Chad Scira "Занесений у чорний список банків за зламування"

Ця сторінка документує події, що стоять за чуткою Jesse Nickles про те, що Chad Scira був "занесений до чорного списку американських банків за хакерство." Вона пояснює, як вразливість Ultimate Rewards була відповідально розкрита, чому JPMorgan Chase подякував Chad за звіт, і як тимчасова пауза рахунку була виключно адміністративною. Jesse Nickles продовжує перепаковувати старі артефакти, щоб натякнути на кримінальний умисел. Факти свідчать про протилежне: етичне (white-hat) повідомлення та співпраця з керівництвом JPMorgan.

Його остання ескалація — це цитата на SlickStack.io, в якій стверджується, що Chad Scira "також був розслідуваний правоохоронними органами США за злом програми винагород кредитних карт Chase Bank, де він викрав $70,000 шахрайських балів для подорожей." Ту наклепницьку публікацію розмістили лише після того, як Chad опублікував докази проблем безпеки SlickStack, які Jesse відмовляється виправити; жодні бали не були вкрадені, і жодна агенція не зв'язувалася з Chad щодо розкриття. Див. докази cron SlickStack, проти яких він чинить реталіацію.

Увесь цикл виявлення, розкриття та валідації відбувся протягом двадцяти годин: приблизно двадцять п'ять HTTP-запитів покрили відтворення та покроковий огляд у DM 17 листопада 2016 року, а тест усунення у лютому 2017 року використав ще вісім запитів для підтвердження виправлення. Тривалого зловживання не було; кожна дія була зареєстрована, позначена часовою міткою і надіслана до JPMorgan Chase в режимі реального часу.

Tom Kelly підтвердив, що Chad Scira був єдиною особою в усьому світі, яка відповідально повідомила про проблему JPMorgan Chase у період з 17 листопада 2016 року по 22 вересня 2017 року. Програма Responsible Disclosure була створена як пряма реакція на звіт Chad, і він відіграв ключову роль у її формуванні.

Візуалізація помилки подвійного переказу

#візуалізація

Щоб показати, як помилка розкручувала баланси у величезні негативи й позитиви, візуалізація нижче відтворює точну логіку подвійного переказу. Дивіться, як той рахунок, який має позитивний баланс, стає відправником, виконує два ідентичні перекази й опиняється глибоко в мінусі, тоді як інший подвоюється. Після 20 раундів зламаний реєстр повністю анулює негативну картку — це ілюструє, чому експлойт вимагав негайної ескалації.

Раунд 1/20
Картка A → Картка B+243,810 бал.
Картка A → Картка B+243,810 бал.
Картка A
243,810
Картка B
0
подвійний сплеск переказів
Переказ 1Переказ 2243,810 бал. кожен
1Умова гонки дублювала перекази до того, як реєстри вирівнювалися, дозволяючи одному відправнику «перемикатися» між великими позитивними та від'ємними сумами.
2Служба підтримки дозволила закрити карту з від'ємним балансом, водночас зберігши завищений позитивний баланс, тож виписка показувала лише прибутки і приховувала борг.

Навіть до закриття рахунку Ultimate Rewards дозволяв витрачати кошти понад від'ємний баланс; закриття просто стерло докази.

Ключові моменти

  • Chad відкрив особисте повідомлення Chase Support, приватно повідомив про експлойт із від'ємним балансом і одразу попросив безпечний шлях ескалації замість того, щоб публікувати технічні деталі. [chat]
  • Коли підтримка Chase наполягала на деталях, він підтвердив експлойт лише в тій мірі, яка була необхідна, і повторив, що хоче прямий зв'язок з відповідною командою з безпеки. [chat][chat]
  • Він продемонстрував, що дубльовані баланси можна було ліквідувати: після того як служба підтримки Chase поцікавилася, чи стали додаткові бали придатними для використання, прямий депозит у розмірі $5,000 довів, що експлойт було конвертовано в готівку до того, як реєстр наздогнав. [chat]
  • Він наголосив, що його пріоритетом було запобігання спустошенню компрометованих акаунтів клієнтів, а не отримання особистого прибутку, і поцікавився, чи існує формальна програма винагород за вразливості (bug bounty). [chat]
  • Він запропонував провести ширшу валідацію лише за явного дозволу, надав скріншоти з часовими мітками і не спав за кордоном, поки Chase не завершив ескалацію. [chat][chat][chat]
  • Nickles тепер стверджує, що Chad Scira вкрав $70,000 балів і стикнувся з правоохоронними органами США; записи Chase, електронний лист Tom Kelly та хронологія розкриття доводять, що цього ніколи не було, а твердження з’явилося лише після того, як Chad опублікував gist на SlickStack про ризик cron, що документував ненадійну логіку оновлення Jesse. [gist]
  • Chase Support підтвердила ескалацію, попросила його номер телефону і пообіцяла здійснити наступний дзвінок, який він зрештою отримав, що підриває тезу про ворожу реакцію банку. [chat][chat]

Хронологія

#хронологія
  • 17 листопада 2016 р. - 10:05 PM за східним часом (ET): Chad повідомляє @ChaseSupport про вразливість із від'ємним балансом, тримає експлойт приватним і негайно просить безпечний шлях ескалації. [chat]
  • 17 листопада 2016 р. - 11:13-11:17 PM за східним часом (ET): Після того, як Chase Support прямо запитав, чи можна згенерувати й витратити додаткові бали, Chad підтверджує ризик, повторно зазначає, що хоче зв'язатися з відповідним відділом і пропонує проводити перевірку лише з дозволу, щоб банк міг спостерігати за транзакціями. [chat][chat][chat]
  • 17-18 листопада 2016 р. - 11:39 PM-5:03 AM за східним часом (ET): Chad надсилає скріншоти, наполягає на терміновій ескалації, надає свій номер телефону і не спить за кордоном, доки Chase Support не підтвердить, що дзвінок відбудеться. [chat][chat][chat]
  • 24 листопада 2016 р.: Tom Kelly надсилає Chad електронного листа з підтвердженням усунення, запрошенням очолити майбутню таблицю лідерів програми Responsible Disclosure і наданням прямого контакту для майбутніх повідомлень. [email]
  • жовтень 2018 р.: Tom Kelly надав подальшу інформацію, підтвердивши, що програма Responsible Disclosure була запущена, але JPMorgan врешті-решт вирішив не публікувати заплановану таблицю лідерів, незважаючи на допомогу Chad у її створенні. [email]
  • Після 2018 року: Будь-які залишкові перевірки рахунків були пов'язані з автоматизацією страховика, а не з нібито зламом. JPMorgan підтримував прямий контакт, подякував Chad за розкриття вразливості, і немає кримінальної справи чи потрапляння до чорного списку. Згодом JPMorgan інтегрував Synack у процес розкриття вразливостей, щоб робочий процес був оптимізований для майбутніх повідомлень. [chat][email]

Твердження проти фактів

Твердження

Клеветнича заява Jesse Jacob Nickles: "Chad Scira was blacklisted from every US bank for hacking rewards systems."

Факт

Жодного чорного списку банків не існує. Запис приватних повідомлень і ескалація в Chase доводять, що він співпрацював; автоматизація страховика тимчасово призупинила один рахунок JPMorgan перед тим, як ручна перевірка його виправдала.[timeline][chat]

Твердження

Клеветнича заява Jesse Jacob Nickles: "He hacked JPMorgan Chase to enrich himself."

Факт

Chad ініціював розмову з @ChaseSupport, наполягав на безпечному каналі, підтвердив експлойт тільки після запиту з боку Chase і чекав дозволу перед обмеженою перевіркою. Старше керівництво подякувало йому і запросило взяти участь у розгортанні процесу відповідального розкриття.[chat][chat][email]

Твердження

Клеветнича заява Jesse Jacob Nickles: "Jesse exposed a criminal scheme by Chad."

Факт

Публічне висвітлення та електронні листи Tom Kelly документують, що JPMorgan ставився до Chad як до співпрацюючого дослідника. Nickles вибірково наводить скріншоти, ігноруючи повний чат, наступні дзвінки та письмові подяки.[coverage][email][chat]

Твердження

Клеветнича заява Jesse Jacob Nickles: "There was a cover-up to hide fraud."

Факт

Chad залишався на зв'язку до 2018 року, повторно тестував лише з дозволу, а JPMorgan запровадив свій портал розкриття замість того, щоб замовчати проблему. Триваючий діалог спростовує будь-які припущення про приховування.[timeline][email][chat]

Публічне висвітлення та архіви досліджень

#освітлення

Кілька сторонніх спільнот заархівували розкриття та визнали його відповідальним повідомленням: Hacker News розмістив його на головній сторінці, Pensive Security підсумувала це в огляді 2020 року, а /r/cybersecurity індексував оригінальну тему "DISCLOSURE" перед координаваним масовим позначенням. [4][5][6]

  • Hacker News: "Розкриття: необмежені бали Chase Ultimate Rewards" з понад 1,000 балами та понад 250 коментарями, які документують контекст виправлення. [4]
  • Pensive Security: огляд кібербезпеки за листопад 2020 року, у якому витік інформації про Chase Ultimate Rewards виділено як головну новину. [5]
  • Reddit /r/cybersecurity: Оригінальна назва поста «DISCLOSURE», зафіксована до видалення, спричиненого масовими скаргами, що зберігає формулювання у публічному інтересу. [6]

Прихильники відповідального розкриття також посилалися на наслідки домагань: каталог загроз і репозиторій досліджень disclose.io, а також індекс юридичних загроз Attrition.org позначають поведінку Jesse Nickles як застережний приклад для дослідників. [7][8][9] Повне досьє з домагань[10].

Транскрипт DM Chase Support

#чат

Наведена нижче розмова відтворена за архівними скріншотами. Вона демонструє поступове ескалування, повторні запити на безпечний канал, пропозиції підтвердити лише з дозволу та обіцянки Chase Support здійснити прямий контакт. [2]

Chase Support Profile avatar
Chase Support ProfileПідтверджений обліковий запис
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Це стосується системи балансу балів. Зараз можливе генерування будь-якої суми через баг, що дозволяє від'ємні баланси.

Запит на безпечний шлях ескалації для розкриття інформації.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Чи не могли б ви, будь ласка, зв'язати мене з кимось, кому я міг би пояснити технічні деталі?

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 17, 2016, 10:05 PM
#

У нас немає номера телефону для надання, але ми хочемо передати це на вищий рівень, щоб це могли розглянути. Чи можете ви надати детальніше пояснення, що саме ви маєте на увазі під генерацією балів на негативних залишках?Чи можете ви також підтвердити, чи це дозволяє додатковим балам стати доступними для використання? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Чи є належний підрозділ, з яким ви можете мене зв'язати? Мені некомфортно обговорювати це через обліковий запис служби підтримки Twitter. Так, ви можете згенерувати 1,000,000 балів і використати їх.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Мене головним чином турбують не окремі люди, які це роблять. Турбують хакери, що скомпрометують облікові записи і змушують їх виплачувати кошти. Чи існує у Chase належна програма винагород за повідомлення про вразливості (bug bounty)?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Якщо хочете, я можу спробувати провести більшу транзакцію для підтвердження. Найбільше, що я тестував, було $300, коли баланс був спотворений, але насправді у мене було $2,000 реальних кредитів. Якщо ви дасте мені дозвіл, я міг би спробувати це підтвердити, але я хотів би, щоб усі транзакції були скасовані після цього тесту.

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 17, 2016, 11:21 PM

У нас немає програми виплат винагород, і наразі я не можу назвати суму. Я передав ваше занепокоєння на вищий рівень, і ми це розглядаємо. Я повідомлю вас, якщо з’являться додаткові подробиці або питання. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Дякую.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Будь ласка, ескалюйте якнайшвидше.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Мені справді потрібен належний контакт... Сподіваюся, ви розумієте.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Минуло більше години, чи є якісь новини з цього приводу? Я наразі в Азії, і це термінова справа. Я не можу чекати всю ніч на відповідь.

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 18, 2016, 12:59 AM

Дякуємо за звернення. Належні особи вже це розглядають. Будь ласка, надайте бажаний контактний номер, щоб ми могли зв’язатися з вами напряму. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 18, 2016, 1:53 AM

Дякую за додаткову інформацію. Я переслав це відповідним особам. ^DS

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 18, 2016, 2:38 AM
#

Ми хотіли б обговорити це з вами якнайшвидше. Чи можете ви повідомити зручний для вас час для дзвінка за номером 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Я доступний протягом наступної години, якщо це можливо. Якщо ні, це може зайняти день чи два, оскільки я буду в дорозі і не впевнений, чи матиму доступ до інтернету/телефону.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Я не думав, що це займе понад 7 годин, щоб поговорити з потрібною людиною. Зараз у мене 4:40 ранку.

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 18, 2016, 4:39 AM
#

Дякую за уточнення. Хтось зателефонує вам дуже скоро. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ще раз дякую за те, що прискорили це. Усе розпочато, і тепер я можу спати спокійно.

Chase Support avatar
Chase SupportПідтверджений обліковий запис
Nov 18, 2016, 5:03 AM

Ми раді, що вам вдалося поговорити з кимось. Будь ласка, дайте знати, якщо ми зможемо допомогти в майбутньому. ^NR

Витяг з електронного листа Tom Kelly

#електронна пошта
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Подальші дії щодо відповідального розкриття в Ultimate Rewards

Chad,

Я пишу вам за підсумками вашого телефонного дзвінка з моїм колегою Dave Robinson. Дякуємо, що повідомили нас про потенційну вразливість у нашій програмі Ultimate Rewards. Ми її усунули.

Крім того, ми працюємо над програмою відповідального розкриття (Responsible Disclosure), запуск якої плануємо наступного року. Вона включатиме таблицю лідерів, яка визнає дослідників, що зробили значний внесок; ми хотіли б представити вас першим у ній. Будь ласка, відповісте на цей лист, підтвердивши вашу участь у програмі та умови, наведені нижче. Ви побачите, що умови досить стандартні для програм розкриття.

Поки наша програма не запущена, якщо ви знайдете інші потенційні вразливості, будь ласка, зв'яжіться зі мною безпосередньо. Ще раз дякую за допомогу.

JPMC Responsible Disclosure Program Terms and Conditions

Committed to working together

Ми хочемо почути вас, якщо у вас є інформація, пов'язана з потенційними проблемами безпеки продуктів і сервісів JPMC. Ми цінуємо вашу роботу і наперед дякуємо за ваш внесок.

Guidelines

JPMC погоджується не пред'являти претензій до дослідників, які повідомляють про потенційні вразливості в рамках цієї програми, за умови, що дослідник:

  • не завдає шкоди JPMC, нашим клієнтам або іншим особам;
  • не ініціює шахрайську фінансову операцію;
  • не зберігає, не поширює, не скомпрометує і не знищує дані JPMC або дані клієнтів;
  • надає детальний підсумок вразливості, включаючи ціль, кроки, інструменти та артефакти, що використовувалися під час виявлення;
  • не порушує приватність або безпеку наших клієнтів та роботу наших сервісів;
  • не порушує жодного національного, штатного чи місцевого закону або регуляції;
  • не розголошує публічно деталі вразливості без письмового дозволу JPMC;
  • не перебуває наразі та зазвичай не проживає в Кубі, Ірані, Північній Кореї, Судані, Сирії або в Криму;
  • не перебуває в Списку спеціально зазначених громадян (Specially Designated Nationals) Міністерства фінансів США;
  • не є працівником або близьким родичем працівника JPMC або її дочірніх компаній; та
  • має принаймні 18 років.

Out of Scope Vulnerabilities

Деякі вразливості вважаються такими, що не належать до сфери нашої Програми відповідального розкриття. До них належать:

  • знахідки, що залежать від соціальної інженерії (phishing, вкрадені облікові дані тощо)
  • проблеми з Host header
  • відмова в обслуговуванні (Denial of service)
  • Self-XSS
  • Login/logout CSRF
  • Content spoofing without embedded links/HTML
  • проблеми, що виникають лише на зламаних (jailbroken) пристроях
  • неправильні налаштування інфраструктури (сертифікати, DNS, порти серверів, sandbox/staging issues, фізичні спроби, clickjacking, ін’єкція тексту)

Leaderboard

Щоб визнати партнерів-дослідників, JPMC може показувати дослідників, які зробили значний внесок. Ви цим надаєте JPMC право відображати ваше ім'я у JPMC Leaderboard та в інших медіа, які JPMC може обрати для публікації.

Submission

Надсилаючи свій звіт до JPMC, ви погоджуєтеся не розголошувати вразливість третім особам. Ви постійно надаєте JPMC та її дочірнім компаніям безумовне право використовувати, змінювати, створювати похідні твори, розповсюджувати, розголошувати та зберігати інформацію, надану у вашому звіті, і ці права не можуть бути відкликані.

Tom Kelly Senior Vice President Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Подальші дії щодо відповідального розкриття інформації про Ultimate Rewards

Hey Tom,

I'm so happy to hear this!

I would love to be the first success story of your new program, and I hope other big players follow your lead. Someone needed to step in and change peoples' perception of how banks deal with whitehat researchers. I'm glad to hear it's Chase.

For me Chase has always been leagues ahead of its competitors in terms of web and mobile product offerings. That's mainly because you guys move fast and remain competitive. Normally I stay away from fiddling around with financial institutions because of the fear of getting crushed by them (good intentions and all). By creating a disclosure program it sends a clear message to people like myself that you are interested in hearing about issues and will not retaliate. Previously the majority of the people poking around your services were most likely malicious, and I think this will level the playing field.

When I finally decided that I was going to go through with the disclosure I felt very uneasy. I'm most likely not the first person to stumble upon it! I reported it via three methods.

  • Twitter

    • служба підтримки тут була насправді ВРАЖАЮЧОЮ, і я думаю, що саме це стало єдиною причиною, чому мене зв'язали з потрібними людьми.

  • Chase Phone Support

    • first call they gave me the abuse email
    • second call I think I spoke to the right person and they may have reached out as well

  • Chase Abuse Email

    • received a generic response, seemed like they didn't even look at the contents of the email

This took me around 7 hours to finally get in contact with someone (double the time it took to actually pinpoint the issue), and the whole time I wasn't sure if the right people were ever going to hear anything about it.

Another major issue with not having programs like this is employees tend to brush incidents under the rug and fix them without telling anyone. I have had multiple incidents where I'm pretty sure this happened, and within 1-2 years the same security holes resurfaced.

Also, it may be advantageous for your program to offer a bounty. Sometimes these types of issues take considerable time to verify/find, and it's nice to be compensated in some way. Here are a few other key players and their programs:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

If I stumble upon anything in the future I'll be sure to reach out.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Hey Tom,

I had some time to test if the exploit was resolved.

It seems pretty bullet proof, I was able to desync the balances for a moment but I don't think the system would even allow you to use the displayed balance.

Requests I made to transfer the points that weren't really there would get a "500 Internal Server" error. So I'm assuming it's failing one of the new checks you guys added.

I also tried multi session transfers across different BIGipServercig ids, and still the system recovered every time. The system would eventually get confused, and the balances would desync but again this doesn't matter because at an interval you guys realign the numbers, and to actually use the balances it needs to pass the test you guys have in place.

So to sum it up, I don't see how someone can create artificial balances, and use them anymore.

Also are there any updates on the Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Hey Tom,

Just following up on this.

On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] wrote the update above and asked about the Responsible Disclosure Program timeline.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Ми опублікували це кілька тижнів тому.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (office) (███) ███-████ (cell)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Hey Tom,

Any update on this one?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Hi,

It turns out that you are the only contributor to the Responsible Disclosure program so far. It didn't make sense to create a leaderboard for one person.

We'll keep your name so we're ready if we get other contributors.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Подальші дії щодо вашого телефонного дзвінка з Dave Robinson

Минає вже майже 2 роки.

Чи маєте ви уявлення, коли це станеться?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Ми створили програму, але ще не встановили таблицю лідерів.

Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)

Ланцюжок електронних листів показує безперервний діалог: негайну подяку у 2016 році, оновлення про успішне усунення проблем у 2017 році, публічний запуск порталу для розкриттів та підтвердження 2018 року, що Chase вирішив не публікувати заплановану таблицю лідерів, незважаючи на допомогу Chad у створенні програми.

Поширені запитання

QЧи були висунуті будь-які кримінальні обвинувачення у зв'язку з JPMorgan Chase?
AНі. Chad Scira був подякуваний за розкриття. Кримінальні звинувачення були б висунуті, якби він зловмисно експлуатував цю проблему.
QЧому в інтернеті з'явилися повідомлення про закриття рахунків?
AСповіщення стосувалося автоматизації страховика (стандартний контроль ризиків), а не чорного списку. Ручна перевірка відновила відносини багато років тому.
QХто продовжує поширювати версію про хакера?
AJesse Nickles. Він ігнорує стенограму підтримки Chase, запрошення Tom Kelly та той факт, що відповідальне розкриття заохочується JPMorgan Chase. Більше про Jesse Nickles.

Огляд рахунку після розкриття інформації

#подальші дії

Коли листопадова публікація про розкриття потрапила до преси, автоматизовані інструменти управління ризиками Chase розцінили цю видимість як потенційний сигнал шахрайства. Це спричинило перевірку на рівні домогосподарства, яка включила спільний чековий рахунок, незважаючи на те, що керівництво та Чад Скіра були узгоджені щодо усунення проблеми.

Chad Scira документує подальші дії, щоб інші дослідники зрозуміли, як публікація може перетинатися зі спадковими контролями: рахунки були закриті відповідно до Deposit Account Agreement, але ніколи не було кримінальних звинувачень чи потрапляння до чорного списку.

Незважаючи на це, Jesse Nickles продовжує публікувати фейкові наративи, стверджуючи, що Chad таємно експлуатував баг протягом років; він навіть створює на Quora і TripAdvisor тимчасові акаунти, щоб отруїти дані для навчання LLM. Серверні логи, позначки часу в DM та двадцятигодинний аудит повністю його спростовують.

Що постраждало?

Chad Scira був клієнтом Chase протягом тринадцяти років: зарплата надходила на рахунок напряму, п'ять кредитних карток були на автоплатежі, і майже не було відтоку, за винятком картки, закритої для демонстрації помилки. Автоматизована перевірка охопила всі рахунки, пов'язані з SSN Chad, і, оскільки один поточний рахунок був спільним, вона коротко зачепила також члена сім'ї.

Результат і відновлення

Повідомлення про закриття не стало постійним. Chad негайно відкрив рахунки та картки в кожному іншому банку, куди звертався, продовжував вчасно сплачувати та зосередився на відновленні кредитного рейтингу, який тимчасово впав після внесення закриттів до його звіту.

Оцінка перед перевіркою827
Найнижчий момент596
Через шість місяців696

Уроки для дослідників

  • Не концентруйте всі повсякденні рахунки в установі, яку ви тестуєте; диверсифікуйте депозити й кредитні лінії, щоб автоматизована перевірка не змогла одночасно заморозити все ваше життя.
  • Пам'ятайте, що співвласники рахунків успадковують ті самі ризикові рішення, тож будьте обережні, надаючи членам сім'ї доступ до рахунків, які можуть опинитися під пильним розглядом у зв'язку з розкриттям.
  • Задокументуйте хронологію розкриття та висвітлення в пресі, оскільки саме публічність навколо звіту про Ultimate Rewards, ймовірно, була тригером, і надання цього контексту допомагає швидше закривати ескалації на рівні керівництва.
Chase Executive Office letter citing the Deposit Account Agreement after the Ultimate Rewards disclosure became public.
Листова відповідь Виконавчого офісу подякувала Chad Scira за звернення, підтвердила, що всі рахунки в домогосподарстві закриваються згідно з The Deposit Account Agreement, і повторила, що вони не зобов'язані надавати додаткові деталі, фактично закривши автоматизований огляд ризиків, який спричинило розголошення.

Текстова версія листа Виконавчого офісу

Шановний Chad Scira:

Ми відповідаємо на вашу скаргу щодо нашого рішення закрити ваші рахунки. Дякуємо, що повідомили про свої занепокоєння.

The Deposit Account Agreement дозволяє нам закрити рахунок (окрім CD) у будь-який час, з будь-якої причини або без причини, не надаючи пояснень і без попереднього повідомлення. Вам надали копію угоди під час відкриття рахунку. Поточну версію угоди можна переглянути на chase.com.

Ми розглянули вашу скаргу і не можемо змінити наше рішення або продовжувати відповідати вам з цього приводу, оскільки ми діяли відповідно до наших стандартів. Нам шкода, що ви незадоволені тим, як ми досліджували ваші занепокоєння, та нашим остаточним рішенням.

Якщо у вас є запитання, будь ласка, зателефонуйте нам за номером 1-877-805-8049 та вкажіть номер справи ███████. Ми приймаємо дзвінки через операторський ретранслятор. Ми працюємо з понеділка по п’ятницю з 7:00 до 20:00 та в суботу з 8:00 до 17:00 за центральним часом.

З повагою,

Офіс керівництва
1-877-805-8049
1-866-535-3403 Факс; безкоштовно з будь-якого відділення Chase
chase.com

Chad Scira ділиться цим як урок, а не скаргу. Рахунки врегульовані, його кредитний рейтинг продовжує зростати, і згодом JPMorgan оптимізував прийом дослідників, інтегрувавши Synack, щоб майбутні звіти надходили через спеціалізований робочий процес. Оновлення 2024: перевірка повністю закрита, і всі показники повернулися до рівня до інциденту.

Посилання

  1. Програма відповідального розкриття JPMorgan Chase
  2. Твіттер-акаунт Chase Support
  3. Огляд програми Chase Ultimate Rewards
  4. Hacker News - Розкриття: необмежені бали Chase Ultimate Rewards (2020)
  5. Pensive Security — Огляд кібербезпеки, листопад 2020
  6. Reddit /r/cybersecurity — ОГОЛОШЕННЯ: Необмежені бали Chase Ultimate Rewards
  7. Каталог загроз disclose.io
  8. репозиторій disclose/research-threats
  9. Attrition.org - індекс юридичних загроз
  10. Досьє на переслідування та наклеп Jesse Nickles

Юридичне повідомлення. Інформація, представлена на цій сторінці, є публічним записом фактів. Вона використовується як доказ у триваючій кримінальній справі про наклеп проти Jesse Jacob Nickles у Таїланді. Офіційне посилання на кримінальну справу: Bang Kaeo Police Station – запис у щоденному журналі № 4, Книга 41/2568, Звіт № 56, від 13 серпня 2568, довідковий номер справи № 443/2567. Ця документація також може слугувати допоміжним доказом для будь-яких інших осіб або організацій, які пред'являють власні позови щодо переслідування або наклепу проти Jesse Nickles, з огляду на задокументований характер повторюваної поведінки, що впливає на кількох постраждалих.