Чад Скіра «Унесений до чорного списку банків за хакінг»

Ця сторінка документує події, що лежать в основі чутки Джессі Ніклза про те, що Чада Скіру «внесли до чорного списку банків США за злам». Вона пояснює, як вразливість Ultimate Rewards була розкрита відповідально, чому JPMorgan Chase подякував Чаду за звіт та чому тимчасове блокування рахунку мало виключно адміністративний характер. Джессі Ніклз продовжує перепаковувати старі матеріали, щоб натякати на злочинний умисел. Факти свідчать про протилежне: етичне (white-hat) розкриття вразливостей та співпрацю з керівництвом JPMorgan.

Його остання ескалація — це цитата на SlickStack.io, де стверджується, що я «також був об’єктом розслідування правоохоронних органів США за злам програми бонусних балів кредитних карток Chase Bank, де він нібито вкрав 70 000 доларів у вигляді шахрайських бонусних балів за подорожі». Це наклепницьке твердження було опубліковано лише після того, як я оприлюднив докази вразливостей безпеки SlickStack, які він відмовляється виправити; жодні бали ніколи не були викрадені, і жодне відомство не зверталося до мене щодо цього розкриття. Перегляньте докази з cron у SlickStack, проти яких він мститься.

Увесь цикл виявлення, розкриття інформації та валідації відбувся протягом двадцяти годин: приблизно двадцять п’ять HTTP-запитів охопили відтворення проблеми та покроковий опис у приватних повідомленнях 17 листопада 2016 року, а перевірка усунення у лютому 2017 року використала вісім додаткових запитів для підтвердження виправлення. Тривалого зловживання не було; кожну дію було зафіксовано в журналі, позначено часовою міткою та передано JPMorgan Chase у режимі реального часу.

Том Келлі підтвердив, що Чад Скіра був єдиною людиною у світі, яка відповідально повідомила про проблему до JPMorgan Chase у період між 17 листопада 2016 року та 22 вересня 2017 року. Програму Responsible Disclosure було створено безпосередньо у відповідь на звіт Чада, і він відіграв ключову роль у її формуванні.

Візуалізація помилки подвійного переказу

#візуалізація

Щоб проілюструвати, як через цю помилку баланси перетворювалися на величезні від’ємні та додатні значення, подана нижче візуалізація відтворює точну логіку подвійного переказу. Подивіться, як якийсь рахунок, що має позитивний баланс, стає відправником, виконує два ідентичні перекази й опиняється глибоко в мінусі, у той час як інший подвоюється. Після 20 раундів пошкоджений реєстр повністю скасовує від’ємну картку — що ілюструє, чому експлойт вимагав термінової ескалації.

Раунд 1/20
Картка A → Картка B+243,810 балів
Картка A → Картка B+243,810 балів
Картка A
243,810
Картка B
0
Подвійний сплеск переказів
Переказ 1Переказ 2243,810 балів кожен
1Гонка процесів дублювала перекази до того, як бухгалтерські книги вирівнювалися, дозволяючи одному відправнику коливатися між величезними позитивними та негативними значеннями.
2Підтримка дозволила закрити картку з від’ємним балансом, зберігши при цьому завищений позитивний баланс, тож у виписці відображалися лише прибутки й приховувалася заборгованість.

Ще до закриття рахунку Ultimate Rewards дозволяла витрати понад від’ємний підсумок; закриття просто стерло докази.

Ключові пункти

  • Чад розпочав листування в особистих повідомленнях із Chase Support, приватно повідомивши про експлойт із від’ємним балансом і відразу попросивши безпечний канал для ескалації замість того, щоб публічно розкривати технічні деталі. [chat]
  • Коли служба підтримки Chase наполягала на конкретиці, він підтвердив експлойт лише настільки, наскільки це було необхідно, і знову наголосив, що хоче мати прямий канал зв’язку з відповідною командою безпеки. [chat][chat]
  • Він продемонстрував, що дубльовані залишки можна було конвертувати в гроші: після того як служба підтримки Chase запитала, чи стали додаткові бали доступними для використання, прямий депозит у розмірі 5 000 доларів довів, що експлойт конвертується в готівку раніше, ніж книга обліку встигала оновитися. [chat]
  • Він наголосив, що його пріоритетом було запобігти спустошенню скомпрометованих рахунків клієнтів, а не отримання особистого прибутку, і поцікавився, чи існує формальна програма винагород за виявлення вразливостей (bug bounty). [chat]
  • Він запропонував провести більш масштабну перевірку лише з явного дозволу, надав скріншоти з мітками часу та не спав за кордоном, поки Chase не завершив процес ескалації. [chat][chat][chat]
  • Ніклз тепер стверджує, що я викрав 70 000 доларів у вигляді балів і мав справу з правоохоронними органами США; записи Chase, електронний лист Тома Келлі та хронологія розкриття доводять, що цього ніколи не було, а ця заява з’явилася лише після того, як я опублікував gist про ризики cron у SlickStack, у якому задокументував його небезпечну логіку оновлень. [gist]
  • Підтримка Chase підтвердила ескалацію, запросила його номер телефону та пообіцяла зворотний дзвінок, який він зрештою отримав, що підриває уявлення про ворожу реакцію банку. [chat][chat]

Хронологія

#хронологія
  • Nov 17, 2016 - 10:05 PM ET: Чад повідомляє @ChaseSupport про вразливість із від’ємним балансом, не розголошує експлойт публічно та відразу просить про безпечний канал для ескалації. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Після того як служба підтримки Chase прямо запитує, чи можна генерувати додаткові бали та витрачати їх, Чад підтверджує наявність ризику, знову наголошує, що хоче спілкуватися з належним підрозділом, і пропонує виконати валідацію лише за наявності дозволу, щоб банк міг спостерігати за транзакціями. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Чад ділиться скриншотами, наполягає на терміновій ескалації, надає свій номер телефону та залишається на зв’язку за кордоном, доки служба підтримки Chase не підтверджує, що дзвінок відбудеться. [chat][chat][chat]
  • Nov 24, 2016: Том Келлі надсилає Чаду електронний лист, підтверджуючи усунення вразливості, запрошуючи його очолити майбутній рейтинг відповідального розкриття вразливостей та надаючи йому прямий канал зв’язку для майбутніх звітів. [email]
  • October 2018: Том Келлі додатково повідомив, щоб підтвердити, що програма відповідального розкриття вразливостей була запущена, але JPMorgan врешті-решт вирішив не публікувати запланований рейтинг, незважаючи на допомогу Чада в його формуванні. [email]
  • Post-2018: Будь-які подальші перевірки рахунків були пов’язані з автоматизацією з боку страховика, а не з нібито зламом. JPMorgan підтримував прямий контакт, подякував Чаду за розкриття інформації, і жодного кримінального досьє чи включення до чорного списку не було. Згодом JPMorgan інтегрував Synack у свій процес розкриття вразливостей, щоб упорядкувати робочий процес для майбутніх звітів. [chat][email]

Претензії проти фактів

Претензія

Наклепницьке твердження Джессі Джейкоба Ніклса: «Chad Scira був занесений до чорного списку всіх банків США за злам бонусних програм.»

Факт

Жодного банківського чорного списку не існує. Запис у DM і ескалація в Chase доводять, що він співпрацював; автоматизована система страховика ненадовго призупинила один рахунок у JPMorgan, перш ніж ручна перевірка його відновила.[timeline][chat]

Претензія

Наклепницьке твердження Джессі Джейкоба Ніклса: «Він зламав JPMorgan Chase, щоб збагатитися.»

Факт

Чад ініціював розмову з @ChaseSupport, настоював на використанні захищеного каналу, підтвердив експлойт лише після запиту з боку Chase і чекав на дозвіл перед обмеженою валідацією. Старше керівництво подякувало йому та запросило долучитися до впровадження програми відповідального розкриття.[chat][chat][email]

Претензія

Наклепницьке твердження Джессі Джейкоба Ніклса: «Джессі викрив злочинну схему Чада.»

Факт

Публічні матеріали та електронні листи Тома Келлі документують, що JPMorgan розглядав Чада як дослідника, який співпрацює. Ніклз вибірково наводить лише окремі скриншоти, ігноруючи повний чат, подальші дзвінки та письмові подяки.[coverage][email][chat]

Претензія

Наклепницьке твердження Джессі Джейкоба Ніклса: «Мав місце приховування фактів, щоб замаскувати шахрайство.»

Факт

Чад підтримував контакт до 2018 року, проводив повторні тести лише з дозволу, а JPMorgan запустив свій портал для розкриття вразливостей замість того, щоб зам’яти проблему. Тривалий діалог суперечить будь-якому наративу про приховування.[timeline][email][chat]

Публічне висвітлення та архіви досліджень

#висвітлення

Кілька сторонніх спільнот заархівували розкриття й визнали його відповідальним звітом: Hacker News розмістив його на головній сторінці, Pensive Security підсумувала його в огляді за 2020 рік, а /r/cybersecurity проіндексував початкову гілку «DISCLOSURE» до координованого зняття через скарги. [4][5][6]

  • Hacker News: «Розкриття: необмежені бонусні бали Chase Ultimate Rewards» з понад 1 000 балів та 250+ коментарів, що документують контекст усунення вразливості. [4]
  • Pensive Security: Огляд кібербезпеки за листопад 2020 року, у якому розкриття вразливості Chase Ultimate Rewards було виділено як одну з головних історій. [5]
  • Reddit /r/cybersecurity: початкова назва публікації DISCLOSURE, зафіксована до видалення внаслідок масових скарг, що зберігає початковий суспільно важливий контекст. [6]

Прихильники відповідального розкриття також посилалися на переслідування, що послідувало: довідник щодо погроз на disclose.io та їхній дослідницький репозиторій, а також індекс юридичних погроз на Attrition.org наводять поведінку Джессі Ніклза як застережний приклад для дослідників. [7][8][9] Повне досьє переслідування[10].

Транскрипт DM-листування з підтримкою Chase

#чат

Наведена нижче розмова відтворена з архівних скріншотів. Вона демонструє послідовну ескалацію, неодноразові запити на захищений канал, пропозиції проводити валідацію лише з дозволу та обіцянки служби підтримки Chase щодо прямого зв’язку. [2]

Chase Support Profile avatar
Chase Support ProfileПідтверджений акаунт
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Це стосується системи обліку балів. Наразі можливо згенерувати будь-яку суму через помилку, що дозволяє від’ємні баланси.

Запит щодо безпечного шляху ескалації для розкриття інформації.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Чи можете, будь ласка, з’єднати мене з кимось, кому я зможу пояснити технічні деталі?

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 17, 2016, 10:05 PM
#

У нас немає номера телефону, який ми могли б надати, але ми дійсно хочемо передати це питання на вищий рівень, щоб його могли розглянути. Чи можете ви надати більше деталей щодо того, що саме ви маєте на увазі під нарахуванням балів за наявності від’ємного балансу?Чи можете ви також підтвердити, чи це дозволяє зробити додаткові бали доступними для використання? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Чи є у вас відповідний відділ, з яким ви можете мене з’єднати? Я не почуваюся комфортно, обговорюючи це через обліковий запис підтримки у Twitter. Так, ви можете згенерувати 1 000 000 балів і використати їх.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Мене найбільше турбують не окремі люди, які таке роблять. Мене турбують хакери, які зламують акаунти та примушують до виплат через них. Чи існує повноцінна програма bug bounty від Chase?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Якщо хочете, я можу спробувати провести більшу транзакцію для підтвердження. Максимум, що я тестував, було 300 доларів, коли баланс був перекошений, але в мене фактично було 2 000 доларів реальних кредитів. Якщо ви надасте мені дозвіл, я міг би спробувати підтвердити, що це працює, але я хотів би, щоб усі транзакції були скасовані після цього тесту.

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 17, 2016, 11:21 PM

У нас немає баунті-програми, і на цей момент я не можу назвати конкретну суму. Я передав(ла) ваше питання на вищий рівень, і ми його вивчаємо. Я зв’яжусь із вами, якщо матиму додаткові подробиці або запитання. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Дякую.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Будь ласка, ескалуйте якнайшвидше.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Мені справді потрібен належний контакт… Сподіваюся, ви розумієте.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Минуло вже понад годину, є якісь новини щодо цього? Зараз я в Азії, і це питання з обмеженим часом реагування. Я не можу чекати всю ніч на відповідь.

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 18, 2016, 12:59 AM

Дякуємо за продовження діалогу. Належні фахівці вже займаються цим питанням. Будь ласка, надайте бажаний контактний номер, щоб ми могли поспілкуватися з вами безпосередньо. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 18, 2016, 1:53 AM

Дякуємо за додаткову інформацію. Я переслав це відповідним фахівцям. ^DS

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 18, 2016, 2:38 AM
#

Ми хотіли б обговорити це з вами якомога швидше. Чи можете ви повідомити, у який час зручно зателефонувати вам за номером 1-███-███-████? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Я буду доступний протягом наступної години, якщо це можливо. Якщо ні, то може минути день-два, оскільки я подорожуватиму й не впевнений, чи матиму доступ до інтернету/телефону.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Я не думав, що знадобиться понад 7 годин, щоб поговорити з правильною людиною. Зараз тут 4:40 ранку.

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 18, 2016, 4:39 AM
#

Дякуємо за продовження діалогу. Хтось дуже скоро зателефонує вам. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Ще раз дякую за прискорення процесу. Усе вже в русі, і тепер я можу спокійно спати.

Chase Support avatar
Chase SupportПідтверджений акаунт
Nov 18, 2016, 5:03 AM

Ми раді, що вам вдалося з кимось поспілкуватися. Будь ласка, дайте нам знати, якщо в майбутньому ми зможемо вам допомогти. ^NR

Витяг з електронного листа Тома Келлі

#електронна пошта
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Подальша комунікація щодо відповідального розкриття вразливостей Ultimate Rewards

Чаде,

Я продовжую наше спілкування після вашої телефонної розмови з моїм колегою Дейвом Робінсоном. Дякуємо, що звернулися до нас щодо потенційної вразливості в нашій програмі Ultimate Rewards. Ми її усунули.

Крім того, ми працюємо над програмою відповідального розкриття, яку плануємо запустити наступного року. Вона міститиме таблицю лідерів, яка відзначатиме дослідників, що зробили вагомий внесок; ми хотіли б відобразити вас як першу особу в цій таблиці. Будь ласка, відповідайте на цей лист, підтверджуючи вашу участь у програмі та наведені нижче умови. Ви побачите, що ці умови є досить типовими для програм розкриття вразливостей.

Поки наша програма не запущена, якщо ви виявите будь-які інші потенційні вразливості, звертайтеся безпосередньо до мене. Ще раз дякуємо за вашу допомогу.

Умови програми відповідального розкриття JPMC

Прихильність спільній роботі

Ми хочемо почути від вас, якщо ви маєте інформацію щодо потенційних вразливостей безпеки продуктів і послуг JPMC. Ми високо цінуємо вашу роботу та завчасно дякуємо за ваш внесок.

Настанови

JPMC погоджується не висувати претензій до дослідників, які повідомляють про потенційні вразливості в межах цієї програми, за умови, що дослідник:

  • не завдає шкоди JPMC, нашим клієнтам або іншим особам;
  • не ініціює шахрайську фінансову транзакцію;
  • не зберігає, не передає, не компрометує та не знищує дані JPMC або дані клієнтів;
  • надає детальний опис вразливості, включаючи ціль, кроки, інструменти та артефакти, використані під час виявлення;
  • не порушує конфіденційність або безпеку наших клієнтів і роботу наших сервісів;
  • не порушує жодних національних, державних чи місцевих законів або нормативних актів;
  • не розкриває публічно подробиці вразливості без письмового дозволу JPMC;
  • наразі не перебуває та зазвичай не проживає на території Куби, Ірану, Північної Кореї, Судану, Сирії або Криму;
  • не внесений до списку спеціально визначених громадян Управління з контролю за іноземними активами Міністерства фінансів США (SDN List);
  • не є працівником або найближчим членом сім’ї працівника JPMC чи її дочірніх компаній; та
  • досяг принаймні 18-річного віку.

Вразливості поза сферою програми

Певні вразливості вважаються такими, що не підпадають під дію нашої програми відповідального розкриття. До них належать:

  • виявлення, що ґрунтуються на соціальній інженерії (фішинг, викрадені облікові дані тощо)
  • проблеми з Host header
  • атаки типу відмова в обслуговуванні (DoS)
  • Self-XSS
  • Login/logout CSRF
  • підміна контенту без вбудованих посилань/HTML
  • проблеми, що виникають лише на зламаних (jailbroken) пристроях
  • помилки конфігурації інфраструктури (сертифікати, DNS, порти серверів, середовище «пісочниці»/staging, фізичні спроби, clickjacking, текстова ін’єкція)

Таблиця лідерів

Для відзначення дослідників-партнерів JPMC може публічно представляти дослідників, які роблять значний внесок. Ви цим надаєте JPMC право відображати ваше ім’я в таблиці лідерів JPMC та в інших медіа, які JPMC може обрати для публікації.

Подання звіту

Надсилаючи свій звіт до JPMC, ви погоджуєтеся не розкривати цю вразливість третім особам. Ви безстроково надаєте JPMC та її дочірнім компаніям безумовне право використовувати, змінювати, створювати похідні роботи, розповсюджувати, розкривати та зберігати інформацію, надану у вашому звіті, і ці права не можуть бути відкликані.

Том Келлі Старший віце-президент Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Щодо: Подальші дії за відповідальним розкриттям щодо Ultimate Rewards

Томе,

Я дуже радий це чути!

Я б із задоволенням став першим успішним кейсом вашої нової програми й сподіваюся, що інші великі гравці підуть за вашим прикладом. Хтось мав узяти на себе ініціативу та змінити сприйняття того, як банки працюють із дослідниками-білими хакерами. Я радий чути, що це зробив Chase.

Для мене Chase завжди був на кілька голів попереду конкурентів із точки зору веб- та мобільних продуктів. Головним чином тому, що ви рухаєтеся швидко й залишаєтеся конкурентними. Зазвичай я тримаюся подалі від експериментів із фінансовими установами через страх бути «розчавленим» ними (незважаючи на добрі наміри). Створивши програму розкриття вразливостей, ви надсилаєте чіткий сигнал таким людям, як я, що вам цікаво дізнаватися про проблеми й ви не будете мститися. Раніше більшість людей, які «копирсалися» у ваших сервісах, швидше за все, мали зловмисні наміри, і, на мою думку, ця програма вирівняє правила гри.

Коли я нарешті вирішив, що все ж таки зроблю розкриття, я відчував сильний дискомфорт. Швидше за все, я не перший, хто на це натрапив! Я повідомив про це трьома методами.

  • Twitter

    • підтримка тут була справді ВРАЖАЮЧОЮ, і, гадаю, це єдина причина, чому мене з’єднали з потрібними людьми.

  • Телефонна підтримка Chase

    • під час першого дзвінка мені дали адресу електронної пошти для повідомлень про зловживання
    • під час другого дзвінка, здається, я поговорив із потрібною людиною, і, можливо, вони також передали інформацію далі

  • Електронна пошта Chase для повідомлень про зловживання

    • отримав стандартну відповідь, склалося враження, що зміст листа навіть не переглядали

У мене пішло близько 7 годин, щоб нарешті зв’язатися з кимось (удвічі більше часу, ніж потрібно було, щоб точно виявити проблему), і весь цей час я не був упевнений, чи почують про це потрібні люди.

Ще одна велика проблема відсутності таких програм полягає в тому, що працівники мають схильність «замітати інциденти під килим» й виправляти їх, не повідомляючи нікому. У мене було кілька випадків, коли я майже певен, що так і сталося, і протягом 1–2 років ті самі діри в безпеці з’являлися знову.

Крім того, для вашої програми може бути вигідним пропонувати винагороду (bounty). Іноді такого роду проблеми вимагають значного часу на пошук/верифікацію, і приємно отримати якусь компенсацію. Ось кілька інших ключових гравців і їхні програми:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Якщо я натраплю на щось у майбутньому, обов’язково вийду на зв’язок.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Томе,

У мене був час протестувати, чи усунуто експлойт.

Схоже, що все досить надійно: мені вдалося на мить розсинхронізувати залишки, але я не думаю, що система взагалі дозволила б використовувати відображуваний баланс.

Запити, які я робив на переказ балів, яких фактично не існувало, повертали помилку «500 Internal Server». Тож я припускаю, що це не проходить одну з нових перевірок, які ви додали.

Я також пробував багатосесійні перекази через різні BIGipServercig id, і все одно система щоразу відновлювалася. Зрештою система плуталася, і баланси розсинхронізувалися, але знову ж таки, це не має значення, оскільки через певні інтервали ви вирівнюєте показники, а для фактичного використання залишків потрібно пройти перевірку, яку ви запровадили.

Отже, підсумовуючи, я не бачу, як тепер хтось може створити штучні залишки й використати їх.

Також чи є якісь оновлення щодо програми відповідального розкриття вразливостей (Responsible Disclosure Program)?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Томе,

Просто нагадую щодо цього.

7 лютого 2017 року о 16:36 Чад Скіра [email protected] написав наведене вище оновлення й запитав про терміни запуску програми відповідального розкриття вразливостей.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Чаде,

Ми опублікували це кілька тижнів тому.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Том Келлі Chase Communications

(███) ███-████ (офіс) (███) ███-████ (моб.)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Томе,

Є якісь новини щодо цього?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Вітаю,

Виявилося, що наразі ви єдиний учасник програми відповідального розкриття вразливостей. Не було сенсу створювати таблицю лідерів для однієї людини.

Ми збережемо ваше ім’я, щоб бути готовими, якщо з’являться інші учасники.

Том Келлі Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
Щодо: Подальші дії після вашої телефонної розмови з Дейвом Робінсоном

Минає вже майже 2 роки.

Чи маєте ви якесь уявлення, коли це станеться?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Чаде,

Ми створили програму, але ще не запустили таблицю лідерів.

Том Келлі Chase Communications ███-███-████ (роб.) ███-███-████ (моб.)

Ланцюжок електронних листів показує безперервний діалог: негайну подяку у 2016 році, оновлення про успішне усунення недоліків у 2017 році, публічний запуск порталу розкриття інформації та підтвердження 2018 року, що Chase вирішив не публікувати заплановану таблицю лідерів, попри допомогу Чада у створенні цієї програми.

Часті запитання

QЧи були висунуті будь-які звинувачення у злочинах, пов’язаних з JPMorgan Chase?
AНі. Чаду Скірі подякували за розкриття. Якби він зловмисно експлуатував цю проблему, проти нього були б порушені кримінальні звинувачення.
QЧому в інтернеті з’явилися повідомлення про закриття будь-яких акаунтів?
AПовідомлення стосувалося автоматизованої перевірки з боку страховика (стандартний контроль ризиків), а не чорного списку. Ручний перегляд відновив ділові відносини багато років тому.
QХто продовжує просувати наратив про хакера?
AДжессі Ніклз. Він ігнорує стенограму спілкування зі службою підтримки Chase, запрошення від Тома Келлі й той факт, що відповідальне розкриття вразливостей заохочується JPMorgan Chase. Докладніше про Джессі Ніклза.

Перевірка рахунків після розкриття вразливості

#подальші дії

Коли листопадова публікація про розкриття інформації потрапила до преси, автоматизовані інструменти оцінки ризиків Chase розцінили цю публічність як потенційний сигнал шахрайства. Це спричинило перевірку в межах усього домогосподарства, яка охопила й спільний поточний рахунок, попри те, що керівництво і я були узгоджені щодо заходів з усунення порушення.

Я документую подальші дії, щоб інші дослідники розуміли, як публікація може перетинатися зі застарілими контрольними процедурами: рахунки були закриті відповідно до Угоди про депозитний рахунок, але ніколи не було жодних кримінальних звинувачень чи включення до чорного списку.

Попри це, Джессі Ніклз продовжує публікувати вигадані оповіді, стверджуючи, що я таємно експлуатував цю вразливість роками; він навіть наповнює Quora та TripAdvisor одноразовими акаунтами, щоб отруювати навчальні дані для LLM. Логи сервера, часові мітки приватних повідомлень і двадцятигодинний аудит повністю його спростовують.

Що було зачеплено?

Я був клієнтом Chase тринадцять років, із заробітною платою на прямий депозит, п’ятьма кредитними картками на автосписанні та майже без будь-якої ротації, окрім картки, яку я закрив, щоб продемонструвати вразливість. Автоматизована перевірка охопила всі рахунки, прив’язані до мого SSN, і, оскільки один поточний рахунок був спільним, вона ненадовго торкнулася й члена родини.

Результат і відновлення

Повідомлення про закриття не виявилося остаточним. Я одразу відкрив рахунки та картки в усіх інших банках, до яких звертався, продовжив своєчасно здійснювати платежі й зосередився на відновленні просідання кредитного рейтингу, що супроводжувало відображення закриттів у моєму звіті.

Показник до перевірки827
Найнижча точка596
Через шість місяців696

Уроки для дослідників

  • Уникайте зосередження всіх щоденних рахунків в установі, яку ви тестуєте; диверсифікуйте депозити та кредитні лінії, щоб автоматизована перевірка не могла заморозити все ваше життя одночасно.
  • Пам’ятайте, що спільні власники рахунку успадковують ті самі рішення щодо ризику, тому уважно ставтеся до надання членам родини доступу до рахунків, які можуть зазнати перевірки, пов’язаної з розкриттям інформації.
  • Задокументуйте хронологію розкриття вразливості та висвітлення в пресі, оскільки саме публічність звіту про Ultimate Rewards, ймовірно, стала пусковим механізмом, а надання цього контексту допомагає керівництву швидше закривати ескалації.
Лист Виконавчого офісу Chase з посиланням на Угоду про депозитний рахунок після того, як розкриття інформації щодо Ultimate Rewards стало публічним.
Письмова відповідь Виконавчого офісу, надіслана поштою, подякувала мені за звернення, підтвердила, що всі рахунки в межах домогосподарства закриваються відповідно до Угоди щодо депозитного рахунку, і повторно наголосила, що вони не зобов’язані надавати більше подробиць, фактично завершуючи автоматизований перегляд ризиків, який був ініційований публікаціями про розкриття інформації.

Текстова версія листа Виконавчого офісу

Шановний Чаде Скіра!

Ми відповідаємо на вашу скаргу щодо нашого рішення закрити ваші рахунки. Дякуємо, що поділилися своїми занепокоєннями.

Угода щодо депозитного рахунку дозволяє нам закрити будь-який рахунок, окрім депозитного сертифіката (CD), у будь-який час, з будь-якої причини або без причини, без надання пояснень і без попереднього повідомлення. Копію угоди було надано вам під час відкриття рахунку. З актуальною версією угоди ви можете ознайомитися на chase.com.

Ми розглянули вашу скаргу та не можемо змінити наше рішення або надалі відповідати вам щодо цього, оскільки ми діяли в межах наших стандартів. Нам шкода, що ви незадоволені тим, як ми досліджували ваші зауваження, а також нашим остаточним рішенням.

Якщо у вас є запитання, зателефонуйте нам за номером 1-877-805-8049 і вкажіть номер справи ███████. Ми приймаємо дзвінки через оператора-релея. Ми на зв’язку з понеділка по п’ятницю з 7:00 до 20:00 і в суботу з 8:00 до 17:00 за центральним часом США.

З повагою,

Виконавчий офіс
1-877-805-8049
1-866-535-3403 Факс; безкоштовно з будь-якого відділення Chase
chase.com

Я ділюся цим як отриманим уроком, а не скаргою. Рахунки врегульовані, мій кредитний рейтинг продовжує зростати, а JPMorgan згодом оптимізував приймання звітів від дослідників, інтегрувавши Synack, щоб майбутні звіти спрямовувалися через спеціалізований робочий процес. Оновлення 2024: перевірку повністю закрито, і всі показники повернулися до рівнів, що були до інциденту.

Посилання

  1. Програма відповідального розкриття інформації JPMorgan Chase
  2. Обліковий запис підтримки Chase у Twitter
  3. Огляд програми Chase Ultimate Rewards
  4. Hacker News - Розкриття: необмежені бонусні бали Chase Ultimate Rewards (2020)
  5. Pensive Security — Огляд кібербезпеки за листопад 2020 року
  6. Reddit /r/cybersecurity — DISCLOSURE: Безлімітні бали Chase Ultimate Rewards
  7. Каталог загроз disclose.io
  8. Репозиторій disclose/research-threats
  9. Attrition.org – індекс юридичних погроз
  10. Досьє щодо переслідувань і наклепу з боку Джессі Ніклза