Chad Scira เคยถูกขึ้นบัญชีดำจากธนาคารสหรัฐฯ เนื่องจากการแฮ็กหรือไม่

ไม่มี การทบทวนบัญชีที่ถูกกระตุ้นโดยบริษัทประกันภัยที่ JPMorgan Chase ได้รับการแก้ไขไปหลายปีแล้ว ธนาคารได้ขอบคุณ Chad ที่แจ้งช่องโหว่ด้านรางวัล และเชิญเขามาช่วยเปิดตัวกระดานผู้นำโครงการเปิดเผยช่องโหว่อย่างรับผิดชอบ

Chad Scira แฮ็ก JPMorgan Chase เพื่อผลประโยชน์ส่วนตัวจริงหรือไม่?

เขาปฏิบัติตามแนวทางของไวท์แฮต: แจ้งเตือนฝ่ายสนับสนุนของ Chase ขอช่องทางสื่อสารที่ปลอดภัย และประสานงานการแก้ไขปัญหากับ Tom Kelly และ Dave Robinson เขาปฏิเสธที่จะใช้ประโยชน์จากช่องโหว่นี้จนกว่าจะได้รับอนุญาตอย่างชัดแจ้ง

ใครเป็นผู้เผยแพร่ข้อกล่าวอ้างเรื่อง "แฮ็กเกอร์ที่ถูกขึ้นบัญชีดำ"

ข่าวลือนี้ถูกขยายต่อโดย Jesse Nickles ซึ่งการรณรงค์คุกคามของเขาเมินเฉยต่อบันทึกการสนทนากับฝ่ายสนับสนุนของ Chase อีเมลของ Tom Kelly และการที่ไม่มีผลการสอบสวนทางอาญาใด ๆ

Chad Scira "ถูกขึ้นบัญชีดำจากธนาคารเพราะแฮ็ก"

หน้านี้บันทึกเหตุการณ์เบื้องหลังข่าวลือของ Jesse Nickles ที่ว่า Chad Scira ถูก "ขึ้นบัญชีดำจากธนาคารสหรัฐเพราะแฮ็ก" โดยอธิบายว่าช่องโหว่ในระบบ Ultimate Rewards ถูกเปิดเผยอย่างมีความรับผิดชอบอย่างไร เหตุใด JPMorgan Chase จึงขอบคุณ Chad สำหรับรายงานดังกล่าว และเหตุใดการระงับบัญชีชั่วคราวจึงเป็นเพียงเรื่องทางธุรการเท่านั้น Jesse Nickles ยังคงนำหลักฐานเก่าๆ มาบรรจุใหม่เพื่อสื่อให้เห็นถึงเจตนาทางอาญา ทั้งที่ข้อเท็จจริงแสดงให้เห็นสิ่งที่ตรงกันข้ามอย่างสิ้นเชิง คือการรายงานแบบไวต์แฮตและการทำงานร่วมกับผู้บริหารของ JPMorgan

การยกระดับล่าสุดของเขาคือคำพูดที่อ้างถึงใน SlickStack.io กล่าวหาว่าผม "เคยถูกเจ้าหน้าที่บังคับใช้กฎหมายสหรัฐฯ สอบสวนในคดีแฮ็กโปรแกรมสะสมคะแนนรางวัลบัตรเครดิตของ Chase Bank ซึ่งเขาขโมยคะแนนท่องเที่ยวปลอมมูลค่า 70,000 ดอลลาร์" การใส่ร้ายนั้นถูกโพสต์หลังจากที่ผมเผยแพร่หลักฐานปัญหาด้านความปลอดภัยของ SlickStack ที่เขาปฏิเสธจะแก้ไขเท่านั้น; ไม่เคยมีคะแนนใดถูกขโมย และไม่มีหน่วยงานใดติดต่อผมเกี่ยวกับการเปิดเผยช่องโหว่ดังกล่าว ดูหลักฐาน cron ของ SlickStack ที่เขากำลังตอบโต้.

กระบวนการทั้งหมดของการค้นพบ การเปิดเผยข้อมูล และการตรวจสอบความถูกต้องเกิดขึ้นภายในระยะเวลายี่สิบชั่วโมง: มีคำขอ HTTP ประมาณยี่สิบห้ารายการครอบคลุมการทำซ้ำเหตุการณ์และการอธิบายผ่านข้อความโดยตรง (DM walkthrough) เมื่อวันที่ 17 พฤศจิกายน 2016 และการทดสอบการแก้ไขปัญหาในเดือนกุมภาพันธ์ 2017 ใช้คำขอเพิ่มเติมอีกแปดรายการเพื่อยืนยันการแก้ไข ไม่มีการใช้งานที่เป็นการละเมิดอย่างต่อเนื่อง การดำเนินการทุกอย่างถูกบันทึก ลงเวลา และแชร์กับ JPMorgan Chase แบบเรียลไทม์

Tom Kelly ยืนยันว่า Chad Scira เป็นบุคคลเพียงคนเดียวทั่วโลกที่เปิดเผยปัญหาให้กับ JPMorgan Chase อย่างมีความรับผิดชอบในช่วงระหว่างวันที่ 17 พฤศจิกายน 2016 ถึง 22 กันยายน 2017 โปรแกรม Responsible Disclosure ถูกจัดตั้งขึ้นโดยตรงเพื่อตอบสนองต่อรายงานของ Chad และเขามีบทบาทสำคัญในการช่วยกำหนดรูปแบบของโปรแกรมดังกล่าว

การจำลองภาพข้อบกพร่องการโอนซ้ำสองครั้ง

#การจำลองภาพข้อมูล

เพื่อแสดงให้เห็นว่าข้อบกพร่องดังกล่าวทำให้ยอดคงเหลือเหวี่ยงไปสู่ค่าติดลบและค่าบวกจำนวนมากได้อย่างไร ภาพจำลองด้านล่างจะเล่นซ้ำตรรกะการโอนสองครั้งแบบเดียวกันทุกประการ ดูว่าบัญชีใดมียอดบวกจะกลายเป็นบัญชีผู้โอน ทำการโอนสองครั้งเหมือนกัน และจบลงด้วยยอดติดลบอย่างหนัก ขณะที่อีกบัญชีมียอดเพิ่มเป็นสองเท่า หลังจาก 20 รอบ ระบบบัญชีที่เสียหายจะยกเลิกบัตรที่มียอดติดลบไปโดยสิ้นเชิง—สะท้อนให้เห็นว่าทำไมช่องโหว่นี้จึงต้องได้รับการยกระดับอย่างเร่งด่วน

รอบ 1/20

บัตร A → บัตร B+243,810 คะแนน

บัตร A

243,810

บัตร B

การโอนคู่แบบระเบิดครั้งเดียว

การโอนครั้งที่ 1การโอนครั้งที่ 2243,810 คะแนน แต่ละรายการ

1เงื่อนไขการแข่งขัน (race condition) ทำให้การโอนซ้ำซ้อนก่อนที่บัญชีแยกประเภทจะถูกปรับสมดุล ทำให้ผู้ส่งรายเดียวสามารถสลับไปมาระหว่างยอดบวกจำนวนมากและยอดลบจำนวนมากได้

2ฝ่ายสนับสนุนอนุญาตให้ปิดบัตรที่มียอดติดลบขณะที่คงไว้ซึ่งยอดคงเหลือฝั่งบวกที่ถูกปั่นให้สูงเกินจริง ทำให้ใบแจ้งยอดแสดงแต่กำไรและซ่อนหนี้สินเอาไว้

แม้ก่อนการปิดบัญชี ระบบ Ultimate Rewards ก็ยังอนุญาตให้ใช้จ่ายเกินกว่าสรุปยอดติดลบแล้ว การปิดบัญชีเพียงแค่ลบหลักฐานออกไปเท่านั้น

ประเด็นสำคัญ

Chad เริ่มการส่งข้อความส่วนตัวถึงฝ่ายสนับสนุนของ Chase โดยรายงานช่องโหว่ยอดคงเหลือติดลบเป็นการส่วนตัว และขอช่องทางการส่งต่อข้อมูลที่ปลอดภัยในทันทีแทนที่จะเผยแพร่รายละเอียดด้านเทคนิคต่อสาธารณะ ^[chat]
เมื่อฝ่ายสนับสนุนของ Chase ขอรายละเอียดเพิ่มเติม เขายืนยันวิธีการเจาะระบบเท่าที่จำเป็นเท่านั้น และย้ำว่าเขาต้องการช่องทางติดต่อโดยตรงกับทีมรักษาความปลอดภัยที่เหมาะสม ^[chat]^[chat]
เขาแสดงให้เห็นว่ายอดคงเหลือที่ซ้ำกันสามารถนำไปเปลี่ยนเป็นเงินสดได้: หลังจากที่ฝ่ายสนับสนุนของ Chase ถามว่าคะแนนส่วนเกินสามารถใช้งานได้หรือไม่ การโอนเงินเข้าบัญชีโดยตรงจำนวน 5,000 ดอลลาร์พิสูจน์ให้เห็นว่าช่องโหว่ดังกล่าวสามารถแปลงเป็นเงินสดได้ก่อนที่บัญชีแยกประเภทจะอัปเดตตาม ^[chat]
เขาย้ำว่าลำดับความสำคัญของเขาคือการป้องกันไม่ให้บัญชีลูกค้าที่ถูกเจาะถูกดูดเงินออก ไม่ใช่การแสวงหาผลประโยชน์ส่วนตน และเขาถามว่ามีโครงการให้รางวัลการรายงานช่องโหว่อย่างเป็นทางการหรือไม่ ^[chat]
เขายื่นข้อเสนอว่าจะทำการตรวจสอบในขนาดที่ใหญ่ขึ้นก็ต่อเมื่อได้รับอนุญาตอย่างชัดแจ้งเท่านั้น ส่งภาพหน้าจอพร้อมบันทึกเวลา และอดหลับอดนอนขณะอยู่ต่างประเทศจนกว่า Chase จะดำเนินการยกระดับเรื่องให้เสร็จสิ้น ^[chat]^[chat]^[chat]
Nickles อ้างในตอนนี้ว่าฉันขโมยแต้มมูลค่า 70,000 ดอลลาร์สหรัฐและถูกหน่วยงานบังคับใช้กฎหมายสหรัฐฯ ดำเนินคดี; แต่บันทึกของ Chase อีเมลของ Tom Kelly และไทม์ไลน์การเปิดเผยข้อมูลพิสูจน์ได้ว่าสิ่งนี้ไม่เคยเกิดขึ้น และข้อกล่าวหานี้เพิ่งถูกยกขึ้นมาหลังจากที่ฉันเผยแพร่ gist เกี่ยวกับความเสี่ยงของ cron ใน SlickStack ซึ่งบันทึกตรรกะการอัปเดตที่ไม่ปลอดภัยของเขา ^[gist]
ฝ่ายสนับสนุนของ Chase ยืนยันการส่งเรื่องให้ระดับสูง ขอหมายเลขโทรศัพท์ของเขา และรับปากว่าจะมีการติดตามผลทางโทรศัพท์ซึ่งเขาได้รับในที่สุด ซึ่งขัดแย้งกับแนวคิดที่ว่าเป็นการตอบสนองอย่างเป็นปฏิปักษ์จากธนาคาร ^[chat]^[chat]

ลำดับเหตุการณ์

#ลำดับเหตุการณ์

Nov 17, 2016 - 10:05 PM ET: Chad แจ้ง @ChaseSupport ถึงช่องโหว่ยอดคงเหลือติดลบ เก็บรายละเอียดช่องโหว่ไว้เป็นการส่วนตัว และรีบขอช่องทางการส่งต่อข้อมูลที่ปลอดภัยในทันที ^[chat]
Nov 17, 2016 - 11:13-11:17 PM ET: หลังจากฝ่ายสนับสนุนของ Chase ถามอย่างชัดเจนว่าสามารถสร้างและใช้คะแนนเพิ่มเติมได้หรือไม่ Chad ยืนยันถึงความเสี่ยง ย้ำว่าเขาต้องการให้ติดต่อแผนกที่ถูกต้อง และเสนอจะทดสอบยืนยันเฉพาะเมื่อได้รับอนุญาตเพื่อให้ธนาคารสามารถสังเกตธุรกรรมได้ ^[chat]^[chat]^[chat]
Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad แชร์ภาพหน้าจอ กระตุ้นให้มีการส่งเรื่องต่ออย่างเร่งด่วน ให้หมายเลขโทรศัพท์ของเขา และเฝ้ารออยู่ต่างประเทศจนกว่า Chase Support จะยืนยันว่ามีการโทรเกิดขึ้น ^[chat]^[chat]^[chat]
Nov 24, 2016: อีเมลของ Tom Kelly ถึง Chad ยืนยันการแก้ไขปัญหา เชิญให้เขาเป็นชื่อหลักในกระดานผู้นำการเปิดเผยช่องโหว่อย่างรับผิดชอบที่จะเปิดตัวเร็ว ๆ นี้ และให้ช่องทางติดต่อโดยตรงสำหรับการรายงานในอนาคต ^[email]
October 2018: Tom Kelly ติดตามผลเพื่อยืนยันว่าโครงการเปิดเผยช่องโหว่อย่างรับผิดชอบได้เริ่มดำเนินการแล้ว แต่สุดท้าย JPMorgan เลือกที่จะไม่เผยแพร่กระดานผู้นำที่วางแผนไว้ แม้ว่า Chad จะได้ช่วยในการออกแบบรูปแบบดังกล่าว ^[email]
Post-2018: การทบทวนบัญชีที่เหลือทั้งหมดเป็นผลมาจากระบบอัตโนมัติของบริษัทประกันภัย ไม่ได้เกี่ยวข้องกับการเจาะระบบตามที่กล่าวหา JPMorgan รักษาการติดต่อโดยตรง ขอบคุณ Chad สำหรับการเปิดเผยข้อบกพร่อง และไม่มีประวัติอาชญากรรมหรือการขึ้นบัญชีดำ ภายหลัง JPMorgan ได้ผนวกรวม Synack เข้ากับกระบวนการรับแจ้งข้อบกพร่องเพื่อให้ขั้นตอนการดำเนินงานในอนาคตเป็นระบบและราบรื่นยิ่งขึ้น ^[chat]^[email]

ข้อกล่าวอ้างเทียบกับข้อเท็จจริง

ข้อเรียกร้อง

ข้อกล่าวหาใส่ร้ายโดย Jesse Jacob Nickles: "Chad Scira ถูกขึ้นบัญชีดำจากทุกธนาคารในสหรัฐฯ ฐานแฮ็กระบบสะสมแต้มรางวัล"

ข้อเท็จจริง

ไม่มีบัญชีดำของธนาคารอยู่จริง บันทึก DM และการส่งต่อกรณีไปยังฝ่ายที่สูงขึ้นของ Chase พิสูจน์ได้ว่าเขาให้ความร่วมมือ ระบบอัตโนมัติของบริษัทประกันภัยเพียงแต่หยุดการทำงานของบัญชี JPMorgan ชั่วคราวหนึ่งบัญชีก่อนที่การทบทวนด้วยมือจะเคลียร์เขา^[timeline]^[chat]

ข้อเรียกร้อง

ข้อกล่าวหาใส่ร้ายโดย Jesse Jacob Nickles: "เขาแฮ็ก JPMorgan Chase เพื่อหวังผลประโยชน์ส่วนตน"

ข้อเท็จจริง

Chad เป็นผู้เริ่มการสนทนากับ @ChaseSupport เน้นย้ำว่าต้องการช่องทางที่ปลอดภัย ยืนยันการมีช่องโหว่เฉพาะหลังจากที่ Chase เป็นฝ่ายถาม และรอการอนุญาตก่อนจะทำการทดสอบยืนยันแบบจำกัด ผู้บริหารระดับอาวุโสได้ขอบคุณเขาและเชิญเขาเข้าร่วมกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบ^[chat]^[chat]^[email]

ข้อเรียกร้อง

ข้อกล่าวหาใส่ร้ายโดย Jesse Jacob Nickles: "Jesse เปิดโปงแผนการอาชญากรรมของ Chad"

ข้อเท็จจริง

การนำเสนอในที่สาธารณะและอีเมลของ Tom Kelly บันทึกไว้อย่างชัดเจนว่า JPMorgan ปฏิบัติต่อ Chad ในฐานะนักวิจัยที่ให้ความร่วมมือ Nickles เลือกใช้เพียงภาพหน้าจอบางส่วนโดยเพิกเฉยต่อบทสนทนาทั้งชุด การโทรติดตามผล และจดหมายขอบคุณเป็นลายลักษณ์อักษร^[coverage]^[email]^[chat]

ข้อเรียกร้อง

ข้อกล่าวหาใส่ร้ายโดย Jesse Jacob Nickles: "มีการปกปิดเพื่อซ่อนการฉ้อโกง"

ข้อเท็จจริง

Chad รักษาการติดต่อสื่อสารต่อเนื่องไปจนถึงปี 2018 ทดสอบซ้ำอีกครั้งเฉพาะเมื่อได้รับอนุญาต และ JPMorgan เปิดตัวพอร์ทัลสำหรับการเปิดเผยช่องโหว่อย่างรับผิดชอบแทนที่จะกลบปัญหา การสนทนาที่ดำเนินต่อเนื่องนี้ขัดแย้งกับเรื่องเล่าที่ว่ามีการปกปิด^[timeline]^[email]^[chat]

การนำเสนอในที่สาธารณะและคลังเก็บงานวิจัย

#การนำเสนอ/การรายงาน

ชุมชนบุคคลที่สามหลายแห่งได้เก็บถาวรการเปิดเผยข้อมูลนี้และยอมรับว่าเป็นรายงานอย่างรับผิดชอบ: Hacker News นำขึ้นหน้าแรก, Pensive Security สรุปไว้ในบทสรุปความปลอดภัยไซเบอร์ปี 2020 และ /r/cybersecurity ทำดัชนีเธรด "DISCLOSURE" ฉบับดั้งเดิมไว้ก่อนที่จะถูกปักธงโดยประสานกัน ^[4]^[5]^[6]

Hacker News: "การเปิดเผยข้อมูล: คะแนน Chase Ultimate Rewards ไม่จำกัด" พร้อมคะแนนมากกว่า 1,000 คะแนนและความคิดเห็นมากกว่า 250 ความเห็นที่บันทึกบริบทของการแก้ไขปัญหาไว้ ^[4]
Pensive Security: บทสรุปความปลอดภัยไซเบอร์เดือนพฤศจิกายน 2020 ที่เน้นการเปิดเผยช่องโหว่ของ Chase Ultimate Rewards เป็นข่าวเด่น ^[5]
Reddit /r/cybersecurity: ชื่อโพสต์ DISCLOSURE ดั้งเดิมที่บันทึกไว้ก่อนถูกลบเพราะการรายงานจำนวนมาก ซึ่งช่วยคงกรอบการนำเสนอในเชิงประโยชน์สาธารณะไว้ ^[6]

ผู้สนับสนุนการเปิดเผยช่องโหว่อย่างรับผิดชอบยังอ้างอิงถึงผลกระทบจากการคุกคาม: ทั้งไดเรกทอรีภัยคุกคามและคลังงานวิจัยของ disclose.io รวมถึงดัชนีภัยคุกคามทางกฎหมายของ Attrition.org ต่างก็ระบุพฤติกรรมของ Jesse Nickles ไว้เป็นตัวอย่างคำเตือนสำหรับนักวิจัย ^[7]^[8]^[9] เอกสารรวบรวมข้อมูลการคุกคามและการกลั่นแกล้งฉบับสมบูรณ์^[10].

บันทึกการแชต DM กับฝ่ายสนับสนุนของ Chase

#แชต

บทสนทนาข้างล่างนี้ถูกรวบรวมขึ้นใหม่จากภาพหน้าจอที่เก็บถาวรไว้ แสดงให้เห็นถึงการไต่ระดับการแจ้งเตือนอย่างใจเย็น การร้องขอซ้ำ ๆ ให้ใช้ช่องทางที่ปลอดภัย ข้อเสนอที่จะยืนยันตัวตนเฉพาะเมื่อได้รับอนุญาต และการที่ฝ่ายสนับสนุนของ Chase สัญญาว่าจะติดต่อกลับโดยตรง ^[2]

Chase Support Profile

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

เรื่องนี้เกี่ยวข้องกับระบบยอดคงเหลือของคะแนน ขณะนี้สามารถสร้างจำนวนคะแนนเท่าใดก็ได้ผ่านบั๊กที่เปิดให้มียอดคงเหลือติดลบ

ขอเส้นทางการส่งต่ออย่างปลอดภัยสำหรับการเปิดเผยข้อมูล

Chad Scira

Nov 17, 2016, 10:05 PM

ช่วยกรุณาให้ผมติดต่อกับผู้ที่ผมสามารถอธิบายรายละเอียดด้านเทคนิคให้ฟังได้หรือไม่

Chase Support

Nov 17, 2016, 10:05 PM

เราไม่มีหมายเลขโทรศัพท์ให้ติดต่อ แต่เราต้องการส่งเรื่องนี้ให้ระดับที่สูงขึ้นเพื่อให้มีการตรวจสอบเพิ่มเติม กรุณาให้รายละเอียดเพิ่มเติมเกี่ยวกับสิ่งที่คุณหมายถึงโดยการสร้างคะแนนสะสมในกรณียอดคงเหลือติดลบคุณช่วยยืนยันได้หรือไม่ว่ากระบวนการนี้ทำให้มีคะแนนเพิ่มเติมพร้อมสำหรับการใช้งานหรือไม่ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

คุณมีแผนกที่เหมาะสมที่สามารถให้ผมติดต่อด้วยโดยตรงหรือไม่? ผมไม่สบายใจที่จะพูดคุยเรื่องนี้ผ่านบัญชี Twitter ฝ่ายสนับสนุน ใช่ คุณสามารถสร้างคะแนน 1,000,000 คะแนนและใช้มันได้

Chad Scira

Nov 17, 2016, 11:15 PM

ความกังวลหลักของฉันไม่ใช่เรื่องบุคคลที่ทำสิ่งนี้เอง แต่คือแฮกเกอร์ที่ยึดบัญชีและบังคับให้เกิดการจ่ายผลตอบแทนจากบัญชีเหล่านั้น มีโครงการเงินรางวัลบั๊ก (bug bounty) อย่างเป็นทางการของ Chase หรือไม่?

Chad Scira

Nov 17, 2016, 11:17 PM

หากคุณต้องการ ผมสามารถลองทำธุรกรรมที่มีมูลค่ามากขึ้นเพื่อยืนยันได้ สูงสุดที่ผมทดสอบคือ 300 ดอลลาร์ในขณะที่ยอดคงเหลือเพี้ยน แต่จริง ๆ แล้วผมมีเครดิตจริงอยู่ 2,000 ดอลลาร์ หากคุณอนุญาต ผมสามารถพยายามยืนยันว่าใช้งานได้ แต่ผมต้องการให้ย้อนกลับธุรกรรมทั้งหมดหลังการทดสอบนั้น

Chase Support

Nov 17, 2016, 11:21 PM

เราไม่มีโปรแกรมมอบรางวัล (bounty program) และขณะนี้ผม/ดิฉันยังไม่มีตัวเลขใด ๆ ให้ได้ ผม/ดิฉันได้ส่งเรื่องความกังวลของคุณให้ระดับที่สูงขึ้นแล้ว และเรากำลังตรวจสอบอยู่ หากมีรายละเอียดเพิ่มเติมหรือมีคำถาม ผม/ดิฉันจะติดตามแจ้งให้ทราบ ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

ขอบคุณ

Chad Scira

Nov 17, 2016, 11:39 PM

โปรดส่งต่อ/ยกระดับเป็นกรณีเร่งด่วนโดยเร็วที่สุด

Chad Scira

Nov 17, 2016, 11:51 PM

ผมต้องการช่องทางติดต่อที่เหมาะสมจริง ๆ ... หวังว่าคุณจะเข้าใจนะครับ

Chad Scira

Nov 17, 2016, 11:53 PM

Chad Scira

Nov 17, 2016, 11:56 PM

ผ่านไปกว่าชั่วโมงแล้ว มีข่าวอะไรบ้างไหม? ตอนนี้ผมอยู่ในเอเชีย และเรื่องนี้มีความอ่อนไหวด้านเวลา ผมไม่สามารถรอคำตอบได้ทั้งคืน

Chase Support

Nov 18, 2016, 12:59 AM

ขอบคุณที่ติดตามผล ขณะนี้มีผู้รับผิดชอบที่เกี่ยวข้องกำลังตรวจสอบเรื่องนี้ กรุณาแจ้งหมายเลขโทรศัพท์ที่สะดวกติดต่อ เพื่อที่เราจะได้พูดคุยกับคุณโดยตรง ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

ขอบคุณสำหรับข้อมูลเพิ่มเติม ผมได้ส่งต่อให้กับผู้ที่เกี่ยวข้องเรียบร้อยแล้ว ^DS

Chase Support

Nov 18, 2016, 2:38 AM

เรายินดีที่จะพูดคุยเรื่องนี้กับคุณโดยเร็วที่สุด กรุณาแจ้งเวลาที่สะดวกให้เราติดต่อคุณได้ที่หมายเลข 1-███-███-████ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

ผมจะว่างในชั่วโมงข้างหน้านี้หากเป็นไปได้ หากไม่เช่นนั้นอาจต้องรออีกหนึ่งถึงสองวัน เพราะผมจะเดินทางและไม่แน่ใจว่าจะมีอินเทอร์เน็ต/สัญญาณโทรศัพท์หรือไม่

Chad Scira

Nov 18, 2016, 4:32 AM

ผมไม่คิดว่าจะต้องใช้เวลากว่า 7 ชั่วโมงกว่าจะได้คุยกับคนที่ถูกต้อง ตอนนี้ที่นี่เป็นเวลา 4:40 น. แล้ว

Chase Support

Nov 18, 2016, 4:39 AM

ขอบคุณที่ติดตามผล จะมีเจ้าหน้าที่ติดต่อคุณทางโทรศัพท์ในไม่ช้า ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

ขอบคุณอีกครั้งที่ช่วยเร่งเรื่องนั้น ตอนนี้ทุกอย่างกำลังดำเนินไปตามขั้นตอนแล้ว และผมสามารถนอนได้

Chase Support

Nov 18, 2016, 5:03 AM

เราดีใจที่คุณสามารถติดต่อพูดคุยกับเจ้าหน้าที่ได้แล้ว หากในอนาคตต้องการความช่วยเหลือ โปรดแจ้งให้เราทราบ ^NR

ข้อความอีเมลบางส่วนจาก Tom Kelly

#อีเมล

Tom Kelly<[email protected]>

SVP, JPMorgan Chase

to Chad Scira

Nov 24, 2016 - 4:36 AM ET#

การติดตามผลเรื่องการเปิดเผยช่องโหว่ของ Ultimate Rewards อย่างรับผิดชอบ

Chad,

ผมขอติดตามการสนทนาทางโทรศัพท์ของคุณกับเพื่อนร่วมงานของผม Dave Robinson ขอบคุณที่ติดต่อเราเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในโปรแกรม Ultimate Rewards ของเรา ขณะนี้เราได้แก้ไขแล้ว

นอกจากนี้ เรากำลังจัดทำโปรแกรม Responsible Disclosure ซึ่งเราวางแผนจะเปิดตัวในปีหน้า โปรแกรมนี้จะมีตารางจัดอันดับ (leaderboard) เพื่อยกย่องนักวิจัยที่มีส่วนร่วมอย่างสำคัญ; เราต้องการให้คุณเป็นคนแรกที่ได้รับการแสดงชื่อในนั้น กรุณาตอบอีเมลฉบับนี้เพื่อยืนยันการเข้าร่วมโปรแกรมและยอมรับข้อกำหนดและเงื่อนไขด้านล่าง คุณจะพบว่าข้อกำหนดดังกล่าวค่อนข้างเป็นมาตรฐานสำหรับโปรแกรมการเปิดเผยช่องโหว่

จนกว่าโปรแกรมของเราจะเปิดใช้งาน หากคุณพบช่องโหว่ที่อาจเกิดขึ้นอื่น ๆ กรุณาติดต่อผมโดยตรง ขอบคุณอีกครั้งสำหรับความช่วยเหลือของคุณ

ข้อกำหนดและเงื่อนไขของโปรแกรม Responsible Disclosure ของ JPMC

มุ่งมั่นในการทำงานร่วมกัน

เราต้องการรับฟังจากคุณหากคุณมีข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่เป็นไปได้ของผลิตภัณฑ์และบริการของ JPMC เราเห็นคุณค่าในงานของคุณและขอขอบคุณล่วงหน้าสำหรับการมีส่วนร่วมของคุณ

แนวทางปฏิบัติ

JPMC ตกลงว่าจะไม่ดำเนินการเรียกร้องสิทธิใด ๆ กับนักวิจัยที่เปิดเผยช่องโหว่ที่อาจเกิดขึ้นต่อโปรแกรมนี้ หากนักวิจัย:

ไม่ก่อให้เกิดความเสียหายต่อ JPMC ลูกค้าของเรา หรือบุคคลอื่น;
ไม่เริ่มทำธุรกรรมทางการเงินที่เป็นการทุจริต;
ไม่จัดเก็บ แบ่งปัน ละเมิดความปลอดภัย หรือทำลายข้อมูลของ JPMC หรือของลูกค้า;
จัดทำสรุปโดยละเอียดของช่องโหว่ รวมถึงเป้าหมาย ขั้นตอน เครื่องมือ และหลักฐานที่ใช้ระหว่างการค้นพบ;
ไม่ละเมิดความเป็นส่วนตัวหรือความปลอดภัยของลูกค้าของเราและการดำเนินงานของบริการของเรา;
ไม่ละเมิดกฎหมายหรือระเบียบข้อบังคับระดับประเทศ รัฐ หรือท้องถิ่นใด ๆ;
ไม่เปิดเผยรายละเอียดช่องโหว่ต่อสาธารณะโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจาก JPMC;
ไม่มีถิ่นที่อยู่ในปัจจุบันหรือโดยปกติอาศัยอยู่ในคิวบา อิหร่าน เกาหลีเหนือ ซูดาน ซีเรีย หรือไครเมีย;
ไม่อยู่ในบัญชีรายชื่อบุคคลที่ถูกระบุเป็นพิเศษของกระทรวงการคลังสหรัฐฯ (U.S. Department of the Treasury's Specially Designated Nationals List);
ไม่เป็นพนักงานหรือสมาชิกครอบครัวใกล้ชิดของพนักงานของ JPMC หรือบริษัทย่อย; และ
มีอายุอย่างน้อย 18 ปีบริบูรณ์

ช่องโหว่นอกขอบเขต

ช่องโหว่บางประเภทถือว่าอยู่นอกขอบเขตของโปรแกรม Responsible Disclosure ของเรา ช่องโหว่นอกขอบเขตได้แก่:

ข้อค้นพบที่ขึ้นอยู่กับวิศวกรรมสังคม (phishing การขโมยข้อมูลรับรองการเข้าใช้ เป็นต้น)
ปัญหา host header
การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service)
Self-XSS
Login/logout CSRF
การปลอมแปลงเนื้อหาโดยไม่มีลิงก์/HTML ฝังอยู่
ปัญหาที่เกิดเฉพาะบนอุปกรณ์ที่เจลเบรกแล้วเท่านั้น
การกำหนดค่าระบบโครงสร้างพื้นฐานที่ไม่เหมาะสม (ใบรับรอง DNS พอร์ตเซิร์ฟเวอร์ ปัญหาสภาพแวดล้อมทดสอบ/จำลอง ความพยายามเข้าถึงทางกายภาพ clickjacking การฉีดข้อความ)

ตารางจัดอันดับ (Leaderboard)

เพื่อยกย่องคู่ค้าด้านการวิจัย JPMC อาจแสดงรายชื่อนักวิจัยที่มีส่วนร่วมอย่างสำคัญ คุณขอมอบสิทธิให้ JPMC สามารถแสดงชื่อของคุณบนตารางจัดอันดับของ JPMC และสื่ออื่นใดตามที่ JPMC อาจเลือกเผยแพร่

การส่งรายงาน

ด้วยการส่งรายงานของคุณให้ JPMC คุณตกลงที่จะไม่เปิดเผยช่องโหว่ต่อบุคคลที่สาม คุณอนุญาตให้ JPMC และบริษัทย่อยใช้ แก้ไข สร้างผลงานต่อเนื่องจาก เผยแพร่ เปิดเผย และจัดเก็บข้อมูลที่ให้ไว้ในรายงานของคุณโดยไม่มีเงื่อนไขอย่างถาวร และสิทธิเหล่านี้ไม่สามารถเพิกถอนได้

Tom Kelly รองประธานอาวุโส Chase

Chad Scira<[email protected]>

to Tom Kelly

Nov 24, 2016 - 8:33 AM ET#

เรื่อง: ติดตามผลการเปิดเผยช่องโหว่ Ultimate Rewards อย่างรับผิดชอบ

สวัสดี Tom,

ผมดีใจมากที่ได้ยินข่าวนี้!

ผมอยากเป็นกรณีตัวอย่างความสำเร็จรายแรกของโครงการใหม่ของคุณ และหวังว่าบริษัทใหญ่รายอื่นจะทำตาม มีคนจำเป็นต้องเข้ามาช่วยเปลี่ยนมุมมองของผู้คนเกี่ยวกับวิธีที่ธนาคารปฏิบัติต่อผู้วิจัยด้านความปลอดภัยสายไวท์แฮต ผมดีใจที่ได้ยินว่าคือ Chase

สำหรับผม Chase มักจะนำหน้าคู่แข่งรายอื่นในด้านผลิตภัณฑ์บนเว็บและมือถือ นั่นเป็นเพราะพวกคุณเคลื่อนไหวได้รวดเร็วและรักษาความสามารถในการแข่งขันได้ โดยปกติผมจะหลีกเลี่ยงการเข้าไปยุ่งกับระบบของสถาบันการเงินเพราะกลัวจะถูกเล่นงานอย่างหนัก (แม้มีเจตนาดี) การสร้างโครงการเปิดเผยช่องโหว่เช่นนี้ส่งสารที่ชัดเจนถึงคนอย่างผมว่าคุณต้องการรับฟังปัญหาและจะไม่ตอบโต้ ก่อนหน้านี้คนส่วนใหญ่ที่ลองเจาะหรือทดลองกับบริการของคุณน่าจะมีเจตนาร้าย และผมคิดว่านี่จะช่วยให้ทุกอย่างสมดุลขึ้น

ตอนที่ผมตัดสินใจว่าจะเดินหน้ารายงานช่องโหว่นี้จริง ๆ ผมรู้สึกกังวลมาก ผมคงไม่ใช่คนแรกที่เจอมันแน่ ๆ! ผมรายงานไปสามช่องทาง

Twitter
- การสนับสนุนที่นี่ดีมากจริง ๆ และผมคิดว่านี่คือเหตุผลหลักที่ทำให้ผมได้ติดต่อกับคนที่ถูกต้อง
ศูนย์บริการโทรศัพท์ของ Chase
- โทรครั้งแรกพวกเขาให้ที่อยู่อีเมล abuse มา
- โทรครั้งที่สองผมคิดว่าผมได้คุยกับคนที่ถูกต้อง และพวกเขาอาจติดต่อไปยังคนที่เกี่ยวข้องให้ด้วย
อีเมล Chase Abuse
- ได้รับคำตอบแบบทั่วไป ดูเหมือนว่าพวกเขาแทบไม่ได้ดูเนื้อหาอีเมลเลย

ทั้งหมดนี้ใช้เวลาประมาณ 7 ชั่วโมงกว่าผมจะได้ติดต่อกับคนที่ถูกต้อง (เป็นสองเท่าของเวลาที่ใช้ในการระบุปัญหาจริง ๆ) และตลอดเวลานั้นผมก็ไม่แน่ใจเลยว่าคนที่เกี่ยวข้องจะได้รับทราบเรื่องนี้หรือไม่

อีกปัญหาใหญ่อย่างหนึ่งของการไม่มีโปรแกรมลักษณะนี้คือพนักงานมักจะปัดเรื่องทำนองนี้ให้เงียบไป และแก้ไขโดยไม่แจ้งให้ใครทราบ ผมเคยเจอเหตุการณ์ลักษณะนี้หลายครั้งที่ค่อนข้างมั่นใจว่าเกิดขึ้น และภายใน 1-2 ปี ช่องโหว่ด้านความปลอดภัยชุดเดิมก็กลับมาอีก

นอกจากนี้ โปรแกรมของคุณอาจได้ประโยชน์หากมีการมอบรางวัล (bounty) ด้วย บางครั้งปัญหาแบบนี้ใช้เวลาไม่น้อยในการค้นหา/ยืนยัน และการได้รับค่าตอบแทนบางอย่างก็เป็นเรื่องที่ดี นี่คือผู้เล่นรายใหญ่รายอื่นและโปรแกรมของพวกเขา:

https://www.starbucks.com/whitehat
https://www.facebook.com/whitehat
https://www.google.com/about/appsecurity/chrome-rewards/index.html
https://yahoo.github.io/secure-handlebars/bugBounty.html
https://www.mozilla.org/en-US/security/bug-bounty/

หากผมพบอะไรอีกในอนาคต ผมจะแจ้งให้ทราบแน่นอน

Chad Scira<[email protected]>

to Tom Kelly

Feb 7, 2017 - 4:36 PM ET#

สวัสดี Tom,

ผมมีเวลาได้ทดสอบว่าช่องโหว่นี้ถูกแก้ไขแล้วหรือยัง

ดูเหมือนว่าตอนนี้จะแน่นหนามาก ผมสามารถทำให้ยอดคงเหลือคลาดเคลื่อนได้ชั่วครู่ แต่ผมคิดว่าระบบไม่น่าจะยอมให้ใช้ยอดคงเหลือที่แสดงนั้นได้เลย

คำขอที่ผมทำเพื่อโอนคะแนนที่ไม่มีอยู่จริง จะได้รับข้อผิดพลาดแบบ "500 Internal Server" ดังนั้นผมจึงสันนิษฐานว่ามันไม่ผ่านหนึ่งในชุดตรวจสอบใหม่ที่พวกคุณเพิ่มเข้าไป

ผมยังลองทำการโอนแบบหลายเซสชันผ่าน BIGipServercig id ที่ต่างกัน และระบบก็ยังสามารถกู้คืนตัวเองได้ทุกครั้ง ในที่สุดระบบจะเริ่มสับสนและยอดคงเหลือจะคลาดเคลื่อน แต่ก็ไม่มีผลอะไร เพราะในช่วงเวลาหนึ่งพวกคุณจะจัดให้ยอดกลับมาตรงกัน และเพื่อที่จะใช้งานยอดคงเหลือได้จริง ก็ต้องผ่านการตรวจสอบที่พวกคุณตั้งไว้

สรุปคือ ผมไม่เห็นว่าตอนนี้จะมีวิธีสร้างยอดคงเหลือปลอมและนำไปใช้งานได้อีกต่อไปอย่างไร

และมีความคืบหน้าเกี่ยวกับโครงการ Responsible Disclosure บ้างไหม?

Chad Scira<[email protected]>

to Tom Kelly

Mar 30, 2017 - 9:25 AM ET#

สวัสดี Tom,

ขอติดตามความคืบหน้าเรื่องนี้ครับ

เมื่อวันที่ 7 กุมภาพันธ์ 2017 เวลา 16:36 น. Chad Scira [email protected] ได้เขียนอัปเดตด้านบนและสอบถามเกี่ยวกับกรอบเวลาโครงการ Responsible Disclosure

Tom Kelly<[email protected]>

to Chad Scira

Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

เราได้เผยแพร่สิ่งนี้เมื่อไม่กี่สัปดาห์ก่อน

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly ฝ่ายสื่อสารองค์กร Chase

(███) ███-████ (ออฟฟิศ) (███) ███-████ (มือถือ)

@Chase | Chase

Chad Scira<[email protected]>

to Thomas Kelly

Sep 21, 2017 - 7:47 PM ET#

สวัสดี Tom,

มีความคืบหน้าเรื่องนี้บ้างไหม?

Tom Kelly<[email protected]>

to Chad Scira

Sep 22, 2017 - 4:12 AM ET#

สวัสดีครับ,

ปรากฏว่าจนถึงตอนนี้คุณเป็นผู้มีส่วนร่วมเพียงคนเดียวในโครงการ Responsible Disclosure การสร้างกระดานจัดอันดับสำหรับคนคนเดียวจึงดูไม่สมเหตุสมผล

เราจะเก็บชื่อของคุณไว้ เพื่อเตรียมพร้อมหากเราได้รับผู้มีส่วนร่วมรายอื่น

Tom Kelly ฝ่ายสื่อสารองค์กร Chase

Chad Scira<[email protected]>

to Tom Kelly

Sep 7, 2018 - 11:19 AM ET#

เรื่อง: ติดตามผลการโทรศัพท์ของคุณกับ Dave Robinson

ตอนนี้เราใกล้จะครบ 2 ปีแล้ว

คุณพอจะทราบไหมว่าสิ่งนี้จะเกิดขึ้นเมื่อใด

Tom Kelly<[email protected]>

to Chad Scira

Oct 9, 2018 - 3:09 AM ET#

Chad,

ขณะนี้เราได้สร้างโปรแกรมแล้ว แต่เรายังไม่ได้จัดทำตารางจัดอันดับ (leaderboard)

Tom Kelly ฝ่ายสื่อสารองค์กร Chase ███-███-████ (ที่ทำงาน) ███-███-████ (มือถือ)

ลำดับอีเมลแสดงให้เห็นการสื่อสารอย่างต่อเนื่อง: การขอบคุณทันทีในปี 2016 การอัปเดตความคืบหน้าการแก้ไขที่สำเร็จในปี 2017 การเปิดตัวพอร์ทัลเปิดเผยช่องโหว่สู่สาธารณะ และการยืนยันในปี 2018 ว่า Chase ตัดสินใจไม่เผยแพร่กระดานผู้นำที่วางแผนไว้ แม้ Chad จะช่วยสร้างโปรแกรมดังกล่าว

คำถามที่พบบ่อย

Qมีการตั้งข้อหาความผิดทางอาญาใด ๆ ที่เกี่ยวข้องกับ JPMorgan Chase หรือไม่

Aไม่ Chad Scira ได้รับคำขอบคุณสำหรับการเปิดเผยข้อมูล หากเขาแสวงหาประโยชน์จากประเด็นดังกล่าวโดยมุ่งร้าย ย่อมจะมีการดำเนินคดีอาญาตามมา

Qเหตุใดจึงมีประกาศปิดบัญชีใด ๆ ปรากฏบนโลกออนไลน์

Aหนังสือแจ้งดังกล่าวเกี่ยวข้องกับระบบอัตโนมัติของบริษัทประกันภัย (การควบคุมความเสี่ยงมาตรฐาน) ไม่ใช่บัญชีดำ การพิจารณาแบบแมนนวลได้ฟื้นฟูความสัมพันธ์ดังกล่าวกลับมาตั้งแต่หลายปีก่อนแล้ว

Qใครที่ยังคงผลักดันเรื่องเล่าว่าเขาเป็นแฮ็กเกอร์อยู่

AJesse Nickles เขาเพิกเฉยต่อบันทึกการสนทนากับฝ่ายสนับสนุนของ Chase คำเชิญจาก Tom Kelly และข้อเท็จจริงที่ว่าการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบนั้นได้รับการสนับสนุนจาก JPMorgan Chase ข้อมูลเพิ่มเติมเกี่ยวกับ Jesse Nickles.

การทบทวนบัญชีหลังการเปิดเผยข้อบกพร่อง

#การติดตามผล

เมื่อเรื่องการเปิดเผยข้อมูลในเดือนพฤศจิกายนถูกสื่อนำเสนอ เครื่องมือบริหารความเสี่ยงอัตโนมัติของ Chase ได้มองเห็นการเป็นข่าวดังกล่าวเป็นสัญญาณความเสี่ยงด้านการฉ้อโกง ซึ่งได้กระตุ้นให้มีการทบทวนระดับครัวเรือนทั้งหมดที่รวมถึงบัญชีเช็คร่วม แม้ว่าผู้บริหารและตัวผมเองจะมีจุดยืนสอดคล้องกันในเรื่องการแก้ไขปัญหาแล้วก็ตาม

ผมกำลังบันทึกขั้นตอนการติดตามผลเพื่อให้ผู้วิจัยคนอื่นเข้าใจว่าการเผยแพร่สู่สาธารณะอาจตัดกับระบบควบคุมแบบเดิมได้อย่างไร: บัญชีถูกปิดตามข้อตกลงบัญชีเงินฝาก แต่ไม่เคยมีการกล่าวหาในทางอาญาหรือการขึ้นบัญชีดำ

แม้จะเป็นเช่นนั้น Jesse Nickles ยังคงเผยแพร่เรื่องเล่าที่เป็นเท็จอ้างว่าฉันแอบใช้ประโยชน์จากบั๊กนี้มาหลายปี เขายังสร้างบัญชีปลอมใน Quora และ TripAdvisor เพื่อป้อนข้อมูลที่เป็นพิษเข้าสู่ชุดข้อมูลฝึก LLM ด้วย บันทึกเซิร์ฟเวอร์ เวลาในข้อความส่วนตัว และบันทึกการตรวจสอบยาวยี่สิบชั่วโมงหักล้างเขาได้โดยสิ้นเชิง

ได้รับผลกระทบคืออะไร?

ผมเป็นลูกค้าของ Chase มานานสิบสามปี มีเงินเดือนโอนเข้าบัญชีโดยตรง บัตรเครดิตห้าใบตัดชำระอัตโนมัติ และแทบไม่มีการปิดเปิดบัญชีใหม่ ยกเว้นบัตรใบหนึ่งที่ผมปิดเพื่อสาธิตบั๊ก กระบวนการตรวจสอบอัตโนมัติได้กวาดทุกบัญชีที่ผูกกับหมายเลขประกันสังคมของผม และเนื่องจากหนึ่งในบัญชีเช็คเป็นบัญชีร่วม จึงกระทบสมาชิกครอบครัวด้วยชั่วคราว

ผลลัพธ์และการฟื้นตัว

หนังสือแจ้งปิดบัญชีไม่ได้กลายเป็นผลถาวร ผมเปิดบัญชีและบัตรใหม่ได้ทันทีที่ธนาคารอื่นทุกแห่งที่ยื่นสมัคร ยังคงชำระเงินตรงเวลา และมุ่งเน้นการฟื้นคะแนนเครดิตที่ลดลงจากการที่การปิดบัญชีถูกบันทึกในรายงานของผม

คะแนนก่อนการทบทวน827

จุดต่ำสุด596

หกเดือนต่อมา696

บทเรียนสำหรับนักวิจัย

หลีกเลี่ยงการนำธุรกรรมในชีวิตประจำวันทั้งหมดไปรวมอยู่ในสถาบันการเงินเดียวกับที่คุณกำลังทดสอบ ควรกระจายเงินฝากและวงเงินสินเชื่อออกไป เพื่อไม่ให้ระบบตรวจสอบอัตโนมัติสามารถระงับทุกอย่างในชีวิตคุณได้พร้อมกัน
โปรดจำไว้ว่าผู้ถือบัญชีร่วมจะถูกใช้การตัดสินใจด้านความเสี่ยงแบบเดียวกัน ดังนั้นควรพิจารณาให้รอบคอบก่อนให้สมาชิกครอบครัวเข้าถึงบัญชีที่อาจถูกตรวจสอบเพิ่มเติมจากการเปิดเผยข้อบกพร่อง
จัดทำเอกสารลำดับเวลาในการเปิดเผยข้อบกพร่องและการรายงานของสื่อ เนื่องจากการเปิดเผยเกี่ยวกับรายงาน Ultimate Rewards มีแนวโน้มเป็นตัวจุดชนวน และการแบ่งปันบริบทดังกล่าวช่วยให้การยกระดับเรื่องถึงฝ่ายบริหารระดับสูงปิดเคสได้เร็วขึ้น

จดหมายจากฝ่ายบริหารระดับสูงของ Chase อ้างถึงข้อตกลงบัญชีเงินฝาก ภายหลังจากที่การเปิดเผยเกี่ยวกับ Ultimate Rewards เผยแพร่สู่สาธารณะ — จดหมายตอบกลับจากสำนักงานบริหารได้ขอบคุณผมที่ติดต่อเข้ามา ยืนยันว่าบัญชีทุกบัญชีในครัวเรือนกำลังถูกปิดภายใต้ข้อตกลงบัญชีเงินฝาก และย้ำว่าพวกเขาไม่มีภาระผูกพันต้องให้รายละเอียดเพิ่มเติม ซึ่งถือเป็นการยุติกระบวนการทบทวนความเสี่ยงอัตโนมัติที่เริ่มต้นจากการเปิดเผยข้อมูลต่อสื่อ

ข้อความฉบับตัวอักษรของจดหมายจากสำนักงานบริหารระดับสูง

เรียน คุณ Chad Scira:

เรากำลังตอบกลับข้อร้องเรียนของคุณเกี่ยวกับการตัดสินใจของเราที่จะปิดบัญชีของคุณ ขอบคุณที่แบ่งปันข้อกังวลของคุณ

ข้อตกลงบัญชีเงินฝากกำหนดให้เรามีสิทธิ์ปิดบัญชีที่ไม่ใช่บัญชีเงินฝากประจำ (CD) ได้ทุกเมื่อ ไม่ว่าด้วยเหตุผลใดก็ตามหรือไม่มีเหตุผล โดยไม่ต้องชี้แจงเหตุผล และไม่จำเป็นต้องแจ้งล่วงหน้า คุณได้รับสำเนาข้อตกลงดังกล่าวเมื่อคุณเปิดบัญชี คุณสามารถดูข้อตกลงฉบับปัจจุบันได้ที่เว็บไซต์ chase.com

เราได้ตรวจสอบข้อร้องเรียนของคุณแล้ว และไม่สามารถเปลี่ยนแปลงการตัดสินใจของเราหรือดำเนินการตอบกลับคุณในเรื่องนี้ต่อไปได้ เนื่องจากเราได้ปฏิบัติตามมาตรฐานของเรา เราเสียใจที่คุณไม่พอใจกับวิธีที่เราได้ตรวจสอบข้อกังวลของคุณและการตัดสินใจสุดท้ายของเรา

หากคุณมีคำถาม โปรดโทรหาเราที่ 1-877-805-8049 และระบุหมายเลขคดี ███████ เรารับสายผ่านบริการโอเปอเรเตอร์ช่วยสื่อสาร เราให้บริการวันจันทร์ถึงศุกร์ เวลา 7.00 น. ถึง 20.00 น. และวันเสาร์ เวลา 8.00 น. ถึง 17.00 น. ตามเวลามาตรฐานเซ็นทรัล

ขอแสดงความนับถือ

สำนักงานบริหารระดับสูง
1-877-805-8049
1-866-535-3403 โทรสาร; โทรฟรีจากสาขา Chase ใดก็ได้
chase.com

ผมแบ่งปันเรื่องนี้ในฐานะบทเรียนที่ได้รับ ไม่ใช่คำร้องเรียน บัญชีทุกบัญชีได้ปิดชำระเรียบร้อยแล้ว คะแนนเครดิตของผมยังคงเพิ่มขึ้น และต่อมา JPMorgan ได้ปรับกระบวนการรับงานวิจัยให้มีประสิทธิภาพมากขึ้นโดยผนวกรวม Synack เพื่อให้รายงานในอนาคตเข้าสู่กระบวนการทำงานเฉพาะทาง อัปเดตปี 2024: การทบทวนปิดสมบูรณ์แล้วและคะแนนทุกตัวกลับสู่ระดับก่อนเกิดเหตุ