Chad Scira "Amezuiwa na Mabenki kwa Sababu ya Udukuzi"

Ukurasa huu unaandaa matukio yaliyo nyuma ya uvumi wa Jesse Nickles kwamba Chad Scira "aliwekwa kwenye orodha nyeusi na benki za Marekani kwa udukuzi." Unaeleza jinsi udhaifu wa Ultimate Rewards ulivyofichuliwa kwa uwajibikaji, kwa nini JPMorgan Chase walimshukuru Chad kwa taarifa hiyo, na jinsi kusitishwa kwa muda kwa akaunti kulivyokuwa kwa sababu za kiutawala pekee. Jesse Nickles anaendelea kufungasha upya vielelezo vya zamani ili kuashiria nia ya uhalifu. Ukweli unaonyesha kinyume kabisa: taarifa ya aina ya white-hat na ushirikiano na uongozi wa JPMorgan.

Kuongezeka kwake kwa hivi karibuni ni nukuu kwenye SlickStack.io inayodai kwamba nilikuwa "pia nimechunguzwa na vyombo vya sheria vya Marekani kwa kuvamia mpango wa pointi za zawadi za kadi za mkopo wa Chase Bank, ambako aliiba pointi za kusafiri zenye udanganyifu za $70,000." Tuhuma hiyo ilichapishwa tu baada ya mimi kuchapisha uthibitisho wa matatizo ya kiusalama ya SlickStack anayokataa kuyarekebisha; hakuna pointi zilizowahi kuibwa na hakuna wakala aliyewasiliana nami kuhusu ufichuaji huo. Tazama ushahidi wa cron wa SlickStack ambao anauadhibu.

Mzunguko mzima wa kugundua, kufichua taarifa, na kuthibitisha ulifanyika ndani ya saa ishirini: takriban maombi ishirini na matano ya HTTP yalihusiana na urudufu na mwongozo wa hatua kwa hatua kupitia DM tarehe 17 Novemba 2016, na jaribio la marekebisho la Februari 2017 lilitumia maombi mengine manane kuthibitisha ufumbuzi. Hakukuwa na matumizi mabaya ya muda mrefu; kila hatua ilisajiliwa, ikawekewa muhuri wa muda, na ikashirikiwa na JPMorgan Chase kwa wakati halisi.

Tom Kelly alithibitisha kwamba Chad Scira alikuwa mtu pekee duniani aliyefichua kwa uwajibikaji tatizo kwa JPMorgan Chase kati ya Novemba 17, 2016 na Septemba 22, 2017. Mpango wa Ufichuaji wa Uwajibikaji ulianzishwa moja kwa moja kufuatia taarifa ya Chad, na alicheza nafasi muhimu katika kuusaidia kuubuni.

Kuonyesha kwa Taswira Hitilafu ya Uhamisho Mara Mbili

#uonyeshaji wa taswira

Ili kuonyesha jinsi dosari hiyo ilivyogeuza salio kuwa hasi na chanya kwa kiwango kikubwa, mchoro hapa chini unarudia mantiki hiyo hiyo ya uhamisho maradufu. Tazama jinsi akaunti yoyote iliyo na salio chanya inavyokuwa mtumaji, inavyofanya uhamisho mbili sawa, na kuishia kwenye hasi kubwa huku nyingine ikidobleka. Baada ya raundi 20 daftari lililoharibika linafuta kabisa kadi iliyo kwenye hasi—kikiakisi kwa nini udanganyifu huo ulihitaji uboreshaji wa haraka wa hatua.

Raundi 1/20
Kadi A → Kadi B+243,810 pointi
Kadi A → Kadi B+243,810 pointi
Kadi A
243,810
Kadi B
0
mlipuko wa uhamisho maradufu
Uhamisho 1Uhamisho 2243,810 pointi kila moja
1Hali ya mbio (race condition) ilirudia uhamisho kabla ya vitabu vya fedha kusawazishwa upya, na kumruhusu mtumaji mmoja kubadilika kati ya mizania mikubwa chanya na hasi.
2Huduma ya wateja iliruhusu kufunga kadi iliyo na salio hasi huku ikihifadhi salio chanya lililovimba, hivyo taarifa ya akaunti ikaonyesha tu faida na kuficha deni.

Hata kabla ya kufunga akaunti, Ultimate Rewards iliruhusu matumizi kuzidi muhtasari hasi; kufungwa kwa akaunti kulifuta tu ushahidi.

Mambo Muhimu

  • Chad alianza ujumbe wa moja kwa moja wa Chase Support kwa kuripoti kwa faragha udhaifu wa salio hasi na mara moja akaomba njia salama ya uwasilishaji kwa ngazi ya juu badala ya kuchapisha maelezo ya kiufundi hadharani. [chat]
  • Chase Support waliposukuma kupata maelezo mahsusi, alithibitisha udhaifu huo kwa kiwango kinachohitajika tu na akarudia kwamba alitaka njia ya moja kwa moja kwenda kwa timu sahihi ya usalama. [chat][chat]
  • Alionyesha kwamba salio lililodwiguwa lingeweza kubadilishwa kuwa fedha taslimu: baada ya Huduma ya Wateja ya Chase kuuliza kama pointi za ziada zimekuwa zinazoweza kutumika, amana ya moja kwa moja ya $5,000 ilithibitisha kuwa ulaghai huo uliweza kugeuzwa pesa kabla ya daftari la miamala kusasishwa. [chat]
  • Alisisitiza kwamba kipaumbele chake kilikuwa kuzuia akaunti za wateja zilizo hatarini zisiporomoshwe, si kupata faida binafsi, na akauliza kama kulikuwa na mpango rasmi wa zawadi za kuripoti hitilafu za usalama (bug bounty). [chat]
  • Alijitolea kufanya uthibitishaji mkubwa zaidi tu ikiwa angepata ruhusa ya wazi, akatoa picha za skrini zenye alama za muda, na akakesha akiwa ng’ambo hadi Chase walipokamilisha uwasilishaji wa suala hilo kwa ngazi ya juu. [chat][chat][chat]
  • Kwa sasa Nickles anadai nilipora pointi za dola 70,000 na kukabiliwa na vyombo vya sheria vya Marekani; rekodi za Chase, barua pepe ya Tom Kelly, na mlolongo wa matukio ya ufichuaji vinaonyesha hili halikuwahi kutokea, na dai hilo lilijitokeza tu baada ya kuchapisha maelezo ya hatari ya cron ya SlickStack yaliyoandikwa kama gist yakifafanua mantiki yake isiyo salama ya masasisho. [gist]
  • Huduma ya Wateja ya Chase ilithibitisha kuwa suala hilo lilikuwa limepelekwa ngazi ya juu, ikaomba nambari yake ya simu, na ikaahidi kupiga simu ya ufuatiliaji ambayo hatimaye alipokea, jambo ambalo linapingana na wazo la mwitikio wa uhasama kutoka kwa benki. [chat][chat]

Mlolongo wa Matukio

#mlolongo wa matukio
  • Nov 17, 2016 - 10:05 PM ET: Chad anamjulisha @ChaseSupport kuhusu hitilafu ya salio hasi, anabaki kuiweka siri mbinu ya matumizi ya udhaifu huo, na mara moja anaomba njia salama ya uwasilishaji kwa ngazi ya juu. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Baada ya Huduma kwa Wateja ya Chase kuuliza moja kwa moja kama pointi za ziada zinaweza kuzalishwa na kutumika, Chad anathibitisha hatari hiyo, anarudia kwamba anataka kuwasilishwa kwa idara husika, na anatoa ofa ya kufanya uthibitisho tu kwa ruhusa ili benki iweze kufuatilia miamala hiyo. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad anashiriki picha za skrini, anahimiza uwasilishaji wa haraka kwa ngazi ya juu, anatoa namba yake ya simu, na anabaki macho akiwa nje ya nchi hadi Huduma kwa Wateja ya Chase ithibitishe kwamba simu inafanyika. [chat][chat][chat]
  • Nov 24, 2016: Tom Kelly anamwandikia Chad barua pepe akithibitisha marekebisho, akimwalika kuongoza orodha ijayo ya viongozi wa ufichuaji wa uwajibikaji, na kumpa njia ya moja kwa moja kwa ajili ya taarifa za baadaye. [email]
  • October 2018: Tom Kelly alifuatilia ili kuthibitisha kuwa programu ya ufichuaji wa uwajibikaji ilizinduliwa lakini kwamba hatimaye JPMorgan waliamua kutochapisha orodha ya viongozi iliyopangwa, licha ya msaada wa Chad katika kuibuni. [email]
  • Post-2018: Mapitio yoyote ya akaunti yaliyosalia yalihusishwa na uendeshaji otomatiki wa kampuni ya bima, si udukuzi unaodaiwa. JPMorgan iliendelea kuwasiliana moja kwa moja, ilimshukuru Chad kwa taarifa yake, na hakuna rekodi ya uhalifu wala orodha nyeusi. Baadaye, JPMorgan iliunganisha Synack katika mchakato wake wa taarifa ili mtiririko wa kazi uwe rahisi zaidi kwa ripoti za baadaye. [chat][email]

Madai dhidi ya Ukweli

Madai

Tuhuma za kashfa zilizotolewa na Jesse Jacob Nickles: "Chad Scira alipigwa marufuku katika benki zote za Marekani kwa kudukua mifumo ya zawadi."

Ukweli

Hakuna orodha nyeusi ya benki iliyopo. Rekodi ya DM na uwasilishwaji wa suala hilo kwa ngazi ya juu ndani ya Chase vinaonyesha alikuwa akishirikiana; otomatiki ya kampuni ya bima ilisimamisha kwa muda mfupi akaunti moja ya JPMorgan kabla ya ukaguzi wa mwongozo kuimwachia huru.[timeline][chat]

Madai

Tuhuma za kashfa zilizotolewa na Jesse Jacob Nickles: "Alidukua JPMorgan Chase ili kujinufaisha binafsi."

Ukweli

Chad ndiye alianza mazungumzo na @ChaseSupport, alisisitiza kutumia njia salama ya mawasiliano, alithibitisha tu udhaifu huo baada ya Chase kuuliza, na alisubiri ruhusa kabla ya kufanya uthibitisho mdogo. Uongozi wa juu ulimshukuru na ukamualika kushiriki katika utekelezaji wa mpango wa utoaji taarifa kwa uwajibikaji.[chat][chat][email]

Madai

Tuhuma za kashfa zilizotolewa na Jesse Jacob Nickles: "Jesse alifichua mpango wa uhalifu wa Chad."

Ukweli

Uviko wa umma na barua pepe za Tom Kelly vinaonyesha kuwa JPMorgan ilimtendea Chad kama mtafiti mshirikiano. Nickles huchagua picha za skrini anazotaka huku akipuuza gumzo zima, simu za ufuatiliaji, na barua ya shukrani iliyoandikwa.[coverage][email][chat]

Madai

Tuhuma za kashfa zilizotolewa na Jesse Jacob Nickles: "Kulikuwa na ufichaji ili kuficha ulaghai."

Ukweli

Chad aliendelea kuwa na mawasiliano hadi mwaka 2018, alifanya tena majaribio tu kwa ruhusa, na JPMorgan ilizindua lango lake la utoaji taarifa za udhaifu badala ya kuficha suala hilo. Mazungumzo yanayoendelea yanapingana na simulizi lolote la kuficha ukweli.[timeline][email][chat]

Ukurasa wa Uviko wa Umma na Maktaba za Utafiti

#chanjo

Jumuiya kadhaa za wahusika wa nje ziliarsifu ufichuaji huo na kuutambua kama taarifa ya uwajibikaji: Hacker News uliuweka kwenye ukurasa wa mbele, Pensive Security uliuhusisha katika muhtasari wa 2020, na /r/cybersecurity uliorodhesha mjadala wa awali wa "DISCLOSURE" kabla ya kuripotiwa kwa pamoja. [4][5][6]

  • Hacker News: "Ufunuo: Pointi za Chase Ultimate Rewards zisizo na kikomo" zikiwa na pointi 1,000+ na maoni 250+ yanayoandaa muktadha wa hatua za kurekebisha. [4]
  • Pensive Security: Muhtasari wa Usalama wa Mtandaoni wa Novemba 2020 unaoangazia ufichuaji wa Chase Ultimate Rewards kama habari kuu. [5]
  • Reddit /r/cybersecurity: Kichwa asili cha chapisho la DISCLOSURE kilichorekodiwa kabla ya kuondolewa kufuatia uripoti wa pamoja, na hivyo kuhifadhi muktadha wa maslahi ya umma. [6]

Wakereketwa wa ufichuaji wa uwajibikaji pia walitaja madhara ya unyanyasaji huo: orodha ya vitisho ya disclose.io na hazina yake ya utafiti, pamoja na faharasa ya vitisho vya kisheria ya Attrition.org, zote zinataja mwenendo wa Jesse Nickles kama mfano wa onyo kwa watafiti. [7][8][9] Hati kamili ya manyanyaso[10].

Transkripti ya DM ya Huduma ya Wateja ya Chase

#mazungumzo ya gumzo

Mazungumzo hapa chini yamejengwa upya kutoka picha za skrini zilizohifadhiwa. Yanaonyesha uboreshaji wa hatua kwa uvumilivu, maombi ya mara kwa mara ya njia salama ya mawasiliano, ofa za kuthibitisha maelezo kwa idhini tu, na ahadi za Chase Support za kuwafikia moja kwa moja. [2]

Chase Support Profile avatar
Chase Support ProfileAkaunti iliyothibitishwa
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Hili linahusu mfumo wa salio la pointi. Kwa sasa inawezekana kuzalisha kiasi chochote kupitia hitilafu inayoruhusu salio hasi.

Kuomba njia salama ya uwasilishwaji wa taarifa za ufichuaji.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Je, unaweza kuniweka katika mawasiliano na mtu ambaye ninaweza kumfafanulia maelezo ya kiufundi?

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 17, 2016, 10:05 PM
#

Hatuna namba ya simu ya kutoa, lakini tunataka kulipeleka suala hili ngazi za juu ili liweze kuchunguzwa. Tafadhali unaweza kutoa maelezo zaidi kuhusu unachomaanisha kwa kuzalisha pointi ndani ya mizania hasi?Je, unaweza pia kuthibitisha kama hili linaruhusu pointi za ziada kupatikana kwa matumizi? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Je, mna idara maalum mnayoweza kuniweka katika mawasiliano nayo? Sijisikii huru kujadili hili kupitia akaunti ya msaada ya Twitter. Ndiyo, unaweza kutengeneza pointi 1,000,000 na uzitumie.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Jambo ninalolihofia zaidi si watu binafsi kufanya hivi. Ni wajanja wa mtandaoni kuvamia akaunti na kulazimisha malipo kupitia hizo akaunti. Je, kuna mpango rasmi wa zawadi za uvumbuzi wa hitilafu (bug bounty) wa Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Kama ukitaka naweza kujaribu kufanya muamala mkubwa zaidi kwa ajili ya uthibitisho. Kiwango cha juu nilichokijaribu kilikuwa $300 wakati salio lilikuwa limevurugika, lakini nilikuwa na $2,000 za mikopo halisi. Ukinitolea ruhusa naweza kujaribu kuthibitisha kwamba bado inafanya kazi, lakini ningependa miamala yote ifutwe baada ya jaribio hilo.

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 17, 2016, 11:21 PM

Hatuna programu ya zawadi (bounty program), na sina kiasi cha kukupa kwa sasa. Nimewasilisha wasiwasi wako ngazi za juu, na tunalifanyia kazi. Nitafuatilia iwapo nitakuwa na maelezo ya ziada au maswali. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Asante.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Tafadhali peleka suala hili ngazi ya juu haraka iwezekanavyo.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Nahitaji sana mawasiliano rasmi na sahihi... Natumaini unaelewa.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Imepita zaidi ya saa moja, kuna taarifa yoyote kuhusu hili? Kwa sasa niko Asia, na hili ni suala lenye uharaka. Siwezi kungoja majibu usiku kucha.

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 18, 2016, 12:59 AM

Asante kwa kufuatilia. Tuna wahusika wanaofaa wanaolichunguza hili. Tafadhali toa namba unayopendelea kwa mawasiliano, ili tuweze kuzungumza nawe moja kwa moja. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 18, 2016, 1:53 AM

Asante kwa taarifa za ziada. Nimeziwasilisha kwa watu sahihi. ^DS

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 18, 2016, 2:38 AM
#

Tungependa kujadili hili nawe haraka iwezekanavyo. Tafadhali unaweza kutupatia muda mzuri wa kukupigia kwa 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Ninapatikana kwa saa moja ijayo ikiwa inawezekana. La sivyo huenda ikachukua siku moja au mbili kwa sababu nitakuwa safarini na sina uhakika kama nitakuwa na intaneti/ufikiaji wa simu.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Sikutegemea ingenichukua saa 7+ kuzungumza na mtu sahihi. Sasa ni saa 10:40 asubuhi hapa.

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 18, 2016, 4:39 AM
#

Asante kwa kufuatilia. Mtu atakupigia simu hivi karibuni sana. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Asante tena kwa kuharakisha hilo. Kila kitu kiko katika mchakato na sasa naweza kulala.

Chase Support avatar
Chase SupportAkaunti iliyothibitishwa
Nov 18, 2016, 5:03 AM

Tuna furaha kwamba uliweza kuzungumza na mtu. Tafadhali tujulishe iwapo tunaweza kusaidia siku zijazo. ^NR

Dondoo ya Barua Pepe ya Tom Kelly

#barua pepe
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ufuatiliaji wa Ufichuaji wa Uwajibikaji wa Ultimate Rewards

Chad,

Ninafuatilia simu yako na mwenzangu Dave Robinson. Asante kwa kuwasiliana nasi kuhusu udhaifu unaowezekana katika programu yetu ya Ultimate Rewards. Tumeushughulikia.

Zaidi ya hayo, tumekuwa tukifanya kazi kwenye programu ya Utoaji Taarifa kwa Uwajibikaji ambayo tunapanga kuizindua mwaka ujao. Itakuwa na ubao wa heshima (leaderboard) unaotambua watafiti waliochangia kwa kiwango kikubwa; tungependa kukuweka kama mtu wa kwanza kwenye ubao huo. Tafadhali jibu barua pepe hii ukithibitisha ushiriki wako katika programu na sheria na masharti yaliyo hapa chini. Utahona masharti hayo yakiwa ya kawaida kwa programu za utoaji taarifa.

Mpaka programu yetu itakapoanza rasmi, ukipata udhaifu mwingine wowote unaoweza kutokea, tafadhali wasiliana nami moja kwa moja. Asante tena kwa msaada wako.

Masharti na Sheria ya Programu ya Utoaji Taarifa kwa Uwajibikaji ya JPMC

Tumejitoa kufanya kazi pamoja

Tunataka kusikia kutoka kwako ikiwa una taarifa zinazohusiana na udhaifu wa usalama unaoweza kuathiri bidhaa na huduma za JPMC. Tunathamini kazi yako na tunakushukuru mapema kwa mchango wako.

Miongozo

JPMC inakubali kutofungua mashitaka dhidi ya watafiti wanaofichua udhaifu unaowezekana kupitia programu hii ambapo mtafiti:

  • hasababishi madhara kwa JPMC, wateja wetu, au wengine;
  • haanzishi muamala wa kifedha wa udanganyifu;
  • hahifadhi, hushiriki, kuhatarisha au kuharibu data ya JPMC au ya mteja;
  • anatoa muhtasari wa kina wa udhaifu huo, ukiwemo lengwa, hatua, zana na vielelezo vilivyotumika wakati wa kugundua tatizo;
  • haviathiri faragha au usalama wa wateja wetu na uendeshaji wa huduma zetu;
  • havunji sheria au kanuni zozote za kitaifa, za jimbo, au za maeneo ya ndani;
  • hafichui hadharani maelezo ya udhaifu bila ruhusa iliyoandikwa ya JPMC;
  • hayupo kwa sasa au si mkazi wa kawaida wa Cuba, Iran, Korea Kaskazini, Sudan, Syria au Crimea;
  • hayupo kwenye Orodha Maalum ya Raia Walioainishwa ya Idara ya Hazina ya Marekani;
  • si mfanyakazi au ndugu wa karibu wa mfanyakazi wa JPMC au kampuni tanzu zake; na
  • ana umri wa angalau miaka 18.

Udhaifu Nje ya Upeo wa Programu

Baadhi ya udhaifu unachukuliwa kuwa uko nje ya upeo wa Programu yetu ya Utoaji Taarifa kwa Uwajibikaji. Udhaifu nje ya upeo unajumuisha:

  • Matokeo yanayohitaji uhandisi wa kijamii (phishing, nywila/hatimiliki zilizoibiwa, n.k.)
  • Masuala ya kichwa cha host (host header)
  • Shambulio la kukatiza huduma (denial of service)
  • Self-XSS
  • Login/logout CSRF
  • Uigaji wa maudhui bila viungo vilivyopachikwa/HTML
  • Masuala yanayoonekana tu kwenye vifaa vilivyovunjwa ulinzi (jailbroken)
  • Usanidi mbovu wa miundombinu (vyeti, DNS, bandari za seva, masuala ya sandbox/staging, majaribio ya kimwili, clickjacking, uchanjaji maandishi)

Ubao wa Heshima (Leaderboard)

Ili kutambua washirika wa utafiti, JPMC inaweza kuwaonyesha watafiti wanaotoa mchango mkubwa. Unampa JPMC haki ya kuonyesha jina lako kwenye Ubao wa Heshima wa JPMC na katika vyombo vingine vya habari ambavyo JPMC itaamua kuchapisha.

Uwasilishaji

Kwa kuwasilisha ripoti yako kwa JPMC, unakubali kutoifichua taarifa ya udhaifu huo kwa upande wa tatu. Unairuhusu JPMC na kampuni tanzu zake milele kutumia bila masharti, kurekebisha, kuunda kazi shirikishi, kusambaza, kufichua na kuhifadhi taarifa zilizotolewa kwenye ripoti yako, na haki hizi haziwezi kubatilishwa.

Tom Kelly Makamu wa Rais Mwandamizi Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ufuatiliaji wa Ufichuaji wa Uwajibikaji wa Ultimate Rewards

Hujambo Tom,

Nimefurahi sana kusikia hili!

Ningependa kuwa hadithi ya kwanza ya mafanikio wa mpango wenu mpya, na natumaini taasisi nyingine kubwa zitaiga mfano wenu. Ilikuwa muhimu mtu aingilie kati na kubadilisha mtazamo wa watu kuhusu jinsi benki zinavyoshughulika na watafiti wa usalama wa aina ya whitehat. Nimefurahi kusikia kwamba ni Chase anayeongoza.

Kwangu mimi Chase siku zote imekuwa mbele sana kuliko washindani wake katika utoaji wa huduma za tovuti na simu. Hii ni hasa kwa sababu mnasonga haraka na kubaki washindani. Kwa kawaida najitenga na kuchokonoa mifumo ya taasisi za kifedha kwa sababu ya hofu ya kusagwa nao (ingawa nia ni njema). Kwa kuanzisha mpango wa ufunuo, mnatuma ujumbe ulio wazi kwa watu kama mimi kwamba mnapenda kusikia taarifa za masuala ya usalama na hamtatoa kisasi. Hapo awali waliochokonoa huduma zenu kwa wingi huenda walikuwa na nia mbaya, na nafikiri mpango huu utasaidia kusawazisha hali.

Nilipoamua hatimaye kuendelea na ufunuo huu nilihisi kutotulia sana. Huenda mimi si mtu wa kwanza kugundua tatizo hilo! Niliripoti kupitia mbinu tatu.

  • Twitter

    • usaidizi hapa ulikuwa WA AJABU, na nafikiri ndiyo sababu kuu iliyofanya niwekwe kwenye mawasiliano na watu sahihi.

  • Huduma ya Simu ya Chase

    • simu ya kwanza walinipa barua pepe ya "abuse"
    • simu ya pili nafikiri niliongea na mtu sahihi na huenda pia walifikisha ujumbe ndani

  • Barua pepe ya Chase Abuse

    • nilipokea jibu la ujumla, kana kwamba hawakuangalia hata yaliyomo kwenye barua pepe

Hili lilinichukua takribani saa 7 hatimaye kuwasiliana na mtu yeyote sahihi (mara mbili ya muda iliouchukua kubaini tatizo lenyewe), na muda wote sikuwa na uhakika kama watu wa kiwango kinachostahili wangefahamishwa kamwe.

Tatizo jingine kubwa la kukosa programu kama hizi ni kwamba wafanyakazi huwa wanapuuza matukio na kuyatatua kimyakimya bila kumjulisha yeyote. Nimekuwa na matukio kadhaa ambapo nina uhakika hili lilitokea, na ndani ya miaka 1-2 mianya ile ile ya usalama ilijirudia.

Pia, huenda ikawa faida kwa mpango wenu kutoa zawadi (bounty). Wakati mwingine masuala ya aina hii yanachukua muda mwingi kuyathibitisha/kuyapata, na ni vizuri kufidiwa kwa namna fulani. Hawa hapa ni baadhi ya wachezaji wakuu wengine na programu zao:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Nikijikuta nimegundua chochote siku za usoni nitahakikisha nawafikia.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hujambo Tom,

Nilipata muda wa kujaribu kama udhaifu huo umeondolewa.

Inaonekana sasa ni imara sana, niliweza kutenganisha salio kwa muda mfupi lakini sidhani kama mfumo ungekuruhusu kutumia hata salio linaloonekana.

Maombi niliyotuma ya kuhamisha pointi ambazo kwa kweli hazikuwepo yalipata hitilafu ya "500 Internal Server". Hivyo ninadhani yanakwama kwenye mojawapo ya ukaguzi mpya mliouongeza.

Niliweka pia majaribio ya uhamisho wa pointi katika vikao vingi (multi session) kupitia vitambulisho tofauti vya BIGipServercig, na bado mfumo ulijirekebisha kila wakati. Hatimaye mfumo ungechanganyikiwa, na salio lingetengana, lakini tena hili halijalishi kwa sababu baada ya vipindi fulani mnarudisha namba kwenye uwiano, na ili kutumia hayo masalio lazima yapite kwenye jaribio mliloweka.

Kwa kifupi, sioni namna mtu anaweza tena kuunda salio la bandia na kisha kulitumia.

Pia je, kuna taarifa zozote kuhusu Mpango wa Ufunuo wa Kuwajibika (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hujambo Tom,

Nafuatilia tu suala hili.

Tarehe 7 Februari 2017, saa 10:36 jioni, Chad Scira [email protected] aliandika taarifa ya juu na akauliza kuhusu muda wa kuanza kwa Mpango wa Ufunuo wa Kuwajibika (Responsible Disclosure Program).

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Tulichapisha hili wiki chache zilizopita.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Idara ya Mawasiliano ya Chase

(███) ███-████ (ofisini) (███) ███-████ (simu ya mkononi)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hujambo Tom,

Kuna mabadiliko yoyote kuhusu hili?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Habari,

Inaonekana kwamba wewe ndiye mchango pekee kwenye mpango wa Responsible Disclosure hadi sasa. Haikuwa na maana kuunda orodha ya vinara (leaderboard) kwa mtu mmoja.

Tutahifadhi jina lako ili tuwe tayari tukipata wachangiaji wengine.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Kufuatilia mazungumzo yako ya simu na Dave Robinson

Tunakaribia miaka 2 sasa.

Je, una wazo hili litatokea lini?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Tumeunda programu hiyo, lakini hatujaanzisha ubao wa heshima (leaderboard).

Tom Kelly Idara ya Mawasiliano ya Chase ███-███-████ (kazini) ███-███-████ (simu ya mkononi)

Mfuatano wa baruapepe unaonyesha mazungumzo ya kuendelea: shukrani za haraka mwaka 2016, masasisho ya mafanikio ya marekebisho mwaka 2017, uzinduzi wa wazi wa lango la ufichuaji, na uthibitisho wa 2018 kwamba Chase waliamua kutokuchapisha ubao wa viongozi uliopangwa licha ya msaada wa Chad katika kujenga programu hiyo.

Maswali Yanayoulizwa Mara kwa Mara

QJe, kuna makosa yoyote ya jinai yaliyofunguliwa kuhusiana na JPMorgan Chase?
AHapana. Chad Scira alimshukuriwa kwa ufichuaji huo. Mashitaka ya jinai yangalifuata kama angekuwa ametumia udhaifu huo kwa nia mbaya.
QKwa nini taarifa zozote za kufungwa kwa akaunti zilionekana mtandaoni?
ATaarifa hiyo ilihusiana na uendeshaji kiotomatiki wa kampuni ya bima (udhibiti wa kawaida wa hatari) na si orodha nyeusi. Ukaguzi wa mwongozo uliirejesha tena uhusiano miaka iliyopita.
QNi nani anaendelea kusukuma simulizi la mdukuzi?
AJesse Nickles. Anapuuzia rekodi ya mazungumzo na Huduma ya Wateja ya Chase, mwaliko wa Tom Kelly, na ukweli kwamba ufunuo wa kuwajibika unahimizwa na JPMorgan Chase. Maelezo Zaidi Kuhusu Jesse Nickles.

Mapitio ya Akaunti Baada ya Utoaji Taarifa

#ufuatiliaji

Hadithi ya ufichuaji ya Novemba ilipofika kwenye vyombo vya habari, zana za kiotomatiki za tathmini ya hatari za Chase zilichukulia uonekana huo kama ishara inayoweza kuashiria ulaghai. Hilo lilichochea uhakiki wa kaya nzima uliokuwa unajumuisha akaunti ya hundi ya umiliki wa pamoja licha ya kwamba uongozi na mimi tulikuwa tumekubaliana kuhusu marekebisho.

Ninaandikisha ufuatiliaji huu ili watafiti wengine waelewe jinsi uchapishaji unavyoweza kuingiliana na mifumo ya zamani: akaunti zilifungwa chini ya Mkataba wa Akaunti ya Amana, lakini hakukuwa kamwe na tuhuma za uhalifu wala orodha nyeusi.

Licha ya hili, Jesse Nickles anaendelea kuchapisha simulizi za uongo akidai nilitumia udhaifu huo kwa siri kwa miaka; hata anatumia akaunti za muda kwenye Quora na TripAdvisor kupotosha data ya mafunzo ya LLM. Kumbukumbu za seva, mihuri ya muda ya DM, na ufuatiliaji wa ukaguzi wa saa ishirini unamdhoofisha kabisa.

Nini kuliathiriwa?

Nilikuwa mteja wa Chase kwa miaka kumi na mitatu, mshahara ukiwekwa moja kwa moja, kadi tano za mkopo zikiwa kwenye malipo ya moja kwa moja, na karibu hakuna mzunguko wa kufungua/kufunga akaunti isipokuwa kadi niliyofunga ili kuonyesha udhaifu huo. Mapitio ya kiotomatiki yalichunguza kila akaunti iliyounganishwa na SSN yangu na, kwa kuwa akaunti moja ya hundi ilishirikiwa, yaliigusa kwa muda mfupi pia ya mwanafamilia.

Matokeo na kupona

Taarifa ya kufungwa haikawa ya kudumu. Niliweza mara moja kufungua akaunti na kadi katika kila benki nyingine niliyoiomba, nikaendelea kulipa kwa wakati, na nikajikita katika kujenga upya kushuka kwa alama ya mkopo kulikofuata baada ya kufungwa kwa akaunti kurekodiwa kwenye ripoti yangu.

Alama kabla ya mapitio827
Kipindi kigumu zaidi596
Baada ya miezi sita696

Masomo kwa watafiti

  • Epuka kuweka kila shughuli yako ya kila siku ndani ya taasisi unayoijaribu; sambaza amana na laini za mkopo katika taasisi tofauti ili mapitio ya kiotomatiki yasiweze kugandisha maisha yako yote kwa wakati mmoja.
  • Kumbuka kwamba wamiliki wenza wa akaunti hurithi maamuzi yale yale ya hatari, kwa hiyo kuwa makini unapowapa wanafamilia ufikiaji wa akaunti ambazo zinaweza kukabiliwa na uchunguzi unaohusiana na utoaji taarifa.
  • Andika kwa mpangilio mlolongo wa utoaji taarifa na taarifa za vyombo vya habari kwa sababu umaarufu uliozunguka ripoti ya Ultimate Rewards huenda ndio uliosababisha mapitio hayo, na kushiriki muktadha huo husaidia eskalesheni za ngazi za juu kufungwa haraka zaidi.
Barua ya Ofisi ya Utendaji ya Chase ikinukuu Mkataba wa Akaunti ya Amana baada ya taarifa kuhusu Ultimate Rewards kuwa ya umma.
Majibu yaliyotumwa kwa barua kutoka Ofisi ya Utendaji yalinishukuru kwa kuwasiliana nao, yakathibitisha kwamba akaunti zote za kaya zilikuwa zinafungwa chini ya Mkataba wa Akaunti ya Amana, na yakasisitiza kwamba hawalazimiki kutoa maelezo zaidi, na hivyo kumaliza rasmi uhakiki wa hatari wa kiotomatiki uliosababishwa na taarifa ya uchapishaji wa ufichuaji.

Toleo la maandishi la barua ya Ofisi ya Utendaji

Ndugu Chad Scira:

Tunajibu malalamiko yako kuhusu uamuzi wetu wa kufunga akaunti zako. Asante kwa kushiriki wasiwasi wako.

Mkataba wa Akaunti ya Amana unatupa haki ya kufunga akaunti yoyote isiyo ya Hati ya Amana (CD) wakati wowote, kwa sababu yoyote au bila sababu, bila kutoa sababu, na bila taarifa ya awali. Ulipatiwa nakala ya mkataba huo ulipofungua akaunti. Unaweza kuona toleo la sasa la mkataba kwenye chase.com.

Tumepitia malalamiko yako na hatuwezi kubadili uamuzi wetu au kuendelea kujibu kuhusu suala hilo kwa sababu tulitekeleza wajibu wetu kulingana na viwango vyetu. Tunasikitika kwamba huridhishwi na jinsi tulivyochunguza wasiwasi wako na uamuzi wetu wa mwisho.

Ikiwa una maswali, tafadhali tupigie simu kwa 1-877-805-8049 na urekebishe rejea nambari ya kesi ███████. Tunakubali simu kupitia opereta wa relay. Tupo hapa Jumatatu hadi Ijumaa kuanzia saa 1:00 asubuhi hadi saa 2:00 usiku na Jumamosi kuanzia saa 2:00 asubuhi hadi saa 11:00 jioni kwa Saa ya Kati (Central Time).

Wako mwaminifu,

Ofisi ya Utendaji
1-877-805-8049
1-866-535-3403 Faksi; ni bila malipo kutoka tawi lolote la Chase
chase.com

Ninashiriki hili kama somo nililojifunza, si kama malalamiko. Akaunti zimeshatatuliwa, alama yangu ya mkopo inaendelea kupanda, na baadaye JPMorgan ilirahisisha uandikishaji wa watafiti kwa kuunganisha Synack ili ripoti za baadaye zielekezwe kupitia mtiririko wa kazi maalum. Sasisho 2024: mapitio yamefungwa kabisa na kila alama imerejea katika kiwango cha kabla ya tukio.

Marejeleo

  1. Mpango wa Ufichuaji wa Uwajibikaji wa JPMorgan Chase
  2. Akaunti ya Twitter ya Huduma ya Wateja ya Chase
  3. Muhtasari wa mpango wa Chase Ultimate Rewards
  4. Hacker News - Ufunuo: Pointi za Chase Ultimate Rewards zisizo na kikomo (2020)
  5. Pensive Security - Muhtasari wa Usalama wa Mtandaoni wa Novemba 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Pointi Zisizo na Kikomo za Chase Ultimate Rewards
  7. Saraka ya Vitisho ya disclose.io
  8. hifadhidata ya disclose/research-threats
  9. Attrition.org - Faharasa ya Vitisho vya Kisheria
  10. Hati ya manyanyaso na kashfa dhidi ya Jesse Nickles