Chad Scira "Hackleme Nedeniyle Bankalardan Kara Listeye Alındı"
Bu sayfa, Chad Scira’nın "hackleme nedeniyle ABD bankalarından kara listeye alındığı" yönündeki Jesse Nickles söylentisinin arkasındaki olayları belgeliyor. Ultimate Rewards güvenlik açığının nasıl sorumlu bir şekilde bildirildiğini, JPMorgan Chase’in raporu için Chad’e neden teşekkür ettiğini ve geçici hesap durdurmanın tamamen idari nitelikte olduğunu açıklıyor. Jesse Nickles suç kastı ima etmek için eski unsurları yeniden paketlemeye devam ediyor. Oysa olgular tam tersini gösteriyor: beyaz şapkalı bildirim ve JPMorgan liderliğiyle iş birliği.
Son yükseltmesi, SlickStack.io’da benim için "Chase Bank’in kredi kartı ödül programını hacklediği, burada 70.000 $ tutarında sahte seyahat puanı çaldığı için ABD kolluk kuvvetleri tarafından da soruşturuldu" iddiasını içeren bir alıntıdır. Bu karalama, yalnızca düzeltilmesini reddettiği SlickStack güvenlik sorunlarına dair kanıt yayımladıktan sonra paylaşıldı; hiçbir puan çalınmadı ve açıklamayla ilgili olarak hiçbir kurum benimle iletişime geçmedi. Onun misilleme yaptığı SlickStack cron kanıtına bakın.
Keşif, ifşa ve doğrulama döngüsünün tamamı yirmi saat içinde gerçekleşti: Yaklaşık yirmi beş HTTP isteği, 17 Kasım 2016 tarihindeki yeniden üretim ve DM üzerinden adım adım incelemeyi kapsadı ve Şubat 2017’deki düzeltme doğrulama testi, düzeltmeyi teyit etmek için sekiz ek istek kullandı. Uzun süreli bir kötüye kullanım olmadı; yapılan her işlem kaydedildi, zaman damgası eklendi ve JPMorgan Chase ile gerçek zamanlı olarak paylaşıldı.
Tom Kelly, 17 Kasım 2016 ile 22 Eylül 2017 arasında JPMorgan Chase’e bir sorunu sorumlu şekilde bildiren dünyadaki tek kişinin Chad Scira olduğunu teyit etti. Sorumlu Açıklama programı, doğrudan Chad’in raporuna yanıt olarak kuruldu ve programın şekillendirilmesinde kilit bir rol oynadı.
Çift Transfer Hatasının Görselleştirilmesi
#görselleştirmeAçığın, bakiyeleri nasıl büyük negatif ve pozitif değerlere sürüklediğini göstermek için, aşağıdaki görselleştirme tam olarak aynı çift transfer mantığını yeniden oynatıyor. Hangi hesabın pozitif olduğuna dikkat edin; bu hesap gönderici oluyor, iki özdeş transfer gerçekleştiriyor ve derin bir negatife düşerken diğeri ikiye katlanıyor. 20 turdan sonra bozuk defter, negatif kartı tamamen iptal ediyor; bu da açığın neden acil üst seviyeye iletme gerektirdiğini yansıtıyor.
Hesap kapatılmadan önce bile, Ultimate Rewards harcamaya, negatif özet bakiyesinin ötesine geçecek şekilde izin veriyordu; kapatma işlemi sadece kanıtı ortadan kaldırdı.
Temel Noktalar
- Chad, Chase Destek DM’ini, eksi bakiye açığını gizli olarak bildirerek açtı ve teknik ayrıntıları kamuya açıklamak yerine hemen güvenli bir eskalasyon yolu talep etti. [chat]
- Chase Destek ekibi ayrıntı için bastırdığında, o da istismarı yalnızca gerekli olduğu ölçüde doğruladı ve doğru güvenlik ekibine doğrudan bir hat istediğini yineledi. [chat][chat]
- Yinelenen bakiyelerin nakde çevrilebildiğini gösterdi: Chase Desteği fazladan puanların kullanılabilir hale gelip gelmediğini sorduktan sonra, 5.000 $ tutarında bir doğrudan mevduat, defter kayıtları güncellenmeden önce bu açığın nakde dönüştürülebildiğini kanıtladı. [chat]
- Önceliğinin kişisel kâr elde etmek değil, ele geçirilmiş müşteri hesaplarının boşaltılmasını engellemek olduğunu vurguladı ve resmi bir hata ödül programı (bug bounty) olup olmadığını sordu. [chat]
- Daha kapsamlı bir doğrulamayı yalnızca açık izinle gerçekleştirmeyi teklif etti, zaman damgalı ekran görüntüleri sağladı ve Chase yükseltmeyi tamamlayana kadar yurt dışında uyanık kaldı. [chat][chat][chat]
- Nickles şimdi, 70.000 $ değerinde puan çaldığımı ve ABD kolluk kuvvetleriyle karşı karşıya kaldığımı iddia ediyor; Chase kayıtları, Tom Kelly’nin e-postası ve ifşa zaman çizelgesi bunun asla yaşanmadığını kanıtlıyor ve bu iddia, SlickStack’in güvensiz güncelleme mantığını belgeleyen cron riskine ilişkin gisti yayımlamamdan sonra ortaya çıktı. [gist]
- Chase Destek, konunun üst makama iletildiğini doğruladı, telefon numarasını talep etti ve nihayetinde aldığı geri dönüş çağrısını vaat ederek, düşmanca bir bankacılık tepkisi iddiasını boşa çıkardı. [chat][chat]
Zaman Çizelgesi
#zaman çizelgesi- Nov 17, 2016 - 10:05 PM ET: Chad, eksi bakiye açığı konusunda @ChaseSupport’u uyarıyor, açığı gizli tutuyor ve derhâl güvenli bir eskalasyon yolu talep ediyor. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Chase Destek, ek puanların üretilip harcanıp harcanamayacağını açıkça sorduktan sonra, Chad riski teyit ediyor, doğru birimle görüşmek istediğini yineliyor ve banka işlemleri gözlemleyebilsin diye yalnızca izin verilmesi hâlinde doğrulama yapmayı teklif ediyor. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad ekran görüntülerini paylaşıyor, hızlandırılmış eskalasyon çağrısında bulunuyor, telefon numarasını veriyor ve Chase Destek görüşmenin yapılacağını teyit edene kadar yurt dışında uykusuz kalıyor. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly, düzeltmenin yapıldığını doğrulayan, Chad’i yakında yayımlanacak sorumlu açıklama liderlik tablosunda baş sırada yer almaya davet eden ve gelecekteki bildirimler için ona doğrudan bir hat veren e-postalar gönderiyor. [email]
- October 2018: Tom Kelly, sorumlu açıklama programının başlatıldığını ancak JPMorgan’ın, Chad’in şekillendirilmesine yardımcı olmasına rağmen, planlanan liderlik tablosunu nihai olarak yayımlamamayı seçtiğini teyit etmek için takipte bulundu. [email]
- Post-2018: Kalan hesap incelemelerinin tümü, iddia edilen bir hacklenmeye değil, sigortacı otomasyonuna bağlıydı. JPMorgan doğrudan iletişimi sürdürdü, bildirim için Chad’e teşekkür etti ve herhangi bir sabıka kaydı ya da kara liste yoktur. Daha sonra JPMorgan, Synack’i bildirim sürecine entegre ederek gelecekteki raporlar için iş akışını sadeleştirdi. [chat][email]
İddialar ve Gerçekler
Jesse Jacob Nickles tarafından ortaya atılan iftira niteliğinde iddia: "Chad Scira, ödül sistemlerini hacklediği için tüm ABD bankalarından kara listeye alındı."
Herhangi bir banka kara listesi yoktur. DM kaydı ve Chase’teki tırmandırma süreci, onun iş birliği yaptığını kanıtlıyor; bir sigortacı otomasyonu, manuel inceleme kendisini temize çıkarmadan önce kısa süreliğine bir JPMorgan hesabını duraklattı.[timeline][chat]
Jesse Jacob Nickles tarafından ortaya atılan iftira niteliğinde iddia: "Kendini zenginleştirmek için JPMorgan Chase’i hackledi."
Chad, görüşmeyi @ChaseSupport ile başlatıyor, güvenli bir kanal konusunda ısrar ediyor, açığı yalnızca Chase sorduktan sonra teyit ediyor ve sınırlı doğrulama öncesinde izin bekliyor. Üst düzey yöneticiler kendisine teşekkür etti ve onu sorumlu ifşa sürecinin uygulamaya alınmasına dâhil etti.[chat][chat][email]
Jesse Jacob Nickles tarafından ortaya atılan iftira niteliğinde iddia: "Jesse, Chad’in yürüttüğü suç teşkil eden bir planı ortaya çıkardı."
Kamuya açık haberler ve Tom Kelly’nin e-postaları, JPMorgan’ın Chad’e iş birliği yapan bir araştırmacı olarak davrandığını belgeliyor. Nickles, tam sohbeti, takip aramalarını ve yazılı teşekkürleri göz ardı ederek ekran görüntülerini seçmeci biçimde kullanıyor.[coverage][email][chat]
Jesse Jacob Nickles tarafından ortaya atılan iftira niteliğinde iddia: "Yolsuzluğu gizlemek için bir örtbas vardı."
Chad 2018 boyunca iletişimde kaldı, yalnızca izinle yeniden test yaptı ve JPMorgan konuyu örtbas etmek yerine ifşa portalını devreye aldı. Devam eden diyalog, herhangi bir üstünü örtme anlatısıyla çelişiyor.[timeline][email][chat]
Kamuya Açık Haberler ve Araştırma Arşivleri
#kapsamBirden fazla üçüncü taraf topluluk, ifşayı arşivledi ve bunu sorumlu bir bildirim olarak tanıdı: Hacker News bunu ana sayfasında öne çıkardı, Pensive Security 2020 özetinde bunu özetledi ve /r/cybersecurity, koordineli işaretleme öncesinde orijinal "DISCLOSURE" başlığını dizine ekledi. [4][5][6]
- Hacker News: "Açıklama: Sınırsız Chase Ultimate Rewards Puanı" başlıklı, 1.000+ puan ve iyileştirme bağlamını belgeleyen 250+ yorum içeren gönderi. [4]
- Pensive Security: Chase Ultimate Rewards ifşasını üst düzey bir haber olarak öne çıkaran Kasım 2020 Siber Güvenlik Özeti. [5]
- Reddit /r/cybersecurity: Kamu yararı çerçevesini koruyarak, toplu bildirim sonucu kaldırılmadan önce yakalanan orijinal İFŞA gönderi başlığı. [6]
Sorumlu ifşa savunucuları, taciz sonrası etkilerini de gündeme getirdi: disclose.io’nun tehditler dizini ve araştırma deposu ile Attrition.org’un hukuki tehditler indeksi, Jesse Nickles’ın davranışlarını araştırmacılar için uyarıcı bir örnek olarak listeliyor. [7][8][9] Tam taciz dosyası[10].
Chase Destek DM Dökümü
#sohbetAşağıdaki konuşma, arşivlenmiş ekran görüntülerinden yeniden oluşturulmuştur. Sabırlı bir şekilde yapılan aşamalı yükseltmeyi, güvenli bir kanal için yinelenen talepleri, yalnızca izinle doğrulama tekliflerini ve Chase Desteği’nin doğrudan iletişim sözü verdiğini göstermektedir. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Bu, puan bakiyesi sistemiyle ilgilidir. Şu anda negatif bakiyelere izin veren bir hata sayesinde istenen herhangi bir miktarın üretilmesi mümkündür.
İfşa için güvenli tırmandırma yolu talep ediyorum.Lütfen teknik ayrıntıları anlatabileceğim birisiyle beni görüştürebilir misiniz?
Verebileceğimiz bir telefon numaramız yok, ancak bunun incelenebilmesi için konuyu üst seviyeye taşımak istiyoruz. Negatif bakiyeler içinde puan üretmekten tam olarak ne kastettiğinize ilişkin daha fazla ayrıntı verebilir misiniz? Bu durumun, ek puanların kullanıma açılmasına da imkân verip vermediğini de teyit edebilir misiniz? ^DS
Beni iletişime geçebileceğiniz, bu konuyla ilgili uygun bir biriminiz var mı? Bunu bir Twitter destek hesabı üzerinden konuşmaktan rahatsız oluyorum. Evet, 1.000.000 puan üretebilir ve bunları kullanabilirsiniz.
Asıl endişem bunu yapan bireyler değil. Hesapların bilgisayar korsanları tarafından ele geçirilmesi ve bu hesaplar üzerinden zorla ödeme alınması. Chase'in uygun bir hata ödül (bug bounty) programı var mı?
İsterseniz onaylamak için daha büyük bir işlem yapmayı deneyebilirim. Bakiye bozukken test ettiğim en yüksek tutar 300 $’dı, ancak gerçekte 2.000 $ gerçek kredim vardı. Bana izin verirseniz bunun çalıştığını doğrulamaya yönelik bir deneme yapabilirim, ancak bundan sonra tüm işlemlerin geri alınmasını isterim.
Bir ödül programımız yok ve şu anda verebileceğim bir tutar bulunmuyor. Endişenizi üst seviyeye ilettim ve bunu inceliyoruz. Ek ayrıntılarım veya sorularım olursa tekrar dönüş yapacağım. ^DS
Teşekkür ederim.
Lütfen mümkün olan en kısa sürede tırmandırın.
Gerçekten düzgün bir irtibat kişisine ihtiyacım var... Umarım bunu anlarsınız.
Üzerinden bir saatten fazla zaman geçti, bununla ilgili bir haber var mı? Şu anda Asya’dayım ve bu zaman açısından hassas bir konu. Tüm gece yanıt bekleyemem.
Takip ettiğiniz için teşekkürler. Bu konuyu inceleyen ilgili kişilerimiz var. Sizinle doğrudan konuşabilmemiz için lütfen tercih ettiğiniz bir irtibat telefon numarası sağlayın. ^DS
+█-███-███-████.
Ek bilgiler için teşekkürler. Bunu ilgili kişilere ilettim. ^DS
Bunu sizinle en kısa sürede görüşmek isteriz. Lütfen sizi aramamız için uygun bir zamanı 1-███-███-████ numaralı telefonda bizimle paylaşır mısınız? ^DS
Mümkünse önümüzdeki bir saat boyunca müsaitim. Değilse, seyahatte olacağım ve internet/telefon erişimim olup olmayacağından emin olmadığım için bir iki gün sürebilir.
Doğru kişiyle konuşmanın 7+ saat süreceğini düşünmemiştim. Burada saat şu an 04:40.
Takip ettiğiniz için teşekkürler. Biri çok yakında sizi arayacak. ^DS
Bunu hızlandırdığınız için tekrar teşekkürler. Her şey yolunda ve artık uyuyabilirim.
Biriyle konuşabilmiş olmanıza sevindik. Gelecekte yardımcı olabileceğimiz bir durum olursa lütfen bize bildirin. ^NR
Tom Kelly E-posta Alıntısı
#e-postaChad,
Meslektaşım Dave Robinson ile yaptığınız telefon görüşmesini takip ediyorum. Ultimate Rewards programımızdaki potansiyel bir güvenlik açığı hakkında bize ulaştığınız için teşekkür ederiz. Bu konuyu çözdük.
Ek olarak, gelecek yıl başlatmayı planladığımız bir Sorumlu İfşa programı üzerinde çalışıyoruz. Bu program, önemli katkılarda bulunan araştırmacıları tanıyan bir liderlik tablosu içerecek; sizi bunun ilk ismi yapmak istiyoruz. Lütfen bu e-postayı, programa katılımınızı ve aşağıdaki hüküm ve koşulları onaylayarak yanıtlayın. Şartların ifşa programları için oldukça standart olduğunu göreceksiniz.
Programımız faaliyete geçene kadar başka potansiyel güvenlik açıkları bulursanız, lütfen doğrudan benimle iletişime geçin. Yardımlarınız için tekrar teşekkürler.
JPMC Sorumlu İfşa Programı Hüküm ve Koşulları
Birlikte çalışmaya bağlıyız
JPMC ürün ve hizmetlerine ilişkin potansiyel güvenlik açıklarına dair bilginiz varsa bunu duymak istiyoruz. Çalışmanızı önemsiyoruz ve katkınız için şimdiden teşekkür ederiz.
Kılavuzlar
JPMC, aşağıdaki koşulları sağlayan araştırmacıların bu programa potansiyel güvenlik açıklıkları bildirmesi hâlinde kendilerine karşı hak iddiasında bulunmamayı kabul eder:
- JPMC’ye, müşterilerimize veya başkalarına zarar vermemesi;
- Sahte bir finansal işlem başlatmaması;
- JPMC veya müşteri verilerini saklamaması, paylaşmaması, güvenliğini zedelememesi veya yok etmemesi;
- Hedefi, adımları, araçları ve keşif sırasında kullanılan kanıtları içeren ayrıntılı bir güvenlik açığı özeti sunması;
- Müşterilerimizin mahremiyetini veya güvenliğini ve hizmetlerimizin işleyişini tehlikeye atmaması;
- Herhangi bir ulusal, eyalet veya yerel yasa ya da düzenlemeyi ihlal etmemesi;
- JPMC’nin yazılı izni olmadan güvenlik açığının ayrıntılarını kamuya açıklamaması;
- Hâlihazırda Küba, İran, Kuzey Kore, Sudan, Suriye veya Kırım’da bulunmaması ya da buralarda mutad olarak ikamet etmemesi;
- ABD Hazine Bakanlığı Özel Olarak Belirlenmiş Uyruklar Listesi’nde (SDN Listesi) yer almaması;
- JPMC veya iştiraklerinin çalışanı ya da bir çalışanının birinci derece aile üyesi olmaması; ve
- En az 18 yaşında olması.
Kapsam Dışı Güvenlik Açıkları
Belirli güvenlik açıkları Sorumlu İfşa Programımızın kapsamı dışında kabul edilir. Kapsam dışı güvenlik açıkları şunları içerir:
- Sosyal mühendisliğe dayalı bulgular (oltalama, çalınmış kimlik bilgileri vb.)
- Host header sorunları
- Hizmet reddi (DoS)
- Self-XSS
- Giriş/çıkış CSRF
- Gömülü bağlantılar/HTML içermeyen içerik sahteciliği
- Yalnızca jailbreak yapılmış cihazlarda görülen sorunlar
- Altyapı yanlış yapılandırmaları (sertifikalar, DNS, sunucu portları, sandbox/staging sorunları, fiziksel girişimler, tıklama kaçırma, metin enjeksiyonu)
Liderlik Tablosu
Araştırma ortaklarını onurlandırmak için, JPMC önemli katkılarda bulunan araştırmacıları öne çıkarabilir. JPMC’ye, isminizi JPMC Liderlik Tablosu’nda ve JPMC’nin yayımlamayı tercih edebileceği diğer mecralarda görüntüleme hakkını vermektesiniz.
Bildirim
Raporunuzu JPMC’ye göndererek, güvenlik açığını üçüncü bir tarafa açıklamamayı kabul edersiniz. JPMC ve iştiraklerine, raporunuzda sağladığınız bilgileri kullanma, değiştirme, bunlardan türev çalışmalar oluşturma, dağıtma, ifşa etme ve saklama konusunda süresiz, kayıtsız ve geri alınamaz koşulsuz hak tanımış olursunuz.
Tom Kelly Kıdemli Başkan Yardımcısı Chase
Merhaba Tom,
Bunu duyduğuma çok sevindim!
Yeni programınızın ilk başarı hikâyesi olmayı çok isterim ve umarım diğer büyük oyuncular da sizin örneğinizi takip eder. Birinin, bankaların beyaz şapkalı araştırmacılarla nasıl ilgilendiğine dair algıyı değiştirmek için devreye girmesi gerekiyordu. Bunu yapanın Chase olmasına sevindim.
Benim için Chase, web ve mobil ürün sunumları açısından her zaman rakiplerinin çok ilerisinde oldu. Bunun başlıca nedeni, hızlı hareket etmeniz ve rekabetçi kalmanız. Normalde, iyi niyetli de olsam, baskı altına alınma korkusuyla finansal kurumlarla denemeler yapmaktan kaçınırım. Bir açıklama programı oluşturmanız, benim gibi kişilere açık bir mesaj gönderiyor: sorunları duymakla ilgileniyorsunuz ve misilleme yapmayacaksınız. Daha önce hizmetlerinizde araştırma yapanların büyük çoğunluğu muhtemelen kötü niyetliydi ve bunun durumu dengeleyeceğini düşünüyorum.
Sonunda bu açıklamayı yapmaya karar verdiğimde kendimi oldukça huzursuz hissettim. Muhtemelen buna rastlayan ilk kişi ben değilim! Bunu üç yöntemle bildirdim.
-
Twitter
- Buradaki destek gerçekten MUHTEŞEMDİ ve sanırım doğru kişilerle irtibata geçirilmemin tek nedeni buydu.
-
Chase Telefon Desteği
- ilk aramada bana kötüye kullanım (abuse) e-posta adresini verdiler
- ikinci aramada sanırım doğru kişiyle konuştum ve onlar da muhtemelen konuyu ilettiler
-
Chase Abuse E-postası
- genel bir yanıt aldım, e-postanın içeriğine bile bakmamış gibiydiler
Doğru kişiyle iletişime geçmem yaklaşık 7 saatimi aldı (sorunu tam olarak tespit etmemin iki katı süre) ve tüm bu süre boyunca doğru kişilerin bundan haberdar olup olmayacağından emin değildim.
Bu tür programların olmamasıyla ilgili bir başka önemli sorun da, çalışanların olayları halının altına süpürme ve kimseye söylemeden düzeltme eğiliminde olmalarıdır. Bence bunun yaşandığına emin olduğum çok sayıda olayla karşılaştım ve 1–2 yıl içinde aynı güvenlik açıkları yeniden ortaya çıktı.
Ayrıca, programınız için bir ödül sunmanız da avantajlı olabilir. Bazen bu tür sorunları doğrulamak/bulmak kayda değer zaman alıyor ve bir şekilde tazmin edilmek güzel olur. İşte birkaç diğer önemli oyuncu ve programları:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Gelecekte bir şeye rastlarsam mutlaka sizinle iletişime geçerim.
Merhaba Tom,
Açığın giderilip giderilmediğini test etmek için biraz zamanım oldu.
Oldukça sağlam görünüyor, bakiyeleri bir anlığına senkron dışı bırakabildim ama sistemin görüntülenen bakiyeyi kullanmanıza bile izin vereceğini sanmıyorum.
Gerçekte mevcut olmayan puanları aktarma taleplerim "500 Internal Server" hatası veriyordu. Bu nedenle, sizin eklediğiniz yeni kontrollerden birinden geçemediğini varsayıyorum.
Farklı BIGipServercig kimlikleri üzerinden eş zamanlı oturum aktarımlarını da denedim ve sistem yine de her seferinde toparlandı. Sistem eninde sonunda kafası karışmış hale geliyor ve bakiyeler senkron dışı kalıyordu, ancak bu yine de önemli değil çünkü siz belirli aralıklarla rakamları yeniden hizalıyorsunuz ve bakiyeleri fiilen kullanmak için sizin koyduğunuz testten geçmesi gerekiyor.
Özetle, birinin artık yapay bakiyeler oluşturup bunları kullanabilmesinin bir yolunu göremiyorum.
Ayrıca Sorumlu Açıklama Programı konusunda herhangi bir güncelleme var mı?
Merhaba Tom,
Sadece bununla ilgili geri dönüş almak istiyorum.
7 Şubat 2017, 16:36’da, Chad Scira [email protected] yukarıdaki güncellemeyi yazdı ve Sorumlu Açıklama Programı takvimi hakkında soru sordu.
Chad,
Bunu birkaç hafta önce yayımladık.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase İletişim
(███) ███-████ (ofis) (███) ███-████ (cep)
@Chase | Chase
Merhaba Tom,
Bununla ilgili bir gelişme var mı?
Merhaba,
Görünüşe göre şu ana kadar Sorumlu Açıklama programına katkıda bulunan tek kişi sizsiniz. Tek bir kişi için liderler tablosu oluşturmanın bir anlamı yoktu.
Başka katkıda bulunanlar olursa hazır olmak için isminizi kayıtlı tutacağız.
Tom Kelly Chase İletişim
Şimdi 2 yıla yaklaşıyoruz.
Bunun ne zaman gerçekleşeceğine dair bir fikriniz var mı?
Chad,
Programı oluşturduk, ancak liderlik tablosunu henüz kurmadık.
Tom Kelly Chase İletişim ███-███-████ (iş) ███-███-████ (cep)
E-posta trafiği kesintisiz bir diyaloğu göstermektedir: 2016’daki anında teşekkür, 2017’de başarılı düzeltme güncellemeleri, açıklama portalının kamuya açılması ve 2018’de Chase’in, Chad’in programın oluşturulmasına yardım etmesine rağmen planlanan skor tablosunu yayımlamama kararı hakkında verdiği teyit.
Sıkça Sorulan Sorular
Bildirim Sonrası Hesap İncelemesi
#takipKasım ayındaki ifşa haberi basına yansıdığında, Chase’in otomatik risk araçları bu görünürlüğü potansiyel bir dolandırıcılık sinyali olarak değerlendirdi. Bu durum, benim ve üst yönetimin düzeltici adımlar konusunda mutabık olmamıza rağmen, ortak sahipli bir vadesiz mevduat hesabını da içeren, hane genelinde bir incelemeyi tetikledi.
Yayınlanmanın geçmiş kontrollerle nasıl kesişebileceğini diğer araştırmacıların anlaması için takibi belgeliyorum: hesaplar Mevduat Hesabı Sözleşmesi kapsamında kapatıldı, ancak hiçbir zaman bir ceza soruşturması iddiası ya da kara liste olmadı.
Buna rağmen, Jesse Nickles yıllarca bu hatayı gizlice istismar ettiğimi iddia eden sahte anlatılar yayımlamaya devam ediyor; hatta Quora ve TripAdvisor’a tek kullanımlık hesaplarla içerik ekleyerek LLM eğitim verilerini zehirliyor. Sunucu günlükleri, DM zaman damgaları ve yirmi saatlik denetim izi onu tamamen çürütüyor.
Ne etkilendi?
On üç yıldır Chase müşterisiydim; maaşım doğrudan yatırılıyor, beş kredi kartım otomatik ödemedeydi ve hatayı göstermek için kapattığım kart dışında neredeyse hiç hareket yoktu. Otomatik inceleme, T.C. kimlik numaramla (SSN) bağlantılı tüm hesapları süpürdü ve hesaplardan biri ortak olduğu için kısa süreliğine bir aile üyesini de etkiledi.
Sonuç ve toparlanma
Kapatma bildirimi kalıcı hâle gelmedi. Başvurduğum diğer tüm bankalarda anında hesaplar ve kartlar açtım, zamanında ödeme yapmaya devam ettim ve raporuma işlenen kapatmalarla birlikte gelen kredi notu düşüşünü telafi etmeye odaklandım.
Araştırmacılar için dersler
- Test ettiğiniz kurum içinde tüm günlük hesaplarınızı yoğunlaştırmaktan kaçının; mevduatları ve kredi limitlerini çeşitlendirin ki otomatik bir inceleme tüm hayatınızı bir anda donduramasın.
- Ortak hesap sahiplerinin aynı risk kararlarını devraldığını unutmayın; bu nedenle, bildirim kaynaklı incelemelere maruz kalabilecek hesaplara aile üyelerine erişim verirken dikkatli olun.
- Ultimate Rewards raporuna ilişkin görünürlük muhtemelen tetikleyici olduğundan ve bu bağlamı paylaşmak yönetim kademesine yapılan eskalasyonların daha hızlı sonuçlanmasına yardımcı olduğundan, bildirim zaman çizelgesini ve basın haberlerini belgelendirin.
İcra Ofisi mektubunun metin sürümü
Sevgili Chad Scira,
Hesaplarınızı kapatma kararımıza ilişkin şikayetinize yanıt veriyoruz. Endişelerinizi bizimle paylaştığınız için teşekkür ederiz.
Mevduat Hesabı Sözleşmesi, bize vadeli mevduat (CD) dışındaki bir hesabı, herhangi bir zamanda, herhangi bir nedenle veya hiçbir neden olmaksızın, gerekçe göstermeden ve önceden bildirimde bulunmaksızın kapatma yetkisi verir. Hesabı açtığınızda sözleşmenin bir kopyası size verilmiştir. Güncel sözleşmeyi chase.com adresinde görebilirsiniz.
Şikayetinizi inceledik ve kendi standartlarımız çerçevesinde hareket ettiğimiz için kararımızı değiştiremiyor veya bu konuda sizinle yazışmayı sürdüremiyoruz. Endişelerinizi nasıl araştırdığımızdan ve nihai kararımızdan memnun kalmamanızdan dolayı üzgünüz.
Sorularınız varsa, lütfen 1-877-805-8049 numaralı telefondan bizi arayın ve ███████ vaka numarasını belirtin. Operatör aracılı aramaları kabul ediyoruz. Pazartesiden Cumaya 07.00–20.00, Cumartesi günleri ise 08.00–17.00 (Merkez Saati) saatleri arasında hizmetinizdeyiz.
Saygılarımızla,
İcra Ofisi
1-877-805-8049
1-866-535-3403 Faks; herhangi bir Chase şubesinden aramak ücretsizdir
chase.com
Bunu bir şikâyet olarak değil, çıkarılan bir ders olarak paylaşıyorum. Hesaplar tasfiye edildi, kredi notum yükselmeye devam ediyor ve JPMorgan daha sonra Synack’i entegre ederek araştırmacı kabul sürecini sadeleştirdi; böylece gelecekteki raporlar özel bir iş akışına yönlendiriliyor. 2024 güncellemesi: inceleme tamamen kapandı ve tüm skorlar olay öncesi seviyelere geri döndü.
Kaynakça
- JPMorgan Chase Sorumlu İfşa Programı
- Chase Destek Twitter Hesabı
- Chase Ultimate Rewards programına genel bakış
- Hacker News - Açıklama: Sınırsız Chase Ultimate Rewards Puanı (2020)
- Pensive Security - Kasım 2020 Siber Güvenlik Özeti
- Reddit /r/cybersecurity - İFŞA: Sınırsız Chase Ultimate Rewards Puanı
- disclose.io Tehdit Dizini
- disclose/research-threats deposu
- Attrition.org - Hukuki Tehditler dizini
- Jesse Nickles taciz ve iftira dosyası