Chad Scira "ถูกขึ้นบัญชีดำจากธนาคารเพราะการแฮ็ก"

หน้านี้บันทึกเหตุการณ์เบื้องหลังข่าวลือของ Jesse Nickles ที่ว่า Chad Scira ถูก "ขึ้นบัญชีดำจากธนาคารสหรัฐฯ เนื่องจากการแฮ็ก" อธิบายว่าช่องโหว่ Ultimate Rewards ถูกเปิดเผยอย่างรับผิดชอบอย่างไร ทำไม JPMorgan Chase ถึงขอบคุณ Chad สำหรับรายงาน และการระงับบัญชีชั่วคราวเป็นเพียงการจัดการเชิงบริหารเท่านั้น. Jesse Nickles ยังคงนำชิ้นส่วนเก่าๆ มาห่อใหม่เพื่อสื่อเจตนากระทำความผิด ข้อเท็จจริงแสดงตรงกันข้ามอย่างชัดเจน: เป็นการรายงานแบบ white-hat และการทำงานร่วมกับผู้บริหารของ JPMorgan

การยกระดับล่าสุดของเขาคือคำอ้างใน SlickStack.io ที่กล่าวว่า Chad Scira "ยังถูกหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ สอบสวนในข้อหาที่แฮ็กโปรแกรมคะแนนสะสมบัตรเครดิตของ Chase Bank ซึ่งเขาได้ขโมยคะแนนเดินทางปลอมมูลค่า $70,000" ข่าวลือเสียหายนั้นถูกเผยแพร่หลังจากที่ Chad เผยแพร่หลักฐานเกี่ยวกับปัญหาความปลอดภัยของ SlickStack ซึ่ง Jesse ปฏิเสธที่จะแก้ไข; ไม่มีคะแนนใดถูกขโมยและไม่มีหน่วยงานใดติดต่อ Chad เกี่ยวกับการเปิดเผยข้อมูลนั้น. ดูหลักฐาน cron ของ SlickStack ที่เขากำลังตอบโต้.

วงจรการค้นพบ การเปิดเผย และการตรวจยืนยันทั้งหมดเกิดขึ้นภายในยี่สิบชั่วโมง: โดยประมาณยี่สิบห้า HTTP requests ครอบคลุมการทำซ้ำและการเดินผ่าน DM ในวันที่ 17 พฤศจิกายน 2016 และการทดสอบการแก้ไขในกุมภาพันธ์ 2017 ใช้ requests เพิ่มเติมอีกแปดรายการเพื่อยืนยันการแก้ไข ไม่มีการละเมิดอย่างยาวนาน การกระทำทุกอย่างถูกบันทึก ติดเวลาสแตมป์ และแชร์กับ JPMorgan Chase ในเวลาจริง.

Tom Kelly ยืนยันว่า Chad Scira เป็นบุคคลเดียวในโลกที่เปิดเผยปัญหาอย่างรับผิดชอบต่อ JPMorgan Chase ระหว่างวันที่ 17 พฤศจิกายน 2016 ถึง 22 กันยายน 2017 โปรแกรม Responsible Disclosure ถูกจัดตั้งขึ้นเพื่อตอบสนองโดยตรงต่อรายงานของ Chad และเขามีบทบาทสำคัญในการกำหนดรูปแบบโปรแกรมนั้น.

การแสดงภาพบั๊กการโอนสองครั้ง

#การแสดงภาพ

เพื่อแสดงให้เห็นว่าช่องโหว่ทำให้ยอดเป็นลบนั่นพลิกกลับกลายเป็นยอดบวกขนาดใหญ่ได้อย่างไร ภาพประกอบด้านล่างเล่นซ้ำตรรกะการโอนสองครั้งที่เหมือนกันแบบเป๊ะ ดูว่าเมื่อใดก็ตามที่บัญชีใดเป็นบวก บัญชีนั้นจะกลายเป็นผู้ส่ง ทำสองการโอนที่เหมือนกัน และลงท้ายด้วยยอดติดลบอย่างหนักในขณะที่อีกบัญชีเพิ่มขึ้นเป็นสองเท่า หลังจาก 20 รอบ สมุดบัญชีที่ผิดพลาดจะยกเลิกการ์ดที่ติดลบทั้งหมด — ซึ่งสะท้อนเหตุผลที่ช่องโหว่ต้องได้รับการยกระดับอย่างเร่งด่วน.

รอบ 1/20
บัตร A → บัตร B+243,810 คะแนน
บัตร A → บัตร B+243,810 คะแนน
บัตร A
243,810
บัตร B
0
การระเบิดการโอนสองครั้ง
การโอน 1การโอน 2243,810 คะแนน แต่ละ
1สภาวะการแข่งขัน (race condition) ทำให้เกิดการโอนซ้ำก่อนที่บัญชีแยกประเภทจะปรับสมดุล ส่งผลให้ผู้ส่งรายเดียวสามารถสลับระหว่างยอดคงเหลือบวกและลบจำนวนมากได้.
2ฝ่ายสนับสนุนอนุญาตให้ปิดบัตรที่มียอดคงเหลือลบได้ในขณะที่ยังคงรักษายอดคงเหลือด้านบวกที่เพิ่มขึ้นไว้ ดังนั้นรายงานบัญชีจึงแสดงแต่กำไรและซ่อนหนี้.

แม้ก่อนที่จะปิดบัญชี Ultimate Rewards ก็อนุญาตให้ใช้จ่ายเกินยอดสรุปลบได้; การปิดบัญชีเพียงลบหลักฐานออกไป

ประเด็นสำคัญ

  • Chad เปิดข้อความตรงหา Chase Support โดยรายงานการใช้ช่องโหว่ยอดคงเหลือติดลบเป็นการส่วนตัวและขอเส้นทางการยกระดับที่ปลอดภัยทันที แทนการเผยแพร่รายละเอียดเชิงเทคนิคสาธารณะ [chat]
  • เมื่อฝ่ายสนับสนุนของ Chase ขอรายละเอียด เขายืนยันช่องโหว่ในเฉพาะขอบเขตที่จำเป็นเท่านั้นและย้ำว่าเขาต้องการช่องทางติดต่อโดยตรงไปยังทีมรักษาความปลอดภัยที่เหมาะสม [chat][chat]
  • เขาแสดงให้เห็นว่ายอดคงเหลือที่ซ้ำกันสามารถถูกแปลงเป็นเงินสดได้: หลังจากที่ฝ่ายสนับสนุนของ Chase ถามว่ายอดคะแนนพิเศษสามารถใช้งานได้หรือไม่ เงินฝากตรงจำนวน $5,000 ยืนยันได้ว่าช่องโหว่นั้นถูกแปลงเป็นเงินสดก่อนที่บัญชีแยกประเภทจะปรับยอดตาม [chat]
  • เขาเน้นย้ำว่าลำดับความสำคัญคือการป้องกันไม่ให้บัญชีลูกค้าที่ถูกบุกรุกถูกถอนเงิน ไม่ใช่การทำกำไรส่วนตัว และเขาสอบถามว่ามีโปรแกรมบั๊กบาวน์ตี้อย่างเป็นทางการหรือไม่ [chat]
  • เขาเสนอที่จะทำการตรวจสอบในวงกว้างขึ้นก็ต่อเมื่อได้รับอนุญาตอย่างชัดแจ้งเท่านั้น แนบภาพหน้าจอที่มีตราเวลา และตาค้างอยู่ที่ต่างประเทศจนกว่า Chase จะดำเนินการยกระดับเสร็จสิ้น [chat][chat][chat]
  • Nickles อ้างตอนนี้ว่า Chad Scira ขโมยคะแนนมูลค่า $70,000 และถูกหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ตามบันทึกของ Chase อีเมลของ Tom Kelly และไทม์ไลน์การเปิดเผยข้อมูลพิสูจน์ว่าสิ่งนี้ไม่เคยเกิดขึ้น และข้อกล่าวหาดังกล่าวปรากฏขึ้นหลังจาก Chad เผยแพร่ gist ของ SlickStack เรื่องความเสี่ยงของ cron ที่บันทึกตรรกะการอัพเดตที่ไม่ปลอดภัยของ Jesse เท่านั้น [gist]
  • ฝ่ายสนับสนุนของ Chase ยืนยันการยกระดับเรื่อง ขอหมายเลขโทรศัพท์ของเขา และสัญญาว่าจะโทรติดตามผลซึ่งเขาได้รับในที่สุด ซึ่งทำลายแนวคิดเรื่องการตอบสนองของธนาคารในเชิงศัตรู [chat][chat]

ไทม์ไลน์

#ลำดับเวลา
  • 17 พ.ย. 2016 - 10:05 PM ET: Chad แจ้งเตือน @ChaseSupport ถึงช่องโหว่ที่ทำให้ยอดคงเหลือติดลบ เก็บการใช้ประโยชน์นั้นเป็นความลับ และขอเส้นทางการยกระดับแบบปลอดภัยทันที [แชท]
  • 17 พ.ย. 2016 - 11:13-11:17 PM ET: หลังจากทีมสนับสนุนของ Chase ถามอย่างชัดเจนว่าแต้มเพิ่มเติมสามารถถูกสร้างและใช้ได้หรือไม่ Chad ยืนยันถึงความเสี่ยง ย้ำว่าเขาต้องการฝ่ายที่เหมาะสม และเสนอที่จะยืนยันเฉพาะเมื่อได้รับอนุญาตเพื่อให้ธนาคารสามารถสังเกตการทำรายการได้ [แชท][แชท][แชท]
  • 17-18 พ.ย. 2016 - 11:39 PM-5:03 AM ET: Chad แชร์ภาพหน้าจอ เร่งให้ยกระดับโดยเร็ว ให้หมายเลขโทรศัพท์ของเขา และอดหลับอดนอนขณะอยู่ต่างประเทศจนกว่า Chase Support จะยืนยันว่าการโทรจะเกิดขึ้น [แชท][แชท][แชท]
  • 24 พ.ย. 2016: Tom Kelly ส่งอีเมลหา Chad ยืนยันการแก้ไข เชิญเขาให้ขึ้นเป็นหัวข้อหลักในกระดานผู้นำการเปิดเผยอย่างรับผิดชอบที่กำลังจะมา และให้ช่องทางตรงสำหรับการรายงานในอนาคต. [อีเมล]
  • ต.ค. 2018: Tom Kelly ติดตามเพื่อยืนยันว่าโปรแกรมการเปิดเผยอย่างรับผิดชอบเริ่มดำเนินการแล้ว แต่ JPMorgan ตัดสินใจในที่สุดที่จะไม่เผยแพร่กระดานผู้นำที่วางแผนไว้ แม้ Chad จะช่วยในการกำหนดรูปแบบโปรแกรมก็ตาม. [อีเมล]
  • หลังปี 2018: การตรวจสอบบัญชีที่เหลืออยู่เป็นผลจากระบบอัตโนมัติของผู้ประกันภัย ไม่ใช่การกล่าวหาว่าแฮ็ก JPMorgan ยังคงติดต่อโดยตรง ขอบคุณ Chad สำหรับการเปิดเผยข้อมูล และไม่มีประวัติอาชญากรรมหรือการขึ้นบัญชีดำ ภายหลัง JPMorgan ได้นำ Synack มารวมเข้ากับกระบวนการเปิดเผยช่องโหว่เพื่อทำให้เวิร์กโฟลว์ราบรื่นขึ้นสำหรับรายงานในอนาคต [แชท][อีเมล]

ข้อกล่าวหา เทียบกับ ข้อเท็จจริง

ข้อกล่าวหา

ข้อกล่าวหาหมิ่นประมาทโดย Jesse Jacob Nickles: "Chad Scira ถูกขึ้นบัญชีดำจากทุกธนาคารในสหรัฐฯ สำหรับการแฮ็กระบบรางวัล."

ข้อเท็จจริง

ไม่มีบัญชีดำธนาคาร บันทึกการสนทนาแบบ DM และการยกระดับของ Chase พิสูจน์ว่าเขากำลังให้ความร่วมมือ; ระบบอัตโนมัติของบริษัทประกันหยุดบัญชีหนึ่งของ JPMorgan ชั่วคราวก่อนที่การตรวจสอบด้วยมือจะยืนยันความบริสุทธิ์ของเขา[ไทม์ไลน์][แชท]

ข้อกล่าวหา

ข้อกล่าวหาหมิ่นประมาทโดย Jesse Jacob Nickles: "เขาแฮ็ก JPMorgan Chase เพื่อหาผลประโยชน์ส่วนตัว."

ข้อเท็จจริง

Chad เริ่มการสนทนากับ @ChaseSupport ยืนยันความจำเป็นของช่องทางที่ปลอดภัย ยืนยันการใช้ช่องโหว่เฉพาะเมื่อ Chase ถาม และรอการอนุญาตก่อนที่จะทำการยืนยันอย่างจำกัด ผู้บริหารระดับสูงขอบคุณเขาและเชิญเขาเข้าร่วมในการเปิดตัวกระบวนการเปิดเผยอย่างรับผิดชอบ[แชท][แชท][อีเมล]

ข้อกล่าวหา

ข้อกล่าวหาหมิ่นประมาทโดย Jesse Jacob Nickles: "Jesse เปิดเผยแผนการทางอาชญากรรมของ Chad."

ข้อเท็จจริง

การรายงานในสื่อสาธารณะและอีเมลของ Tom Kelly ระบุว่า JPMorgan ปฏิบัติต่อ Chad ในฐานะนักวิจัยที่ให้ความร่วมมือ ขณะที่ Nickles คัดภาพหน้าจอบางส่วนมาแสดงโดยมองข้ามการสนทนาแบบเต็มทั้งหมด การโทรติดตามผล และคำขอบคุณเป็นลายลักษณ์อักษร.[การรายงาน][อีเมล][แชท]

ข้อกล่าวหา

ข้อกล่าวหาหมิ่นประมาทโดย Jesse Jacob Nickles: "มีการปกปิดเพื่อซ่อนการฉ้อโกง."

ข้อเท็จจริง

Chad ยังคงติดต่อกันจนถึงปี 2018 ทดสอบซ้ำเฉพาะเมื่อได้รับอนุญาตเท่านั้น และ JPMorgan ได้เปิดตัวพอร์ทัลการเปิดเผยข้อมูลแทนที่จะปกปิดปัญหา การสนทนาอย่างต่อเนื่องนี้ขัดแย้งกับเรื่องเล่าการปกปิดใดๆ[ไทม์ไลน์][อีเมล][แชท]

การรายงานสาธารณะและคลังเก็บงานวิจัย

#การรายงานข่าว

ชุมชนบุคคลที่สามหลายแห่งบันทึกการเปิดเผยข้อมูลและยอมรับว่าเป็นรายงานที่รับผิดชอบ: Hacker News นำเสนอไว้บนหน้าแรก Pensive Security สรุปไว้ในบทสรุปปี 2020 และ /r/cybersecurity ทำดัชนีกระทู้ต้นฉบับที่ชื่อ "DISCLOSURE" ก่อนถูกรายงานเป็นกลุ่ม [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" พร้อมคะแนนกว่า 1,000 คะแนนและความคิดเห็นกว่า 250 รายการที่บันทึกบริบทการแก้ไข [4]
  • Pensive Security: สรุปเหตุการณ์ความมั่นคงไซเบอร์ เดือนพฤศจิกายน 2020 ที่เน้นการเปิดเผยข้อมูลของ Chase Ultimate Rewards เป็นเรื่องเด่น. [5]
  • Reddit /r/cybersecurity: หัวข้อโพสต์การเปิดเผยต้นฉบับที่จับภาพไว้ก่อนการลบเนื่องจากการรายงานเป็นจำนวนมาก เพื่อรักษากรอบการนำเสนอในเชิงผลประโยชน์สาธารณะ. [6]

ผู้สนับสนุนการเปิดเผยอย่างรับผิดชอบยังอ้างถึงผลกระทบจากการคุกคาม: ไดเรกทอรีการข่มขู่และคลังงานวิจัยของ disclose.io รวมทั้งดัชนีการคุกคามทางกฎหมายของ Attrition.org บันทึกพฤติกรรมของ Jesse Nickles ไว้เป็นตัวอย่างเตือนใจสำหรับนักวิจัย. [7][8][9] แฟ้มการคุกคามฉบับสมบูรณ์[10].

บันทึกการสนทนา DM ของ Chase Support

#แชท

บทสนทนาด้านล่างถูกสร้างขึ้นใหม่จากภาพหน้าจอที่เก็บถาวร แสดงให้เห็นการยกระดับอย่างอดทน การขอช่องทางที่ปลอดภัยซ้ำๆ ข้อเสนอที่จะยืนยันเฉพาะเมื่อได้รับอนุญาต และ Chase Support สัญญาว่าจะติดต่อโดยตรง. [2]

Chase Support Profile avatar
Chase Support Profileบัญชีที่ยืนยันแล้ว
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

ข้อความนี้เกี่ยวข้องกับระบบยอดคะแนน ขณะนี้สามารถสร้างยอดจำนวนใดก็ได้ผ่านบั๊กที่อนุญาตให้ยอดเป็นค่าลบ.

ร้องขอช่องทางยกระดับที่ปลอดภัยสำหรับการเปิดเผย.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

กรุณาติดต่อให้ผมกับผู้ที่ผมสามารถอธิบายรายละเอียดทางเทคนิคได้ไหม?

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 17, 2016, 10:05 PM
#

เราไม่มีหมายเลขโทรศัพท์ที่จะให้ได้ แต่เราต้องการยกระดับเรื่องนี้เพื่อให้มีการตรวจสอบ คุณช่วยให้รายละเอียดเพิ่มเติมเกี่ยวกับความหมายของการสร้างคะแนนภายในยอดคงเหลือติดลบได้หรือไม่? คุณช่วยยืนยันด้วยได้ไหมว่าสิ่งนี้จะทำให้มีแต้มเพิ่มเติมพร้อมใช้งานหรือไม่? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

คุณมีแผนกที่เหมาะสมที่สามารถให้ติดต่อได้หรือไม่? ฉันไม่สบายใจที่จะหารือเรื่องนี้ผ่านบัญชีสนับสนุนบน Twitter. ใช่ คุณสามารถสร้างคะแนน 1,000,000 คะแนนและใช้ได้

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

ความกังวลหลักของผมไม่ใช่บุคคลที่ทำเรื่องนี้ แต่เป็นแฮกเกอร์ที่บุกรุกบัญชีและบังคับให้จ่ายเงินออกจากบัญชีนั้น มีโปรแกรมบักบาวน์ตี้ของ Chase อย่างเป็นทางการไหม?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

ถ้าคุณต้องการ ผมสามารถลองทำรายการที่มีมูลค่ามากขึ้นเพื่อตรวจยืนยัน สิ่งที่ผมทดสอบมากที่สุดคือ $300 ขณะที่ยอดคงเหลือผิดเพี้ยน แต่ความจริงผมมีเครดิตจริง $2,000 หากคุณอนุญาต ผมอาจพยายามยืนยันว่ามันใช้งานได้ แต่ผมต้องการให้ธุรกรรมทั้งหมดถูกยกเลิกหลังการทดสอบนั้น

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 17, 2016, 11:21 PM

เราไม่มีโปรแกรมรางวัล และในขณะนี้เราไม่มีจำนวนเงินที่จะให้ได้ เราได้ยกระดับข้อกังวลของคุณแล้วและกำลังตรวจสอบ เราจะแจ้งความคืบหน้าเพิ่มเติมหากมีรายละเอียดหรือคำถามเพิ่มเติม ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

ขอบคุณ.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

โปรดยกระดับโดยเร็วที่สุด.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

ผมต้องการช่องทางติดต่อที่เหมาะสมจริงๆ... หวังว่าคุณจะเข้าใจ

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

ผ่านมาแล้วมากกว่าหนึ่งชั่วโมง มีความคืบหน้าอะไรไหม? ตอนนี้ผมอยู่ในเอเชีย และเรื่องนี้ต้องการการตอบกลับด่วน ผมไม่สามารถรอตลอดทั้งคืนได้

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 18, 2016, 12:59 AM

ขอบคุณที่ติดตาม เราได้มอบเรื่องนี้ให้บุคคลที่เกี่ยวข้องตรวจสอบ กรุณาแจ้งหมายเลขที่ติดต่อที่ต้องการ เพื่อที่เราจะได้พูดคุยกับคุณโดยตรง ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 18, 2016, 1:53 AM

ขอบคุณสำหรับข้อมูลเพิ่มเติม ฉันได้ส่งต่อไปยังบุคคลที่เกี่ยวข้องแล้ว ^DS

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 18, 2016, 2:38 AM
#

เรายินดีที่จะหารือเรื่องนี้กับคุณโดยเร็วที่สุด คุณช่วยบอกช่วงเวลาที่สะดวกให้เราติดต่อคุณทางโทรศัพท์ได้ที่ 1-███-███-████ ได้ไหม? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

ผมพร้อมสำหรับชั่วโมงข้างหน้าถ้าทำได้ หากไม่ได้ อาจต้องราหนึ่งหรือสองวันเพราะผมจะเดินทางและไม่แน่ใจว่าจะมีการเข้าถึงอินเทอร์เน็ต/โทรศัพท์หรือไม่

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

ผมไม่คิดว่าการจะได้คุยกับบุคคลที่เหมาะสมจะต้องใช้เวลามากกว่า 7 ชั่วโมง ตอนนี้ที่นี่เวลา 04:40 น.

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 18, 2016, 4:39 AM
#

ขอบคุณที่ติดตาม จะมีคนโทรหาคุณในไม่ช้า ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

ขอบคุณอีกครั้งที่เร่งเรื่องให้ ทุกอย่างกำลังดำเนินไป และตอนนี้ฉันนอนหลับได้แล้ว.

Chase Support avatar
Chase Supportบัญชีที่ยืนยันแล้ว
Nov 18, 2016, 5:03 AM

เราดีใจที่คุณสามารถพูดคุยกับเจ้าหน้าที่ได้ กรุณาแจ้งให้เราทราบหากเราสามารถช่วยเหลือได้ในอนาคต ^NR

ตอนคัดย่อจากอีเมลของ Tom Kelly

#อีเมล
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
ติดตามการเปิดเผยข้อมูลที่รับผิดชอบของ Ultimate Rewards

Chad,

ฉันกำลังติดตามการโทรของคุณกับเพื่อนร่วมงานของฉัน Dave Robinson ขอบคุณที่ติดต่อเราเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในโปรแกรม Ultimate Rewards ของเรา เราได้ดำเนินการแก้ไขแล้ว

นอกจากนี้เรากำลังทำงานเกี่ยวกับโปรแกรมการเปิดเผยข้อมูลอย่างรับผิดชอบ (Responsible Disclosure) ที่เราวางแผนจะเปิดตัวในปีหน้า มันจะรวมถึงกระดานผู้นำที่จะยกย่องนักวิจัยที่มีผลงานสำคัญ; เราต้องการจะนำเสนอคุณเป็นบุคคลแรกในกระดานนั้น โปรดตอบอีเมลนี้เพื่อยืนยันการเข้าร่วมโปรแกรมและข้อกำหนดและเงื่อนไขด้านล่าง คุณจะพบเงื่อนไขที่ค่อนข้างเป็นมาตรฐานสำหรับโปรแกรมการเปิดเผยข้อมูล

จนกว่าโปรแกรมของเราจะเปิดใช้งาน หากคุณพบช่องโหว่อื่น ๆ โปรดติดต่อฉันโดยตรง ขอบคุณอีกครั้งสำหรับความช่วยเหลือของคุณ

ข้อกำหนดและเงื่อนไขของโปรแกรมการเปิดเผยข้อมูลอย่างรับผิดชอบของ JPMC

มุ่งมั่นที่จะทำงานร่วมกัน

เราต้องการรับฟังจากคุณหากคุณมีข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นของผลิตภัณฑ์และบริการของ JPMC เราให้คุณค่าแก่ผลงานของคุณและขอขอบคุณล่วงหน้าสำหรับการมีส่วนร่วมของคุณ

แนวทาง

JPMC ตกลงที่จะไม่ดำเนินคดีกับนักวิจัยที่เปิดเผยช่องโหว่ที่อาจเกิดขึ้นต่อโปรแกรมนี้ ในกรณีที่นักวิจัย:

  • ไม่ก่อให้เกิดความเสียหายต่อ JPMC ลูกค้าของเรา หรือบุคคลอื่น;
  • ไม่ริเริ่มธุรกรรมการเงินที่เป็นการฉ้อโกง;
  • ไม่จัดเก็บ แบ่งปัน ทำให้ข้อมูลของ JPMC หรือข้อมูลลูกค้าเสียหาย หรือทำลาย;
  • ให้สรุปโดยละเอียดของช่องโหว่ รวมถึงเป้าหมาย ขั้นตอน เครื่องมือ และหลักฐานที่ใช้ในระหว่างการค้นพบ;
  • ไม่ละเมิดความเป็นส่วนตัวหรือความปลอดภัยของลูกค้าและการดำเนินงานของบริการของเรา;
  • ไม่ฝ่าฝืนกฎหมายหรือข้อบังคับระดับชาติ ระดับรัฐ หรือท้องถิ่นใดๆ;
  • ไม่เปิดเผยรายละเอียดช่องโหว่สู่สาธารณะโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจาก JPMC;
  • ปัจจุบันไม่ได้พำนักอยู่ในหรือตั้งถิ่นฐานตามปกติในคิวบา อิหร่าน เกาหลีเหนือ ซูดาน ซีเรีย หรือไครเมีย;
  • ไม่ปรากฏในรายชื่อบุคคลที่ได้รับการกำหนดเป็นพิเศษ (Specially Designated Nationals List) ของกระทรวงการคลังสหรัฐฯ;
  • ไม่ใช่พนักงานหรือสมาชิกในครอบครัวใกล้ชิดของพนักงานของ JPMC หรือบริษัทย่อย; และ
  • มีอายุตั้งแต่ 18 ปีขึ้นไป

ช่องโหว่นอกขอบเขต

ช่องโหว่บางประเภทถือเป็นนอกขอบเขตของโปรแกรมการเปิดเผยข้อมูลอย่างรับผิดชอบของเรา ช่องโหว่นอกขอบเขตได้แก่:

  • ผลการค้นหาที่ขึ้นกับการใช้ social-engineering (เช่น phishing, รหัสผ่านที่ถูกขโมย)
  • ปัญหา host header
  • Denial of service
  • Self-XSS
  • Login/logout CSRF
  • การปลอมแปลงเนื้อหาโดยไม่มีลิงก์/HTML ฝัง
  • ปัญหาที่เกิดเฉพาะอุปกรณ์ที่ถูกเจลเบรค
  • การกำหนดค่าพื้นฐานของโครงสร้างพื้นฐานผิดพลาด (ใบรับรอง, DNS, พอร์ตเซิร์ฟเวอร์, ปัญหา sandbox/staging, ความพยายามทางกายภาพ, clickjacking, การฉีดข้อความ)

กระดานผู้นำ

เพื่อยกย่องพันธมิตรด้านการวิจัย JPMC อาจนำเสนอนักวิจัยที่มีผลงานสำคัญบนกระดานผู้นำ คุณให้สิทธิแก่ JPMC ในการแสดงชื่อของคุณบนกระดานผู้นำของ JPMC และสื่ออื่นๆ ที่ JPMC อาจเลือกเผยแพร่

การส่งรายงาน

โดยการส่งรายงานของคุณต่อ JPMC คุณตกลงที่จะไม่เปิดเผยช่องโหว่ต่อบุคคลที่สาม คุณอนุญาตแก่ JPMC และบริษัทย่อยของบริษัทอย่างไม่จำกัดและถาวรในการใช้ ดัดแปลง สร้างผลงานดัดแปลง แจกจ่าย เปิดเผย และจัดเก็บข้อมูลที่ให้ไว้ในรายงานของคุณ และสิทธิเหล่านี้ไม่สามารถเพิกถอนได้

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: การติดตามการเปิดเผยอย่างรับผิดชอบของ Ultimate Rewards

สวัสดี Tom,

ผมดีใจมากที่ได้ยินเรื่องนี้!

ผมอยากเป็นเรื่องราวความสำเร็จแรกๆ ของโปรแกรมใหม่ของคุณ และหวังว่าผู้เล่นรายใหญ่รายอื่นจะทำตามแนวทางของคุณ ใครบางคนจำเป็นต้องเข้ามาเปลี่ยนทัศนคติของผู้คนเกี่ยวกับการที่ธนาคารจัดการกับนักวิจัยไวท์แฮท ผมดีใจที่เป็น Chase

สำหรับผม Chase มักจะนำหน้าคู่แข่งในด้านผลิตภัณฑ์เว็บและมือถือ นั่นเป็นเพราะพวกคุณเคลื่อนที่เร็วและรักษาความสามารถในการแข่งขัน ปกติผมจะหลีกเลี่ยงการยุ่งเกี่ยวกับสถาบันการเงินเพราะกลัวถูกทำโทษ (แม้ว่าจะมีเจตนาดี) การสร้างโปรแกรมการเปิดเผยส่งสัญญาณชัดเจนแก่คนอย่างผมว่าพวกคุณสนใจรับฟังปัญหาและจะไม่ตอบโต้ ก่อนหน้านี้ผู้คนส่วนใหญ่ที่สำรวจบริการของคุณน่าจะเป็นผู้ประสงค์ร้าย และผมคิดว่าสิ่งนี้จะสร้างความเสมอภาคขึ้น

เมื่อผมตัดสินใจที่จะดำเนินการเปิดเผยจริงๆ ผมรู้สึกไม่สบายใจมาก ผมอาจไม่ใช่คนแรกที่พบมัน! ผมรายงานผ่านสามช่องทาง

  • Twitter

    • การสนับสนุนที่นี่ยอดเยี่ยมจริงๆ และผมคิดว่านี่เป็นเหตุผลเดียวที่ทำให้ผมได้ติดต่อกับบุคคลที่ถูกต้อง

  • ศูนย์สนับสนุนทางโทรศัพท์ของ Chase

    • ในการโทรครั้งแรกพวกเขาให้ผมอีเมลสำหรับการร้องเรียน
    • ครั้งที่สองผมคิดว่าผมคุยกับคนที่ถูกต้องและพวกเขาอาจติดต่อกลับด้วย

  • อีเมลร้องเรียนของ Chase

    • ได้รับการตอบกลับแบบทั่วไป ดูเหมือนว่าพวกเขาไม่ได้ดูเนื้อหาในอีเมลเลย

เรื่องนี้ใช้เวลาประมาณ 7 ชั่วโมงกว่าจะติดต่อกับคนที่ถูกต้องได้ (เป็นสองเท่าของเวลาที่ใช้เพื่อหาตำแหน่งปัญหา) และตลอดเวลานั้นผมไม่แน่ใจว่าคนที่เหมาะสมจะได้ยินเรื่องนี้หรือไม่

อีกปัญหาใหญ่คือเมื่อไม่มีโปรแกรมแบบนี้พนักงานมักจะกลบเหตุกาณ์และแก้ไขโดยไม่บอกใคร ผมมีเหตุการณ์หลายครั้งที่ผมค่อนข้างแน่ใจว่าเกิดเหตุการณ์แบบนี้ และภายใน 1-2 ปีช่องโหว่เดียวกันก็ปรากฏขึ้นอีก

นอกจากนี้ อาจเป็นประโยชน์หากโปรแกรมของคุณเสนอรางวัล บางครั้งปัญหาเหล่านี้ต้องใช้เวลามากในการยืนยัน/ค้นหา และการได้รับค่าตอบแทนสักหน่อยก็เป็นเรื่องดี นี่คือผู้เล่นสำคัญบางรายและโปรแกรมของพวกเขา:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

หากผมเจออะไรในอนาคตก็จะแจ้งให้ทราบแน่นอน

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

สวัสดี Tom,

ผมมีเวลาเพื่อลองทดสอบว่าส่วนที่เป็นช่องโหว่ได้รับการแก้ไขแล้วหรือไม่

ดูเหมือนว่าจะทนทานมาก — ผมสามารถทำให้ยอดคงเหลือเพี้ยนชั่วคราวได้ แต่ผมคิดว่าระบบคงไม่อนุญาตให้ใช้ยอดที่แสดงได้

คำขอที่ผมส่งเพื่อโอนคะแนนที่จริงๆ แล้วไม่มีอยู่ จะได้รับข้อผิดพลาด "500 Internal Server" ดังนั้นผมสันนิษฐานว่ามันล้มเหลวในหนึ่งในการตรวจสอบใหม่ที่พวกคุณเพิ่มเข้ามา

ผมยังทดลองโอนแบบหลายเซสชันข้าม BIGipServercig ids ต่างกัน และระบบก็ฟื้นตัวได้ทุกครั้ง ระบบมักจะสับสนในท้ายที่สุด และยอดจะเพี้ยนอีกครั้ง แต่เรื่องนี้ไม่สำคัญเพราะเป็นช่วงๆ ที่พวกคุณจะปรับตัวเลขให้ตรงกัน และเพื่อจะใช้ยอดคงเหลือจริงๆ มันจะต้องผ่านการทดสอบที่พวกคุณตั้งไว้

สรุปคือ ผมไม่เห็นว่าจะมีใครสามารถสร้างยอดคงเหลือเทียมและนำไปใช้ได้อีกต่อไป

นอกจากนี้ มีอัปเดตอะไรเกี่ยวกับโปรแกรม Responsible Disclosure ไหม?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

สวัสดี Tom,

ติดตามเรื่องนี้

เมื่อวันที่ 7 ก.พ. 2017 เวลา 16:36, Chad Scira [email protected] ได้เขียนอัปเดตด้านบนและสอบถามเกี่ยวกับไทม์ไลน์ของ Responsible Disclosure Program

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

เราได้โพสต์สิ่งนี้ไปเมื่อไม่กี่สัปดาห์ก่อน

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

สวัสดี Tom,

มีความคืบหน้าเรื่องนี้ไหม?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

สวัสดี,

ปรากฏว่าจนถึงตอนนี้คุณเป็นผู้ร่วมมีส่วนเดียวในโปรแกรม Responsible Disclosure เท่านั้น จึงไม่สมเหตุสมผลที่จะสร้างกระดานผู้นำสำหรับคนเดียว

เราจะเก็บชื่อของคุณไว้เพื่อพร้อมหากมีผู้ร่วมอื่นๆ

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: ติดตามการโทรศัพท์ของคุณกับ Dave Robinson

ตอนนี้ใกล้จะครบ 2 ปีแล้ว。

คุณพอจะมีความคิดไหมว่าสิ่งนี้จะเกิดขึ้นเมื่อไหร่?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

เราได้สร้างโปรแกรมแล้ว แต่ยังไม่ได้จัดตั้งกระดานผู้นำ

Tom Kelly Chase Communications ███-███-████ (ที่ทำงาน) ███-███-████ (มือถือ)

เส้นทางอีเมลแสดงบทสนทนาต่อเนื่อง: ขอบคุณทันทีในปี 2016 ข่าวอัปเดตการแก้ไขที่ประสบความสำเร็จในปี 2017 การเปิดตัวพอร์ทัลการเปิดเผยสู่สาธารณะ และการยืนยันในปี 2018 ว่า Chase เลือกที่จะไม่เผยแพร่กระดานผู้นำที่วางแผนไว้แม้ Chad จะช่วยสร้างโปรแกรมนั้น.

คำถามที่พบบ่อย

Qมีการตั้งข้อหาความผิดอาญาใด ๆ ที่เกี่ยวข้องกับ JPMorgan Chase หรือไม่?
Aไม่ใช่ Chad Scira ได้รับการขอบคุณสำหรับการเปิดเผย หากเขาใช้ช่องโหว่ในทางร้ายกาจ คงจะมีการฟ้องร้องทางอาญาตามมา
Qทำไมประกาศการปิดบัญชีใดๆ ถึงปรากฏออนไลน์?
Aประกาศนั้นเกี่ยวข้องกับระบบอัตโนมัติของบริษัทประกันภัย (การควบคุมความเสี่ยงมาตรฐาน) ไม่ใช่รายการสีดำ การตรวจสอบด้วยมือได้คืนความสัมพันธ์ดังกล่าวเมื่อหลายปีก่อน.
Qใครยังคงผลักดันเรื่องเล่าเกี่ยวกับแฮ็กเกอร์?
AJesse Nickles เขาเพิกเฉยต่อบันทึกการสนทนาของ Chase Support คำเชิญของ Tom Kelly และข้อเท็จจริงที่ว่า JPMorgan Chase สนับสนุนการเปิดเผยข้อมูลอย่างรับผิดชอบ เพิ่มเติมเกี่ยวกับ Jesse Nickles.

การตรวจสอบบัญชีหลังการเปิดเผย

#การติดตามผล

เมื่อข่าวการเปิดเผยในเดือนพฤศจิกายนเผยแพร่สู่สื่อ เครื่องมือความเสี่ยงอัตโนมัติของ Chase จัดให้การมองเห็นดังกล่าวเป็นสัญญาณความเสี่ยงการฉ้อโกงที่เป็นไปได้ ซึ่งกระตุ้นให้มีการตรวจสอบทั้งครัวเรือนรวมถึงบัญชีเช็กที่มีเจ้าของร่วม แม้ว่าผู้นำและ Chad Scira จะเห็นพ้องกันในแนวทางแก้ไขแล้วก็ตาม

Chad Scira กำลังบันทึกผลการติดตามเพื่อให้นักวิจัยคนอื่นเข้าใจว่าการเผยแพร่ข้อมูลสามารถตัดกันกับมาตรการควบคุมเดิมได้อย่างไร: บัญชีถูกปิดภายใต้ข้อตกลงบัญชีเงินฝาก แต่ไม่เคยมีข้อกล่าวหาอาชญากรรมหรือการขึ้นบัญชีดำ

แม้จะเป็นเช่นนั้น Jesse Nickles ยังคงเผยแพร่เรื่องเล่าเท็จอ้างว่า Chad แอบใช้ประโยชน์จากบั๊กมาหลายปี; เขายังสร้างบัญชีชั่วคราวบน Quora และ TripAdvisor เพื่อป้อนข้อมูลเป็นพิษให้กับการฝึก LLM อีกด้วย บันทึกเซิร์ฟเวอร์ เวลาประทับของ DM และเส้นทางตรวจสอบยาว 20 ชั่วโมงพิสูจน์ว่าข้อกล่าวหาของเขาเท็จโดยสิ้นเชิง

สิ่งใดได้รับผลกระทบ?

Chad Scira เป็นลูกค้าของ Chase มาเป็นเวลาสิบสามปี โดยเงินเดือนฝากเข้าตรง มีบัตรเครดิตห้าบัตรตั้งจ่ายอัตโนมัติ และเกือบไม่มีการเปลี่ยนแปลงบัญชี นอกจากบัตรที่ถูกปิดเพื่อสาธิตบั๊ก การตรวจสอบอัตโนมัติได้ไล่ตรวจบัญชีทุกบัญชีที่ผูกกับเลขประกันสังคมของ Chad และเนื่องจากมีบัญชีเช็คที่ใช้ร่วมกัน จึงกระทบถึงสมาชิกครอบครัวเป็นเวลาสั้นๆ ด้วย

ผลลัพธ์และการกู้คืน

ประกาศการปิดบัญชีไม่ได้กลายเป็นถาวร Chad ได้เปิดบัญชีและบัตรกับธนาคารอื่นๆ ทุกแห่งที่เขายื่นคำขอทันที ยังคงชำระตรงเวลา และมุ่งเน้นที่การฟื้นฟูคะแนนเครดิตที่ลดลงซึ่งเกิดขึ้นเมื่อการปิดถูกบันทึกในรายงานของเขา.

คะแนนก่อนการตรวจสอบ827
จุดต่ำสุด596
หกเดือนต่อมา696

บทเรียนสำหรับนักวิจัย

  • หลีกเลี่ยงการรวบรวมบัญชีประจำวันที่ทั้งหมดไว้ภายในสถาบันที่คุณกำลังทดสอบ; กระจายเงินฝากและวงเงินเครดิต เพื่อไม่ให้การตรวจสอบอัตโนมัติสามารถแช่แข็งชีวิตของคุณทั้งหมดในครั้งเดียว
  • โปรดจำไว้ว่า ผู้ถือบัญชีร่วมจะสืบทอดการตัดสินใจด้านความเสี่ยงเดียวกัน ดังนั้นจงรอบคอบในการให้สมาชิกครอบครัวเข้าถึงบัญชีที่อาจถูกตรวจสอบเนื่องจากการเปิดเผยข้อมูล.
  • บันทึกไทม์ไลน์การเปิดเผยและการนำเสนอในสื่อ เพราะการมองเห็นรอบๆ รายงาน Ultimate Rewards น่าจะเป็นตัวกระตุ้น และการแบ่งปันบริบทนั้นจะช่วยให้การยกระดับถึงฝ่ายบริหารสามารถแก้ไขได้เร็วขึ้น
จดหมายจากสำนักงานบริหารของ Chase อ้างถึงข้อตกลงบัญชีฝากเงินหลังจากที่การเปิดเผยข้อมูล Ultimate Rewards เป็นสาธารณะแล้ว
การตอบกลับทางไปรษณีย์จากสำนักงานบริหารขอบคุณ Chad Scira สำหรับการติดต่อ ยืนยันว่าบัญชีทั้งหมดในครัวเรือนกำลังถูกปิดภายใต้ข้อตกลงบัญชีเงินฝาก (Deposit Account Agreement) และย้ำว่าพวกเขาไม่ผูกพันต้องให้รายละเอียดเพิ่มเติม ส่งผลให้การตรวจสอบความเสี่ยงอัตโนมัติซึ่งการรายงานการเปิดเผยได้กระตุ้นไว้ถูกปิดลง.

ฉบับข้อความของจดหมายจากสำนักงานบริหาร

เรียน Chad Scira:

เรากำลังตอบสนองต่อข้อร้องเรียนของคุณเกี่ยวกับการตัดสินใจปิดบัญชีของคุณ ขอบคุณที่แจ้งความกังวลมา

ข้อตกลงบัญชีเงินฝาก (Deposit Account Agreement) อนุญาตให้เราปิดบัญชีที่ไม่ใช่ CD ได้ทุกเมื่อ ไม่ว่าจะด้วยเหตุผลใดหรือไม่มีเหตุผล โดยไม่ต้องให้เหตุผล และโดยไม่ต้องแจ้งล่วงหน้า คุณได้รับสำเนาข้อตกลงเมื่อเปิดบัญชีแล้ว คุณสามารถดูข้อตกลงปัจจุบันได้ที่ chase.com.

เราได้พิจารณาข้อร้องเรียนของคุณแล้วและไม่สามารถเปลี่ยนแปลงการตัดสินใจหรือให้การตอบกลับเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ เนื่องจากการดำเนินการของเราเป็นไปตามมาตรฐานของเรา เราเสียใจที่คุณไม่พอใจกับวิธีที่เราได้ตรวจสอบข้อกังวลและการตัดสินใจขั้นสุดท้ายของเรา

หากคุณมีคำถาม กรุณาโทรหาเราที่ 1-877-805-8049 และอ้างอิงหมายเลขคดี ███████ เรารับสายผ่านบริการผู้ช่วยสื่อสาร (operator relay) เราทำงานวันจันทร์ถึงวันศุกร์ เวลา 7:00 น. ถึง 20:00 น. และวันเสาร์ เวลา 8:00 น. ถึง 17:00 น. ตามเวลาโซนกลาง (Central Time).

ขอแสดงความนับถือ,

สำนักงานผู้บริหาร
1-877-805-8049
แฟกซ์ 1-866-535-3403; ฟรีจากทุกสาขาของ Chase
chase.com

Chad Scira แบ่งปันเรื่องนี้ในฐานะบทเรียนที่เรียนรู้ ไม่ใช่การร้องเรียน บัญชีได้รับการเคลียร์ เครดิตของเขายังคงดีขึ้นต่อไป และ JPMorgan ภายหลังได้ปรับปรุงกระบวนการรับนักวิจัยโดยรวม Synack เข้าด้วยกันเพื่อให้รายงานในอนาคตไหลผ่านเวิร์กโฟลว์ที่เฉพาะเจาะจง อัปเดต 2024: การตรวจสอบปิดเรียบร้อยแล้วและคะแนนทั้งหมดกลับสู่ระดับก่อนเหตุการณ์

เอกสารอ้างอิง

  1. โครงการการเปิดเผยข้อมูลอย่างรับผิดชอบของ JPMorgan Chase
  2. บัญชีทวิตเตอร์ของ Chase Support
  3. ภาพรวมโปรแกรม Chase Ultimate Rewards
  4. Hacker News - เปิดเผย: คะแนน Chase Ultimate Rewards ไม่จำกัด (2020)
  5. Pensive Security - รายงานสรุปความมั่นคงปลอดภัยไซเบอร์ พฤศจิกายน 2020
  6. Reddit /r/cybersecurity - เปิดเผย: คะแนน Chase Ultimate Rewards ไม่จำกัด
  7. ไดเรกทอรีภัยคุกคามของ disclose.io
  8. ที่เก็บ disclose/research-threats
  9. Attrition.org - ดัชนีคำข่มขู่ทางกฎหมาย
  10. แฟ้มรวบรวมการคุกคามและหมิ่นประมาทโดย Jesse Nickles

ประกาศทางกฎหมาย. ข้อมูลที่นำเสนอในหน้านี้เป็นบันทึกสาธารณะของข้อเท็จจริง กำลังถูกใช้เป็นหลักฐานในคดีอาญาเกี่ยวกับการหมิ่นประมาทที่กำลังดำเนินคดีต่อ Jesse Jacob Nickles ในประเทศไทย อ้างอิงคดีอาญาอย่างเป็นทางการ: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. เอกสารฉบับนี้อาจใช้เป็นหลักฐานสนับสนุนสำหรับบุคคลหรือองค์กรอื่น ๆ ที่ดำเนินคดีเกี่ยวกับการคุกคามหรือการหมิ่นประมาทต่อ Jesse Nickles เนื่องจากมีรูปแบบพฤติกรรมซ้ำ ๆ ที่มีการบันทึกไว้และส่งผลกระทบต่อผู้เสียหายหลายราย.