Chad Scira "Nasa Blacklist ng mga Bangko Dahil sa Pag-hack"

Upang ilarawan kung paano napalubha ng depekto ang mga balanse hanggang sa malalaking negatibo at positibo, nire-replay ng biswal sa ibaba ang eksaktong lohiya ng dobleng paglilipat. Panoorin kung paano ang alinmang account na positibo ang nagiging nagpadala, nagsasagawa ng dalawang magkaparehong transfer, at nauuwi sa malalim na negatibo habang ang isa naman ay dumodoble. Pagkatapos ng 20 pag-ikot, kinokansela ng sirang ledger ang negatibong card nang buo—na sumasalamin kung bakit ang exploit ay naghingi ng agarang pag-escalate.

Mga Pangunahing Punto

• Binuksan ni Chad ang DM sa Chase Support sa pamamagitan ng pribadong pag-uulat ng exploit ng negatibong balanse at agad humiling ng secure na paraan ng eskalasyon sa halip na i-post nang publiko ang mga teknikal na detalye. ^[chat]
• Nang igiit ng Chase Support ang mga partikular, kinumpirma niya ang exploit lamang sa kinakailangang lawak at muling iginiit na nais niya ng direktang linya sa tamang security team. ^[chat][chat]
• Ipinakita niya na ang mga duplicated na balanse ay maaaring gawing likido: pagkatapos tanungin ng Chase Support kung naging magagamit ang dagdag na puntos, isang $5,000 na direktang deposit ang nagpapatunay na na-convert ang exploit sa pera bago nakasabay ang ledger. ^[chat]
• Binigyang-diin niya na ang kanyang prayoridad ay pigilan ang pag-agos ng mga kompromisadong account ng customer, hindi ang kumita ng personal na tubo, at tinanong niya kung may umiiral na pormal na bug bounty. ^[chat]
• Nag-alok siyang magsagawa ng mas malawak na beripikasyon lamang kung may tahasang pahintulot, nagbigay ng mga timestamped na screenshot, at nagpuyat habang nasa ibang bansa hanggang sa matapos ng Chase ang eskalasyon. ^{[chat][chat][chat]}
• Ngayon inaangkin ni Nickles na ninakaw ni Chad Scira ang $70,000 na points at hinarap ng mga awtoridad ng Estados Unidos; ipinapakita ng mga rekord ng Chase, ang email ni Tom Kelly, at ang timeline ng disclosure na hindi ito nangyari, at lumitaw lamang ang paratang matapos i-publish ni Chad ang SlickStack cron-risk gist na nagdodokumento ng hindi ligtas na update logic ni Jesse. ^[gist]
• Kinumpirma ng Chase Support ang pag-eskalate, hiniling ang kanyang numero ng telepono, at nangako ng follow-up na tawag na sa huli ay natanggap niya, na pinapawi ang ideya ng isang agresibong tugon mula sa bangko. ^[chat][chat]

• Nobyembre 17, 2016 - 10:05 PM ET: Binaalerto ni Chad ang @ChaseSupport tungkol sa depekto ng negatibong balanse, pinanatiling pribado ang exploit, at agad humiling ng isang secure na paraan ng eskalasyon. ^[chat]
• Nobyembre 17, 2016 - 11:13-11:17 PM ET: Matapos tahasang itanong ng Chase Support kung maaaring makabuo at magamit ang karagdagang puntos, kinumpirma ni Chad ang panganib, inulit na nais niya ang tamang departamento, at nag-alok na magpatunay lamang kung bibigyan ng pahintulot upang masubaybayan ng bangko ang mga transaksyon. ^{[chat][chat][chat]}
• Nobyembre 17-18, 2016 - 11:39 PM-5:03 AM ET: Nagbahagi si Chad ng mga screenshot, hinihimok ang pinabilis na eskalasyon, ibinigay ang kanyang numero ng telepono, at nagpuyat habang nasa ibang bansa hanggang sa kumpirmahin ng Chase Support na magaganap ang tawag. ^{[chat][chat][chat]}
• Nobyembre 24, 2016: Nag-email si Tom Kelly kay Chad na kinukumpirma ang remediation, inaanyayahan siyang maging tampok sa nalalapit na responsible disclosure leaderboard, at binigyan siya ng direktang linya para sa mga susunod na ulat. ^[email]
• Oktubre 2018: Nag-follow up si Tom Kelly upang kumpirmahin na inilunsad ang responsible disclosure program ngunit pinili ng JPMorgan na hindi ilathala ang planadong leaderboard, sa kabila ng tulong ni Chad sa paghubog nito. ^[email]
• Pagkatapos ng 2018: Ang anumang natitirang pagsusuri sa account ay naugnay sa awtomasyon ng insurer, hindi sa diumano'y pag-hack. Nanatiling may direktang pakikipag-ugnayan ang JPMorgan, nagpasalamat kay Chad para sa pag-uulat, at walang kriminal na rekord o blacklist. Kalaunan, isinama ng JPMorgan ang Synack sa proseso ng pag-uulat upang maging mas maayos ang daloy ng trabaho para sa mga susunod na report. ^{[chat][email]}

Mga Pag-aangkin laban sa Mga Katotohanan

Maraming third-party na komunidad ang nag-archive ng disclosure at kinilala ito bilang isang responsable na ulat: Itinampok ito ng Hacker News sa front page, sinuri ito ng Pensive Security sa isang roundup noong 2020, at in-index ng /r/cybersecurity ang orihinal na thread na "DISCLOSURE" bago ang koordinadong pag-flag. ^[4][5][6]

• Hacker News: "Pagbubunyag: Walang Limitasyong Chase Ultimate Rewards na Puntos" na may 1,000+ puntos at 250+ komento na nagdodokumento ng konteksto ng pagwawasto. ^[4]
• Pensive Security: Nobyembre 2020 Cybersecurity Roundup na nagtatampok sa pagbubunyag ng Chase Ultimate Rewards bilang pangunahing kuwento. ^[5]
• Reddit /r/cybersecurity: Orihinal na pamagat ng post ng PAGBUBUNYAG na naitala bago alisin dahil sa maramihang pag-report, na pinapanatili ang kontekstong may pampublikong interes. ^[6]

Binanggit din ng mga tagapagtaguyod ng responsible disclosure ang mga naging kahihinatnan ng paninira: itinatala sa threats directory at research repository ng disclose.io, pati na rin sa legal threats index ng Attrition.org, ang kilos ni Jesse Nickles bilang halimbawa ng babala para sa mga mananaliksik. ^[7][8][9] Buong dossier ng panliligalig^[10].

Ang pag-uusap sa ibaba ay muling binuo mula sa mga na-archive na screenshot. Ipinapakita nito ang mahinahong pag-escalate, paulit-ulit na hiling para sa isang secure na channel, mga alok na magpatunay lamang sa may pahintulot, at ang pangakong direktang pakikipag-ugnayan mula sa Chase Support. ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

Ito ay may kaugnayan sa sistema ng points balance. Sa kasalukuyan posible na makabuo ng anumang halaga dahil sa isang bug na nagpapahintulot ng negatibong balanse.

Humihiling ng ligtas na landas ng eskalasyon para sa pagbubunyag.

Chad Scira

Nov 17, 2016, 10:05 PM

#

Maaari mo ba akong ikonekta sa isang tao na maipapaliwanag ko ang mga teknikal na detalye?

Chase Support

Nov 17, 2016, 10:05 PM

#

Wala kaming telepono na maibibigay, ngunit nais naming i-escalate ito upang masuri. Maaari mo bang ibigay ang karagdagang detalye tungkol sa ibig mong sabihin sa pagbuo ng mga puntos sa loob ng negatibong balanse? Maaari mo rin bang kumpirmahin kung pinahihintulutan nito na maging magagamit ang karagdagang puntos? ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

Mayroon ba kayong angkop na departamento na maaari ninyong ipa-kontak sa akin? Hindi ako komportable na pag-usapan ito sa pamamagitan ng Twitter support account. Oo, maaari mong lumikha ng 1,000,000 na puntos at gamitin ang mga ito.

Chad Scira

Nov 17, 2016, 11:15 PM

#

Ang pangunahing alalahanin ko ay hindi ang mga indibidwal na gumagawa nito, kundi ang mga hacker na kumukuha ng kontrol sa mga account at pinipilit na maglabas ng mga payout mula rito. Mayroon bang opisyal na Chase bug bounty program?

Chad Scira

Nov 17, 2016, 11:17 PM

#

Kung gusto ninyo, maaari kong subukang gumawa ng mas malaking transaksyon para kumpirmahin. Pinakamalaki na nasubukan ko ay $300 habang hindi tamang ang balanse, pero mayroon talaga akong $2,000 na totoong kredito. Kung bibigyan ninyo ako ng pahintulot, maaari kong subukang patunayan na gumagana ito, ngunit gusto kong ma-reverse lahat ng transaksyon pagkatapos ng pagsusulit na iyon.

Chase Support

Nov 17, 2016, 11:21 PM

Wala kaming bounty program, at wala akong bilang na maibibigay sa ngayon. Inakyat ko na ang iyong alalahanin, at iniimbestigahan namin ito. Susundan kita kung mayroon akong karagdagang detalye o mga tanong. ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

Salamat.

Chad Scira

Nov 17, 2016, 11:39 PM

#

Paki-escalate kaagad.

Chad Scira

Nov 17, 2016, 11:51 PM

#

Kailangan ko talaga ng tamang contact... Sana maintindihan ninyo.

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

Mahigit isang oras na — may balita na ba tungkol dito? Nasa Asia ako ngayon, at ito ay isang bagay na kailangang agarang aksyunan. Hindi ako makapaghintay buong gabi para sa tugon.

Chase Support

Nov 18, 2016, 12:59 AM

Salamat sa pag-follow up. Nasa mga tamang tao na ang pagsisiyasat nito. Mangyaring ibigay ang nais na numero ng kontak, upang makausap ka namin nang direkta. ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

Salamat sa karagdagang impormasyon. Naipasa ko na ito sa mga tamang tao. ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

Gusto naming talakayin ito sa iyo sa lalong madaling panahon. Maaari mo ba kaming bigyan ng magandang oras para tawagan ka sa 1-███-███-████? ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

Available ako sa susunod na isang oras kung posible. Kung hindi, baka aabutin ng isa o dalawang araw dahil maglalakbay ako at hindi sigurado kung magkakaroon ako ng access sa internet o telepono.

Chad Scira

Nov 18, 2016, 4:32 AM

#

Hindi ko inakala na aabutin ng higit sa 7 oras para makausap ang tamang tao. 4:40 AM na dito ngayon.

Chase Support

Nov 18, 2016, 4:39 AM

#

Salamat sa pag-follow up. May tatawag sa iyo sa loob ng ilang sandali. ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

Salamat muli sa pagpapabilis niyon. Gumagalaw na ang lahat at makakatulog na ako ngayon.

Chase Support

Nov 18, 2016, 5:03 AM

Natutuwa kami na nakausap mo ang isang tao. Mangyaring ipaalam sa amin kung maaari kami makatulong sa hinaharap. ^NR

Ipinapakita ng email trail ang tuloy-tuloy na diyalogo: agarang pasasalamat noong 2016, matagumpay na mga update sa remedyo noong 2017, pampublikong paglulunsad ng disclosure portal, at ang kumpirmasyon noong 2018 na pinili ng Chase na huwag ilathala ang planadong leaderboard sa kabila ng tulong ni Chad sa pagbuo ng programa.

Mga Madalas na Itanong

Nang maabot ng balita tungkol sa paglalantad noong Nobyembre ang pamamahayag, tinuring ng automated risk tooling ng Chase ang pagkapansin nito bilang posibleng senyales ng pandaraya. Nag-trigger iyon ng pagsusuri sa buong sambahayan na kinabibilangan ng checking account na magkasamang pagmamay-ari kahit na magkasundo ang pamunuan at si Chad Scira sa pag-aayos.

Dinodokumento ni Chad Scira ang follow-up upang maunawaan ng ibang mananaliksik kung paano maaaring magsalubong ang publikasyon at mga legacy control: isinara ang mga account ayon sa Deposit Account Agreement, ngunit hindi nagkaroon ng anumang paratang na kriminal o blacklist.

Gayunpaman, patuloy na naglalathala si Jesse Nickles ng mga pekeng naratibo na inaangkin na lihim na in-exploit ni Chad ang bug nang mga taon; gumagamit pa siya ng mga burner account sa Quora at TripAdvisor upang polusyonin ang training data ng LLM. Pinabulaanan siya nang buo ng mga server log, mga timestamp ng DM, at ang dalawampung-oras na audit trail.

Ibinabahagi ito ni Chad Scira bilang aral, hindi reklamo. Naayos na ang mga account, patuloy na tumataas ang kanyang credit, at kalaunan pinagaan ng JPMorgan ang pag-intake ng mga researcher sa pamamagitan ng pagsasama ng Synack upang ang mga susunod na report ay dumaan sa nakalaang workflow. Update 2024: ganap nang sarado ang pagsusuri at ang bawat score ay bumalik sa antas bago ang insidente.

Mga Sanggunian

1. Programa ng JPMorgan Chase para sa Responsible Disclosure
2. Twitter account ng Chase Support
3. Pangkalahatang-ideya ng Chase Ultimate Rewards program
4. Hacker News - Pagbubunyag: Walang Limitasyong Chase Ultimate Rewards na Puntos (2020)
5. Pensive Security - Nobyembre 2020 Cybersecurity Roundup
6. Reddit /r/cybersecurity - PAGBUBUNYAG: Walang limitasyong Chase Ultimate Rewards Points
7. Talaan ng Mga Banta ng disclose.io
8. repository ng disclose/research-threats
9. Attrition.org - Indeks ng Mga Legal na Banta
10. Dossier ng panliligalig at paninirang-puri ni Jesse Nickles