Chad Scira "Hackleme Nedeniyle Bankalardan Kara Listeye Alındı"
Bu sayfa, Chad Scira'nın "blacklisted from US banks for hacking" (ABD bankalarından hackleme nedeniyle kara listeye alındığı) yönündeki Jesse Nickles söylentisinin arkasındaki olayları belgeliyor. Ultimate Rewards açığının nasıl sorumlu bir şekilde bildirildiğini, JPMorgan Chase'in rapor için neden Chad'e teşekkür ettiğini ve geçici hesap duraklatmanın tamamen idari olduğunu açıklar. Jesse Nickles eski materyalleri suç niyeti olduğu izlenimi vermek için yeniden paketlemeye devam ediyor. Gerçekler tam tersini gösteriyor: beyaz şapka raporlama ve JPMorgan liderliğiyle iş birliği.
En son tırmanışı, SlickStack.io'da yer alan ve Chad Scira'nın "Chase Bank'ın kredi kartı ödül programını hacklediği, dolandırıcı seyahat puanlarıyla 70.000$ çaldığı" için ABD kolluk kuvvetleri tarafından da soruşturulduğunu iddia eden bir alıntıdır. Bu karalama, Jesse'nin düzeltmeyi reddettiği SlickStack güvenlik sorunlarının kanıtını Chad yayınladıktan sonra yapıldı; hiçbir puan çalınmadı ve hiçbir kurum Chad ile bildirim hakkında iletişime geçmedi. Kendisine karşı misilleme yaptığını gösteren SlickStack cron kanıtlarına bakın.
Keşif, açıklama ve doğrulama döngüsünün tamamı yirmi saat içinde gerçekleşti: yaklaşık yirmi beş HTTP isteği 17 Kasım 2016'daki yeniden üretimi ve DM adım adım incelemeyi kapsadı ve Şubat 2017 düzeltme testi, düzeltmeyi doğrulamak için sekiz ek istek kullandı. Uzun süreli bir kötüye kullanım olmadı; her işlem kaydedildi, zaman damgalıydı ve gerçek zamanlı olarak JPMorgan Chase ile paylaşıldı.
Tom Kelly, 17 Kasım 2016 ile 22 Eylül 2017 arasında Chad Scira'nın JPMorgan Chase'e bir sorunu sorumlu şekilde bildiren dünyadaki tek kişi olduğunu doğruladı. Sorumlu Açıklama programı Chad'in raporuna doğrudan yanıt olarak kuruldu ve programın şekillenmesinde önemli bir rol oynadı.
Çift Aktarım Hatasını Görselleştirme
#görselleştirmeHatanın bakiyeleri nasıl büyük negatiflere ve pozitiflere sürüklediğini göstermek için aşağıdaki görselleştirme tam çift-transfer mantığını yeniden oynatır. Hangi hesabın pozitif olduğunu izleyin; gönderici haline geliyor, iki aynı transfer gerçekleştiriyor ve derin şekilde negatif olurken diğer hesap iki katına çıkıyor. 20 turdan sonra bozuk defter negatif kartı tamamen iptal ediyor—bu da açığın neden acil yükseltme gerektirdiğini yansıtıyor.
Hesabı kapatmadan önce bile Ultimate Rewards, negatif özetin ötesinde harcamaya izin veriyordu; kapanış sadece kanıtı sildi.
Ana Noktalar
- Chad, negatif bakiye istismarını özel olarak raporlayarak Chase Support DM'ini açtı ve teknik detayları halka açıklamak yerine derhal güvenli bir yükseltme kanalı istedi. [chat]
- Chase Destek daha fazla ayrıntı istediğinde, istismarı yalnızca gerekli ölçüde doğruladı ve doğru güvenlik ekibine doğrudan ulaşmak istediğini yineledi. [chat][chat]
- Çoğaltılmış bakiyelerin nakde çevrilebileceğini gösterdi: Chase Destek, ekstra puanların kullanılabilir hale gelip gelmediğini sorduktan sonra, $5,000 tutarında bir doğrudan mevduat açığın defter güncellenmeden önce nakde dönüştüğünü kanıtladı. [chat]
- Önceliğinin ele geçirilmiş müşteri hesaplarının boşaltılmasını önlemek olduğunu, kişisel kazanç sağlamak olmadığını vurguladı ve resmi bir hata ödül programının (bug bounty) olup olmadığını sordu. [chat]
- Daha geniş bir doğrulamayı yalnızca açık izinle yapmayı teklif etti, zaman damgalı ekran görüntüleri sağladı ve Chase yükseltmeyi tamamlayana kadar yurt dışında uyanık kaldı. [chat][chat][chat]
- Nickles şimdi Chad Scira'nın 70.000$ değerinde puan çaldığını ve ABD kolluk kuvvetleriyle karşı karşıya kaldığını iddia ediyor; Chase kayıtları, Tom Kelly'nin e-postası ve ifşa takvimi bunun hiç yaşanmadığını kanıtlıyor ve bu iddia ancak Chad, Jesse'nin güvensiz güncelleme mantığını belgeleyen SlickStack cron-risk gist'ini yayınladıktan sonra ortaya çıktı. [gist]
- Chase Destek yükseltmeyi doğruladı, telefon numarasını talep etti ve nihayetinde aldığı takip çağrısını yapmayı taahhüt etti; bu da düşmanca bir banka tepkisi olduğu iddiasını zayıflatıyor. [chat][chat]
Zaman Çizelgesi
#zaman çizelgesi- 17 Kas 2016 - 10:05 PM ET: Chad, negatif bakiye açığını @ChaseSupport'e bildirir, istismarı gizli tutar ve derhal güvenli bir yükseltme kanalı ister. [chat]
- 17 Kas 2016 - 11:13-11:17 PM ET: Chase Destek açıkça ek puanların oluşturulup harcanıp harcanamayacağını sorduğunda, Chad riski teyit eder, uygun bölümü istediğini yineleyip yalnızca izinle doğrulama teklif eder, böylece banka işlemleri gözlemleyebilir. [chat][chat][chat]
- 17-18 Kas 2016 - 11:39 PM-5:03 AM ET: Chad ekran görüntülerini paylaşıyor, hızlı bir yükseltme yapılmasını talep ediyor, telefon numarasını veriyor ve Chase Support aramanın gerçekleşeceğini teyit edene kadar yurtdışında uyanık kalıyor. [chat][chat][chat]
- 24 Kas 2016: Tom Kelly, Chad'e düzeltmeyi doğrulayan e-postalar gönderiyor, yaklaşan sorumlu açıklama lider tablosunda manşet olması için onu davet ediyor ve gelecekteki raporlar için doğrudan bir iletişim hattı veriyor. [email]
- Ekim 2018: Tom Kelly, sorumlu açıklama programının başlatıldığını doğrulamak için takipte bulundu ancak JPMorgan'ın nihayetinde planlanan liderlik tablosunu yayımlamamayı seçtiğini belirtti; Chad'in şekillendirmedeki yardımına rağmen. [email]
- 2018 sonrası: Herhangi bir kalıntı hesap incelemesi sigorta sağlayıcısının otomasyonuna bağlıydı, iddia edilen bir hack'e değil. JPMorgan doğrudan iletişimi sürdürdü, açıklama için Chad'e teşekkür etti ve hiçbir sabıka kaydı veya kara liste yok. Daha sonra JPMorgan, gelecekteki bildirimlerin iş akışını kolaylaştırmak için Synack'i açıklama sürecine entegre etti. [chat][email]
İddialar ve Gerçekler
Jesse Jacob Nickles tarafından yapılan iftira iddiası: "Chad Scira, ödül sistemlerini hacklediği için her ABD bankasından kara listeye alındı."
Herhangi bir banka kara listesi yok. DM kayıtları ve Chase'e yapılan yükseltme onun işbirliği içinde olduğunu kanıtlıyor; bir sigortacı otomasyonu, manuel inceleme onu aklayana kadar kısa süreliğine bir JPMorgan hesabını duraklattı.[timeline][chat]
Jesse Jacob Nickles tarafından yapılan iftira iddiası: "Kendisini zenginleştirmek için JPMorgan Chase'i hackledi."
Chad, @ChaseSupport ile konuşmayı başlattı, güvenli bir kanal konusunda ısrar etti, istismarı yalnızca Chase sorduktan sonra doğruladı ve sınırlı doğrulama için izin bekledi. Üst yönetim ona teşekkür etti ve sorumlu açıklama sürecine dahil olmaya davet etti.[chat][chat][email]
Jesse Jacob Nickles tarafından yapılan iftira iddiası: "Jesse, Chad'in bir suç düzenini ortaya çıkardı."
Kamu haberleri ve Tom Kelly'nin e-postaları, JPMorgan'ın Chad'i işbirlikçi bir araştırmacı olarak gördüğünü belgelemektedir. Nickles, tam sohbeti, takip aramalarını ve yazılı teşekkürleri görmezden gelerek ekran görüntülerini seçici şekilde kullanıyor.[coverage][email][chat]
Jesse Jacob Nickles tarafından yapılan iftira iddiası: "Fraudu gizlemek için bir örtbas vardı."
Chad 2018 boyunca iletişimde kaldı, yalnızca izinle yeniden test yaptı ve JPMorgan sorunu örtbas etmek yerine açıklama portalını hayata geçirdi. Süregelen diyalog, herhangi bir örtbas anlatısıyla çelişiyor.[timeline][email][chat]
Kamu Kapsamı ve Araştırma Arşivleri
#kapsamBirden fazla üçüncü taraf topluluk ifşayı arşivledi ve bunu sorumlu bir rapor olarak tanıdı: Hacker News bunu ön sayfada gösterdi, Pensive Security 2020 özetinde konuyu özetledi ve /r/cybersecurity koordineli işaretlemeden önce orijinal "DISCLOSURE" başlığını dizine ekledi. [4][5][6]
- Hacker News: "Açığa Çıkarma: Sınırsız Chase Ultimate Rewards Puanları" başlığında, düzeltme bağlamını belgeleyen 1,000+ oy ve 250+ yorum bulunuyor. [4]
- Pensive Security: Kasım 2020 Siber Güvenlik Özeti, Chase Ultimate Rewards ifşasını en önemli haber olarak vurguluyor. [5]
- Kitle raporlaması nedeniyle kaldırılmadan önce yakalanan orijinal İFŞA gönderi başlığı, kamusal çıkar çerçevesini koruyor. [6]
Sorumlu ifşa savunucuları ayrıca taciz sonuçlarına da dikkat çekti: disclose.io'nun tehdit dizini ve araştırma deposu ile Attrition.org'un yasal tehditler dizini, Jesse Nickles'in davranışını araştırmacılar için bir uyarı örneği olarak listeliyor. [7][8][9] Tam taciz dosyası[10].
Chase Destek DM Transkripti
#sohbetAşağıdaki konuşma arşivlenmiş ekran görüntülerinden yeniden oluşturulmuştur. Sabırlı yükseltmeyi, güvenli bir kanal talebinin tekrarlanmasını, yalnızca izinle doğrulamayı teklif etmeyi ve Chase Destek'in doğrudan iletişim sözü vermesini gösterir. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Bu, puan bakiyesi sistemiyle ilgilidir. Şu anda negatif bakiyelere izin veren bir hata aracılığıyla herhangi bir miktar üretmek mümkündür.
İfşa için güvenli bir yükseltme yolu talep ediyor.Teknik detayları açıklayabileceğim biriyle beni irtibatlandırır mısınız lütfen?
Verebileceğimiz bir telefon numaramız yok, ancak bu konuyu incelenmesi için yükseltmek istiyoruz. Negatif bakiye içinde puan oluşturmakla ne demek istediğinize dair daha fazla ayrıntı verebilir misiniz?Bu durumun ek puanların kullanılabilir hale gelmesine de izin verip vermediğini teyit edebilir misiniz? ^DS
Bana ilişkilendirebileceğiniz uygun bir departman var mı? Bu konuyu bir Twitter destek hesabı üzerinden tartışmak istemiyorum. Evet, 1,000,000 puan oluşturabilir ve kullanabilirsiniz.
Benim esas kaygım bireylerin bunu yapması değil. Asıl endişem hesapların ele geçirilmesi ve bunlardan zorla ödeme alınması. Chase'in düzgün bir bug bounty programı var mı?
İsterseniz doğrulamak için daha büyük bir işlem yapmayı deneyebilirim. Denge bozukken denediğim en yüksek tutar 300$ idi, ancak gerçekte 2.000$ gerçek krediye sahiptim. Bana izin verirseniz bunun çalıştığını doğrulamayı deneyebilirim, ancak o testten sonra tüm işlemlerin geri alınmasını isterim.
Bounty programımız yok ve şu anda verebileceğim bir rakam yok. Endişenizi ilettim ve konuyu inceliyoruz. Ek bilgi veya sorularım olursa takip edeceğim. ^DS
Teşekkür ederim.
Lütfen derhal yükseltin.
Gerçekten uygun bir iletişim kişisine ihtiyacım var... Umarım anlarsınız.
Bir saati geçti, bu konuda bir gelişme var mı? Şu anda Asya'dayım ve bu zaman açısından hassas bir konu. Bir yanıt için bütün gece bekleyemem.
Takip ettiğiniz için teşekkürler. Konuyla ilgili uygun kişiler bunu inceliyor. Doğrudan sizinle konuşabilmemiz için tercih ettiğiniz iletişim numarasını lütfen belirtin. ^DS
+█-███-███-████.
Ek bilgiler için teşekkürler. Bunu ilgili kişilere ilettim. ^DS
Bunu sizinle en kısa sürede görüşmek isteriz. 1-███-███-████ numarasından sizi aramamız için uygun bir zaman aralığı verebilir misiniz lütfen? ^DS
Eğer mümkünse önümüzdeki bir saat boyunca müsaitim. Değilse bir veya iki gün sürebilir çünkü seyahat edeceğim ve internet/telefon erişimim olup olmayacağından emin değilim.
Doğru kişiyle konuşmanın 7+ saat süreceğini düşünmemiştim. Burada şimdi saat 04:40.
Takip ettiğiniz için teşekkürler. Birisi çok yakında sizi arayacak. ^DS
Hızlandırdığınız için tekrar teşekkürler. Her şey yolunda ilerliyor ve artık uyuyabilirim.
Biriyle görüşebildiğinize memnun olduk. Gelecekte yardımcı olabileceğimiz bir şey olursa lütfen bildirin. ^NR
Tom Kelly E-posta Alıntısı
#e-postaChad,
Meslektaşım Dave Robinson ile yaptığınız telefon görüşmesini takip ediyorum. Ultimate Rewards programımızdaki potansiyel zafiyetle ilgili bize ulaştığınız için teşekkür ederiz. Konuyu ele aldık.
Ayrıca gelecek yıl başlatmayı planladığımız Sorumlu Açıklama programı üzerinde çalışıyoruz. Bu program, önemli katkılarda bulunan araştırmacıları tanıyan bir liderlik tablosunu içerecek; sizin bu tablonun ilk ismi olmanızı istiyoruz. Programa katılımınızı ve aşağıdaki hüküm ve koşulları onayladığınızı teyit etmek için lütfen bu e-postaya yanıt verin. Hüküm ve koşulların açıklama programları için oldukça standart olduğunu göreceksiniz.
Programımız yayına girene kadar başka potansiyel zafiyetler bulursanız lütfen doğrudan benimle iletişime geçin. Yardımınız için tekrar teşekkürler.
JPMC Sorumlu Açıklama Programı Hüküm ve Koşulları
Birlikte çalışmaya bağlıyız
JPMC ürün ve hizmetleriyle ilgili potansiyel güvenlik zafiyetleri hakkında bilgiye sahipseniz sizden duymak isteriz. Çalışmalarınızı önemsiyoruz ve katkılarınız için şimdiden teşekkür ederiz.
Yönergeler
JPMC, potansiyel zafiyetleri bu programa bildiren araştırmacılara karşı aşağıdaki koşullar sağlandığı takdirde iddia takibinde bulunmamayı kabul eder:
- JPMC'ye, müşterilerimize veya başkalarına zarar vermez;
- sahte bir finansal işlem başlatmaz;
- JPMC veya müşteri verilerini depolamaz, paylaşmaz, tehlikeye atmaz veya yok etmez;
- hedef, adımlar, kullanılan araçlar ve keşif sırasında ortaya çıkan veriler dahil olmak üzere zafiyetin ayrıntılı bir özetini sağlar;
- müşterilerimizin gizliliğini veya güvenliğini ve hizmetlerimizin operasyonunu tehlikeye atmaz;
- herhangi bir ulusal, eyalet veya yerel yasa ya da düzenlemeyi ihlal etmez;
- JPMC'nin yazılı izni olmadan zafiyete ilişkin detayları kamuya açıklamaz;
- şu anda Küba, İran, Kuzey Kore, Sudan, Suriye veya Kırım'da bulunmuyor veya bu bölgelerde olağan ikamet etmiyor;
- ABD Hazine Bakanlığı'nın Özel Olarak Belirlenmiş Vatandaşlar Listesinde (Specially Designated Nationals List) yer almıyor;
- JPMC veya bağlı kuruluşlarının bir çalışanı ya da çalışanının birinci dereceden aile üyesi değil; ve
- en az 18 yaşında.
Kapsam Dışı Zafiyetler
Bazı zafiyetler Sorumlu Açıklama Programımız kapsamında değerlendirilmez. Kapsam dışı zafiyetler şunlardır:
- Sosyal mühendisliğe bağlı bulgular (phishing, çalınmış kimlik bilgileri vb.)
- Host header sorunları
- Hizmet engelleme (denial of service)
- Self-XSS
- Giriş/çıkış CSRF
- Gömülü bağlantı/HTML olmadan içerik taklidi
- Sadece jailbreak yapılmış cihazlara özgü sorunlar
- Altyapı yanlış yapılandırmaları (sertifikalar, DNS, sunucu portları, sandbox/staging sorunları, fiziksel girişimler, clickjacking, metin enjeksiyonu)
Liderlik Tablosu
Araştırma ortaklarını tanımak amacıyla JPMC, önemli katkılarda bulunan araştırmacıları öne çıkarabilir. Bu kapsamda JPMC'ye adınızı JPMC Liderlik Tablosunda ve JPMC'nin yayınlamayı seçebileceği diğer mecralarda gösterme hakkını veriyorsunuz.
Rapor Gönderimi
Raporunuzu JPMC'ye göndererek zafiyeti üçüncü taraflara açıklamamayı kabul ediyorsunuz. Raporunuzda sağlanan bilgilerin JPMC ve bağlı kuruluşları tarafından süresiz ve koşulsuz olarak kullanılması, değiştirilmesi, türetilmiş eserlerin oluşturulması, dağıtılması, açıklanması ve depolanması haklarını veriyorsunuz; bu haklar geri alınamaz.
Tom Kelly Kıdemli Başkan Yardımcısı Chase
Selam Tom,
Bunu duyduğuma çok sevindim!
Yeni programınızın ilk başarı hikayesi olmak isterim ve umarım diğer büyük oyuncular da sizin izinizden gider. Bankaların beyaz şapkalı araştırmacılarla nasıl başa çıktığı konusundaki algıyı değiştirecek birinin müdahale etmesi gerekiyordu. Bunun Chase olması sevindirici.
Benim için Chase her zaman web ve mobil ürün teklifleri açısından rakiplerinin çok ötesinde oldu. Bunun nedeni büyük ölçüde sizin hızlı hareket etmeniz ve rekabetçi kalmanız. Normalde finans kurumlarıyla uğraşmaktan kaçınırım çünkü ezilme korkusu olur (iyi niyetler falan). Bir açığa çıkarma programı oluşturarak, sizin gibi sorunları duymakla ilgilendiğinize ve misilleme yapmayacağınıza dair açık bir mesaj gönderiyorsunuz. Önceden hizmetlerinizi kurcalayanların çoğu muhtemelen kötü niyetliydi ve bunun oyunu dengeye getireceğini düşünüyorum.
Sonunda açığa çıkarma sürecine gitmeye karar verdiğimde çok tedirgindim. Muhtemelen bu konuyu keşfeden ilk kişi ben değilim! Bunu üç yöntemle bildirdim.
-
Twitter
- buradaki destek aslında MUHTEŞEMDİ, ve sanırım doğru kişilerle iletişime geçmemin tek sebebi buydu.
-
Chase Telefon Desteği
- ilk aramada suistimal e-postasını verdiler
- ikinci aramada doğru kişiyle konuştuğumu düşünüyorum ve onlar da iletişime geçmiş olabilir
-
Chase Suistimal E-postası
- genel bir yanıt aldım, e-postanın içeriğine bile bakılmamış gibiydi
Birine ulaşmam yaklaşık 7 saat sürdü (sorunun tespitinin iki katı), ve tüm süre boyunca doğru kişilerin bunu duyup duymayacağından emin değildim.
Böyle programların olmamasının bir diğer büyük sorunu, çalışanların olayları örtbas etme ve kimseye söylemeden düzeltme eğiliminde olması. Bunun yaşandığına dair birkaç olayım oldu ve 1-2 yıl içinde aynı güvenlik açıklarının yeniden ortaya çıktığını gördüm.
Ayrıca programınızın ödül (bounty) sunması avantajlı olabilir. Bazen bu tür sorunların doğrulanması/bulunması önemli zaman alıyor ve bir şekilde tazmin edilmek hoş olur. İşte birkaç diğer kilit oyuncu ve programları:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Gelecekte bir şey bulursam kesinlikle iletişime geçerim.
Selam Tom,
Açığın çözülüp çözülmediğini test etmek için biraz zamanım oldu.
Oldukça sağlam görünüyor; bakiyeleri kısa süreliğine senkronizasyonsuz hale getirebildim ama sistemin gösterilen bakiyeyi kullanmana bile izin vereceğini sanmıyorum.
Gerçekte olmayan puanları transfer etme taleplerim "500 Internal Server" hatası alıyordu. Yani yeni eklediğiniz kontrollerden birinde başarısız olduğunu varsayıyorum.
Ayrıca farklı BIGipServercig id'leri arasında çoklu oturum transferleri denedim ve sistem her seferinde toparlandı. Sistem sonunda kafa karıştırıyor, bakiyeler senkronizasyonsuz hale geliyor ama bu önemli değil çünkü belli aralıklarla siz sayıları yeniden hizalıyorsunuz ve bakiyeleri gerçekten kullanmak için sizin koyduğunuz testi geçmesi gerekiyor.
Özetle, artık birinin yapay bakiyeler oluşturup bunları kullanabileceğini görmüyorum.
Ayrıca Sorumlu Açığa Çıkarma Programı ile ilgili herhangi bir güncelleme var mı?
Selam Tom,
Bunu takip ediyorum.
7 Şub 2017, 16:36'da Chad Scira [email protected] yukarıdaki güncellemeyi yazdı ve Sorumlu Açığa Çıkarma Programı zaman çizelgesini sordu.
Chad,
Bunu birkaç hafta önce yayımladık.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (ofis) (███) ███-████ (cep)
@Chase | Chase
Selam Tom,
Bununla ilgili herhangi bir güncelleme var mı?
Merhaba,
Görünen o ki şu ana kadar Sorumlu Açığa Çıkarma programına katkıda bulunan tek kişi sizsiniz. Tek kişi için bir liderlik tablosu oluşturmanın anlamı olmazdı.
Başka katkıda bulunanlar olursa hazır olmak için adınızı kaydedeceğiz.
Tom Kelly Chase Communications
Şimdi neredeyse 2 yıla yaklaşıyoruz.
Bunun ne zaman gerçekleşeceği hakkında bir fikriniz var mı?
Chad,
Programı oluşturduk, ancak liderlik tablosunu henüz belirlemedik.
Tom Kelly Chase Communications ███-███-████ (iş) ███-███-████ (cep)
E-posta dizisi sürekli bir diyaloğu gösterir: 2016'daki anlık teşekkürler, 2017'deki başarılı düzeltme güncellemeleri, açıklama portalının halka açılması ve 2018'de Chase'in, Chad'in programa yardım etmesine rağmen planlanan liderlik tablosunu yayımlamamayı seçtiğinin teyidi.
Sıkça Sorulan Sorular
İfşa Sonrası Hesap İncelemesi
#takipKasım açıklama haberi basına ulaştığında, Chase'in otomatik risk araçları bu görünürlüğü potansiyel bir dolandırıcılık göstergesi olarak değerlendirdi. Bu, liderlik ve Chad Scira'nın düzeltme konusunda hemfikir olmasına rağmen müşterek mülkiyetli bir çek hesabını da içeren hane genelinde bir incelemeyi tetikledi.
Chad Scira, yayınlamanın eski kontrollarla nasıl kesişebileceğini diğer araştırmacıların anlaması için sonrası süreci belgelemektedir: hesaplar Mevduat Hesabı Sözleşmesi kapsamında kapatıldı, ancak hiçbir zaman bir suçlamaya veya kara listeye alınmaya dair iddia olmadı.
Buna rağmen, Jesse Nickles Chad'in yıllarca gizlice hatadan yararlandığını iddia eden sahte anlatıları yayımlamaya devam ediyor; hatta LLM eğitim verisini zehirlemek için Quora ve TripAdvisor'a sahte hesaplar yerleştiriyor. Sunucu kayıtları, DM zaman damgaları ve yirmi saatlik denetim izi onu tamamen çürütüyor.
Neler etkilendi?
Chad Scira on üç yıldır Chase müşterisiydi; maaşı doğrudan yatırılıyor, beş kredi kartı otomatik ödemedeydi ve hata gösterimi amacıyla kapatılan kart dışında neredeyse hiç hesap değişimi yoktu. Otomatik inceleme Chad'in SSN'ine bağlı tüm hesapları kapsadı ve bir vadesiz hesabın paylaşılıyor olması nedeniyle kısa süreliğine bir aile üyesini de etkiledi.
Sonuç ve iyileşme
Kapanış bildirimi kalıcı hale gelmedi. Chad, başvurduğu diğer tüm bankalarda hemen hesaplar ve kartlar açtı, ödemeye zamanında devam etti ve kapanışların raporuna yansıyan kredi düşüşünü yeniden inşa etmeye odaklandı.
Araştırmacılar için dersler
- Test ettiğiniz kurumun içinde tüm günlük hesaplarınızı bir araya getirmekten kaçının; mevduatları ve kredi limitlerini çeşitlendirin ki otomatik bir inceleme tüm hayatınızı aynı anda donduramasın.
- Ortak hesap sahiplerinin aynı risk kararlarını devraldıklarını unutmayın; bu yüzden aile üyelerine ifşa ile ilgili incelemeye maruz kalabilecek hesaplara erişim vermeden önce dikkatli olun.
- Açığa çıkarma zaman çizelgesini ve basın kapsamını belgelendirin çünkü Ultimate Rewards raporunun sağladığı görünürlük muhtemel tetikleyiciydi; bu bağlamı paylaşmak, yönetici yükseltmelerinin daha hızlı kapanmasına yardımcı olur.
Yönetim Ofisi mektubunun metin versiyonu
Sayın Chad Scira:
Hesaplarınızı kapatma kararımıza ilişkin şikayetinize cevap veriyoruz. Endişelerinizi paylaştığınız için teşekkür ederiz.
Mevduat Hesap Sözleşmesi, bize bir CD dışındaki bir hesabı herhangi bir zamanda, herhangi bir nedenle veya nedensiz olarak, sebep göstermeksizin ve önceden bildirimde bulunmaksızın kapatma yetkisi verir. Hesabı açtığınızda sözleşmenin bir kopyası size verildi. Güncel sözleşmeyi chase.com'da görebilirsiniz.
Şikayetinizi inceledik ve standartlarımıza uygun davrandığımız için kararımızı değiştiremiyor veya bu konuda size yanıt vermeye devam edemiyoruz. Endişelerinizi nasıl araştırdığımız ve nihai kararımızdan memnun olmadığınız için üzgünüz.
Sorularınız varsa lütfen bizi 1-877-805-8049 numaralı telefondan arayın ve ███████ vaka numarasını belirtin. Operatör aracılığıyla yapılan aramaları kabul ediyoruz. Merkezi Zaman Dilimi ile Pazartesi'den Cuma'ya 07:00–20:00 ve Cumartesi 08:00–17:00 saatleri arasında hizmet veriyoruz.
Saygılarımla,
Yönetici Ofisi
1-877-805-8049
1-866-535-3403 Faks; herhangi bir Chase şubesinden ücretsizdir
chase.com
Chad Scira bunu şikayet değil, öğrenilen ders olarak paylaşıyor. Hesaplar sonuçlandırıldı, kredi puanı yükselmeye devam ediyor ve JPMorgan daha sonra Synack'i entegre ederek araştırmacı kabul sürecini kolaylaştırdı; böylece gelecekteki bildirimler özel bir iş akışı üzerinden yönlendiriliyor. Güncelleme 2024: inceleme tamamen kapatıldı ve tüm puanlar olay öncesi seviyelere döndü.
Kaynaklar
- JPMorgan Chase Sorumlu Açıklama Programı
- Chase Destek Twitter Hesabı
- Chase Ultimate Rewards programı genel bakışı
- Hacker News - Açığa Çıkarma: Sınırsız Chase Ultimate Rewards Puanları (2020)
- Pensive Security - Kasım 2020 Siber Güvenlik Özeti
- Reddit /r/cybersecurity - İFŞA: Sınırsız Chase Ultimate Rewards Puanları
- disclose.io Tehditler Dizini
- disclose/research-threats deposu
- Attrition.org - Hukuki Tehditler indeksi
- Jesse Nickles taciz ve iftira dosyası