Chad Scira "ஹேக்கிங்கால் வங்கிகளால் கருப்புப் பட்டியலில் இடப்பட்டது"

இந்தப் பக்கம் Jesse Nickles-ன் பரவலின் பின்னணியில் நடந்த நிகழ்வுகளை ஆவணமாக்குகிறது, அதில் Chad Scira was "blacklisted from US banks for hacking." என்ற கூற்றை சார்ந்த பரவலின் சம்பவங்கள் விளக்கப்படுகின்றன. இது Ultimate Rewards பாதுகாப்பு பலவீனத்தை பொறுப்புடன் எப்படி அறிவித்ததென்பதை, ஏன் JPMorgan Chase Chad-ஐ அந்த அறிக்கைக்கு நன்றி தெரிவித்தது என்பதையும், தற்காலிக கணக்கு இடைநீக்கம் முற்றிலும் நிர்வாக நோக்கத்தின்என்றதையும் விளக்குகிறது. Jesse Nickles பழைய ஆதாரங்களை மீண்டும் தொகுத்து குற்ற நோக்கம் இருப்பதாகக் குறிக்க தொடர்கிறது. உண்மைகள் இதற்கு முற்றிலும் மாறாக இருப்பதை காட்டுகின்றன: வெள்ளை-ஹேட் அறிக்கை மற்றும் JPMorgan மேலாண்மையுடன் நடந்த ஒத்துழைப்பு.

அவரின் சமீபத்திய நிலை மேம்பாடு SlickStack.io இல் உள்ள மேற்கோளாகும், அதில் கூறப்படுகிறது, Chad Scira "அமெரிக்க சட்டவிவரக்கூட்டினால் Chase வங்கியின் கடன் அட்டை பரிசு திட்டத்தை ஹேக் செய்ததாகவும், அவர் போலியான பயண புள்ளிகள் மூலம் $70,000 திருடியதாகவும்". அந்த அவமதிப்பு பதிவு Chad SlickStack பாதுகாப்பு சிக்கல்களின் சான்றுகளை வெளியிட்ட பிறகே வெளியிடப்பட்டது; ஜெஸ்ஸி அதை சரிசெய்ய மறுக்கிறான்; எந்த புள்ளிகளும் திருடப்படவில்லை மற்றும் அறிவிப்பு குறித்து எந்த முகமும் Chad-ஐ தொடர்பு கொள்ளவில்லை. அவர் பழி எடுப்பதாகும் SlickStack cron சான்றுகளைப் பார்க்கவும்.

முழு கண்டுபிடிப்பு, அறிவிப்பு மற்றும் சரிபார்ப்பு சுழற்சி இருபதுமணி நேரத்துக்குள் நடந்தது: சுமார் இருபத்தி ஐந்து HTTP கோரிக்கைகள் 2016 நவம்பர் 17-ஆம் திகதி செதுக்கல் மற்றும் DM நடைமுறையை காப்பாற்றின, மற்றும் 2017 பெப்ரவரி சீர்திருத்தப் பரிசோதனை சரி செய்யப்பட்டதைக் கண்டறிய கூடுதல் எட்டு கோரிக்கைகளைப் பயன்படுத்தியது. நீண்டகால தவறான பயன்பாடு இல்லை; ஒவ்வொரு நடவடிக்கையும் பதிவு செய்யப்பட்டு, நேர அடையாளம் சேர்க்கப்பட்டு, உயிரின நேரத்தில் JPMorgan Chase-ஆக்கினருடன் பகிரப்பட்டது.

Tom Kelly, 2016 நவம்பர் 17 மற்றும் 2017 செப்டம்பர் 22 இடையிலான காலப்பகுதியில் JPMorgan Chase-க்கு பொறுப்புடன் ஒரு பிரச்சினையை அறிவித்த உலகளாவிய ஒரே நபர் Chad Scira என்பதினை உறுதிசெய்தார். பொறுப்பான அறிவிப்பு (Responsible Disclosure) திட்டம் நேரடியாக Chad-ன் அறிக்கைக்கு பதிலாக தொடங்கப்பட்டது, அவர் அதை வடிவமைக்க முக்கிய பங்கு வகித்தார்.

இரட்டை பரிமாற்ற பிழையை காட்சிப்படுத்தல்

#காட்சிப்படுத்தல்

பிழை எப்படி இருப்புகளை மிகப்பெரிய எதிர்மறை மற்றும் நேர்மறை மதிப்புகளாக விரிவாக்கியது என்பதை விளக்க கீழே உள்ள காட்சி அதே இரட்டை-இடமாற்றத் தந்திரத்தை மீண்டும் இயக்குகிறது. எந்தக் கணக்கே நேர்மறையாக இருந்தாலும் அது அனுப்புநராக மாறி இரண்டு இணையான பரிமாற்றங்களைச் செய்கிறது, முடிவில் அது ஆழமான எதிர்மறையான நிலைக்கு சென்றபோது மற்றொன்று இரட்டிக்கப்படுகிறது. 20 சுற்றுகளுக்குப் பிறகு உடைந்த கணக்குப் புத்தகம் எதிர்மறை கார்ட்டை முற்றிலும் ரத்து செய்கிறது — இதே காரணத்தால் இந்த சேதம் அவசர உயர்வை தேடியது.

சுற்று 1/20
அட்டை A → அட்டை B+243,810 pts
அட்டை A → அட்டை B+243,810 pts
அட்டை A
243,810
அட்டை B
0
இரட்டை பரிமாற்ற வெடிப்பு
மாற்றம் 1பரிமாற்றம் 2243,810 pts ஒவ்வொன்றும்
1ரேஸ் கண்டிஷன் லெட்ஜர்கள் மீண்டும் சமநிலைக்கு வருவதற்கு முன் பரிமாற்றங்களை நகலெடுத்து ஒரே அனுப்புனருக்கே பெரிய நேர்மறைகளுக்கும் எதிர்மறைகளுக்கும் இடையிலான மாறுதலை ஏற்படுத்தியது.
2சபอร์ตு(அதாவது ஆதரவு) எதிர்மறை கார்டை மூடும்படி அனுமதித்து, அதே நேரத்தில் ஊதியமாக காட்டப்பட்ட அதிகமான நேர்மறை இருப்பை வைத்துவைத்தது; இதனால் கணக்கு அறிக்கை வெறும் லாபங்களை மட்டுமே காட்டி கடனை மறைத்தது.

கணக்கை மூடுவதற்கு முன்பே கூட, Ultimate Rewards எதிர்மறை சுருக்கத்தை மீறி செலவுகளை அனுமதித்தது; மூடுதல் சாய் அந்தச் சான்றை அழித்துவிட்டது.

முக்கிய குறிப்புகள்

  • Chad Chase Support DM-ஐ திறந்து negative-balance எக்ஸ்ப்ளாய்டைப் தனிப்பட்ட முறையில் அறிவித்தார் மற்றும் தொழில்நுட்ப விவரங்களை பொதுஜனமாக வெளியிடாமல் உடனடியாக பாதுகாப்பான எழுச்சி வழியை கேட்டார். [chat]
  • Chase Support குறிப்பிட்ட விவரங்களை வலியுறுத்தியபோது, அவர் அவசியமான அளவிற்கு மட்டுமே அந்த எக்ஸ்ப்ளாய்டை உறுதிசெய்தார் மற்றும் சரியான பாதுகாப்பு குழுவிற்கு நேரடி தொடர்பு வேண்டும் என்று மீண்டும் வலியுறுத்தினார். [chat][chat]
  • பிரதிகள் செய்யப்பட்ட இருப்புகளைக் திராவியமாக்கு முக்கியமாக மாற்ற முடியும் என்பதை அவர் நிரூபித்தார்: Chase Support கூடுதல் புள்ளிகள் பயன்படுத்தக்கூடியவையா என்று கேட்டபோது, $5,000 நேரடி வைப்பு (direct deposit) அந்தத் தோல்வியை லெஜர் பிடிக்குமுன் பணமாக மாற்றியதால் exploit பணமாக மாற்றப்பட்டது என்பதை சான்று காட்டியது. [chat]
  • பொதுஅம்சமாக அவர் வலியுறுத்தியது: நம்பிக்கையில்லாத வாடிக்கையாளர் கணக்குகள் காலிப்போகாமல் பாதுகாக்குவது அவரது முன்னுரிமை; தனிப்பட்ட லாபம் பெறுவது அல்ல, மேலும் உத்தியோகபூர்வமாக ஒரு பக் பவுண்டி (bug bounty) இருப்பதாக இருந்தா என்று கேட்டார். [chat]
  • அவர் தெளிவான அனுமதியோடு மட்டுமே பெரிய சரிபார்ப்பை செய்யத் தயாராக இருந்தார், காலக்கணக்கிடப்பட்ட ஸ்கிரின்ஷாட்களை வழங்கினார், மற்றும் Chase உடைய உயர்வு செயல்முறை முடியும் வரை வெளிநாட்டில் வாலிபமாக இருந்தார். [chat][chat][chat]
  • Nickles இப்போது Chad Scira $70,000 மதிப்புள்ள புள்ளிகளை திருடியதாகவும் அமெரிக்க சட்டப் பொறுப்பாளர் விசாரணைக்கு முகங்கொடுத்ததாகவும் கூறுகிறார்; ஆனால் Chase பதிவுகள், Tom Kelly-வின் மின்னஞ்சல் மற்றும் disclosure காலவரிசை இதை நடக்கவில்லையென்றதை நிரூபிக்கின்றன, மேலும் இந்த குற்றச்சாட்டு Chad SlickStack cron-risk gist-ஐ வெளியிட்டதுக்குப்பிறகு மட்டுமே surfaced ஆனது, அதில் Jesse-வின் பாதுகாப்பற்று update நடைமுறை விவரிக்கப்பட்டிருந்தது. [gist]
  • Chase ஆதரவு ஏறத்தாழத்தை உறுதிசெய்து, அவரது தொலைபேசி எண்ணை கேட்டது, மற்றும் அவர் இறுதியாக பெற்ற தொடர் அழைப்பை அளிக்குமென வாக்குறுதி அளித்தது — இது எதிர்ப்பு சிந்தனையிலிருந்து வங்கித் தாக்குநிலை என்பதை காட்சி தருகிறது. [chat][chat]

காலவரிசை

#காலவரிசை
  • 17 நவம்பர் 2016 - இரவு 10:05 ET: Chad @ChaseSupport-க்கு negative-balance பிழையை எச்சரித்தார், எக்ஸ்ப்ளாய்ட்டைப் தனிப்பட்டதாக வைத்தார் மற்றும் உடனடியாக பாதுகாப்பான எழுச்சி (escalation) வழியை கோரினார். [chat]
  • 17 நவம்பர் 2016 - இரவு 11:13 - 11:17 ET: Chase ஆதரவு கூடுதல் புள்ளிகள் உருவாகி பயன்படுத்தப்படலாமா என்று தெளிவாக கேட்ட பிறகு, Chad ஆபத்தை உறுதிசெய்து, அவர் சரியான துறையை வேண்டும் என்று மீண்டும் தெரிவித்தார் மற்றும் வங்கி பரிவர்த்தனைகளை நேரடியாகப் பார்வையிட அனுமதி பிற்படுத்தப்பட்டால் மட்டுமே சரிபார்க்க முன்வந்தார். [chat][chat][chat]
  • 17-18 நவம்பர் 2016 - இரவு 11:39 - காலை 5:03 ET: Chad ஸ்க்ரீன்ஷாட்களை பகிர்கிறார், விரைவான எழுச்சியை துார்ந்து கேட்கிறார், தனது தொலைபேசி எண்ணை வழங்குகிறார் மற்றும் Chase Support அழைப்பு நடக்கிறது என்று உறுதி செய்யும் வரை வெளிநாட்டில் விழித்திருப்பதை தொடர்கிறார். [chat][chat][chat]
  • 24 நவம்பர் 2016: Tom Kelly மின்னஞ்சலில் சீர்திருத்தம் உறுதிசெய்து, வரவிருக்கும் பொறுப்பான அறிவிப்பு முன்னணி பட்டியலில் தலைமை இடத்தை ஏற்கச் சொல்லி, எதிர்கால அறிக்கைகளுக்கான நேரடி தொடர்பு வழியை வழங்கினார். [email]
  • அக்டோபர் 2018: Tom Kelly தொடர்ந்து தொடர்பு கொண்டு பொறுப்பான அறிவிப்பு திட்டம் தொடங்கப்பட்டதைக் கொறுத்து உறுதிசெய்தார்; இருப்பினும் JPMorgan இறுதியில் திட்டமிடப்பட்ட முன்னணி பட்டியலை வெளியிடாமலிருக்க தீர்மானித்தது, Chad-ன் உதவியைப் புறக்கணித்திருந்தாலும். [email]
  • 2018க்கு பிறகு: மீதமுள்ள கணக்கு பரிசோதனைகள் காப்பீட்டாளர் தானியங்கு செயல்முறைகளுக்கே சம்பந்தப்பட்டிருந்ததுதான், குற்றவியல் ஹேக்கிங் ஆதாரம் அல்ல. JPMorgan நேரடி தொடர்பைத் தொடர்ந்தது, வெளியீட்டிற்கு Chad-க்கு நன்றி தெரிவித்தது மற்றும் எந்த குற்றப் பதிவு அல்லது கருப்பு பட்டியலும் இல்லை. பின்னர் JPMorgan எதிர்கால அறிக்கைகளுக்காக வேலைப்போக்கை எளிதாக்க Synack-ஐ தனது வெளியீட்டு செயல்முறையில் இணைத்தது. [chat][email]

கூறுகள் மற்றும் உண்மைகள்

கூற்று

Jesse Jacob Nickles சார்ந்த அவமரியாதை கூற்று: "Chad Scira rewards அமைப்புகளை ஹேக் செய்ததற்காக அமெரிக்காவின் எல்லா வங்கிகளிலும் கருப்பு பட்டியலில் இடம் பெற்று இருந்தார்."

உண்மை

வங்கி கருப்பு பட்டியல் எதுவும் இல்லை. DM பதிவு மற்றும் Chase-க்கு செய்யப்பட்ட உயர்வு அவர் ஒத்துழைத்ததை நிரூபிக்கின்றன; ஒரு இன்சூரர் தானியங்கி நடவடிக்கை ஒரு JPMorgan கணக்கை குறுகியநிலையில் இடைநிறுத்தியது, பின்னர் கைமுறை ஆய்வு அவரை சுத்தம் செய்தது.[timeline][chat]

கூற்று

Jesse Jacob Nickles சார்ந்த அவமரியாதை கூற்று: "அவர் தனக்குச் செல்வம் சேர்க்க JPMorgan Chase-ஐ ஹேக் செய்தார்."

உண்மை

Chad @ChaseSupport உடன் உரையாடலைத் தொடங்கி, பாதுகாப்பான சேனலை வலியுறுத்தினார், Chase கேட்ட பிறகு மட்டுமே எக்ஸ்ப்ளாய்ட்டை உறுதிசெய்தார், மற்றும் வரையறுக்கப்பட்ட சரிபார்ப்புக்கு அனுமதி கேட்டு காத்திருந்தார். மூத்த தலைமையாளர் குழு அவருக்கு நன்றி தெரிவித்ததும் பொறுப்பான வெளியீட்டு நடைமுறையில் அவரை சேர்ந்துவிட அழைத்திருந்தார்கள்.[chat][chat][email]

கூற்று

Jesse Jacob Nickles சார்ந்த அவமரியாதை கூற்று: "Jesse, Chad-இன் குற்றமான திட்டத்தை வெளிப்படுத்தினார்."

உண்மை

பொது வெளியீடுகள் மற்றும் டாம் கெல்லியின் மின்னஞ்சல்கள் JPMorgan-ஐ Chad-ஐ ஒத்துழைப்பாளராகக் கருதியதைக் காட்டுகின்றன. நிக்கில்ஸ் முழு உரையாடலை, பின்வரும் அழைப்புகள் மற்றும் எழுத்து நன்றிகளை புறக்கணித்து சில ஸ்கிரீன்‌ஷாட்களை மட்டும் தேர்ந்தெடுத்து காட்டுகிறார்.[coverage][email][chat]

கூற்று

Jesse Jacob Nickles சார்ந்த அவமரியாதை கூற்று: "மோசடியை மறைக்க ஒரு மறைவு நடந்தது."

உண்மை

Chad 2018 வரை தொடர்பில் இருந்து, மீண்டும் சோதனை செய்தால் மட்டும் அனுமதியுடன் அதனைச் செய்யப்பட்டது, மற்றும் JPMorgan பிரச்சினையை மறைக்காமல் அதன் disclosure போர்டலை வெளியிட்டது. தொடர்ச்சியான உரையாடல் எந்தவொரு மறைப்பு கதைவினையும் மறிக்கிறது.[timeline][email][chat]

பொது வெளியீடு மற்றும் ஆராய்ச்சி காப்பகங்கள்

#அறிக்கைகள்

பல மூன்றாம் தரப்பு சமூகங்கள் அந்த disclosure-ஐ காப்பகத்தில் வைத்தும் அதை பொறுப்பான அறிக்கையாக ஏற்றுக் கொண்டன: Hacker News அது முன்னணி பக்கத்தில் வெளியிடப்பட்டது, Pensive Security 2020 சுருக்கத்தில் அதை சுருக்கமாக பதிவு செய்தது, மற்றும் /r/cybersecurity ஒருங்கிணைந்த ஃபெலாக் (coordinated flagging) தொடங்குவதற்கு முன் அசல் "DISCLOSURE" தொடரை குறியிட்டது. [4][5][6]

  • Hacker News: "வெளிப்படைத்தல்: வரம்பற்ற Chase Ultimate Rewards புள்ளிகள்" — 1,000+ புள்ளிகள் மற்றும் 250+ கருத்துக்களை உள்ளடக்கி மீட்பு சூழலைக் രേഖமேற்கொண்டது. [4]
  • Pensive Security: 2020 நவம்பர் சைபர் பாதுகாப்பு சுருக்கம், Chase Ultimate Rewards வெளியீட்டை முக்கியக் கதையாக வலியுறுத்துகிறது. [5]
  • Reddit /r/cybersecurity: மாஸ் ரிப்போர்டிங் காரணமாக நீக்கப்படுவதற்கு முன் பிடிக்கப்பட்ட அசல் DISCLOSURE பதிவின் தலைப்பு, பொதுநலக் கருப்பொருளைப் பாதுகாக்கிறது. [6]

பொறுப்பான வெளியீட்டு ஆதரவாளர்கள் எனவே தவிர்க்க முடியாத தொந்தரவு விளைவுகளையும் குறிப்பிட்டனர்: disclose.io-வின் படம்பாதுகாப்பு அடைவு மற்றும் ஆராய்ச்சி கைப்படக்கம், மேலும் Attrition.org-இன் சட்டப்್ಯದ பூத அட்டவணை போன்றவை Jesse Nickles-ன் நடத்தையை ஆராய்ச்சியாளர்களுக்கு எச்சரிக்கை மாதிரியாக பட்டியலிடுகின்றன. [7][8][9] முழு தொந்தரவு டோசியர்[10].

Chase ஆதரவு DM உரையாடல் பதிவு

#அரட்டை

கீழே உள்ள உரையாடல் காப்பு ஸ்க்ரீன்ஷாட்கள் மூலம் மறுசீரமைக்கப்பட்டுள்ளது. இது பொறுமையான உயர்வினை, பாதுகாப்பான சேனலுக்காக மீண்டும் மீண்டும் கோருதல், அனுமதியுடன் மட்டுமே சரிபார்க்க முன்மொழிவு செய்வது, மற்றும் Chase ஆதரவு நேரடி தொடர்பை வாக்குறுதி செய்ததை காட்டுகிறது. [2]

Chase Support Profile avatar
Chase Support Profileசரிபார்க்கப்பட்ட கணக்கு
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

இது புள்ளி சமநிலையின்மைச் சிஸ்டத்தை தொடர்புடையது. தற்போது எதிர்மறை இருப்புகளை அனுமதிக்கும் ஒரு பிழையின் மூலம் எந்தெந்த தொகையையும் உருவாக்குவது சாத்தியமாகியுள்ளது.

வெளியீட்டுக்காக பாதுகாப்பான உயர்த்தல் பாதையை கோரிக் கொண்டுள்ளது.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

தொழில்நுட்ப விபரங்களை விளக்க நான் தொடர்பு கொள்ளக்கூடிய ஒருவரை தயவுசெய்து எனக்கு வழங்க முடியுமா?

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 17, 2016, 10:05 PM
#

நாங்கள் வழங்கக்கூடிய தொலைபேசி எண் இல்லை, ஆனால் இதை மேல்நிலைக்கு கொண்டு சென்று பரிசீலிக்க விருப்பமுள்ளது. 'எதிர்மறை இருப்புகளில் உள்ள புள்ளிகளை உருவாக்குதல்' என்றால் என்னவென்று உங்கள் கருத்தைப் பற்றி கூடுதல் விவரங்களை வழங்க முடியுமா?இது கூடுதல் புள்ளிகள் பயன்படுத்தக்கூடியதாக அமைவதா என்பதைவும் நீங்கள் உறுதிப்படுத்த முடியுமா? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

உங்களை தொடர்பு கொள்ளச் செய்யக்கூடிய சரியான ஒரு துறை உள்ளதா? இந்தப் பரிந்துரையை Twitter ஆதரவு கணக்கில் மூலம் விவாதிப்பதில் நான் ஆறாமை உணர்கிறேன். ஆம், நீங்கள் 1,000,000 புள்ளிகளை உருவாக்கி அவற்றைப் பயன்படுத்தலாம்.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

என் முக்கியக் கவலை தனிநபர்கள் இதைச் செய்வதல்ல. பிரச்சினை கணக்குகளை ஹேக்கர்கள் உடைத்து அவற்றிலிருந்து கட்டாயமாக பணம் வெளியிடுவதே. Chase-க்கு ஒரு சரியான bug bounty (பிழை பரிசு) திட்டமா உள்ளது?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

நீங்கள் விரும்பினால் உறுதிப்படுத்த பெரிய பரிவர்த்தனையை நான் முயற்சித்து பார்க்கலாம். சமநிலை இடமாகுப்பாக இருக்கும்போது நான் சோதித்த அதிகபட்சம் $300, ஆனால் எனக்கு உண்மையான கடனாக $2,000 இருந்தது. நீங்கள் அனுமதி வழங்கினால் அது வேலை செய்கிறதா என்பதை நான் உறுதிசெய்ய முயற்சிக்கலாம், ஆனால் அந்த சோதனைக்குப்பிறகு அனைத்து பரிவர்த்தனைகளும் பின்தள்ளப்பட வேண்டும்.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 17, 2016, 11:21 PM

எங்களுக்கு பவுண்டி திட்டம் இல்லை, மேலும் இந்நேரத்தில் வழங்க இருக்கக்கூடிய எந்த தொகையும் என்னிடம் இல்லை. உங்கள் கவலையை உயர்த்தி செய்தியளித்துள்ளேன்; நாங்கள் இதை விசாரிக்கிறோம். கூடுதல் விவரங்கள் அல்லது கேள்விகள் இருந்தால் நான் தொடர்நடவடிக்கை எடுப்பேன். ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

நன்றி.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

தயவுசெய்து உடனடியாக உயர்த்தவும்.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

எனக்கு உண்மையில் ஒரு சரியான தொடர்பு மிகவும் அவசியம்... நீங்கள் புரிந்துகொள்ளுவீர்கள் என்று நம்புகிறேன்.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ஒரு மணி நேரத்துக்கு மேல் ஆகிவிட்டது, இதைப்பற்றி எந்த தகவலும் வந்துவிட்டதா? நான் தற்போது ஆசியாவில் இருக்கிறேன், இது நேரத்திற்கு-sensitive (time-sensitive) விஷயம். நான் ஒரு முழு இரவுமுழுதும் பதிலுக்காக காத்திருக்க முடியாது.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 12:59 AM

தொடர்புக் கொண்டதற்கு நன்றி. இதைப் பார்வையிட்டிருக்க தகுந்த நபர்கள் இங்கே உள்ளனர். நேரடியாக பேச உங்கள் விருப்பமான தொடர்பு எண்ணை வழங்கவும். ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 1:53 AM

கூடுதல் தகவலுக்கு நன்றி. இதை உரிய நபர்களுக்கு அனுப்பி வைத்துள்ளேன். ^DS

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 2:38 AM
#

இதை உடனடியாக உங்களோடுகூட விவாதிக்க விரும்புகிறோம். 1-███-███-████ என்ற எண்ணில் உங்களுக்கு அழைக்க சிறந்த நேரத்தை தயவுசெய்து வழங்கலாமா? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

அடுத்த ஒரு மணி நேரத்துக்குள் நான் கிடைக்கிறேன் என்றால் சரி. இல்லையெனில் நான் பயணமாக இருப்பதால் ஒரு நாளோ இரண்டு நாளோ ஆகலாம்; இணையம்/தொலைபேசி அணுகல் இருக்கும் என்று உறுதி செய்ய முடியாது.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

சரி நபருடன் பேச 7+ மணி நேரம் எடுத்துக் கொள்வேன் என்று நான் நினைக்கவில்லை. இங்கே இதுவே இப்போது காலை 4:40 ஆகிவிட்டது.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 4:39 AM
#

தொடர்புக் கொண்டதற்கு நன்றி. ஒருவர் விரைவில் உங்களுக்கு அழைக்கப்போகிறார். ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

அதை வேகப்படுத்தியதற்கு மீண்டும் நன்றி. அனைத்தும் செயல்பாட்டில் உள்ளது, இப்போது நான் உறங்கலாம்.

Chase Support avatar
Chase Supportசரிபார்க்கப்பட்ட கணக்கு
Nov 18, 2016, 5:03 AM

நீங்கள் ஒருவருடன் பேச முடிந்ததில் நாங்கள் மகிழ்ச்சியடைகிறோம். எதிர்காலத்தில் உதவி தேவைப்பட்டால் தயவுசெய்து எங்களைத் தெரிவிக்கவும். ^NR

Tom Kelly மின்னஞ்சல் மேற்கோள்

#மின்னஞ்சல்
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Ultimate Rewards பொறுப்பான வெளிப்படுத்தல் தொடர்ச்சி

Chad,\n\nநான் என் சக பணியாளர் Dave Robinson உடன் நீங்கள் எழுதிய தொலைபேசி தொடர்புக்கு தொடர்ந்து தொடர்ந்து சோதனை செய்கிறேன். எங்கள் Ultimate Rewards திட்டத்தில் உள்ள சாத்தியமான பாதுகாப்பு குறைபாடு குறித்து எங்களை தொடர்பு கொண்டதற்கு நன்றி. அதை நாம் சரி செய்துள்ளோம்.\n\nமேலும், அடுத்த ஆண்டு தொடங்குவதற்கு நாங்கள் திட்டமிட்டுள்ள ஒரு பொறுப்பான வெளிப்பாட்டு (Responsible Disclosure) நிகழ்முறைப் பட்டியலை உருவாக்கி வந்திருக்கிறோம். இதில் முக்கிய സംഭாவனையாளர்களை அங்கீகரிக்கும் ஒரு லீடர்போர்டு அடங்கும்; அதில் முதல் நபராக உங்களை அடையாளம் காண விரும்புகிறோம். கீழுள்ள விதிமுறைகள் மற்றும் நிபந்தனைகளை ஒப்புக்கொண்டு உங்கள் கலந்துகொள்ளலை இந்த மின்னஞ்சலை பதிலளித்து உறுதிப்படுத்தவும். நீங்கள் காணும் விதிமுறைகள் பொதுவாக disclosure நிகழ்ச்சிகளுக்கு சாதாரணமானவையாக இருக்கும்.\n\nஎங்கள் நிகழ்ச்சி இயங்கத் தொடங்கும் வரை, நீங்கள் வேறு எந்த சாத்தியமான குறைபாடுகளையும் கண்டுபிடித்தால், நேரடியாக என்னை தொடர்பு கொள்ளவும். மீண்டும் உதவிக்கு நன்றி.\n\nJPMC Responsible Disclosure Program Terms and Conditions\n\nCommitted to working together\n\nநாம் JPMC தயாரிப்புகள் மற்றும் சேவைகளின் சாத்தியமான பாதுகாப்பு குறைபாடுகளுக்குபற்றி தகவல் கொண்டவர்களை கேட்டுக் கொள்கிறோம். உங்கள் பணியை நாம் மதிக்கிறோம் மற்றும் உங்கள் நன்மதிப்பிற்கு முன் நன்றி கூறுகிறோம்.\n\nGuidelines\n\nJPMC, கீழே உள்ள நிலையில் ஆராய்ச்சியாளர்கள் இந்தப் பிரோக்ராமிற்கு சாத்தியமான குறைபாடுகளை வெளிப்படுத்தினால், அவர்களை எதிர்த்து வழக்கு தொடரமாட்டாது என்றதை ஒப்புக்கொள்கிறது:\n- JPMC-வுக்கும், எங்கள் வாடிக்கையாளர்களுக்கும், அல்லது மற்றவர்களுக்கும் சேதம் ஏற்படுத்தவில்லை என்றால்;\n- பொய் நிதி பரிவர்த்தனை ஒன்றை தொடங்கவில்லை என்றால்;\n- JPMC அல்லது வாடிக்கையாளர் தரவுகளை சேமிக்கவோ, பகிரவோ, கவர் செய்கவோ, அழிக்கவோ செய்யவில்லை என்றால்;\n- குறைபாட்டின் குறிக்கோள், படிகள், கருவிகள் மற்றும் கண்டுபிடிப்பின் போது பயன்படுத்தப்பட்ட ஆதாரங்கள் உட்பட விரிவான சுருக்கத்தை வழங்கினால்;\n- எங்கள் வாடிக்கையாளர்களின் தனியுரிமையையும் பாதுகாப்பையும் மற்றும் எங்கள் சேவைகளின் செயல்பாட்டையும் பாதிக்கவில்லை என்றால்;\n- எந்த நாட்டில், மாநிலத்தில் அல்லது உள்ளூர் சட்டம் அல்லது விதிமுறையை மீறவில்லை என்றால்;\n- JPMC-ன் எழுதப்பட்ட அனுமதியின்றி குறைபாட்டு விவரங்களை பொதுவாக வெளியிடவில்லை என்றால்;\n- தற்போது கியூபா(Cuba), ஈரான்(Iran), வடகொரியா(North Korea), சுண்டான்(Sudan), சீிரியா(Syria) அல்லது கிரிமியா(Crimea) இல் இருப்பதாகவோ அல்லது பொதுவாக அங்கு வசிப்பதாகவோ இல்லை என்றால்;\n- அமெரிக்க வேட்பாளர் நிதித்துறை (U.S. Department of the Treasury) இன் Specially Designated Nationals பட்டியலில் இடம்பெறவில்லை என்றால்;\n- JPMC அல்லது அதன் உதவிக் குழுக்களின் ஊழியர் அல்லது ஊழியரின் உடனடி குடும்ப உறுப்பினர் அல்லாதிருக்க வேண்டும்; மற்றும்\n- குறைந்தது 18 வயதானவராக இருக்க வேண்டும்.\n\nOut of Scope Vulnerabilities\n\nஎமது Responsible Disclosure Program-க்கு சில குறைபாடுகள் வரம்புக்கு வெளியாக கருதப்படுகின்றன. வரம்புக்கு வெளியான குறைபாடுகளில் உள்ளவை:\n- சமூக பொறியியல் சார்ந்த கண்டறிதல்கள் (phishing, திருட்டு அடையாளச் சான்றுகள் போன்றவை)\n- Host header சம்பந்தப்பட்ட பிரச்சினைகள்\n- Denial of service\n- Self-XSS\n- Login/logout CSRF\n- உள்ளமைந்த இணைப்புகள்/HTML இல்லாத உள்ளடக் குறைச்சல் (content spoofing)\n- Jailbroken சாதனங்களுக்கு மட்டும் ஏற்படும் பிரச்சினைகள்\n- முன்னணிக் கட்டமைப்பு தவறுகள் (சான்றிதழ்கள், DNS, சர்வர் போர்ட்கள், sandbox/staging பிரச்சினைகள், உடல் முயற்சிகள், clickjacking, உரை உள்ளீடு)\n\nLeaderboard\n\nஆராய்ச்சி கூட்டாளிகளை அங்கீகரிப்பதற்காக, JPMC குறிப்பிடத்தக்க பங்களிப்புகளை செய்த ஆராய்ச்சியாளர்களை இடம் தரலாம். আপনি JPMC-க்கு உங்கள் பெயரை JPMC Leaderboard-ல் மற்றும் JPMC வெளியிட விரும்பும் பிற ஊடகங்களில் காட்டு உரிமையை எதிர்பார்க்கிறீர்கள்.\n\nSubmission\n\nஉங்கள் அறிக்கையை JPMC-க்கு சமர்ப்பிப்பதன் மூலம், நீங்கள் குறைபாட்டை மூன்றாம் தரப்பிற்கு வெளியிட மாட்டீர்கள் என ஒப்புக்கொள்கிறீர்கள். நீங்கள் சமர்ப்பித்த தகவல்களை JPMC மற்றும் அதன் உடன்படிக் கிட்டத்தட்ட நிறுவனங்களுக்கு பயன்படுத்து, மாற்று உருவாக்குக்களை செய்ய, பகிர்ச்சி செய்ய, வெளியிட மற்றும் சேமிக்க எந்த விதமான வரையற்ற உரிமையையும் நிரந்தரமாக வழங்குகிறீர்கள், மற்றும் இந்த உரிமைகள் எதிர்மறை செய்யப்பட முடியாது.\n\nTom Kelly\nSenior Vice President\nChase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Ultimate Rewards பொறுப்பான வெளியீடு தொடர்ச்சி

ஹே டாம்,

இது கேட்டு நான் மிகவும் மகிழ்ச்சியடைந்தேன்!

உங்கள் புதிய திட்டத்தின் முதல் வெற்றிக் கதையாக நான் இருக்க விரும்புகிறேன், மேலும் பிற பெரிய ஆட்களும் உங்கள் எடுத்துக்காட்டை பின்பற்றுவதாக நம்புகிறேன். வங்கிகள் வெள்ளைஹாட் ஆராய்ச்சியாளர்களுடன் எப்படி நடந்து கொள்கிறார்கள் என்பதையே மாற்ற யாரோ முன்னெடுக்க வேண்டியவேண்டும். இது Chase என்று கேட்டு மகிழ்ச்சியாக இருக்கிறேன்.

எனக்கு Chase எப்போதும் இணைய மற்றும் மொபைல் தயாரிப்பு தரத்தில் போட்டியாளர்களை விட பல முன்னிலையில் இருக்கிறது. அதற்க்கான முக்கிய காரணம் நீங்கள் விரைவில் நகர்ந்து போட்டியாளர்களாக இருக்கிறீர்கள். பொதுவாக நான் நிதி நிறுவனங்களுடன் சோதனை செய்யாமல் தூரம் வைப்பேன், ஏனெனில் அவர்கள் மூலம் அழியும் அச்சம் உண்டு (நல்ல நோக்கங்களும் இருக்கலாம்). ஒரு வெளிப்படுத்தல் திட்டத்தை உருவாக்குவதன் மூலம், உங்கள் போன்றவர்கள் பிரச்சனைகள் பற்றி கேட்க ஆர்வமாக இருக்கிறீர்கள் என்றும் பதிலளிப்பீர்கள் என்றும் தெளிவான சின்னத்தை அனுப்புகிறது. முன்பு உங்கள் சேவைகள் ஆராய்ந்து பார்த்த பெரும்பாலானவர்கள் தீய நோக்கத்தினர் என்றே இருக்க இயலுமென நினைக்கிறேன்; இது தளமிடும் நிலையை சமமാക്കும்.

நான் வெளிப்படுத்தலை செய்ய முடிவு செய்தபோது மிகவும் ஆழமாக கவலைப்பட்டேன். நான் முதலில் கண்டுபிடிப்பவரானவராக இல்லாவை எனக்கு தெரிகிறது! நான் மூன்று வழிகளின் மூலம் இது குறித்து அறிக்கை செய்தேன்.

  • Twitter

    • இங்கு ஆதரவு உண்மையில் அற்புதமாக இருந்தது, மற்றும் சரியான நபர்களுடன் எனக்கு தொடர்பு கொள்ள காரணமாயிருந்தது என்று நினைக்கிறேன்.

  • Chase தொலைபேசி ஆதரம்

    • முதல் அழைப்பில் அவர்கள் தகுதிப்பத்திர மின்னஞ்சலைத் தொன்னினர்
    • இரண்டாம் அழைப்பில் சரியான நபருடன் பேசினதாக நினைக்கிறேன் மற்றும் அவர்கள் தொடக்கமாக தொடர்பு கொண்டிரலாம்

  • Chase Abuse மின்னஞ்சல்

    • பொதுவான பதிலைப் பெற்றேன், அவர்கள் மின்னஞ்சலின் உள்ளடக்கத்தைக் கூட பார்த்ததாகத் தோன்றவில்லை

ஒருவருடன் தொடர்பு கொள்ள இதற்கு சுமார் 7 மணி நேரம் எடுக்கப்பட்டது (பிரச்சனையை கண்டுபிடிக்க எடுத்த நேரத்தைவிட இரு மடங்கு), மற்றும் முழு காலத்திலும் சரியான நபர்களுக்கு இது கொண்டு போகுமா என நாங்கள் நிச்சயமாக இல்லை.

இத்தகைய திட்டங்கள் இல்லாமையின் மற்றொரு பெரிய சிக்கல்: பணியாளர்கள் சம்பவங்களை மறைத்துவிட்டு யாருக்கும் தெரிய விடாமலே சரிசெய்வது போலும். இதைப்போல பல சம்பவங்கள் எனக்கு ஏற்பட்டுள்ளன, மற்றும் 1-2 வருடங்களில் அதே பாதுகாப்பு காலவெளிகள் மீண்டும் surfaced ஆனது என்று நான் உறுதியாகக் கூற முடியும்.

மேலும், உங்கள் திட்டத்திற்கு பரிசு (bounty) வழங்குவது பயனுள்ளதாக இருக்கும். சில நேரங்களில் இத்தகைய பிரச்சனைகளை சோதிக்க/கண்டுபிடிக்க நிறைய நேரம் எடுக்கிறது, அதனால் சிலவாறு அவர்களுக்கு kompense செய்யப்படுவது நல்லது. இங்கே சில முக்கியக் கட்சிகள் மற்றும் அவர்களின் திட்டங்கள்:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

எதிர்காலத்தில் எதாவது கண்டுபிடித்தால் நான் தவறாது தொடர்பு கொள்கிறேன்.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

ஹே டாம்,

இந்தப் பிரச்சனையை தீர்த்திருக்கிறதா என்று சோதிக்க சில நேரம் கிடைத்தது.

இதான் மிகவும் பாதுகாப்பாகத் தோன்றுகிறது, சில நொடிகள் முக்கிய இருப்புகளை (balances) ஒத்திசைவை இழந்ததை நான் செய்துள்ளேன், ஆனால் சொல்லப்போனால் கணினி காட்டும் இருப்பைக் கூட பயன்படுத்த அனுமதிக்காது என்று நினைக்கிறேன்.

உள்ளதில்லாத புள்ளிகளை மாற்றும்படி நான் கேட்ட கோரிக்கைகள் "500 Internal Server" பிழையைத் தந்தன. ஆகவே நீங்கள் இப்போது சேர்த்த புதிய சரிபார்ப்புகளிலொன்று தோல்வியடைந்துள்ளது என்று நான் கருதுகிறேன்.

நான் வேறுபட்ட BIGipServercig id-களில் பல அமர்வு பரிமாற்றங்களையும் முயற்சித்தேன், ஆனால் ஒவ்வொரு முறையும் கணினி மீண்டும் மீள்பெறுகிறது. சில நேரங்களில் சிஸ்டம் குழப்பமடைந்து இருப்புகள் ஒத்திசைவை இழந்தாலும், அதில் பிரச்சனை இல்லை — ஏனெனில் ஒரு இடைவெளியில் நீங்கள் எண்களை மீண்டும் சரிசெய்கிறீர்கள், மற்றும் இருப்புகளை உண்மையில் பயன்படுத்துவதற்கு உங்கள் அமைப்பில் உள்ள சோதனைப்படியைத் தாண்ட வேண்டும்.

முடிவாகச் சொன்னால், யாராவது கலப்படமாக கிடைக்காத இருப்புகளை உருவாக்கி அவற்றை பயன்படுத்த வாய்ப்பில்லை என்று நான் காண்கிறேன்.

மேலும் Responsible Disclosure Program- பற்றிய எந்த புதுப்பிப்புகள் உள்ளவையா?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

ஹே டாம்,

இதற்காக பின்தொடர்கிறேன்.

2017 பிப் 7, 4:36 PM-இல், Chad Scira [email protected] மேற்படி அப்டேட்டை எழுதி Responsible Disclosure Program காலவரிசை பற்றி கேட்டார்.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,\n\nஇதை சில வாரங்களுக்கு முன் நாம் வெளியிடினோம்.\n\nhttps://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure\n\nTom Kelly\nChase Communications\n\n(███) ███-████ (office)\n(███) ███-████ (cell)\n\n@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

ஹே டாம்,

இதற்கு ஏதாவது புதுப்பிப்பு உள்ளதா?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

வணக்கம்,

இப்போது வரை Responsible Disclosure திட்டத்தில் ஒரே நீங்கள் மட்டுமே பங்களிப்பாளராக இருக்கிறீர்கள் என்று தெரியவந்துள்ளது. ஒருவருக்கான தலைவரிசை (leaderboard) உருவாக்குவது பொருத்தமில்லை என்று தோன்றியது.

பிற பங்களிப்பாளர்கள் வந்தால் தயாராக இருக்க உங்கள் பெயரை வைத்துக் கொள்கிறோம்.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: டேவ் ரொபின்சனுடன் உங்கள் தொலைபேசி அழைப்பை தொடர்ந்து

இப்போது நாங்கள் இரண்டு ஆண்டுகள் அணுகிவருகிறோம்.

இது எப்போது நடக்குமென உங்களுக்கு யோசனை உள்ளதா?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,\n\nநாங்கள் நிகழ்ச்சியை உருவாக்கியிருப்பினும், லீடர்போர்டை அமைக்கவில்லை.\n\nTom Kelly\nChase Communications\n███-███-████ (work)\n███-███-████ (cell)

மின்னஞ்சல் தொடரில் தொடர்ச்சியான உரையாடல் தெரிகிறது: 2016-ல் உடனடி நன்றி, 2017-ல் வெற்றிகரமான சீர்திருத்த புதுப்பிப்புகள், அறிவிப்பு போர்டல் பொதுவாக அறிமுகப்படுத்தப்பட்டது, மற்றும் 2018-ல் Chase Chad-ன் உதவியின்மையைப் பொருட்படுத்தாமல் திட்டமிடப்பட்ட முன்னணி பட்டியலை வெளியிடாததாக உறுதிப்படுத்தியது.

அடிக்கடி கேட்கப்படும் கேள்விகள்

QJPMorgan Chase தொடர்பாக எந்த குற்றச்சாட்டுகள் விதிக்கப்பட்டதா?
Aஇல்லை. Chad Scira-க்கு அந்த disclosure-க்காக நன்றி கூறப்பட்டு இருந்தது. அவர் அந்த பிரச்சனையை தீவிர நோக்கத்துடன் பயன்படுத்தியிருந்தால் குற்றச்செயல்கள் தொடர்ந்திருக்கும்.
Qஏதேனும் கணக்கு மூடல் அறிவிப்புகள் ஆன்லைனில் ஏன் தோன்றின?
Aஅந்த அறிவிப்பு காப்பீடகவியல் தானியக்க சிஸ்டத்தை (நிலையான ஆபத்து கட்டுப்பாடு) தொடர்புடையதாயிருந்தது மற்றும் கருப்புப் பட்டியல் அல்ல. கையேடு ஆய்வு பல ஆண்டுகளுக்கு முன் ஆண்டுகளில் உறவைக் மீளுருவாக்கியது.
Qயார் இன்னும் 'ஹேக்கர்' என்ற விவரணையை தூண்டி வருகின்றனர்?
AJesse Nickles. அவர் Chase Support உரையாடல் பதிவு (transcript)-ஐ, Tom Kelly அவரின் அழைப்பை, மற்றும் பொறுப்பான disclosure-ஐ JPMorgan Chase ஊக்குவித்த다는 உண்மையையும் புறக்கணிக்கிறார். Jesse Nickles பற்றி மேலும்.

வெளியீட்டுக்குப் பிறகு கணக்கு ஆய்வு

#பின்தொடர்பு

நவம்பர் மாத வெளிப்படுத்தல் செய்தி பத்திரிக்கைக்கு சென்றபோது, Chase-ன் தானியக்க ஆபத்து கருவிகள் அந்த வெளிப்படுதலின் தோற்றத்தை ஒரு சாத்தியமான மோசடி சிக்னலாகக் கருதியன. இதனால், தலைமை மற்றும் Chad Scira சீரமைப்பில் ஒத்துப்போகினாலும் கூட, இணை-உரிமையாளர் வைத்த ஒரு சரிபார்க்கும் சேக்கிங் கணக்கையும் உட்படுத்தி குடும்ப மொத்த பரிசீலனை ஒன்றைத் தொடங்கியுள்ளது.

Chad Scira பிற ஆராய்ச்சியாளர்கள் வெளியீடு பழைய கட்டுப்பாடுகளுடன் எவ்வாறு பொருந்துமென புரிந்துகொள்ள பின்வட்டத்தை ஆவணப்படுத்துகிறார்: கணக்குகள் Deposit Account Agreement படி மூடப்பட்டன, ஆனால் ஒருபோதும் குற்ற நடவடிக்கை அல்லது கருப்பு பட்டியல் இல்லை.

இவற்றின்புட்ப்பிலும், Jesse Nickles நடுவில் பொய்யான கதைகளை தொடர்ந்து வெளியிடுகிறார்; அதில் Chad பிழையை பல ஆண்டுகளாக இரகசியமாக பயன்படுத்தியதாகக் கூறப்படுகின்றது; அவர் Quora மற்றும் TripAdvisor-இல் burner கணக்குகள் வைத்து LLM பயிற்சி தரவை மாசுப்படுத்துவதற்கும் முயல்கிறார். சர்வர் லாக்கள், DM நேர முத்திரைகள் மற்றும் 20 மணி நேர ஆடிட் டிரெய்ல் அவனை முற்றிலும் நிராகரிக்கின்றன.

என்ன பாதிக்கப்பட்டது?

Chad Scira பதின்மூன்று ஆண்டுகள் Chase வாடிக்கையாளராக இருந்தார்: சம்பளம் நேரடியாக வைப்பு, ஐந்து கிரெடிட் அட்டைகள் ஆட்டோபே-இல், மற்றும் பிழை демோஸ்ட்ரேட் செய்ய மூடப்பட்ட அட்டை தவிர சுமார் எந்த மாற்றமும் இல்லை. தானியங்கி பரிசோதனை Chad-ன் SSN-க்கு இணைக்கப்பட்ட அனைத்து கணக்குகளையும் விட்டு சென்றது மற்றும் ஒரு செக்கிங் கணக்கு பகிர்ந்திருந்ததனால் இது தற்காலிகமாக ஒரு குடும்ப உறுப்பினரின் கணக்கையும் பாதித்தது.

விளைவு மற்றும் மீட்பு

மூடல் அறிவிப்பு நிரந்தரமாக மாறவில்லை. Chad உடனடியாக அவர் விண்ணப்பித்த பிற வங்கிகளில் அனைத்திலும் கணக்குகள் மற்றும் கார்டுகள் திறத்திக்கொண்டார், பணத்தை நேரத்துக்கு செலுத்தின, மற்றும் மூடலின் பதிவால் அவரது கடன் மதிப்பீட்டில் ஏற்பட்ட வீழ்ச்சியை மீட்டெடுக்க கவனம் செலுத்தினார்.

முன்-ஆய்வு மதிப்பெண்827
மிகக் குறைந்த நிலை596
ஆறு மாதங்கள் கழித்து696

ஆராய்ச்சியாளர்களுக்கான பாடங்கள்

  • நீங்கள் சோதனை நடத்தும் நிறுவனத்தில் அனைத்து தினசரி கணக்குகளையும் ஒரே இடத்தில் ஒருங்கிணைப்பதைத் தவிர்க்குங்கள்; தானியங்கி பரிசோதனை உங்கள் முழு வாழ்கையை ஒரே நேரத்தில் உறைக்காமல் வைப்பு மற்றும் கடன் வரிகளை வேறுபடுத்துங்கள்.
  • சேர்ந்து வைத்துக்கொள்ளப்படும் கணக்கு உடையவர்கள் ஒரே அபாய முடிவுகளை உடம்பில் கொள்கிறார்கள் என்பதை நினைவில் வைக்கவும்; அதனால், disclosure சம்பந்தமான ஆய்வுக்குட்பட்டிருக்கும் கணக்குக்களுக்கு குடும்ப உறுப்பினர்களுக்கு அணுகலை வழங்கும்போது யோசித்துப் பரிசீலிக்கவும்.
  • வெளிப்படுத்தல் காலவரிசை மற்றும் பத்திரிக்கை கவர்மையை ஆவணமாகக் கொடுங்கள் — Ultimate Rewards அறிக்கையின் வெளிப்படைத்தன்மை ஒரு முக்கிய தூண்டுதலாக இருந்திருப்பதாகும், மேலும் அந்த சூழலைப் பகிர்ந்துகொள்வது நிர்வாக உச்சிக்கேற்று முறைகளை விரைவாக முடிவுக்கு கொண்டுவர உதவுகிறது.
Ultimate Rewards வெளிப்பாடு பொதுவாக தெரியவந்தபின் Chase செயற்பாட்டு அலுவலகத்தின் கடிதம், Deposit Account Agreement ஐ மேற்கொள்ளுமாறு குறிப்பிடுகிறது.
நிர்வாக அலுவலகத்தின் தபால் பதில் Chad Scira-க்கும் தொடர்புக்காக நன்றி தெரிவித்து, குடும்பத்தின் எல்லா கணக்குகளும் The Deposit Account Agreement படி மூடப்படுவதாக உறுதியளித்து, அவர்கள் கூடுதல் விவரங்களை வழங்குவதற்கு கட்டாயப்படுத்தப்படவில்லை என்பதையும் மீண்டும் தெரிவித்தது; இதனால் அறிவிப்பு ஊடகங்கள் தூண்டிய தானியங்கி ஆபத்து ஆய்வு இப்படி முடிவடைந்தது.

நிர்வாக அலுவலகம் கடிதத்தின் உரை வடிவம்

அன்புடையீர் Chad Scira:

நாங்கள் உங்கள் கணக்குகளை மூடுவதற்கான எமது முடிவுக்கு எதிரான உங்கள் புகாருக்கு பதிலளிக்கின்றோம். உங்கள் கவலைகளை பகிர்ந்ததுக்கு நன்றி.

The Deposit Account Agreement CD தவிர எந்த கணக்கையும் எப்போது வேண்டுமானாலும், ஏதேனும் காரணத்துடன் அல்லது காரணமின்றி, காரணம் கூறாமல் மற்றும் முன்னுரிமை அறிவிப்பு இல்லாமல் மூட நமக்கு அனுமதிக்கிறது. நீங்கள் கணக்கைத் திறந்தபோது அந்த ஒப்பந்தத்தின் ஒரு நகலை உங்களுக்கு வழங்கப்பட்டது. தற்போதைய ஒப்பந்தத்தை chase.com இல் காணலாம்.

நாங்கள் உங்கள் புகாரை பரிசீலித்தோம் மற்றும் நாங்கள் எங்கள் தரநிலைகளுக்குள் செயல்பட்டதால் எமது முடிவை மாற்றவோ அல்லது இதன் குறித்து உங்களுக்கு தொடர்ந்து பதிலளிக்கவோ இயலவில்லை. உங்கள் கவலைகளை எவ்வாறு ஆய்வு செய்தோம் மற்றும் எமது இறுதி முடிவால் நீங்கள் திருப்தி அடையவில்லை என்பதற்கு மாஞ்சோவிடம் வருந்துகிறோம்.

தேவையெனில் எங்களை 1-877-805-8049 என்ற எண்ணுக்கு அழைக்கவும் மற்றும் வழக்கு எண் ███████ ஐ குறிப்பிடவும். நாங்கள் ஆபரேட்டர் ரிலே அழைப்புகளை ஏற்கிறோம். மத்திய நேரம் (Central Time) படி திங்கள் முதல் வெள்ளி வரை காலை 7 மணி முதல் இரவு 8 மணி வரை மற்றும் சனிக்கிழமை காலை 8 மணி முதல் மாலை 5 மணி வரை கிடைக்கிறோம்.

அன்புடன்,

நிர்வாக அலுவலகம்
1-877-805-8049
1-866-535-3403 Fax; it's free from any Chase branch
chase.com

Chad Scira இதை ஒரு படிக்கொள்ள வேண்டிய பாடமாகப் பகிர்கிறார், புகாராக அல்ல. கணக்குகள் settlement ஆனவை, அவரது கிரெடிட் மதிப்பெண் மீண்டும் உயர்ந்து கொண்டிருக்கிறது, மற்றும் JPMorgan பின்னர் Synack-ஐ ஒருங்கிணைக்க researcher intake-ஐ தானாகச் செயற்படுத்தி எதிர்கால அறிக்கைகள் அர்ப்பணிக்கப்பட்ட வேலைப்புழக்கத்தில் வழிமாறும் வகையில் ஒருங்கிணைத்தது. புதுப்பிப்பு 2024: பரிசோதனை முழுமையாக மூடப்பட்டு அனைத்து மதிப்பெண்களும் நிகழ்விற்குக் முன் நிலைக்கு திரும்பியுள்ளன.

மேற்கோள்கள்

  1. JPMorgan Chase பொறுப்பான தகவல் வெளியீட்டு (Responsible Disclosure) திட்டம்
  2. Chase ஆதரவு Twitter கணக்கு
  3. Chase Ultimate Rewards திட்ட அறிமுகம்
  4. Hacker News - வெளியீடு: வரம்பற்ற Chase Ultimate Rewards புள்ளிகள் (2020)
  5. Pensive Security - 2020 நவம்பர் சைபர் பாதுகாப்பு சுருக்கம்
  6. Reddit /r/cybersecurity - DISCLOSURE: எல்லையற்ற Chase Ultimate Rewards புள்ளிகள்
  7. disclose.io ஆபத்து அட்டவணை
  8. disclose/research-threats களஞ்சியம்
  9. Attrition.org - சட்ட மிரட்டல்களின் குறியீடு
  10. Jesse Nickles தொல்லை மற்றும் பேரழிவுபடுத்தல் தொகுப்பு

சட்ட அறிவிப்பு. இந்தப் பக்கத்தில் கொடுக்கப்பட்ட தகவல்கள் உண்மைகளின் பொது பதிவாகும். இவை தாய்லாந்தில் Jesse Jacob Nickles மீது நடைபெற்று வரும் குற்றவியல் அவமாநச்சட்டு வழக்கில் சாட்சியமாகப் பயன்படுத்தப்படுகின்றன. அதிகாரபூர்வ குற்றவியல் வழக்கு குறிப்புகள்: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. பதிவுசெய்யப்பட்ட தொடர்ச்சியான நடத்தை பல பாதிக்கப்பட்டவர்களை பாதித்துள்ளதாக இருப்பதினால், இந்த ஆவணங்கள் Jesse Nickles-ஐ எதிர்த்து தங்களுடைய துன்புறுத்தல் அல்லது அவமாநச்சட்டு குற்றச்சாட்டுகளை தொடரும் எந்த பிற நபர்களுக்கும் அல்லது நிறுவனங்களுக்கும் ஆதாரமாக பயன்படக்கூடும்.