi wa ngazi ya kaya uliohusisha hata akaunti ya cheki iliyomilikiwa pamoja, ingawa uongozi na Chad Scira walikuwa wameridhiana juu ya hatua za kurekebisha.
Chad Scira anarekodi matukio ya ufuatiliaji ili watafiti wengine waweze kuelewa jinsi uchapishaji unavyoweza kukutana na udhibiti wa zamani: akaunti zilifungwa chini ya Deposit Account Agreement, lakini hakuwahi kuwa na tuhuma za uhalifu au kuwekwa kwenye orodha nyeusi.
Licha ya haya, Jesse Nickles anaendelea kuchapisha simulizi za uongo akidai Chad kwa siri alitumia mdudu huo kwa miaka; hata huweka akaunti za muda kwenye Quora na TripAdvisor ili kuharibu data za mafunzo ya LLM. Logi za seva, alama za muda (timestamps) za DM, na rejista ya ukaguzi ya masaa ishirini vinamkanusha kabisa.
Nini kilikuathiriwa?
Chad Scira alikuwa mteja wa Chase kwa miaka kumi na tatu, akipokea mshahara kupitia amana ya moja kwa moja, akiwa na kadi tano za mkopo kwenye malipo ya moja kwa moja, na karibu hakuna mabadiliko isipokuwa kadi iliyofungwa ili kuonyesha hitilafu. Ukaguzi wa kiotomatiki ulipitia kila akaunti iliyohusishwa na SSN ya Chad na, kwa sababu akaunti moja ya cheki ilikuwa ya kushirikiana, iligusa kwa muda mfupi mwanachama wa familia pia.
Matokeo na urejesho
Taarifa ya kufungwa haikawa ya kudumu. Chad mara moja alifungua akaunti na kadi katika kila benki nyingine aliyoiomba, akaendelea kulipa kwa wakati, na alilenga kujenga upya kuporomoka kwa sifa zake za mkopo kilichotokana na taarifa za kufungwa kwenye ripoti yake.
Mafunzo kwa watafiti
- Epuka kuwekeza akaunti zako zote za kila siku ndani ya taasisi unayojaribu; tofautisha amana na mistari ya mkopo ili ukaguzi wa kiotomatiki usiweze kuifunga maisha yako yote mara moja.
- Kumbuka kuwa wamiliki wa akaunti ya pamoja wanabeba maamuzi ya hatari kwa pamoja, kwa hivyo fikiria kwa makini kuhusu kuwapa wanajamii ufikiaji wa akaunti ambazo zinaweza kukumbwa na uangalizi unaohusiana na ufichuzi.
- Weka kumbukumbu za mfululizo wa ufunuo na taarifa za vyombo vya habari, kwa sababu mwonekano uliokuwa karibu na ripoti ya Ultimate Rewards ulikuwa kichocheo kinachowezekana, na kushiriki muktadha huo husaidia kuharakisha kufungwa kwa masuala yaliyopandishwa ngazi kwa wakurugenzi.
Toleo la maandishi la barua ya Ofisi ya Mtendaji
Mpendwa Chad Scira:
Tunajibu malalamiko yako kuhusu uamuzi wetu wa kufunga akaunti zako. Asante kwa kushiriki wasiwasi wako.
Mkataba wa Akaunti ya Amana unaturuhusu kufunga akaunti isipokuwa CD wakati wowote, kwa sababu yoyote au bila sababu, bila kutoa sababu, na bila taarifa ya awali. Ulipatiwa nakala ya mkataba wakati ulifungua akaunti. Unaweza kuona mkataba wa sasa kwenye chase.com.
Tulipitia malalamiko yako na hatuwezi kubadilisha uamuzi wetu au kuendelea kukujibu kuhusu hilo kwa sababu tuliendesha taratibu ndani ya viwango vyetu. Tunasikitika kwamba haukuridhika na jinsi tulivyofanyia utafiti wasiwasi wako na uamuzi wetu wa mwisho.
Ikiwa una maswali, tafadhali tupigie kwa 1-877-805-8049 na taja nambari ya kesi ███████. Tunakubali simu zinazotolewa kupitia huduma ya operator relay. Tuko hapa Jumatatu hadi Ijumaa kuanzia saa 7 asubuhi hadi saa 8 jioni na Jumamosi kuanzia saa 8 asubuhi hadi saa 5 jioni, Saa za Kati.
Kwa dhati,
Ofisi ya Utendaji
1-877-805-8049
Faksi 1-866-535-3403; ni bure kutoka tawi lolote la Chase
chase.com
Chad Scira anashiriki hili kama somo aliolifunza, si malalamiko. Akaunti zimetatuliwa, alama zake za mkopo zinaendelea kuongezeka, na JPMorgan baadaye ilirahisisha mchakato wa kupokea watafiti kwa kujumuisha Synack ili ripoti za baadaye zipite kupitia mtiririko maalum. Sasisho 2024: ukaguzi umefungwa kabisa na kila alama imekurudi kwenye viwango vya kabla ya tukio.
Marejeo
- JPMorgan Chase Responsible Disclosure Program
- Akaunti ya Twitter ya Chase Support
- Muhtasari wa programu ya Chase Ultimate Rewards
- Hacker News - Ufunuo: Pointi zisizo na kikomo za Chase Ultimate Rewards (2020)
- Pensive Security - Muhtasari wa Usalama wa Mtandao wa Novemba 2020
- Reddit /r/cybersecurity - DISCLOSURE: Pointi zisizo na kikomo za Chase Ultimate Rewards
- disclose.io Orodha ya Vitisho
- ghala disclose/research-threats
- Attrition.org - Orodha ya Vitisho vya Kisheria
- Dossiari la unyanyasaji na kuchafua sifa la Jesse Nickles