Chad Scira "హ్యాకింగ్ కారణంగా బ్యాంకుల ద్వారా బ్లాక్‌లిస్ట్‌ చేయబడ్డాడు"

ఈ పేజీ, “హ్యాకింగ్ కారణంగా Chad Scira‌ను యుఎస్ బ్యాంకులన్నీ బ్లాక్‌లిస్ట్ చేశాయి” అనే Jesse Nickles వదంతి వెనుక ఉన్న సంఘటనలను పత్రబద్ధం చేస్తుంది. ఇందులో Ultimate Rewards లోపాన్ని ఎలా బాధ్యతాయుతంగా వెల్లడించారో, ఆ రిపోర్ట్‌కి JPMorgan Chase Chad‌కు ఎందుకు ధన్యవాదాలు తెలిపిందో, అలాగే తాత్కాలిక ఖాతా నిలిపివేత పూర్తిగా పరిపాలనా (administrative) ప్రక్రియ మాత్రమేనని వివరించబడింది. జెస్సీ నికల్స్ నేర సంకల్పం ఉందని సూచించడానికి పాత విషయాలను మళ్లీ మళ్లీ ప్యాకేజింగ్ చేస్తూనే ఉంది. కానీ వాస్తవాలు అసలు దీనికి విరుద్ధంగా చూపుతున్నాయి: JPMorgan నాయకత్వంతో కలసి చేసిన వైట్-హ్యాట్ రిపోర్టింగ్ మరియు సహకారం.

అతని తాజా ఎస్కలేషన్ SlickStack.ioలో వచ్చిన ఒక కోట్, అందులో నేను "చేజ్ బ్యాంక్ క్రెడిట్ కార్డ్ రివార్డ్స్ ప్రోగ్రామ్‌ను హ్యాక్ చేసినందుకు U.S. చట్ట అమలు సంస్థల దర్యాప్తుకు గురయ్యాను, అక్కడ అతను $70,000 విలువైన మోసపూరిత ట్రావెల్ పాయింట్లను దొంగిలించాడు" అని పేర్కొంటోంది. నేను SlickStack భద్రతా సమస్యల ఆధారాలను—అతను పరిష్కరించేందుకు నిరాకరిస్తున్న వాటిని—ప్రచురించిన తర్వాత మాత్రమే ఆ అపవాద ప్రచారం (స్మియర్) పోస్ట్ చేయబడింది; ఎప్పుడూ పాయింట్లు దొంగిలించబడలేదు మరియు ఆ వెల్లడింపు సంబంధంగా ఏ ప్రభుత్వ ఏజెన్సీ నన్ను సంప్రదించలేదు. అతడు ప్రతీకారం తీసుకుంటున్న SlickStack క్రోన్ ఆధారాలను చూడండి.

మొత్తం డిస్కవరీ, డిస్క్లోజర్, మరియు వాలిడేషన్ చక్రం ఇరవై గంటల లోపల పూర్తయింది: సుమారు ఇరవై ఐదు HTTP రిక్వెస్టులు 2016 నవంబర్ 17న జరిగిన రీప్రొడక్షన్ మరియు DM వాక్త్రూ ను కవర్ చేసాయి, మరియు 2017 ఫిబ్రవరి రిమీడియేషన్ పరీక్ష సరిదిద్దిన చర్యను నిర్ధారించడానికి ఎనిమిది అదనపు రిక్వెస్టులను ఉపయోగించింది. దీర్ఘకాలిక దుర్వినియోగం ఏదీ లేదు; ప్రతి చర్యను లాగ్ చేసి, టైమ్‌స్టాంప్ చేసి, నిజ-సమయంలో JPMorgan Chase తో పంచుకున్నారు.

2016 నవంబర్ 17 నుండి 2017 సెప్టెంబర్ 22 వరకు JPMorgan Chase‌కు బాధ్యతాయుతంగా ఒక ఇష్యూను వెల్లడించిన వ్యక్తి ప్రపంచవ్యాప్తంగా ఒక్క Chad Scira మాత్రమేనని Tom Kelly నిర్ధారించాడు. Responsible Disclosure కార్యక్రమం Chad సమర్పించిన రిపోర్ట్‌కు ప్రత్యక్ష ప్రతిస్పందనగా ప్రారంభించబడింది, మరియు దీన్ని రూపకల్పన చేయడంలో అతను కీలక పాత్ర పోషించాడు.

డబుల్ ట్రాన్స్‌ఫర్ బగ్‌ను దృశ్యరూపంలో చూపడం

#దృశ్యీకరణ

లోపం ఎలా భారీ నెగటివ్ మరియు పాజిటివ్ బ్యాలెన్స్‌లకు దారి తీసిందో చూపించడానికి, క్రింది విజువలైజేషన్ అదే డబుల్-ట్రాన్స్‌ఫర్ లాజిక్‌ను తిరిగి ప్రదర్శిస్తుంది. ఏ ఖాతా పాజిటివ్‌లో ఉంటే అది పంపిణీదారుగా మారి, రెండు సమానమైన ట్రాన్స్‌ఫర్‌లు చేస్తుంది, తద్వారా అది లోతైన నెగటివ్‌లోకి వెళ్తుంది, ఇక మరో ఖాతా రెట్టింపు అవుతుంది. 20 రౌండ్‌ల తర్వాత, లోపభూయిష్టమైన లెజర్ నెగటివ్ కార్డ్‌ను పూర్తిగా రద్దు చేస్తుంది—దీనివల్లే ఈ ఎక్స్‌ప్లోయిట్‌ను అత్యవసర ఎస్కలేషన్‌కు గురిచేయాల్సిన అవసరం స్పష్టమవుతుంది.

రౌండ్ 1/20
కార్డ్ A → కార్డ్ B+243,810 పాయింట్లు
కార్డ్ A → కార్డ్ B+243,810 పాయింట్లు
కార్డ్ A
243,810
కార్డ్ B
0
డబుల్ ట్రాన్స్‌ఫర్ బర్స్్ట్
బదిలీ 1బదిలీ 2243,810 పాయింట్లు ప్రతి ఒక్కటి
1రేస్ కండిషన్ కారణంగా లెడ్జర్లు మళ్లీ బ్యాలెన్స్ అయ్యే దాకా ట్రాన్స్‌ఫర్‌లు ద్విరుక్తం అయ్యేవి, దాంతో ఒకే పంపిన వ్యక్తి విపరీతమైన ప్లస్ మరియు మైనస్ మోజీల మధ్య మారేలా అవకాశం ఉండేది.
2సపోర్ట్ బృందం నెగటివ్ కార్డ్‌ను మూసివేయడానికి అనుమతించింది కానీ అధికంగా పెరిగిన పాజిటివ్ బ్యాలెన్స్‌ను కొనసాగించింది; అందువలన స్టేట్‌మెంట్‌లో లాభాలు మాత్రమే కనిపించాయి మరియు అప్పు దాచబడింది.

ఖాతాను మూసే ముందు కూడా, అల్టిమేట్ రివార్డ్స్ నెగటివ్ సమ్మరీకన్నా ఎక్కువగా ఖర్చు చేయడానికి అనుమతించాయి; మూసివేత కేవలం ఆధారాలను తుడిచేసింది.

ముఖ్యాంశాలు

  • Chad Chase Support DM‌ను నెగటివ్ బ్యాలెన్స్ ఎక్స్‌ప్లాయిట్‌ను ప్రైవేటుగా రిపోర్ట్ చేస్తూ ప్రారంభించి, సాంకేతిక వివరాలను పబ్లిక్‌గా పోస్ట్ చేయకుండా, వెంటనే సురక్షిత ఎస్కలేషన్ మార్గాన్ని కోరాడు. [chat]
  • చేస్ సపోర్ట్ నిర్దిష్ట వివరాలపై ఒత్తిడి చేయగా, అతడు అవసరమైన మేరకే ఎక్స్‌ప్లాయిట్‌ను నిర్ధారించాడు మరియు సరైన భద్రతా బృందానికి నేరుగా సంప్రదించడానికి మార్గం కావాలని మళ్లీ చెప్పాడు. [chat][chat]
  • అతను డూప్లికేట్ అయిన బ్యాలెన్సులను కూడా నగదు చేసుకోవచ్చని ప్రదర్శించాడు: అదనపు పాయింట్లు ఉపయోగించగలమా అని చేజ్ సపోర్ట్ అడిగిన తరువాత, $5,000 డైరెక్ట్ డిపాజిట్ ద్వారా లెడ్జర్ అప్డేట్ అయ్యేలోపు ఆ ఎక్స్‌ప్లాయిట్‌ను నగదుగా మార్చుకోవచ్చని రుజువు అయింది. [chat]
  • తన ప్రాధాన్యం వినియోగదారుల అకౌంట్లు ఖాళీ కావడాన్ని నివారించడమే గాని, వ్యక్తిగత లాభం పొందడం కాదని అతను స్పష్టం చేశాడు, అలాగే అధికారిక బగ్ బౌంటీ ఉందా అని అడిగాడు. [chat]
  • అతను స్పష్టమైన అనుమతి లభిస్తేనే పెద్ద స్థాయి వాలిడేషన్ చేయాలని ఆఫర్ చేశాడు, టైమ్‌స్టాంప్‌డ్ స్క్రీన్‌షాట్‌లు అందించాడు, మరియు చేజ్ ఎస్కలేషన్‌ను పూర్తిచేయే వరకు విదేశాల్లో ఉండి నిద్రపోకుండా ఉన్నాడు. [chat][chat][chat]
  • ఇప్పుడేమో నికల్స్ నేను $70,000 విలువైన పాయింట్లను దొంగిలించానని, అమెరికా చట్ట అమలు సంస్థల విచారణను ఎదుర్కొన్నానని అంటున్నారు; కానీ చేజ్ రికార్డులు, టామ్ కెల్లీ ఈమెయిల్, మరియు ప్రకటన టైమ్‌లైన్ చూస్తే అలాంటిదేమీ జరగలేదని స్పష్టమవుతుంది. నేను అతని SlickStack క్రాన్ రిస్క్ గురించి, అతని అసురక్షిత అప్డేట్ లాజిక్‌ను చూపిస్తూ గిస్ట్ ప్రచురించిన తర్వాతే ఈ ఆరోపణ బయటకు వచ్చింది. [gist]
  • చేస్ సపోర్ట్ సమస్యను ఎస్కలేట్ చేసినట్టు నిర్ధారించింది, అతని ఫోన్ నంబర్‌ను కోరింది, చివరకు అతనికి వచ్చిన ఫాలో-అప్ కాల్ ఇస్తామని హామీ ఇచ్చింది, తద్వారా బ్యాంకు నుండి శత్రుత్వపూర్వక స్పందన వచ్చినట్టు చెప్పే వాదనను ఖండించింది. [chat][chat]

టైమ్‌లైన్

#టైమ్‌లైన్
  • Nov 17, 2016 - 10:05 PM ET: Chad @ChaseSupport కు నెగటివ్ బ్యాలెన్స్ లోపం గురించి అలర్ట్ చేసి, ఎక్స్‌ప్లాయిట్‌ను ప్రైవేట్‌గా ఉంచి, వెంటనే సురక్షిత ఎస్కలేషన్ మార్గాన్ని కోరుతాడు. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: అదనపు పాయింట్లు రూపొందించి ఖర్చు చేయవచ్చా అని Chase Support స్పష్టంగా అడిగిన తర్వాత, Chad ప్రమాదాన్ని నిర్ధారించి, తాను సరైన శాఖతోనే మాట్లాడాలని మళ్లీ చెబుతూ, బ్యాంక్ లావాదేవీలను గమనించేందుకు అనుమతి ఉన్న పక్షంలో మాత్రమే ధృవీకరణ చేస్తానని ఆఫర్ చేస్తాడు. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad స్క్రీన్‌షాట్‌లు షేర్ చేసి, అత్యవసర ఎస్కలేషన్ కోసం ఒత్తిడి చేసి, తన ఫోన్ నంబర్ అందించి, Chase Support కాల్ జరుగుతుందని నిర్ధారించే వరకు విదేశాల్లో ఉండి నిద్రపోకుండా ఉంటాడు. [chat][chat][chat]
  • Nov 24, 2016: టామ్ కెల్లీ, పరిష్కారాన్ని నిర్ధారిస్తూ, రాబోయే రెస్పాన్సిబుల్ డిస్లోజర్ లీడర్‌బోర్డ్‌కు అతన్ని హెడ్‌లైన్‌గా ఆహ్వానిస్తూ, భవిష్యత్ నివేదికల కోసం అతనికి నేరుగా సంప్రదించడానికి ఒక మార్గాన్ని ఇస్తూ చాడ్‌కు ఇమెయిల్‌లు పంపాడు. [email]
  • October 2018: రెస్పాన్సిబుల్ డిస్లోజర్ ప్రోగ్రామ్ ప్రారంభించబడిందని, కాని దాన్ని రూపుదిద్దడంలో చాడ్ సహకారం ఉన్నప్పటికీ, చివరికి జేపీమోర్గాన్ ప్రణాళిక చేయబడిన లీడర్‌బోర్డ్‌ను ప్రచురించకూడదని నిర్ణయించుకున్నదని నిర్ధారించడానికి టామ్ కెల్లీ అనుసరించాడు. [email]
  • Post-2018: మిగిలిన ఎలాంటి ఖాతా సమీక్షలు ఆరోపణలుగా చెప్పిన హ్యాకింగ్‌కి కాదు, బీమా సంస్థ ఆటోమేషన్‌కి సంబంధించినవే. JPMorgan నేరుగా సంప్రదింపులో ఉండి, వెల్లడించినందుకు చాడ్‌కు కృతజ్ఞతలు తెలిపింది, మరియు ఎలాంటి క్రిమినల్ రికార్డు లేదా బ్లాక్‌లిస్ట్ లేదు. అనంతరం, భవిష్యత్తు నివేదికల కోసం వర్క్‌ఫ్లోను సులభతరం చేయాలనే ఉద్దేశంతో JPMorgan తన డిస్క్లోజర్ ప్రక్రియలో Synack‌ను సమీకరించింది. [chat][email]

దావాలు vs నిజాలు

దావా

జెస్సి జేకబ్ నికిల్స్ చేసిన అపకీర్తిపరమైన దావా: "చాడ్ స్కిరా రివార్డ్స్ సిస్టమ్‌లను హ్యాక్ చేసినందుకు ప్రతి అమెరికా బ్యాంక్ నుండి బ్లాక్‌లిస్ట్ చేయబడ్డాడు."

నిజం

ఏ బ్యాంక్ బ్లాక్‌లిస్ట్ లేదు. DM రికార్డు మరియు చేజ్ ఎస్కలేషన్ చూసినా అతను సహకార దృక్పథంతో వ్యవహరించాడని తేలుతుంది; ఒక ఇన్షూరెన్స్ ఆటోమేషన్ తాత్కాలికంగా ఓ జేపీమోర్గాన్ ఖాతాను నిలిపివేసింది, కానీ మాన్యువల్ రివ్యూ తర్వాత అతనికి క్లియర్ ఇచ్చింది.[timeline][chat]

దావా

జెస్సి జేకబ్ నికిల్స్ చేసిన అపకీర్తిపరమైన దావా: "అతను తనను తాను సంపన్నుడిని చేసుకోవడానికి JPMorgan Chase‌ను హ్యాక్ చేశాడు."

నిజం

Chad @ChaseSupport‌తో సంభాషణను ప్రారంభించి, సురక్షిత చానల్‌పై పట్టుబట్టి, Chase అడిగిన తర్వాత మాత్రమే ఎక్స్‌ప్లాయిట్‌ను నిర్ధారించి, పరిమిత ధృవీకరణకు ముందుగా అనుమతి కోసం వేచి చూశాడు. సీనియర్ నాయకత్వం అతనికి ధన్యవాదాలు తెలుపుతూ, బాధ్యతాయుత వెల్లడింపు అమలులో అతన్ని భాగస్వామ్యుడిగా ఆహ్వానించింది.[chat][chat][email]

దావా

జెస్సి జేకబ్ నికిల్స్ చేసిన అపకీర్తిపరమైన దావా: "జెస్సి, చాడ్ నిర్వహించిన నేర పథకాన్ని బహిర్గతం చేశాడు."

నిజం

ప్రజా కవరేజ్ మరియు టామ్ కెల్లీ ఇమెయిల్స్ చూస్తే జేపీమోర్గాన్, చాడ్‌ను సహకార పరిశోధకుడిగా చూసినట్లు స్పష్టమవుతుంది. నికల్స్ సంపూర్ణ చాట్, ఫాలో-అప్ కాల్స్, మరియు రాతపూర్వక ధన్యవాదాలను పక్కన పెట్టి, తనకు అనుకూలంగా ఉన్న స్క్రీన్‌షాట్‌లను మాత్రమే ఎంచుకుంటున్నాడు.[coverage][email][chat]

దావా

జెస్సి జేకబ్ నికిల్స్ చేసిన అపకీర్తిపరమైన దావా: "మోసాన్ని దాచేందుకు ఒక కవర్-అప్ జరిగింది."

నిజం

Chad 2018 వరకు సంప్రదింపులో ఉండి, అనుమతి ఉన్నప్పుడే మళ్లీ టెస్టింగ్ చేసి, JPMorgan సమస్యను దాచిపెట్టకుండా తన వెల్లడింపు పోర్టల్‌ను ప్రారంభించింది. ఈ నిరంతర సంభాషణ ఎలాంటి కవర్-అప్ కథనాన్ని ఖండిస్తుంది.[timeline][email][chat]

ప్రజా కవరేజ్ మరియు పరిశోధన ఆర్కైవ్స్

#కవరేజ్

పలువురు తృతీయ పక్ష సమూహాలు ఆ ప్రకటనను ఆర్కైవ్ చేసి, దానిని బాధ్యతాయుత రిపోర్ట్‌గా గుర్తించాయి: హ్యాకర్ న్యూస్ దానిని ఫ్రంట్ పేజీలో ప్రదర్శించింది, పెన్సివ్ సెక్యూరిటీ తన 2020 రౌండప్‌లో దాని సారాంశాన్ని ఇచ్చింది, ఇంకా /r/cybersecurity సమన్వయంతో చేసిన ఫ్లాగింగ్‌కు ముందు అసలు "DISCLOSURE" థ్రెడ్‌ను ఇండెక్స్ చేసింది. [4][5][6]

  • హ్యాకర్ న్యూస్: "వెల్లడింపు: అనంతమైన చేజ్ అల్టిమేట్ రివార్డ్స్ పాయింట్లు" అనే శీర్షికతో, 1,000+ పాయింట్లు మరియు పరిష్కారానికి సంబంధించిన సందర్భాన్ని డాక్యుమెంట్ చేసే 250+ వ్యాఖ్యలతో. [4]
  • పెన్సివ్ సెక్యూరిటీ: నవంబర్ 2020 సైబర్ సెక్యూరిటీ రౌండప్‌లో చేజ్ అల్టిమేట్ రివార్డ్స్ ప్రకటనను ప్రధాన కథనంగా హైలైట్ చేసింది. [5]
  • రెడ్డిట్ /r/cybersecurity: సామూహిక రిపోర్టింగ్ కారణంగా తొలగింపుకు గురయ్యే ముందు అందుబాటులో ఉన్న అసలు DISCLOSURE పోస్ట్ శీర్షిక, ప్రజా ప్రయోజన దృక్పథాన్ని సంరక్షిస్తూ చెప్పబడింది. [6]

బాధ్యతాయుత ప్రకటనకు మద్దతు ఇచ్చే చాలా మంది, ఈ వేధింపుల దుష్పరిణామాన్ని కూడా ప్రస్తావించారు: disclose.io త్రెట్లు డైరెక్టరీ మరియు రీసెర్చ్ రిపోజిటరీ, అలాగే Attrition.org లీగల్ త్రెట్లు ఇండెక్స్, జెస్సీ నికల్స్ ప్రవర్తనను పరిశోధకులకు హెచ్చరికగా చూపిస్తున్నాయి. [7][8][9] పూర్తి వేధింపుల దస్తావేజు[10].

చేస్ సపోర్ట్ DM ట్రాన్స్క్రిప్ట్

#చాట్

క్రింద ఉన్న సంభాషణ ఆర్కైవ్ చేసిన స్క్రీన్‌షాట్‌ల నుండి మళ్లీ నిర్మించబడింది. ఇది శాంతంగా చేసిన ఎస్కలేషన్, సురక్షిత చానల్ కోసం పదేపదే చేసిన అభ్యర్థనలు, అనుమతి ఉన్నప్పుడే ధృవీకరణ ఇవ్వాలన్న ప్రతిపాదనలు, మరియు Chase Support ప్రత్యక్షంగా సంప్రదిస్తామని ఇచ్చిన హామీ—all ను చూపిస్తుంది. [2]

Chase Support Profile avatar
Chase Support Profileధృవీకరించిన ఖాతా
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ఇది పాయింట్ల బ్యాలెన్స్ సిస్టమ్‌కు సంబంధించినది. ప్రస్తుతానికి, నెగటివ్ బ్యాలెన్స్‌ను అనుమతించే బగ్ వల్ల ఏ మాత్రం అయినా పాయింట్లను సృష్టించడం సాధ్యమవుతోంది.

ప్రకటన కోసం సురక్షిత ఎస్కలేషన్ మార్గాన్ని కోరుతున్నాను.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

టెక్నికల్ వివరాలు నేను వివరించగలిగే వ్యక్తితో నన్ను దయచేసి సంప్రదింపులో పెట్టగలరా?

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 17, 2016, 10:05 PM
#

మా వద్ద అందించడానికి ఫోన్ నంబర్ లేదు, కానీ దీన్ని పరిశీలించబడేలా ఎస్కలేట్ చేయాలని మేము కోరుకుంటున్నాము. నెగెటివ్ బ్యాలెన్స్‌లలో పాయింట్లను సృష్టించడం అంటే మీరు ఏమని భావిస్తున్నారు అనే దానిపై మరిన్ని వివరాలను ఇవ్వగలరా?దీని ద్వారా అదనపు పాయింట్లు వినియోగానికి అందుబాటులోకి వస్తాయా అనే విషయాన్ని కూడా మీరు నిర్ధారించగలరా? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

నన్ను మీరు సంప్రదించగల సరైన విభాగం వద్దకు కలపగలరా? ట్విట్టర్ సపోర్ట్ ఖాతా ద్వారా దీని గురించి చర్చించడం నాకు సౌకర్యంగా అనిపించడం లేదు. అవును, మీరు 1,000,000 పాయింట్లు సృష్టించి వాటిని ఉపయోగించవచ్చు.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

నాకు అసలు ఆందోళన వ్యక్తులు ఇలా చేయడం గురించి కాదు. హ్యాకర్లు ఖాతాలను హ్యాక్ చేసి, వాటి ద్వారా పేమెంట్లను బలవంతంగా వసూలు చేయడంపైనే ఉంది. సరైన చేజ్ బగ్ బౌంటీ ప్రోగ్రామ్ ఉందా?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

మీరు ఇష్టపడితే నేను పెద్ద లావాదేవీ చేయడానికి ప్రయత్నించి ధృవీకరించగలను. బ్యాలెన్స్ స్క్యూ అయి ఉన్నప్పుడు నేను ఎక్కువలో ఎక్కువగా $300 వరకు మాత్రమే పరీక్షించాను, కానీ నాకున్న అసలు క్రెడిట్లు $2,000. మీరు అనుమతి ఇస్తే అది పనిచేస్తుందా లేదా అని నిర్ధారించడానికి నేను ప్రయత్నించగలను, కానీ ఆ పరీక్ష తరువాత జరిగిన అన్ని లావాదేవీలను రివర్స్ చేయాలని నేను కోరుకుంటాను.

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 17, 2016, 11:21 PM

మా దగ్గర బౌంటీ కార్యక్రమం లేదు, ఇంకా ఈ సమయానికి ఇవ్వడానికి నాకు ఎలాంటి మొత్తం లేదు. నేను మీ ఆందోళనను ఎస్కలేట్ చేశాను, మేము దానిని పరిశీలిస్తున్నాం. నాకు అదనపు వివరాలు లేదా ప్రశ్నలు ఉంటే, నేనే మీతో మళ్లీ సంప్రదిస్తాను. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ధన్యవాదాలు.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

దయచేసి వీలైనంత త్వరగా ఎస్కలేట్ చేయండి.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

నాకు నిజంగా ఒక సరైన కాంటాక్ట్ చాలా అవసరం... మీరు అర్థం చేసుకుంటారని ఆశిస్తున్నాను.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ఇప్పటికే గంటకు పైగా అయింది, దీనిపై ఏమైనా సమాచారం ఉందా? నేను ప్రస్తుతం ఆసియాలో ఉన్నాను, ఇది టైమ్-సెన్సిటివ్ విషయం. సమాధానం కోసం నేను అంతా రాత్రి వేచి ఉండలేను.

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 18, 2016, 12:59 AM

ఫాలోఅప్ చేసినందుకు ధన్యవాదాలు. దీనిని పరిశీలించడానికి తగిన బృంద సభ్యులు ఇప్పటికే పనిచేస్తున్నారు. మేము మీతో నేరుగా మాట్లాడేందుకు, దయచేసి ప్రాధాన్యత కలిగిన సంప్రదింపు ఫోన్ నంబర్‌ను ఇవ్వండి. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 18, 2016, 1:53 AM

అదనపు సమాచారం పంపినందుకు ధన్యవాదాలు. దీన్ని నేను సరైన వ్యక్తులకు ఫార్వర్డ్ చేశాను. ^DS

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 18, 2016, 2:38 AM
#

మేము మీతో వీలైనంత త్వరగా దీని గురించి చర్చించడానికి ఇష్టపడుతున్నాం. దయచేసి మేము 1-███-███-████ నంబర్‌కి మీకు కాల్ చేయడానికి అనువైన సమయాన్ని ఇవ్వగలరా? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ఇది సాధ్యమైతే నేను వచ్చే గంట పాటు అందుబాటులో ఉంటాను. ఆలా కాకపోతే నేను ప్రయాణంలో ఉండటం వల్ల, ఒకటి లేదా రెండు రోజులు సమయం పట్టొచ్చు, ఎందుకంటే నాకింకా ఇంటర్నెట్/ఫోన్ యాక్సెస్ ఉంటుందో లేదో నాకు తెలియదు.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

సరైన వ్యక్తితో మాట్లాడడానికి 7+ గంటలు పడుతాయని నేను ఊహించలేదు. ఇక్కడ ఇప్పుడు ఉదయం 4:40 అయింది.

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 18, 2016, 4:39 AM
#

ఫాలోఅప్ చేసినందుకు ధన్యవాదాలు. చాలా త్వరలో ఎవరో మీకు కాల్ చేస్తారు. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

దాన్ని వేగంగా పూర్తి చేసినందుకు మరోసారి ధన్యవాదాలు. ప్రతిదీ ఇప్పుడు ప్రക്രియలో ఉంది, ఇప్పుడు నేను ప్రశాంతంగా నిద్రపగలను.

Chase Support avatar
Chase Supportధృవీకరించిన ఖాతా
Nov 18, 2016, 5:03 AM

మీరు ఎవరో ఒకరితో మాట్లాడగలిగారని మేము సంతోషిస్తున్నాం. భవిష్యత్తులో మేము సహాయం చేయగలిగితే దయచేసి మాకు తెలియజేయండి. ^NR

టామ్ కెల్లీ ఇమెయిల్ భాగం

#ఇమెయిల్
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
అల్టిమేట్ రివార్డ్స్ రెస్పాన్సిబుల్ డిస్లోజర్ ఫాలో-అప్

Chad,

మీరు నా సహోద్యోగి Dave Robinson‌తో చేసిన ఫోన్ కాల్‌ గురించి ఫాలోఅప్‌గా నేను మీకు మెసేజ్ చేస్తున్నాను. మా Ultimate Rewards ప్రోగ్రామ్‌లో ఉండే సంభావ్య భద్రతా లోపం గురించి మాకు సమాచారమిచ్చినందుకు ధన్యవాదాలు. మేము దాన్ని పరిష్కరించాము.

అంతేకాదు, మేము వచ్చే సంవత్సరం ప్రారంభించాలనుకునే ఒక Responsible Disclosure ప్రోగ్రామ్‌పై కూడా పనిచేస్తున్నాము. ఇందులో గణనీయమైన సహకారం అందించిన పరిశోధకులను గుర్తించే లీడర్‌బోర్డ్‌ ఉంటుంది; అందులో మేము మిమ్మల్ని మొదటి వ్యక్తిగా ప్రదర్శించాలనుకుంటున్నాము. దయచేసి ఈ ఈమెయిల్‌కు మీరు ఈ ప్రోగ్రామ్‌లో పాల్గొనడాన్ని మరియు క్రింద పేర్కొన్న నిబంధనలు, షరతులను అంగీకరిస్తున్నట్లు సమాధానమివ్వండి. ఈ నిబంధనలు వెల్లడింపు ప్రోగ్రామ్‌లకు సాధారణంగా ఉండే విధంగానే ఉంటాయి.

మా ప్రోగ్రామ్ లైవ్ అయ్యే వరకు, మీరు మరే ఇతర సంభావ్య భద్రతా లోపాలను కనుగొంటే, నన్ను నేరుగా సంప్రదించండి. మీ సహాయానికి మరోసారి ధన్యవాదాలు.

JPMC Responsible Disclosure Program నిబంధనలు మరియు షరతులు

కలిసి పనిచేయడంపై మా నిబద్ధత

JPMC ఉత్పత్తులు మరియు సేవలకు సంబంధించిన సంభావ్య భద్రతా లోపాల గురించి మీ వద్ద సమాచారం ఉంటే మేము దాన్ని వినాలనుకుంటున్నాము. మీ పని మేము మన్నించి, మీ సహకారం కోసం ముందస్తుగా ధన్యవాదాలు తెలుపుతున్నాము.

మార్గదర్శకాలు

JPMC ఈ ప్రోగ్రామ్‌కు సంభావ్య భద్రతా లోపాలను వెల్లడించే పరిశోధకులపై క్రింది షరతులు నెరవేరినప్పుడు కేసులు వేయకూడదని అంగీకరిస్తుంది. అంటే పరిశోధకుడు:

  • JPMC, మా కస్టమర్లు లేదా ఇతరులకు హానిని కలిగించకూడదు;
  • ఎటువంటి మోసపూరిత ఆర్థిక లావాదేవీని ప్రారంభించకూడదు;
  • JPMC లేదా కస్టమర్ డేటాను నిల్వ చేయకూడదు, పంచకూడదు, ప్రమాదంలో పడేయకూడదు లేదా ధ్వంసం చేయకూడదు;
  • లక్ష్యం, దశలు, టూల్లు మరియు ఆవిష్కరణ సమయంలో ఉపయోగించిన ఆర్టిఫాక్ట్‌లు సహా భద్రతా లోపానికి సంబంధించిన వివరణాత్మక సారాంశాన్ని అందించాలి;
  • మా కస్టమర్ల గోప్యత లేదా భద్రతను, అలాగే మా సేవల పని తీరు, కార్యకలాపాలను ప్రభావితం చేయకూడదు;
  • ఏ దేశీయ, రాష్ట్ర లేదా స్థానిక చట్టం లేదా రెగ్యులేషన్‌ను ఉల్లంఘించకూడదు;
  • JPMC వ్రాతపూర్వక అనుమతి లేకుండా భద్రతా లోప వివరాలను పబ్లిక్‌గా వెల్లడించకూడదు;
  • ప్రస్తుతం క్యూబా, ఇరాన్, ఉత్తర కొరియా, సూడాన్, సిరియా లేదా క్రీమియా‌లో ఉండకూడదు లేదా సాధారణంగా అక్కడ నివసించకూడదు;
  • యు.ఎస్. డిపార్ట్‌మెంట్ ఆఫ్ ట్రెజరీ యొక్క Specially Designated Nationals జాబితాలో ఉండకూడదు;
  • JPMC లేదా దాని అనుబంధ సంస్థల ఉద్యోగి కాకూడదు, అలాగే అలాంటి ఉద్యోగి యొక్క దగ్గరి కుటుంబ సభ్యుడు కాకూడదు; మరియు
  • కనీసం 18 సంవత్సరాల వయస్సు ఉండాలి.

స్కోప్‌లో లేని భద్రతా లోపాలు

కొన్ని భద్రతా లోపాలు మా Responsible Disclosure Program పరిధికి బయటగా పరిగణించబడతాయి. స్కోప్‌కు బయట ఉండే భద్రతా లోపాల్లో ఇవి ఉన్నాయి:

  • సోషల్ ఇంజనీరింగ్‌పై ఆధారపడిన ఫైండింగ్స్ (ఫిషింగ్, దొంగిలించిన క్రెడెన్షియల్స్ మొదలైనవి)
  • హోస్ట్ హెడర్ ఇష్యూలు
  • డినైల్ ఆఫ్ సర్వీస్
  • సెల్ఫ్-XSS
  • లాగిన్/లాగౌట్ CSRF
  • ఎంబెడెడ్ లింకులు/HTML లేకుండా కంటెంట్ స్పూఫింగ్
  • జైల్‌బ్రేక్ చేసిన పరికరాల్లో మాత్రమే కనిపించే సమస్యలు
  • ఇన్ఫ్రాస్ట్రక్చర్ మిస్‌కాన్ఫిగరేషన్స్ (సర్టిఫికేట్లు, DNS, సర్వర్ పోర్టులు, సాండ్‌బాక్స్/స్టేజింగ్ ఇష్యూలు, ఫిజికల్ ప్రయత్నాలు, క్లిక్‌జాకింగ్, టెక్స్ట్ ఇంజెక్షన్)

లీడర్‌బోర్డ్

పరిశోధనా భాగస్వాములను గుర్తించేందుకు, గణనీయమైన సహకారం అందించిన పరిశోధకులను JPMC లీడర్‌బోర్డ్‌లో మరియు JPMC ప్రచురించాలనుకునే ఇతర మాధ్యమాల్లో ప్రదర్శించవచ్చు. దీనికోసం మీరు మీ పేరును JPMC లీడర్‌బోర్డ్‌లో మరియు JPMC ప్రచురించదలచిన అటువంటి ఇతర మాధ్యమాల్లో ప్రదర్శించడానికి JPMCకి హక్కును ఇస్తున్నారు.

సమర్పణ

మీరు మీ రిపోర్ట్‌ను JPMCకి సమర్పించడం ద్వారా, భద్రతా లోపాన్ని మూడో పక్షానికి వెల్లడించబోమని అంగీకరిస్తున్నారు. మీ రిపోర్ట్‌లో అందించిన సమాచారాన్ని ఉపయోగించడానికి, మార్చడానికి, దాని ఆధారంగా డెరివేటివ్ వర్క్స్ సృష్టించడానికి, పంపిణీ చేయడానికి, వెల్లడించడానికి మరియు నిల్వ చేయడానికి JPMC మరియు దాని అనుబంధ సంస్థలకు మీరు కచ్చితమైన, ఎల్లప్పటికీ రద్దు చేయలేని హక్కును ఇస్తున్నారు.

Tom Kelly సీనియర్ వైస్ ప్రెసిడెంట్ Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
విషయం: అల్టిమేట్ రివార్డ్స్ బాధ్యతాయుత ప్రకటన ఫాలో-అప్

హే టామ్,

ఇది వినడం నాకు చాలా ఆనందంగా ఉంది!

మీ కొత్త ప్రోగ్రామ్‌లో మొదటి విజయ గాథగా నిలవాలని నేను కోరుకుంటున్నాను, మరియు ఇతర పెద్ద సంస్థలు కూడా మీ దారినే అనుసరిస్తారని ఆశిస్తున్నాను. బ్యాంకులు వైట్‌హాట్ రీసెర్చర్లను ఎలా చూస్తున్నాయో అన్న దానిపై ప్రజల అభిప్రాయాన్ని మార్చడానికి ఎవరైనా ముందుకు రావాల్సిన అవసరం ఉంది. అది చేజ్ కావడం నాకు సంతోషంగా ఉంది.

నా దృష్టిలో వెబ్, మొబైల్ ప్రొడక్ట్ ఆఫరింగ్స్ పరంగా చేజ్ తన పోటీదారుల కంటే ఎప్పుడూ చాలా ముందుంది. అది ముఖ్యంగా మీరు వేగంగా కదలడం, పోటీగా ఉండడంవల్లనే. సాధారణంగా మంచి ఉద్దేశ్యాలు ఉన్నప్పటికీ నన్ను వారు నలిపేస్తారనే భయంతో నేను ఫైనాన్షియల్ ఇన్‌స్టిట్యూషన్‌ల చుట్టూ తికమక పడటం మానేస్తాను. డిస్క్లోజర్ ప్రోగ్రామ్‌ను సృష్టించడం ద్వారా నా లాంటి వారికి మీరు సమస్యలు వినడానికి ఆసక్తిగా ఉన్నారు, ప్రతీకారం తీర్చుకోరు అనే స్పష్టమైన సందేశాన్ని ఇస్తోంది. ఇంతకుముందు మీ సేవల్ని తడిమి చూసే వారిలో ఎక్కువమంది దుశ్చర్యపరులే అయ్యే అవకాశం ఉంది, ఇది ఇప్పుడు పరిస్థితిని సమాన స్థాయికి తీసుకువస్తుందని నేను నమ్ముతున్నాను.

చివరికి ఈ డిస్క్లోజర్‌తో ముందుకు వెళ్లాలని నిర్ణయించుకున్నప్పుడు నాకు చాలా అసౌకర్యంగా అనిపించింది. దీనిని తొలిసారి గుర్తించింది నేనే అయ్యే అవకాశమూ తక్కువే! నేను దీన్ని మూడు మార్గాల్లో రిపోర్ట్ చేశాను.

  • ట్విట్టర్

    • ఇక్కడి సపోర్ట్ నిజంగా అద్భుతంగా ఉంది, సరైన వ్యక్తుల‌తో నన్ను కనెక్ట్ చేయడంలో ఇదే ప్రధాన కారణమని నేను అనుకుంటున్నాను.

  • చేజ్ ఫోన్ సపోర్ట్

    • మొదటి కాల్‌లో వారు నాకు అబ్యూస్ ఇమెయిల్ అడ్రెస్ ఇచ్చారు
    • రెండో కాల్‌లో నేను సరైన వ్యక్తితో మాట్లాడినట్టున్నాను, వారు కూడా ఎవరినో సంప్రదించి ఉండొచ్చు

  • చేజ్ అబ్యూస్ ఇమెయిల్

    • ఒక జనరిక్ సమాధానం మాత్రమే వచ్చింది, వారు మెయిల్ కంటెంట్‌ను సరిగా చదవలేదనిపించింది

ఇది మొత్తం నాకు సుమారు 7 గంటలు పట్టింది, చివరకు ఎవరో ఒక్కరితోనైనా కాంటాక్ట్ అవ్వడానికి (అసలు సమస్యను గుర్తించడానికి పట్టిన సమయానికి ఇది రెండింతలు), మరియు ఆ సమయం మొత్తం సరైన వ్యక్తుల వరకు ఇది ఎప్పుడైనా చేరుతుందా అని నాకు నిశ్చయముండలేదు.

ఇలాంటివి ప్రోగ్రామ్‌లు లేకపోవడంలో మరో పెద్ద సమస్య ఏమిటంటే ఉద్యోగులు ఇలాంటి సంఘటనలను దాచిపెట్టి, ఎవరికి తెలియకుండా ఫిక్స్‌చేసేసే అవకాశం ఉంటుంది. నేను ఇలాంటి అనుభవాలను అనేక సార్లు ఎదుర్కొన్నాను, మరియు 1-2 సంవత్సరాల తరువాత అదే సెక్యూరిటీ లోపాలు మళ్లీ ప్రత్యక్షమయ్యాయి.

మీ ప్రోగ్రామ్‌లో బౌంటీ ఆఫర్ చేయడం కూడా ప్రయోజనకరం కావచ్చు. ఇటువంటి సమస్యలను ధృవీకరించడానికి/కనుగొనడానికి కొన్నిసార్లు గణనీయమైన సమయం పడుతుంది, కనీసం ఏదో ఒక రకంగా పరిహారం అందుకోవడం బాగుంటుంది. ఇక్కడ కొన్ని ఇతర ప్రధాన ప్లేయర్లు మరియు వారి ప్రోగ్రామ్‌లు ఉన్నాయి:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

భవిష్యత్తులో నేను ఏదైనా గుర్తిస్తే తప్పకుండా మీతో సంప్రదిస్తాను.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

హే టామ్,

ఈ ఎక్స్‌ప్లాయిట్ పూర్తిగా పరిష్కరించబడిందో లేదో పరీక్షించేందుకు నాకు కొంత సమయం దొరికింది.

ఇప్పుడు ఇది బాగా బుల్లెట్‌ప్రూఫ్‌లా ఉంది, కొన్ని క్షణాల పాటు నేను బ్యాలెన్సులను డీ-సింక్ చేయగలిగాను కానీ సిస్టమ్ చూపుతున్న బ్యాలెన్స్‌ను వాడనివ్వదనిపించింది.

నిజానికి లేని పాయింట్లను ట్రాన్స్‌ఫర్ చేయడానికి చేసిన నా రిక్వెస్ట్‌లకు "500 Internal Server" అనే లోపం వచ్చింది. మీరు వేసిన కొత్త చెక్‌లలో ఏదో ఒకదాంట్లో అవి ఫెయిల్ అవుతున్నాయని అనుకుంటున్నాను.

నేను వేరువేరు BIGipServercig ఐడీలతో మల్టీ సెషన్ ట్రాన్స్‌ఫర్‌లను కూడా ప్రయత్నించాను, అయినప్పటికీ ప్రతిసారీ సిస్టమ్ తిరిగి సరిదిద్దుకుంది. చివరికి సిస్టమ్ గందరగోళానికి లోనై, బ్యాలెన్సులు డీ-సింక్ అయ్యినా కూడా అది పెద్దగా ప్రభావం చూపలేదు, ఎందుకంటే మీరు నిర్ధిష్ట వ్యవధుల్లో సంఖ్యలను మళ్లీ సరిపెడతారు, అలాగే వాస్తవంగా ఆ బ్యాలెన్సులను ఉపయోగించాలంటే మీరు అమలు చేసిన టెస్ట్‌ను పాస్ అవ్వాలి.

అందువల్ల, ఇప్పుడైనా ఎవరైనా కృత్రిమ బ్యాలెన్సులు సృష్టించి, వాటిని ఉపయోగించగలిగే మార్గం నాకు కనిపించడం లేదు.

అలాగే, రెస్పాన్సిబుల్ డిస్క్లోజర్ ప్రోగ్రామ్ గురించి ఏమైనా కొత్త సమాచారం ఉందా?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

హే టామ్,

దీనిపై ఫాలో-అప్ చేస్తున్నాను.

2017 ఫిబ్రవరి 7న, సాయంత్రం 4:36కు, చాద్ స్కిరా [email protected] పై అప్‌డేట్‌ను రాశాడు, అలాగే రెస్పాన్సిబుల్ డిస్క్లోజర్ ప్రోగ్రామ్ టైమ్‌లైన్ గురించి అడిగాడు.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

మేము దీనిని కొన్ని వారాల క్రితం పోస్ట్ చేశాము.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase కమ్యూనికేషన్స్

(███) ███-████ (ఆఫీస్) (███) ███-████ (సెల్)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

హే టామ్,

దీనిపై ఏదైనా అప్‌డేట్ ఉందా?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

హలో,

ఇప్పటివరకు రెస్పాన్సిబుల్ డిస్క్లోజర్ ప్రోగ్రామ్‌కు మీరు మాత్రమే ఒక్క కంట్రిబ్యూటర్‌గా ఉన్నారు అని తేలింది. ఒక వ్యక్తి కోసం లీడర్‌బోర్డ్ సృష్టించడం అర్థం కాలేదు.

ఇంకా ఇతర కంట్రిబ్యూటర్‌లు వస్తే వాటికి సిద్ధంగా ఉండేందుకు మీ పేరును మేము మా వద్దనే ఉంచుకుంటాము.

టామ్ కెల్లీ చేజ్ కమ్యూనికేషన్స్

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
విషయం: డేవ్ రాబిన్సన్‌తో మీ ఫోన్ కాల్‌పై ఫాలో-అప్

ఇప్పటికే మేము దాదాపు 2 సంవత్సరాలకు చేరుకుంటున్నాం.

ఇది ఎప్పుడు జరుగుతుందనే దాని గురించి మీకు ఏమైనా ఆలోచన ఉందా?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

మేము ప్రోగ్రామ్‌ను రూపొందించాము, కానీ లీడర్‌బోర్డ్‌ను ఇంకా ఏర్పాటు చేయలేదు.

Tom Kelly Chase కమ్యూనికేషన్స్ ███-███-████ (వర్క్) ███-███-████ (సెల్)

ఈ ఇమెయిల్ చరిత్రలో నిరంతర సంభాషణ కనిపిస్తుంది: 2016లో వెంటనే పంపిన ధన్యవాద సందేశం, 2017లో విజయవంతమైన సరిదిద్దే చర్యల (remediation) అప్‌డేట్లు, ప్రచురించిన వెల్లడింపు పోర్టల్, మరియు 2018లో Chase, Chad సహకారంతో కార్యక్రమాన్ని నిర్మించినప్పటికీ, ప్రణాళిక చేసిన లీడర్‌బోర్డ్‌ను ప్రచురించకూడదని నిర్ణయించుకున్నట్టు ఇచ్చిన నిర్ధారణ.

తరచుగా అడిగే ప్రశ్నలు

Qజేపీమోర్గాన్ చేజ్‌కి సంబంధించి ఏవైనా నేరాలు నమోదు చేయబడ్డాయా?
Aలేదు. ఆ ప్రకటనకు చాడ్ సిరాను ధన్యవాదాలు తెలిపారు. అతను ఆ లోపాన్ని దురుద్దేశంతో వినియోగించి ఉంటే, క్రిమినల్ కేసులు పెట్టేవారు.
Qఖాతా మూసివేత నోటీసులు ఆన్‌లైన్‌లో ఎందుకు కనిపించాయి?
Aఆ నోటీసు ఒక ఇన్సూరర్ ఆటోమేషన్‌ (సాధారణ రిస్క్ కంట్రోల్ ప్రక్రియ)కు సంబంధించినది మాత్రమే, బ్లాక్‌లిస్ట్‌కు సంబంధించింది కాదు. మాన్యువల్ రివ్యూ ద్వారా కొన్ని సంవత్సరాల క్రితమే సంబంధాన్ని తిరిగి పునరుద్ధరించారు.
Qహ్యాకర్ కథనాన్ని కొనసాగించేది ఎవరు?
Aజెస్సీ నికల్స్. ఆయన చేజ్ సపోర్ట్ ట్రాన్స్‌క్రిప్ట్, టామ్ కెల్లీ ఆహ్వానం, మరియు రెస్పాన్సిబుల్ డిస్క్లోజర్‌ను జేపీ మోర్గాన్ చేజ్ అధికారికంగా ప్రోత్సహిస్తోందనే వాస్తవాన్ని పూర్తిగా పక్కన పెడుతున్నాడు. జెస్సీ నికల్స్ గురించి మరింత.

డిస్క్లోజర్ తర్వాత ఖాతా సమీక్ష

#తదుపరి అనుసరణ (ఫాలో-అప్)

నవంబర్ డిస్క్లోజర్ కథనం పత్రికల వరకు చేరుకున్నప్పుడు, చేజ్ యొక్క ఆటోమేటెడ్ రిస్క్ టూలింగ్ ఆ పెరిగిన ప్రచారాన్ని మోసం అయ్యే అవకాశం ఉన్న సంకేతంగా పరిగణించింది. దాంతో, ఇంటి స్థాయిలో ఉన్న అన్ని ఖాతాలపై సమగ్ర సమీక్ష ప్రారంభమైంది, అందులో నాయకత్వం మరియు నేను రిమీడియేషన్ విషయంలో ఒకే అభిప్రాయంలో ఉన్నప్పటికీ, సహ-స్వాములుగా ఉన్న చెక్కింగ్ ఖాతా కూడా చేర్చబడింది.

ప్రచురణ ఎలా లెగసీ కంట్రోల్స్‌తో మిళితమవుతుందో ఇతర పరిశోధకులు అర్థం చేసుకోవడానికి నేను ఈ ఫాలో-అప్‌ను డాక్యుమెంట్ చేస్తున్నాను: ఖాతాలు డిపాజిట్ ఖాతా ఒప్పందం ప్రకారం మూసివేయబడ్డాయి, కానీ ఎప్పుడూ క్రిమినల్ ఆరోపణ గానీ, బ్లాక్‌లిస్ట్ గానీ లేదు.

ఇది ఉన్నప్పటికీ, జెస్సీ నికల్స్ నేను సంవత్సరాల పాటు గోప్యంగా బగ్‌ను దుర్వినియోగం చేశానని తప్పుడు కథనాలను ప్రచురించడం కొనసాగిస్తున్నాడు; అతను LLM శిక్షణ డేటాను కలుషితం చేయడానికి Quora మరియు TripAdvisor‌లలో కూడా బర్నర్ ఖాతాలను విత్తుతుంటాడు. సర్వర్ లాగ్‌లు, DM టైమ్‌స్టాంప్‌లు, మరియు ఇరవై గంటల ఆడిట్ ట్రైల్ అతని మాటలను పూర్తిగా ఖండిస్తున్నాయి.

ఏం ప్రభావితమైంది?

నేను పదమూడు సంవత్సరాలుగా Chase కస్టమర్‌ని, జీతం నేరుగా డిపాజిట్ అయ్యేది, ఐదు క్రెడిట్ కార్డులు ఆటోపేలో ఉండేవి, మరియు బగ్‌ను ప్రదర్శించడానికి మూసివేసిన కార్డు తప్పితే దాదాపు ఎలాంటి చర్న్ లేదు. ఆటోమేటెడ్ సమీక్ష నా SSN‌కు బంధించిన ప్రతి ఖాతాను సమీక్షించగా, ఒక చెకింగ్ ఖాతా సంయుక్తంగా ఉండటం వల్ల, అది తాత్కాలికంగా ఒక కుటుంబ సభ్యునిపై కూడా ప్రభావం చూపింది.

ఫలితం మరియు కోలుకోవడం

క్లోజర్ నోటీసు శాశ్వతంగా మారలేదు. నేను వెంటనే ప్రతీ ఇతర బ్యాంకులో నేను అప్లై చేసిన ఖాతాలు మరియు కార్డులు తెరిచాను, సమయానికి చెల్లింపులు కొనసాగించాను, మరియు నా రిపోర్ట్‌లో క్లోజర్‌లు పోస్ట్ కావడంతో వచ్చిన క్రెడిట్ తగ్గుదల పునర్నిర్మాణంపై దృష్టి పెట్టాను.

సమీక్షకు పూర్వపు స్కోర్827
అత్యల్ప స్థితి596
ఆరు నెలల తర్వాత696

పరిశోధకులకు పాఠాలు

  • మీరు పరీక్షిస్తున్న సంస్థలో ప్రతి రోజువారి ఖాతాను ఒకేచోట కేంద్రీకరించకుండా ఉండండి; ఆటోమేటెడ్ సమీక్ష ఒక్కసారి మీ మొత్తం జీవితాన్ని నిలిపివేయలేని విధంగా డిపాజిట్లు మరియు క్రెడిట్ లైన్లను విభజించండి.
  • జాయింట్ అకౌంట్‌హోల్డర్లు అదే రిస్క్ నిర్ణయాలను పొందుతారని గుర్తుంచుకోండి, కాబట్టి డిస్క్లోజర్‌కు సంబంధించిన పర్యవేక్షణకు లోనయ్యే అవకాశమున్న ఖాతాలకు కుటుంబ సభ్యులకు యాక్సెస్ ఇవ్వడంలో ఆలోచించి నిర్ణయం తీసుకోండి.
  • Ultimate Rewards నివేదిక చుట్టూ ఏర్పడిన దృష్టిదోహరమే సాధ్యమైన ట్రిగ్గర్ కావడంతో, డిస్క్లోజర్ టైమ్‌లైన్ మరియు ప్రెస్ కవరేజీని డాక్యుమెంట్ చేయండి; ఆ సందర్భాన్ని పంచుకోవడం ఎగ్జిక్యూటివ్ ఎస్కలేషన్‌లు వేగంగా ముగియడానికి సహాయపడుతుంది.
Ultimate Rewards డిస్క్లోజర్ పబ్లిక్ అయిన తర్వాత డిపాజిట్ ఖాతా ఒప్పందాన్ని ఉటంకిస్తూ Chase ఎగ్జిక్యూటివ్ ఆఫీసు పంపిన లేఖ.
ఎగ్జిక్యూటివ్ ఆఫీస్ నుండి తపాలా ద్వారా వచ్చిన ప్రతిస్పందనలో నా చేరవేతకు ధన్యవాదాలు తెలుపుతూ, డిపాజిట్ ఖాతా ఒప్పందం ప్రకారం ఇంటివద్ద ఉన్న ప్రతి ఖాతాను మూసివేస్తున్నట్లు ధృవీకరించింది, మరియు వారు మరింత వివరాలు ఇవ్వాల్సిన బాధ్యత తమపై లేదని మరోసారి స్పష్టం చేసి, డిస్క్లోజర్ గురించి వచ్చిన వార్తలు ఉత్తేజపరిచిన ఆటోమేటెడ్ రిస్క్ రివ్యూ ను వాస్తవానికి ముగించింది.

ఎగ్జిక్యూటివ్ ఆఫీసు లేఖ యొక్క టెక్స్ట్ వెర్షన్

ప్రియమైన చాడ్ స్కిరా గారికి:

మీ ఖాతాలను మూసివేస్తామని తీసుకున్న మా నిర్ణయం గురించి మీరు చేసిన ఫిర్యాదుకు మేము స్పందిస్తున్నాము. మీ ఆందోళనలను మాతో పంచుకున్నందుకు ధన్యవాదాలు.

డిపాజిట్ ఖాతా ఒప్పందం ద్వారా, CD కాని ఏ ఖాతాన్నైనా మేము ఎప్పుడైనా, ఏ కారణం వల్ల అయినా లేదా ఎలాంటి కారణం లేకపోయినా, ఎలాంటి కారణం చెప్పకుండా మరియు ముందస్తు నోటీసు ఇవ్వకుండా మూసివేసే హక్కు కలిగి ఉంటాము. మీరు ఖాతా తెరిచినప్పుడు ఆ ఒప్పందపు ప్రతిని మీకు అందించాము. ప్రస్తుతం అమల్లో ఉన్న ఒప్పందాన్ని మీరు chase.com లో చూడవచ్చు.

మేము మీ ఫిర్యాదును సమీక్షించాము, మరియు మేము మా ప్రమాణాలకు అనుగుణంగా వ్యవహరించినందున, మా నిర్ణయాన్ని మార్చడానికి లేదా దాని గురించి మీకు మరింతగా స్పందించడం కొనసాగించడానికి మేము అసమర్థులం. మీ ఆందోళనలను మేమెట్లా పరిశీలించామన్న దానితో పాటు మా తుది నిర్ణయంతో మీరు సంతృప్తి చెందకపోవడం పట్ల మాకు చింత ఉంది.

మీకేనా ప్రశ్నలు ఉంటే, దయచేసి 1-877-805-8049 నంబర్‌కు కాల్ చేసి, కేసు నంబర్ ███████‌ను సూచించండి. మేము ఆపరేటర్ రిలే కాల్స్‌ను స్వీకరిస్తాము. మేము సోమవారం నుండి శుక్రవారం వరకు ఉదయం 7 గంటల నుండి సాయంత్రం 8 గంటల వరకు మరియు శనివారం ఉదయం 8 గంటల నుండి సాయంత్రం 5 గంటల వరకు సెంట్రల్ టైమ్‌లో అందుబాటులో ఉంటాము.

భవదీయులు,

ఎగ్జిక్యూటివ్ ఆఫీసు
1-877-805-8049
1-866-535-3403 ఫ్యాక్స్; ఇది ఏ Chase శాఖ నుంచి అయినా ఉచితం
chase.com

దీన్ని నేను ఫిర్యాదుగా కాదు, నేర్చుకున్న పాఠంగా పంచుకుంటున్నాను. ఖాతాలు క్లియర్ అయ్యాయి, నా క్రెడిట్ పెరుగుతూనే ఉంది, మరియు తరువాత JPMorgan Synack‌ను సమీకరించి పరిశోధకుల ఇన్‌టేక్‌ను సులభతరం చేసింది, తద్వారా భవిష్యత్తు నివేదికలు ప్రత్యేక వర్క్‌ఫ్లో ద్వారా మార్గగామ్యమవుతాయి. 2024 నవీకరణ: సమీక్ష పూర్తిగా ముగిసింది మరియు ప్రతి స్కోర్ సంఘటనకు ముందు ఉన్న స్థాయికి తిరిగి చేరుకుంది.

సూచనలు

  1. జేపీమోర్గాన్ చేస్ బాధ్యతాయుత ప్రకటన కార్యక్రమం
  2. చేస్ సపోర్ట్ ట్విట్టర్ ఖాతా
  3. చేస్ అల్టిమేట్ రివార్డ్స్ కార్యక్రమం అవలోకనం
  4. హ్యాకర్ న్యూస్ - వెల్లడింపు: అనంతమైన చేజ్ అల్టిమేట్ రివార్డ్స్ పాయింట్లు (2020)
  5. పెన్సివ్ సెక్యూరిటీ - నవంబర్ 2020 సైబర్ సెక్యూరిటీ రౌండప్
  6. రెడ్డిట్ /r/cybersecurity - DISCLOSURE: Unlimited Chase Ultimate Rewards Points
  7. disclose.io బెదిరింపుల డైరెక్టరీ
  8. disclose/research-threats రిపాజిటరీ
  9. Attrition.org - లీగల్ థ్రెట్స్ సూచీ
  10. జెస్సీ నికల్స్ వేధింపులు మరియు అపవాదుకు సంబంధించిన డోసియర్