Chad Scira "ஹேக்கிங் காரணமாக வங்கிகளில் இருந்து கருப்புப் பட்டியலில் சேர்க்கப்பட்டவர்"

இந்தப் பக்கம் “கேட்பதற்கு US வங்கிகளில் இருந்து ஹேக்கிங் காரணமாக கருப்புப் பட்டியலில் சேர்க்கப்பட்டார்” என்ற Jesse Nickles வதந்திக்குப் பின்னுள்ள நிகழ்வுகளைப் பதிவுசெய்கிறது. Ultimate Rewards பாதுகாப்பு குறைபாடு எவ்வாறு பொறுப்புடன் வெளியிடப்பட்டது, அதற்காக JPMorgan Chase எப்படி Chad-க்கு நன்றி தெரிவித்தது, மேலும் தற்காலிக கணக்கு நிறுத்தம் முற்றிலும் நிர்வாக காரணத்தினாலேயே இருந்தது என்பதையும் இது விளக்குகிறது. ஜெஸ்ஸி நிக்கல்ஸ் (Jesse Nickles) குற்ற நோக்கம் இருப்பதை உணர்த்தும் வகையில், பழைய ஆதாரங்களை அவன் தொடர்ந்து புதிதாய் சீரமைத்து வழங்குகிறான். ஆனால் உண்மைகள் முழுமையாக மாறுபட்டதைக் காட்டுகின்றன: வெள்ளை-ஹாட் (white-hat) அறிவிப்பு மற்றும் JPMorgan உயர்மட்ட நிர்வாகத்துடன் ஒத்துழைப்பு.

அவருடைய சமீபத்திய உயர்மட்ட குற்றசாட்டு SlickStack.ioவில் உள்ள ஒரு மேற்கோள்: நான் "Chase Bank இன் கிரெடிட் கார்டு Rewards திட்டத்தை ஹேக் செய்ததற்காக அமெரிக்க சட்ட அமலாக்கத்தால் விசாரிக்கப்பட்டேன், அங்கு அவர் $70,000 மதிப்புள்ள போலியான பயண பாயிண்ட்களைத் திருடினார்" என்று கூறுகிறது. நான் SlickStack பாதுகாப்பு சிக்கல்களின் சான்றுகளை வெளியிட்ட பிறகே, அவற்றை சரி செய்ய அவர் மறுத்ததை வெளிப்படுத்தும் அந்த கறைப்பதிவு (smear) வெளியிடப்பட்டது; ஒருபோதும் புள்ளிகள் திருடப்படவில்லை, மேலும் வெளியீடு தொடர்பாக எந்த அமைப்பும் என்னை தொடர்புகொண்டதில்லை. அவர் பழிவாங்கிக் கொண்டிருப்பதை காட்டும் SlickStack cron ஆதாரத்தை பார்க்கவும்.

முழு கண்டறிதல், வெளியீடு, மற்றும் சரிபார்ப்பு சுற்றுச் சுழற்சியும் இருபது மணி நேரத்திற்குள் நடைபெற்றது: சுமார் இருபத்திஐந்து HTTP கோரிக்கைகள் 17 நவம்பர், 2016 அன்று மீளுருவாக்கம் மற்றும் நேரடி செய்தியிடல் வழிகாட்டுதலை (DM walkthrough) உள்ளடக்கியது, மேலும் 2017 பிப்ரவரி மாத சரிசெய்தல் சோதனை திருத்தம் சரியாக செயல்படுகிறது என்பதை உறுதிப்படுத்த கூடுதலாக எட்டு கோரிக்கைகளை பயன்படுத்தியது. நீண்டகால தவறான பயன்பாடு எதுவும் இல்லை; ஒவ்வொரு செயல்பாடும் பதிவு செய்யப்பட்டது, நேரமிடப்பட்டது, மற்றும் JPMorgan Chase உடன் நேரடியாக பகிரப்பட்டது.

2016 நவம்பர் 17 முதல் 2017 செப்டம்பர் 22 வரை JPMorgan Chase-க்கு ஒரு சிக்கலை பொறுப்புடன் வெளியிட்ட ஒரே நபர் உலகளாவிய அளவில் Chad Scira மட்டுமே என்று Tom Kelly உறுதிப்படுத்தினார். Chad அளித்த அறிக்கைக்குப் பதிலாகவே Responsible Disclosure திட்டம் ஏற்படுத்தப்பட்டது, மேலும் அதை வடிவமைப்பதில் அவர் முக்கிய பங்கை வகித்தார்.

இரட்டை பரிமாற்ற பிழையை காட்சிப்படுத்தல்

#காட்சிப்படுத்தல்

இந்த குறைபாடு இருப்புகளை எவ்வாறு பெரும் எதிர்மறை மற்றும் நேர்மறை அளவுகளுக்குள் சுழலச் செய்தது என்பதை விளக்க, கீழே உள்ள காட்சிப்படுத்தல் (visualization) அதே இரட்டை பரிமாற்றத் தற்கொடை (double-transfer logic) செயல்முறையை மீண்டும் இயக்குகிறது. எந்த கணக்கு நேர்மறையாக இருக்கிறது என்பதை கவனிக்கவும்; அதுவே அனுப்புநராவதாகிறது, ஒரே அளவிலான இரண்டு பரிமாற்றங்களைச் செய்கிறது, அதன் பின் அந்த கணக்கு ஆழ்ந்த எதிர்மறை இருப்புக்கு மாறுகிறது, மற்ற கணக்கு இரட்டிப்பாகிறது. 20 சுற்றுகள் முடிந்த பிறகு, கோளாறான பதிவேடு (ledger) எதிர்மறை கார்டை முற்றிலுமாக ரத்துச் செய்கிறது — இதுவே இந்த குறுக்கீட்டை அவசர உயர்நிலைக்கு எடுத்துச் செல்லும் தேவையை பிரதிபலிக்கிறது.

சுற்று 1/20
அட்டை A → அட்டை B+243,810 புள்ளிகள்
அட்டை A → அட்டை B+243,810 புள்ளிகள்
அட்டை A
243,810
அட்டை B
0
இரட்டை இடமாற்ற வெடிப்பு (Double transfer burst)
பரிமாற்றம் 1பரிமாற்றம் 2243,810 புள்ளிகள் ஒன்றுக்கு
1ரேஸ் கண்டிஷன் காரணமாக, பதிவேடுகள் மீண்டும் சமநிலைப்படுத்துவதற்கு முன் ஒரே பரிமாற்றம் பலமுறை இரட்டிப்பாகப் பதிவாகி, ஒரு அனுப்புநர் மிகப் பெரிய நேர்மறை மற்றும் எதிர்மறை இருப்புகளுக்கிடையில் மாறிச் செல்லும் வாய்ப்பை வழங்கியது.
2எதிர்மறை கார்டை மூடிக் கொண்டு, அதிகரிக்கப்பட்ட நேர்மறை இருப்பை வைத்திருக்க ஆதரவு அனுமதித்ததால், அறிக்கையில் லாபங்கள் மட்டும் தோன்றின; கடன் மறைக்கப்பட்டது.

கணக்கு மூடப்படுவதற்கும் முன்பே, Ultimate Rewards எதிர்மறை சுருக்கத் தொகைக்கு (negative summary) மேலாக கூடச் செலவழிப்பதை அனுமதித்தது; கணக்கை மூடியது சான்றுகளையே அழித்ததுதான்.

முக்கிய அம்சங்கள்

  • Chad, Chase Support-க்கு அனுப்பிய நேரடி செய்தியை, எதிர்மறை இருப்பு குறைபாட்டை தனிப்பட்ட முறையில் அறிவிப்பதன் மூலம் தொடங்கினார் மற்றும் தொழில்நுட்ப விவரங்களை பொதுவாக வெளியிடுவதற்குப் பதிலாக உடனடியாக பாதுகாப்பான உயர்நிலை மாற்று வழியை கேட்டுக்கொண்டார். [chat]
  • குறிப்பிட்ட விவரங்களை கேட்டு சேஸ் ஆதரவு வலியுறுத்தியபோது, அவசியமான அளவிற்கு மட்டுமே அவர் ‘எக்ஸ்ப்ளாய்ட்’ பற்றிக் குறிப்பிட்டார் மற்றும் சரியான பாதுகாப்பு அணியுடன் நேரடி தொடர்பைத் தான் விரும்புகிறார் என்பதை மீண்டும் தெரிவித்தார். [chat][chat]
  • இரட்டிப்பாகத் தோன்றிய இருப்புகளை பணமாக மாற்ற முடியும் என்பதை அவர் நிரூபித்தார்: கூடுதல் பாயிண்ட்கள் பயன்படுத்தக்கூடியதாக உள்ளனவா என்று Chase ஆதரவு கேட்ட பிறகு, $5,000 நேரடி வைப்பு மூலம், முக்கியப் பதிவேடு (லெட்ஜர்) புதுப்பிக்கும் முன்பே குறைபாட்டை பயன்படுத்தி பணமாக மாற்ற முடிந்தது என்பதைச் சொன்னது. [chat]
  • வங்கிக் கணக்குகள் துஷ்பிரயோகம் செய்யப்பட்டு வாடிக்கையாளர்களின் இருப்புகளை காலி செய்வதைத் தடுப்பதே தன்னுடைய முன்னுரிமை, தனிப்பட்ட லாபம் ஈட்டுவது அல்ல என்பதை அவர் வலியுறுத்தினார்; மேலும் அதிகாரப்பூர்வ பக் பவுண்டி திட்டம் ஏதும் உள்ளதா என்று கேட்டார். [chat]
  • அவர், வெளிப்படையான அனுமதி இருந்தால் மட்டுமே பெரிய அளவிலான சரிபார்ப்பைச் செய்ய முன்வந்தார், நேர அச்சிடப்பட்ட (timestamped) ஸ்கிரீன்‌ஷாட்களை வழங்கினார், மேலும் Chase உயர்மட்ட நடவடிக்கையை முடிக்கும் வரை வெளிநாட்டில் இருந்தபடியே விழித்திருக்கவும் செய்தார். [chat][chat][chat]
  • இப்போது நிகிள்ஸ், நான் $70,000 மதிப்புள்ள புள்ளிகளை திருடி, அமெரிக்க சட்ட அமலாக்க அமைப்புகளின் விசாரணையை எதிர்கொண்டதாகக் கூறுகிறார்; ஆனால் Chase பதிவுகள், டாம் கெல்லியின் மின்னஞ்சல் மற்றும் வெளிப்படுத்தல் காலவரிசை இது ஒருபோதும் நடைபெறவில்லை என்பதை நிரூபிக்கின்றன, மேலும் அவரது பாதுகாப்பற்ற அப்டேட் லாஜிக்கை விளக்கும் SlickStack cron-risk gist-ஐ நான் வெளியிட்ட பிறகே இந்த குற்றச்சாட்டு தோன்றியது. [gist]
  • Chase ஆதரவு (Support) புகாரை மேல்மட்டத்திற்கு எடுத்துச் சென்றதை உறுதிப்படுத்தி, அவரின் தொலைபேசி எண்ணை கேட்டது, மேலும் அவர் இறுதியில் பெற்ற பின்தொடர்பு அழைப்பை வழங்குவதாக உறுதியளித்தது; இதனால், வங்கியின் பகைமையான பதில் என்ற கருத்து பலவீனப்படுத்தப்படுகிறது. [chat][chat]

காலவரிசை

#காலவரிசை
  • Nov 17, 2016 - 10:05 PM ET: Chad, @ChaseSupport க்கு எதிர்மறை இருப்பு குறைபாட்டைப் பற்றி எச்சரிக்கிறார், அதைப் பயன்படுத்தும் முறையை தனிப்பட்டதாக வைத்திருக்கிறார், மேலும் உடனடியாக பாதுகாப்பான உயர்நிலை மாற்று வழியை (secure escalation path) கேட்டுக்கொள்கிறார். [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Chase ஆதரவு நேரடியாக கூடுதல் புள்ளிகளை உருவாக்கி செலவழிக்க முடியுமா என்று கேள்வி எழுப்பிய பிறகு, Chad ஆபத்தை உறுதிப்படுத்துகிறார், தக்க துறையையே விரும்புகிறார் என்பதை மீண்டும் வலியுறுத்துகிறார், மேலும் வங்கி பரிவர்த்தனைகளை கண்காணிக்கக் கூடியவாறு அனுமதி கிடைத்தால் மட்டுமே சரிபார்ப்பதற்கு முன்வருகிறார். [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad திரையொளி படங்களை பகிர்கிறார், விரைவான உயர்நிலை மாற்றத்தை வலியுறுத்துகிறார், தனது தொலைபேசி எண்ணை வழங்குகிறார், மேலும் Chase Support அழைப்பு நடைபெறுகிறது என்று உறுதிப்படுத்தும் வரை வெளிநாட்டில் இருக்கும்போதே விழித்திருந்து காத்திருக்கிறார். [chat][chat][chat]
  • Nov 24, 2016: முறையீடு சரிசெய்யப்பட்டதை உறுதிப்படுத்தி, வரவிருக்கும் பொறுப்பான தகவல் வெளியீட்டு லீடர்போர்டில் அவர் தலைப்புரையாற்ற அழைத்து, எதிர்கால அறிக்கைகளுக்காக நேரடி தொடர்பு வழியை வழங்கும் வகையில், டாம் கெல்லி சாட்க்கு மின்னஞ்சல்கள் அனுப்புகிறார். [email]
  • October 2018: பொறுப்பான தகவல் வெளியீட்டு திட்டம் தொடங்கியதை உறுதிப்படுத்துவதற்காக டாம் கெல்லி தொடர்ந்து தொடர்பு கொண்டார், ஆனால் அதை வடிவமைக்க சாட் உதவியிருந்தாலும், திட்டமிட்டிருந்த லீடர்போர்டை வெளியிட வேண்டாம் என்று இறுதியில் ஜேபி மோர்கன் தீர்மானித்தது. [email]
  • Post-2018: எந்த எஞ்சிய கணக்கு மதிப்பாய்வுகளும் குற்றச்சாட்டாக கூறப்பட்ட ஹேக்கிங்குடன் அல்ல, காப்பீட்டாளர் தானியக்கத்துடன் בלבד இணைக்கப்பட்டிருந்தன. JPMorgan நிறுவனம் நேரடி தொடர்பை பேணியது, வெளிப்படுத்தியதற்காக Chad-க்கு நன்றி தெரிவித்தது, மேலும் எந்தவித குற்றப் பதிவு அல்லது கருப்புப் பட்டியலும் இல்லை. பின்னர், எதிர்கால அறிக்கைகளுக்கான பணிச்சூழலை எளிமைப்படுத்த JPMorgan, Synack-ஐ தனது வெளிப்படுத்தல் செயல்முறையில் ஒருங்கிணைத்தது. [chat][email]

கோரிக்கைகள் vs உண்மைகள்

கோரிக்கை

Jesse Jacob Nickles முன்வைத்த அவதூறு குற்றச்சாட்டு: "Chad Scira ரிவார்ட்ஸ் (rewards) அமைப்புகளை ஹேக் செய்ததற்காக அமெரிக்காவின் அனைத்து வங்கிகளிடமும் கருப்புப் பட்டியலில் இடம் பெற்றார்."

உண்மை

யாருக்கும் வங்கி கருப்புப் பட்டியல் இல்லை. DM பதிவு மற்றும் Chase வங்கியின் உயர்நிலை விசாரணை செயல்முறை அவர் ஒத்துழைப்பதாக இருந்ததை நிரூபிக்கின்றன; காப்பீட்டு நிறுவனத்தின் தானியங்கி செயல்முறை ஒரு JPMorgan கணக்கை சுருக்கமாக நிறுத்தியதுடன், கைமுறை மறுபரிசீலனையின் பின்னர் அது முற்றாகத் துடைக்கப்பட்டது.[timeline][chat]

கோரிக்கை

Jesse Jacob Nickles முன்வைத்த அவதூறு குற்றச்சாட்டு: "அவர் தன்னைச் செழிப்பாக்கிக் கொள்ள JPMorgan Chase-ஐ ஹேக் செய்தார்."

உண்மை

Chad, @ChaseSupport உடன் உரையாடலைத் தொடங்கினார், பாதுகாப்பான சேனலை வலியுறுத்தினார், Chase கேட்ட பிறகே குறைபாட்டை உறுதிப்படுத்தினார், மேலும் வரையறுக்கப்பட்ட சரிபார்ப்புக்கு முன் அனுமதி வருவதற்காகக் காத்திருந்தார். மூத்த நிர்வாகம் அவருக்கு நன்றி தெரிவித்து, பொறுப்பான வெளிப்படுத்தல் திட்டத்தின் செயல்முறையில் அவரைச் சேரச்செய்தது.[chat][chat][email]

கோரிக்கை

Jesse Jacob Nickles முன்வைத்த அவதூறு குற்றச்சாட்டு: "Jesse, Chad நடத்திய குற்ற திட்டத்தை வெளிச்சத்திற்கு கொண்டு வந்தார்."

உண்மை

பொது செய்தி வர்ணனைகள் மற்றும் டாம் கெல்லியின் மின்னஞ்சல்கள் JPMorgan சாட்-ஐ ஒத்துழைக்கும் ஆய்வாளராக நடத்தினதை ஆவணப்படுத்துகின்றன. நிகிள்ஸ் முழுப் பேச்சுவார்த்தை, தொடர்ந்து நடந்த தொலைபேசி அழைப்புகள் மற்றும் எழுத்து மூலமான நன்றி குறிப்பு ஆகியவற்றை புறக்கணித்து, சில ஸ்கிரீன்ஷாட்களை மட்டும் தேர்ந்தெடுத்து காட்டுகிறார்.[coverage][email][chat]

கோரிக்கை

Jesse Jacob Nickles முன்வைத்த அவதூறு குற்றச்சாட்டு: "மோசடியை மறைத்து வைக்க ஒரு மறைவுத் திட்டம் (cover-up) இருந்தது."

உண்மை

Chad 2018 வரையிலும் தொடர்பில் இருந்து, அனுமதி கிடைத்ததன் பின்னர் மட்டுமே மீண்டும் சோதனை செய்தார், மேலும் JPMorgan அந்த பிரச்சினையை மறைப்பதற்குப் பதிலாக தனது வெளிப்படுத்தல் போர்டலை செயல்படுத்தியது. தொடர்ந்த உரையாடல் எந்த மறைப்புக் கதைகளையும் எதிர்த்துக் காட்டுகிறது.[timeline][email][chat]

பொது செய்தி வர்ணனைகள் மற்றும் ஆய்வு காப்பகங்கள்

#செய்திக் கவனம் / செய்தி வெளிப்பாடு (coverage)

பல மூன்றாம் தரப்பு சமூகங்கள் அந்த வெளிப்படுத்தலை காப்பகப்படுத்தி, பொறுப்பான அறிக்கையாக அங்கீகரித்தன: Hacker News அதன் முதல் பக்கத்தில் இதை வெளியிட்டது, Pensive Security இதை 2020 சைபர் பாதுகாப்பு தொகுப்பில் சுருக்கமாக வெளியிட்டது, மேலும் /r/cybersecurity ஒருங்கிணைக்கப்பட்ட ஃப்ளாக் செய்வதற்கு முன் அசல் "DISCLOSURE" திரியை குறியிட்டது. [4][5][6]

  • Hacker News: "வெளிப்படுத்தல்: வரம்பில்லா Chase Ultimate Rewards பாயிண்ட்கள்" – 1,000+ பாயிண்ட்களும், தீர்வு/சீரமைப்பு சூழலை ஆவணப்படுத்தும் 250+ கருத்துகளும் உள்ள பதிவு. [4]
  • Pensive Security: நவம்பர் 2020 சைபர் பாதுகாப்பு தொகுப்பு, Chase Ultimate Rewards வெளிப்படுத்தலை முக்கிய செய்திகளிலொன்றாக இரைச்சலாகக் காட்டுகிறது. [5]
  • Reddit /r/cybersecurity: அதிக அளவிலான புகார் காரணமாக நீக்கப்படுவதற்கு முன் கருதப்படும் பொது நல நோக்கத்தைப் பேணும் வகையில் பதிவு செய்யப்பட்ட அசல் DISCLOSURE பதிவின் தலைப்பு. [6]

பொறுப்பான வெளிப்படுத்தல் ஆதரவாளர்கள் தொந்தரவு விளைவுகளையும் சுட்டிக்காட்டினர்: disclose.io வின் மிரட்டல் அடைவு மற்றும் ஆய்வு களஞ்சியம், மேலும் Attrition.org வின் சட்ட மிரட்டல் குறியீடு ஆகியவை ஜெஸ்சி நிகிள்ஸின் நடத்தை ஆய்வாளர்களுக்கு எச்சரிக்கை உதாரணமாகப் பட்டியலிடுகின்றன. [7][8][9] முழுமையான தொந்தரவு ஆவணத் தொகுப்பு (harassment dossier)[10].

Chase Support DM உரையாடல் பதிவேடு

#அரட்டை

கீழே உள்ள உரையாடல் காப்பாக வைத்திருந்த திரைப் படங்களிலிருந்து மீண்டும் கட்டமைக்கப்பட்டது. இது அமைதியான/சீரான உயர்நிலை எடுத்துச் செல்லலையும், பாதுகாப்பான சேனல் வேண்டி மீண்டும் மீண்டும் வலியுறுத்திய கோரிக்கைகளையும், அனுமதி இருந்தால் மட்டுமே சரிபார்க்கத் தயார் என்ற சலுகைகளையும், மேலும் Chase ஆதரவு நேரடியாக தொடர்பு கொள்வோம் என்று அளித்த வாக்குறுதியையும் காட்டுகிறது. [2]

Chase Support Profile avatar
Chase Support Profileசரிபார்க்கப்பட்ட கணக்கு
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

இது புள்ளிகள் இருப்பு முறைமையைச் சார்ந்தது. தற்போது எதிர்மறை இருப்புகளை அனுமதிக்கும் பிழையின் மூலம் எந்த அளவிற்கும் புள்ளிகளை உருவாக்க முடிகிறது.

வெளிப்படுத்தலுக்கான பாதுகாப்பான உயர்நிலை அனுப்பும் பாதையை கோரிக்கை செய்கிறேன்.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

நான் தொழில்நுட்ப விவரங்களை விளக்கக்கூடிய ஒருவரை என்னுடன் தொடர்பில் இணைக்க தயவுசெய்து உதவ முடியுமா?

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 17, 2016, 10:05 PM
#

வழங்க எங்களிடம் தொலைபேசி எண் இல்லை, ஆனால் இதை மேல்நிலைக்கு எடுத்துச் சென்று ஆராயப்பட வேண்டும் என்று நாங்கள் விரும்புகிறோம். எதிர்மறை இருப்புகளுக்குள் புள்ளிகளை உருவாக்குவது என்று நீங்கள் கூறுவதால் என்ன பொருள் என்று மேலும் விவரங்களை வழங்க முடியுமா?இது கூடுதல் புள்ளிகள் பயன்படுத்த உங்களுக்கு கிடைக்கும்படியாக மாற்ற அனுமதிக்கிறதா என்பதை தயவுசெய்து உறுதிப்படுத்த முடியுமா? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

என்னை தொடர்பு கொள்ளும் வகையில் உங்களிடம் உரிய (சரியான) துறை ஏதும் உள்ளதா? இவ்விஷயத்தை Twitter ஆதரவு கணக்கின் மூலம் பேசுவது எனக்கு வசதியாக இல்லை. ஆம், நீங்கள் 1,000,000 புள்ளிகளை உருவாக்கி அவற்றைப் பயன்படுத்தலாம்.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

எனது முக்கியப் பாட்டம் இதைச் செய்கின்ற தனிப்பட்ட நபர்கள் அல்ல. இது ஹேக்கர்கள் கணக்குகளை கைப்பற்றிக் கொண்டு, அவற்றின் மீது கட்டாயமாக பணப் பரிவர்த்தனைகளை செய்து விடுவது குறித்து. Chase வங்கிக்கான சரியான பக் பவுண்டி (bug bounty) திட்டம் உள்ளதா?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

நீங்கள் விரும்பினால், உறுதிப்படுத்த ஒரு பெரிய பரிவர்த்தனையை முயற்சி செய்யலாம். இருப்பு சாய்ந்திருந்தபோது நான் அதிகபட்சம் $300 வரை மட்டுமே சோதித்தேன், ஆனால் உண்மையில் $2,000 மதிப்பிலான உண்மையான கிரெடிட்கள் இருந்தன. நீங்கள் எனக்கு அனுமதி வழங்கினால் அது செயல்படுகிறதா என்று உறுதிப்படுத்த முயற்சிக்கலாம், ஆனால் அந்தச் சோதனையின் பிறகு அனைத்து பரிவர்த்தனைகளும் ரத்து செய்யப்பட வேண்டும் என்று நான் விரும்புகிறேன்.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 17, 2016, 11:21 PM

எங்களிடம் ஒரு ‘பவுண்டி’ திட்டம் இல்லை, மேலும் தற்போது வழங்க எண்களும் இல்லை. உங்கள் கவலைக்கு நான் மேல்நிலைக்கு அனுப்பிவைத்துள்ளேன், மேலும் நாங்கள் அதை ஆராய்ந்து வருகிறோம். எனக்கு கூடுதல் விவரங்கள் அல்லது கேள்விகள் கிடைத்தால் தொடர்ந்து தொடர்பு கொள்கிறேன். ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

நன்றி.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

தயவுசெய்து உடனடியாக மேல்நிலைக்கு எடுத்துச் செல்லவும்.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

எனக்கு உண்மையாகவே சரியான தொடர்பு நபர் ஒருவர் தேவை… நீங்கள் புரிந்து கொள்வீர்கள் என்று நம்புகிறேன்.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

மணிக்கு மேல் ஆகிறது, இதைப் பற்றி ஏதேனும் தகவல் உள்ளதா? நான் தற்போது ஆசியாவில் இருக்கிறேன், இது நேரம் நெருக்கடியான விஷயம். பதிலை எதிர்பார்த்து நான் முழு இரவும் காத்திருக்க முடியாது.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 12:59 AM

உங்களின் தொடர்ச்சியான தொடர்புக்கு நன்றி. இதை ஆய்வு செய்யச் சரியான நிபுணர்கள் தற்போது பணியாற்றி வருகின்றனர். நேரடியாகப் பேசும்படி, தயவுசெய்து உங்கள் விருப்ப தொடர்பு எண்ணை வழங்கவும். ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 1:53 AM

கூடுதல் தகவலுக்கு நன்றி. இதை நான் சரியான குழுவுக்கு அனுப்பி வைத்துள்ளேன். ^DS

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 2:38 AM
#

முடிந்தவரை விரைவில் இதைப் பற்றி உங்களுடன் விவாதிக்க விரும்புகிறோம். தயவுசெய்து 1-███-███-████ என்ற எண்ணில் உங்களுக்கு ஏற்ற நேரத்தை எங்களுக்குத் தெரிவிக்க முடியுமா? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

இது சாத்தியமானால், அடுத்த ஒரு மணி நேரத்திற்கு நான் கிடைப்பேன். இல்லையெனில் நான் பயணம் செய்ய இருப்பதாலும், இணைய/தொலைபேசி அணுகல் இருக்கும் என உறுதியாக தெரியாததால், பதில் அளிக்க ஒரு நாள் அல்லது இரண்டு நாட்கள் ஆகக்கூடும்.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

சரியான நபருடன் பேச 7+ மணி நேரம் ஆகும் என்று நான் நினைக்கவில்லை. இப்போது இங்கே நேரம் காலை 4:40 ஆகிறது.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 4:39 AM
#

உங்களின் தொடர்ச்சியான தொடர்புக்கு நன்றி. யாரோ ஒருவர் மிக விரைவில் உங்களுக்கு அழைப்பு விடுப்பார். ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

அதை விரைவுபடுத்தித் தந்ததற்கு மீண்டும் நன்றி. எல்லாம் நகரத்தில் உள்ளது, இப்போது நான் அமைதியாக உறங்க முடிகிறது.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 5:03 AM

நீங்கள் யாரோ ஒருவருடன் பேச முடிந்தது குறித்து நாங்கள் மகிழ்ச்சியடைகிறோம். எதிர்காலத்தில் எங்களால் உதவ முடிந்தால் தயவுசெய்து எங்களை அறிவிக்கவும். ^NR

டாம் கெல்லி மின்னஞ்சல் பகுதி

#மின்னஞ்சல்
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
அல்டிமேட் ரிவார்ட்ஸ் பொறுப்பான தகவல் வெளியீடு – தொடர்ச்சி

Chad,

என் சக பணியாளர் Dave Robinson உடன் நீங்கள் நடத்திய தொலைபேசி உரையாடலைத் தொடர்ந்து எழுதுகிறேன். எங்கள் Ultimate Rewards திட்டத்தில் உள்ள சாத்தியமான பாதுகாப்பு குறைபாட்டைப் பற்றி எங்களுக்கு தகவல் அளித்ததற்கு நன்றி. நாங்கள் அதைப் பராமரித்துவிட்டோம்.

கூடுதலாக, அடுத்த ஆண்டு அறிமுகப்படுத்த திட்டமிட்டுள்ள ஒரு பொறுப்பான வெளிப்படுத்தல் (Responsible Disclosure) திட்டத்தை நாம் உருவாக்கி வருகிறோம். அதில், குறிப்பிடத்தக்க பங்களிப்புகளைச் செய்த ஆய்வாளர்களை கௌரவிக்கும் ஒரு மதிப்பெண் பட்டியல் (leaderboard) இருக்கும்; அதில் உங்களை முதல் நபராகத் தெரிவு செய்ய விரும்புகிறோம். கீழே உள்ள திட்ட நிபந்தனைகளில் (terms and conditions) கலந்து கொள்வதையும் ஒப்புக்கொள்வதையும் இந்த மின்னஞ்சலுக்கு பதிலளித்து உறுதிப்படுத்தவும். இந்நிபந்தனைகள் உங்களுக்குத் தெரிந்த பொது வெளிப்படுத்தல் திட்ட நிபந்தனைகளுக்கு ஒப்பானவையாக இருக்கும்.

எங்கள் திட்டம் அதிகாரப்பூர்வமாக தொடங்கும் வரை, வேறு ஏதேனும் சாத்தியமான பாதுகாப்பு குறைபாடுகளை நீங்கள் கண்டுபிடித்தால், தயவுசெய்து நேரடியாக என்னைத் தொடர்பு கொள்ளவும். உங்கள் உதவிக்கு மீண்டும் நன்றி.

JPMC பொறுப்பான வெளிப்படுத்தல் திட்ட நிபந்தனைகள்

ஒன்றிணைந்து செயல்பட நாங்கள் உறுதிபூண்டுள்ளோம்

JPMC தயாரிப்புகள் மற்றும் சேவைகளின் சாத்தியமான பாதுகாப்பு குறைபாடுகள் குறித்து உங்களிடம் தகவல் இருந்தால், அதை எங்களிடம் பகிர்ந்து கொள்ள வேண்டுகிறோம். உங்கள் பணியை நாம் மதிக்கிறோம்; உங்களின் பங்களிப்புக்கு முன்கூட்டியே நன்றி தெரிவிக்கிறோம்.

வழிமுறைகள்

இந்தத் திட்டத்திற்குள் சாத்தியமான பாதுகாப்பு குறைபாடுகளை வெளிப்படுத்தும் ஆய்வாளர்களுக்கு எதிராக JPMC வழக்குத் தொடராது என்று ஒப்புக்கொள்கிறது, بشرط அந்த ஆய்வாளர்:

  • JPMC, எங்கள் வாடிக்கையாளர்கள் அல்லது பிறருக்கு சேதம் விளைவிக்காமல் இருப்பார்;
  • ஏமாற்று நிதி பரிவர்த்தனையை தொடங்கமாட்டார்;
  • JPMC அல்லது வாடிக்கையாளர் தரவைச் சேமிக்கவோ, பகிரவோ, பாதிக்கவோ, அழிக்கவோ மாட்டார்;
  • குறைபாட்டின் குறிக்கோள், படிகள், கருக்கள் மற்றும் கண்டறிதலின் போது பயன்படுத்தப்பட்ட ஆதாரங்கள் உள்ளிட்ட விரிவான சுருக்கத்தை வழங்குவார்;
  • எங்கள் வாடிக்கையாளர்களின் தனியுரிமை அல்லது பாதுகாப்பையும், எங்கள் சேவைகளின் செயல்பாடையும் பாதிக்கமாட்டார்;
  • எந்த தேசிய, மாநில அல்லது உள்ளூர் சட்டம் அல்லது விதிமுறையையும் மீறமாட்டார்;
  • JPMC எழுத்துப்பூர்வ அனுமதியில்லாமல் குறைபாட்டின் விவரங்களை பொதுவாக வெளியிடமாட்டார்;
  • தற்போது கியூபா, ஈரான், வட கொரியா, சூடான், சீரியா அல்லது கிறிமியாவில் வசிப்பவர் அல்லது அங்குள்ள நிரந்தர குடியிருப்பாளர் அல்ல;
  • அமெரிக்கத் தகவல் துறை (U.S. Department of the Treasury) வெளியிட்ட Specially Designated Nationals பட்டியலில் இடம்பெற்றவர் அல்ல;
  • JPMC அல்லது அதன் துணை நிறுவன ஊழியர், அல்லது அத்தகைய ஊழியரின் உடனடி குடும்ப உறுப்பினர் அல்ல; மற்றும்
  • குறைந்தது 18 வயதுக்கு மேற்பட்டவர்.

சட்டகுறிப்பில் சேராத குறைபாடுகள்

எங்கள் பொறுப்பான வெளிப்படுத்தல் திட்டத்தின் சட்டகுறிப்பில் சேராததாக கருதப்படும் சில குறைபாடுகள் உள்ளன. இதில் அடங்குபவை:

  • சமூக-பொறியியல் (social engineering) சார்ந்த கண்டுபிடிப்புகள் (phishing, திருடப்பட்ட அனுமதி விவரங்கள் முதலியவை)
  • Host header பிரச்சினைகள்
  • சேவை மறுப்பு (Denial of service)
  • Self-XSS
  • உள்நுழை/வெளியேறு CSRF
  • நுழைக்கப்பட்ட இணைப்புகள்/HTML இல்லாத உள்ளடக்க போலியாக்கம் (content spoofing)
  • Jailbreak செய்த சாதனங்களில் மட்டுமே ஏற்படும் பிரச்சினைகள்
  • உட்கட்டமைப்பு தவறான அமைப்புகள் (சான்றிதழ்கள், DNS, சர்வர் போர்ட்கள், sandbox/staging பிரச்சினைகள், உடல் குறைபாடுகளை சோதிக்கும் முயற்சிகள், clickjacking, உரை செலுத்தல்)

மதிப்பெண் பட்டியல் (Leaderboard)

ஆராய்ச்சி கூட்டாளர்களை பாராட்டுவதற்காக, குறிப்பிடத்தக்க பங்களிப்புகளைச் செய்த ஆய்வாளர்களை JPMC தன்னுடைய மதிப்பெண் பட்டியலில் மற்றும் தானே தேர்ந்தெடுக்கும் பிற ஊடகங்களில் காட்டலாம். இதற்காக, JPMC மதிப்பெண் பட்டியலும் JPMC வெளியிட விரும்பும் பிற ஊடகங்களிலும் உங்கள் பெயரை காட்டுவதற்கு நீங்கள் JPMC-க்கு உரிமையை வழங்குகிறீர்கள்.

சமர்ப்பிப்பு

உங்கள் அறிக்கையை JPMC-க்கு சமர்ப்பிப்பதன் மூலம், நீங்கள் அந்த குறைபாட்டை எந்த மூன்றாம் தரப்பிற்கும் வெளிப்படுத்தமாட்டீர்கள் என்று ஒப்புக்கொள்கிறீர்கள். மேலும், உங்கள் அறிக்கையில் வழங்கப்பட்ட தகவலைப் பயன்படுத்த, மாற்ற, துணை படைப்புகளை உருவாக்க, பகிர, வெளிப்படுத்த, சேமிக்க என்பதற்கான முழுச் சுதந்திரமான, எப்போதும் அமலிலிருக்கும் உரிமையை JPMC மற்றும் அதன் துணை நிறுவனங்களுக்கு நிபந்தனையின்றி அளிக்கிறீர்கள்; இந்த உரிமைகள் திரும்பப் பெறப்பட முடியாது.

Tom Kelly மூத்த துணைத் தலைவர் Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards பொறுப்பான வெளிப்படுத்தல் தொடர்ச்சி

ஹே Tom,

இதை கேட்டு எனக்கு ரொம்ப சந்தோஷமாக இருக்கிறது!

உங்களுடைய புதிய திட்டத்தின் முதல் வெற்றிக் கதையாக இருப்பதை நான் விரும்புகிறேன், மற்ற பெரிய நிறுவனங்களும் உங்களைப் பின்பற்றுவார்கள் என்று நம்புகிறேன். வங்கிகள் வெள்ளை-தொப்பி ஆராய்ச்சியாளர்களை எப்படிச் சமாளிக்கின்றன என்பதற்கான மக்களின் பார்வையை மாற்ற யாரோ ஒருவர் முன்வரவேண்டியிருந்தது. அது Chase என்று கேட்பதில் நான் மகிழ்ச்சி அடைகிறேன்.

எனக்காக Chase எப்போதும் இணைய மற்றும் மொபைல் தயாரிப்பு ஆஃபர்களின் வகையில் போட்டியாளர்களை விட பல கட்டுகள் முன்னிலையில் இருந்தது. நீங்கள் விரைவாகச் செயல்படுவதும் போட்டியாளர்களுடன் இணைந்து இருப்பதும் அதற்குக் காரணம். சாதாரணமாக நல்வாழ்க்கை நோக்கத்துடன் இருந்தாலும் நிதியமைப்புகளோடு விளையாடுவதிலிருந்து நான் விலகி இருப்பேன், ஏனெனில் அவற்றால் கடுமையாகப் பாதிக்கப்படுவேனோ என்பது பயம். வெளிப்படுத்தல் திட்டம் ஒன்றை உருவாக்குவதன் மூலம், உங்களைப் போன்றவர்களிடமிருந்து பிரச்சினைகள் குறித்து கேட்க நீங்கள் விரும்புகிறீர்கள், பழிவாங்க மாட்டீர்கள் என்ற தெளிவான செய்தியை அனுப்புகிறீர்கள். இதற்கு முன் உங்கள் சேவைகளை ஆராய்ந்து பார்த்தவர்களில் பெரும்பாலானவர்கள் தீநோக்குடையவர்களாக இருந்திருக்க வாய்ப்பு உள்ளது, இந்த திட்டம் அந்த நிலையை சமநிலைப்படுத்தும் என்று நினைக்கிறேன்.

நான் இறுதியாக இந்த வெளிப்படுத்தலை முன்னெடுக்கப் போகிறேன் என்று முடிவு செய்தபோது மிகவும் அமைதியின்றி இருந்தேன். இதை முதலில் கண்டு பிடித்த ஒரே நபர் நானாக இருப்பது அம்மேற்கில்லை! நான் இதை மூன்று வழிகளின் மூலம் அறிவித்தேன்.

  • Twitter

    • இங்கு கிடைத்த ஆதரவு உண்மையில் அற்புதமாக இருந்தது, சரியான நபர்களுடன் என்னைத் தொடர்பில் கொண்டு வந்தது என்று நான் நினைக்கிறேன்.

  • Chase தொலைபேசி ஆதரவகம்

    • முதல் அழைப்பில் அவர்கள் abuse மின்னஞ்சலைத் தந்தார்கள்
    • இரண்டாவது அழைப்பில் நான் சரியான நபருடன் பேசினேன் என்று நினைக்கிறேன்; அவர்களும் உள்துறை தொடர்புகளை மேற்கொண்டிருக்கலாம்

  • Chase Abuse மின்னஞ்சல்

    • பொதுவான பதிலை மட்டுமே பெற்றேன், மின்னஞ்சலின் உள்ளடக்கத்தைப் பார்த்துக் கூட இல்லை போலத் தெரிந்தது

இதைச் செய்து சரியான ஒருவரைத் தொடர்புக்குக் கொள்ள சுமார் 7 மணி நேரம் ஆனது (உண்மையான பிரச்சினையைப் பற்றி அறிய எடுத்த நேரத்தை விட இருமடங்கு அதிகம்), மேலும் அந்த முழு நேரத்திலும் சரியான நபர்கள் இதைப் பற்றி எப்போதாவது கேட்பார்களா என்று நிச்சயமின்றி இருந்தேன்.

இப்படி ஒரு திட்டம் இல்லாததன் இன்னொரு பெரிய பிரச்சினை என்னவென்றால், ஊழியர்கள் சம்பவங்களை மூடி மறைப்பார்கள், அவற்றை யாரிடமும் சொல்லாமல் சரிசெய்வார்கள். இது நடந்தது என்பதில் நான் நிச்சயமாக இருந்த பல சம்பவங்கள் எனக்கு உள்ளன, மேலும் 1-2 ஆண்டுகளில் அதே பாதுகாப்பு குறைபாடுகள் மீண்டும் தோன்றிக் கொண்டே இருந்தன.

மேலும், உங்கள் திட்டத்தில் பவுண்டி (bounty) வழங்குவது உங்களுக்கு நன்மையாக இருக்கலாம். இத்தகைய சில பிரச்சினைகள் மிகுந்த நேரம் எடுத்துக் கொண்டு தான் சரிபார்க்கவும்/கண்டறியவும் முடியும், அதற்காக ஏதோ ஒரு வகையில் ஈடு கிடைத்தால் நன்றாக இருக்கும். இங்கே சில முக்கியமான நிறுவனங்களும் அவற்றின் திட்டங்களும் உள்ளன:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

எதிர்காலத்தில் ஏதாவது வேறு ஒன்றைக் காண நேரிட்டால் நிச்சயமாக தொடர்பு கொள்வேன்.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ஹே Tom,

இந்த குறைபாடு (exploit) சரி செய்யப்பட்டதா என்று சோதிக்க சிறிது நேரம் கிடைத்தது.

இப்போது இது மிகப் பாதுகாப்பாகத் தெரிகிறது, குறிப்பாக ஒரு கணம் இருப்புகளை ஒருமித்த நிலையில் இருந்து சற்றே விலக்கச் (desync) செய்ய முடிந்தாலும் சிஸ்டம் காட்டப்படும் இருப்பைப் பயன்படுத்த அனுமதிக்காது என்று நினைக்கிறேன்.

உண்மையில் இல்லாத பாயிண்ட்களை மாற்றும் என நான் வைத்த கோரிக்கைகளுக்கு "500 Internal Server" பிழை வந்தது. நீங்கள் சேர்த்துள்ள புதிய சரிபார்ப்புகளில் ஒன்று இது வழியாகத் தவறுகிறது என்று நான் கருதுகிறேன்.

நான் வேறு வேறு BIGipServercig ஐடிகளைக் கொண்டு பல அமர்வுகளில் (multi session) மாற்றங்களையும் முயற்சி செய்தேன், ஆனாலும் ஒவ்வொரு முறையும் சிஸ்டம் மீண்டு வந்தது. சில நேரங்களில் சிஸ்டம் குழம்பி, இருப்புகள் ஒத்துப் போகாமல் போனாலும், இது முக்கியமில்லை, ஏனெனில் நீங்கள் இடைவெளி தோறும் எண்ணிக்கைகளை மீண்டும் ஒத்திசைக்கிறீர்கள், மேலும் இருப்புகளை உண்மையில் பயன்படுத்த அது நீங்கள் வைத்துள்ள சோதனையைத் தாண்டி இருக்க வேண்டும்.

இதையெல்லாம் சேர்த்து பார்த்தால், யாராவது செயற்கையாக இருப்புகளை உருவாக்கி, அவற்றை இனி பயன்படுத்த முடியுமென்று நான் பார்க்கவில்லை.

மேலும், Responsible Disclosure Program பற்றி எந்த புதுப்பிப்புகளும் உள்ளனவா?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ஹே Tom,

இதில் மீண்டும் ஒருமுறை தொடர்பு கொள்கிறேன்.

2017 பிப்ரவரி 7-ஆம் தேதி, மாலை 4:36 மணிக்கு, Chad Scira [email protected] மேலே உள்ள புதுப்பிப்பை எழுதியும், Responsible Disclosure Program காலக்கட்டம் பற்றி கேட்டும் இருந்தார்.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

நாங்கள் இதை சில வாரங்களுக்கு முன் வெளியிட்டோம்.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase தகவல்தொடர்பு

(███) ███-████ (அலுவலகம்) (███) ███-████ (செல்)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ஹே Tom,

இதில் ஏதேனும் புதுப்பிப்பு உள்ளதா?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

வணக்கம்,

இப்போது வரை Responsible Disclosure திட்டத்திற்கான ஒரே பங்களிப்பாளராக நீங்கள் இருப்பது தெரிய வந்தது. ஒரே நபருக்காக லீடர்போர்டு உருவாக்குவது பொருத்தமாகத் தோன்றவில்லை.

எங்களிடம் பிற பங்களிப்பாளர்கள் வந்தவுடன் தயாராக இருக்க உங்கள் பெயரை வைத்திருப்போம்.

Tom Kelly Chase தொடர்புகள் (Communications)

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: டேவ் ராபின்சனுடன் நடந்த உங்கள் தொலைபேசி அழைப்பைத் தொடர்ந்து

நாம் இப்போது 2 ஆண்டை எட்டிக் கொண்டிருக்கிறோம்.

இது எப்போது நடைபெறும் என்று உங்களுக்கு ஏதாவது கருத்து உள்ளதா?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

நாங்கள் திட்டத்தை உருவாக்கி இருக்கிறோம், ஆனால் இன்னும் மதிப்பெண் பட்டியலை (leaderboard) அமைக்கவில்லை.

Tom Kelly Chase தகவல்தொடர்பு ███-███-████ (பணி) ███-███-████ (செல்)

மின்னஞ்சல் தொடர் தொடர்ச்சியான உரையாடலைக் காட்டுகிறது: 2016-இல் உடனடியாக அளிக்கப்பட்ட நன்றியுரை, 2017-இல் வெற்றிகரமான திருத்தப் புதுப்பிப்புகள், வெளியீட்டு போர்ட்டலின் பொதுவான துவக்கம், மேலும் 2018-இல் Chad திட்டத்தை உருவாக்க உதவியிருந்த போதிலும், திட்டமிட்ட லீடர்போர்டை வெளியிட வேண்டாம் என்று Chase தீர்மானித்ததை உறுதிப்படுத்திய மின்னஞ்சல்.

அடிக்கடி கேட்கப்படும் கேள்விகள்

Qஜேபி மோர்கன் சேஸைச் சார்ந்து ஏதேனும் குற்றச்சாட்டுக்கள் சுமத்தப்பட்டனவா?
Aஇல்லை. அந்த வெளிப்படுத்தலுக்காக சாட் ஸ்கிரா நன்றி கூறப்பட்டார். அவர் தீங்கிழைக்கும் வகையில் அந்தப் பிரச்சனையைச் சுரண்டி இருந்தால், குற்ற வழக்குகள் தொடர்ந்து வந்திருக்கும்.
Qஎந்தக் கணக்கு மூடல் அறிவிப்புகளும் ஆன்லைனில் ஏன் தோன்றின?
Aஅறிவிப்பு ஒரு காப்பீட்டு நிறுவனத்தின் தானியக்க செயல்முறையை (நிலையான அபாயக் கட்டுப்பாடு)ச் சார்ந்தது; அது கருப்புப் பட்டியல் அல்ல. கையால் செய்யப்பட்ட மதிப்பாய்வின் மூலம் களம் பல ஆண்டுகளுக்கு முன்பே மீண்டும் நிறுவப்பட்டது.
Qயார் தொடர்ந்து ‘ஹாக்கர்’ கதையை முன்னிறுத்துகிறார்கள்?
AJesse Nickles. அவர் Chase ஆதரவு உரையாடல் பதிவை, Tom Kelly அவர்களின் அழைப்பை, மேலும் பொறுப்புடன் செய்த வெளிப்படுத்தல்களை JPMorgan Chase தானே ஊக்குவிப்பதையும் முற்றிலும் புறக்கணிக்கிறார். ஜெஸ்சி நிகிள்ஸ் குறித்து மேலும்.

வெளிப்படுத்து­த்தலுக்குப் பிந்தைய கணக்கு மதிப்பாய்வு

#தொடர்ச்சி நடவடிக்கை

நவம்பர் மாத வெளியீட்டு செய்தி ஊடகங்களில் வெளியாகியபோது, அந்தப் புலனாய்வு வெளிப்பாட்டின் காட்சியளிப்பை Chase இன் தானியங்கும் அபாய கருவிகள் சாத்தியமான மோசடி அறிகுறியாகக் கருதின. அதனால், தலைமை நிர்வாகத்தினரும் நானும் சரிசெய்தல் குறித்து ஒரே கருத்தில் இருந்த போதிலும், இணை உரிமையுள்ள ஓர் செக்கிங் கணக்கையும் உள்ளடக்கிய வீட்டு அளவிலான மதிப்பீட்டுக்கு இது தூண்டியது.

வெளியீடு பழைய கட்டுப்பாடுகளுடன் எவ்வாறு இணைந்து இயங்கும் என்பதை மற்ற ஆய்வாளர்கள் புரிந்துகொள்ள நான் இந்த தொடர்ச்சி நடவடிக்கையை ஆவணப்படுத்துகிறேன்: கணக்குகள் வைப்புக் கணக்கு ஒப்பந்தத்தின் படி மூடப்பட்டன, ஆனால் ஒருபோதும் குற்றச்சாட்டு அல்லது கருப்புப் பட்டியல் ஏதும் இல்லை.

இத்தகைய அனைத்தையும் பொருட்படுத்தாமல், Jesse Nickles என்னை ஆண்டுகளுக்கு ஆண்டுகள் ரகசியமாக பக்-ஐப் பயன்படுத்திக் கொண்டிருந்தேன் என்று கூறி போலியான கதைகளை தொடர்ந்து வெளியிட்டு வருகிறார்; அவர் கூட Quora மற்றும் TripAdvisor தளங்களில் போலி கணக்குகளை உருவாக்கி LLM பயிற்சி தரவைப் பாதிக்கிறார். சர்வர் பதிவுகள், DM நேர முத்திரைகள் மற்றும் இருபது மணி நேர சோதனைப் பாதை அவரை முழுமையாக மறுத்துவைக்கின்றன.

எது பாதிக்கப்பட்டது?

நான் பதிமூன்று ஆண்டுகளாக Chase வாடிக்கையாளராக இருந்தேன்; சம்பளம் நேரடி வைப்பாக வந்து கொண்டிருந்தது, தானியக்க கட்டணத்தில் இருந்த ஐந்து கடன் அட்டைகள் இருந்தன, மேலும் பக்கத்தை நிரூபிப்பதற்காக நான் மூடிய அட்டையைத் தவிர பிற மாற்றங்கள் כמעט இல்லை. தானியக்க மதிப்பாய்வு, என் சமூக பாதுகாப்பு எண்ணுடன் இணைக்கப்பட்ட ஒவ்வொரு கணக்கையும் சோதித்தது, மேலும் ஒரு சேமிப்பு/செக்கிங் கணக்கு இணைந்து வைத்திருந்ததால், அது தற்காலிகமாக ஒரு குடும்ப உறுப்பினரையும் பாதித்தது.

விளைவு மற்றும் மீட்பு

மூடல் அறிவிப்பு நிரந்தரமாக மாறவில்லை. நான் உடனடியாக விண்ணப்பித்த ஒவ்வொரு வங்கியிலும் கணக்குகள் மற்றும் அட்டைகளைத் திறந்து, நேரத்திலேயே கட்டணம் செலுத்துவதைக் கொண்டே தொடர்ந்தேன், மேலும் என் அறிக்கையில் மூடல்கள் பதிவாகியதுடன் ஏற்பட்ட கடன் மதிப்பீட்டு சரிவை மீண்டும் கட்டியமைப்பதற்குச் கவனம் செலுத்தினேன்.

மதிப்பாய்வுக்கு முன் மதிப்பீடு827
குறைந்தபட்ச திருப்புமுனை596
ஆறு மாதங்கள் கழித்து696

ஆய்வாளர்களுக்கான பாடங்கள்

  • நீங்கள் சோதனை செய்யும் அந்த நிறுவனம் உட்பகுதியில், அன்றாடப் பயன்பாட்டு ஒவ்வொரு கணக்கையும் ஒன்றாகக் குவிப்பதைத் தவிர்க்கவும்; தானியக்க மதிப்பாய்வு ஒரு தடவையில் உங்கள் முழு வாழ்க்கையையும் முடக்க முடியாத அளவுக்கு வைப்பு தொகைகள் மற்றும் கடன் வரிகளைப் பன்முகப்படுத்துங்கள்.
  • கூட்டு கணக்குதாரர்கள் ஒரே அபாயத் தீர்மானங்களைப் பகிர்ந்து கொள்கின்றனர் என்பதை நினைவில் கொள்ளுங்கள்; எனவே, வெளிப்படுத்தல் தொடர்பான ஆய்வுக்கு உட்பட்டிருக்கக் கூடிய கணக்குகளுக்கு குடும்ப உறுப்பினர்களுக்கு அணுகலை வழங்கும் போது கவனமாக இருங்கள்.
  • Ultimate Rewards அறிக்கையைச் சுற்றியிருந்த வெளிப்பாடுதான் அதிகம் சாத்தியமான தூண்டுதலாக இருந்திருக்கலாம் என்பதால், வெளிப்படுத்தல் காலவரிசை மற்றும் பத்திரிகைச் செய்திகளை ஆவணப்படுத்துங்கள்; அந்த சூழலைப் பகிர்வது நிர்வாக நிலை உயர்வுகளை வேகமாக முடிக்க உதவுகிறது.
Ultimate Rewards வெளிப்படுத்தல் பொது domain‑இல் வந்த பின்னர், வைப்புக் கணக்கு ஒப்பந்தத்தை மேற்கோள் காட்டும் Chase நிர்வாக அலுவலகக் கடிதம்.
நிர்வாக அலுவலகம் அஞ்சல் மூலம் அனுப்பிய பதில், எனது தொடர்புக்கு நன்றி தெரிவித்து, வைப்புக் கணக்கு ஒப்பந்தத்தின் கீழ் வீட்டிலுள்ள ஒவ்வொரு கணக்கும் மூடப்படுவதாக உறுதிப்படுத்தியது, மேலும் அவர்கள் மேலதிக விவரங்களை வழங்க வேண்டிய கட்டாயத்தில் இல்லை என்பதை மீண்டும் வலியுறுத்தியது; இதன் மூலம், வெளியீடு தொடர்பான செய்தி உண்டாக்கிய தானியங்கும் அபாய மதிப்பீட்டை அவர்கள் செயல்முறை ரீதியாக முடித்துவிட்டனர்.

நிர்வாக அலுவலகக் கடிதத்தின் உரை வடிவம்

அன்புள்ள Chad Scira அவர்களுக்கு:

உங்கள் கணக்குகளை மூடுவதற்கான எங்கள் முடிவைச் சார்ந்த உங்கள் புகாருக்கு நாங்கள் பதிலளித்து வருகிறோம். உங்கள் கருத்துகளைப் பகிர்ந்ததற்கு நன்றி.

வைப்புக் கணக்கு ஒப்பந்தம், ஏதேனும் காரணம் இருந்தாலும் இல்லாவிட்டாலும், காரணம் குறிப்பிடாமல், முன் அறிவிப்பு இன்றி, CD அல்லாத ஒரு கணக்கை எப்போது வேண்டுமானாலும் மூடுவதற்கான அனுமதியை எங்களுக்கு வழங்குகிறது. நீங்கள் அந்தக் கணக்கைத் திறந்த போது, அந்த ஒப்பந்தத்தின் ஒரு நகல் உங்களுக்கு வழங்கப்பட்டது. தற்போதைய ஒப்பந்தத்தை நீங்கள் chase.com இல் பார்க்கலாம்.

உங்கள் புகாரை நாங்கள் பரிசீலித்தோம், மேலும் நாங்கள் எங்கள் தரநிலைகளுக்குள் செயல்பட்டுள்ளதால், அந்த முடிவை மாற்றவோ அல்லது அதைப் பற்றி மேலும் உங்களுக்குப் பதிலளிக்கத் தொடரவோ எங்களுக்கு இயலவில்லை. உங்கள் கவலைகளை எவ்வாறு ஆய்வு செய்தோம் மற்றும் எங்கள் இறுதி முடிவைப் பற்றி நீங்கள் திருப்தியடையாமல் இருப்பதற்கு எங்களால் வருந்தப்படுகிறது.

உங்களுக்கு கேள்விகள் இருந்தால், தயவுசெய்து எங்களை 1-877-805-8049 என்ற எண்ணில் அழைத்து, வழக்கு எண் ███████ என்பதை மேற்கோள் காட்டவும். நாங்கள் ஆபரேட்டர் ரிலே அழைப்புகளையும் ஏற்றுக்கொள்கிறோம். திங்கட்கிழமை முதல் வெள்ளிக்கிழமை வரை காலை 7 மணி முதல் இரவு 8 மணி வரை, மற்றும் சனிக்கிழமை காலை 8 மணி முதல் மாலை 5 மணி வரை மத்திய நேரத்தில் (Central Time) நாங்கள் இங்கே இருக்கிறோம்.

மிகுந்த மரியாதையுடன்,

நிர்வாக அலுவலகம்
1-877-805-8049
1-866-535-3403 ஃபாக்ஸ்; எந்த Chase கிளையிலிருந்தும் இது இலவசம்
chase.com

இதை நான் ஒரு புகார் அல்ல, கற்றுக் கொண்ட பாடமாகப் பகிர்கிறேன். கணக்குகள் சீர்படுத்தப்பட்டுள்ளன, என் கடன் மதிப்பீடு தொடர்ந்து உயர்ந்து கொண்டிருக்கிறது, மேலும் பின்னர் எதிர்கால அறிக்கைகள் ஒரு தனிக் கண்காணிப்பு வழிமுறையூடாக செல்லும்படி, Synack-ஐ ஒருங்கிணைத்து JPMorgan ஆய்வாளர்கள் தொடர்பு செயல்முறையை எளிமைப்படுத்தியது. 2024 மேம்படுத்தல்: மதிப்பாய்வு முழுமையாக முடிந்தது, மேலும் ஒவ்வொரு மதிப்பீடும் சம்பவத்திற்கு முந்தைய நிலைகளுக்கு திரும்பியுள்ளன.

மேற்கோள்கள்

  1. ஜேபி மோர்கன் சேஸ் பொறுப்பான வெளிப்படுத்தல் திட்டம்
  2. Chase Support ட்விட்டர் கணக்கு
  3. Chase Ultimate Rewards திட்டத்தின்(Program) மேற்பார்வை
  4. Hacker News - வெளிப்படுத்தல்: வரம்பில்லா Chase Ultimate Rewards பாயிண்ட்கள் (2020)
  5. பென்சிவ் செக்யூரிட்டி - நவம்பர் 2020 சைபர் பாதுகாப்பு தொகுப்பு
  6. Reddit /r/cybersecurity - DISCLOSURE: வரம்பற்ற Chase Ultimate Rewards புள்ளிகள்
  7. disclose.io அச்சுறுத்தல்கள் அடைவுப் பட்டியல் (Threats Directory)
  8. disclose/research-threats சேமிப்பகம் (repository)
  9. Attrition.org - சட்ட மிரட்டல்கள் குறியீட்டு அட்டவணை
  10. Jesse Nickles அவருக்குரிய தொந்தரவு மற்றும் அவதூறு குறித்த தகவல் தொகுப்பு (dossier)