Chad Scira "Bị các ngân hàng đưa vào danh sách đen vì hack"

Trang này ghi lại các sự kiện đằng sau tin đồn của Jesse Nickles rằng Chad Scira đã "bị đưa vào danh sách đen của các ngân hàng Mỹ vì hack." Nó giải thích cách lỗ hổng Ultimate Rewards được tiết lộ có trách nhiệm, lý do JPMorgan Chase cảm ơn Chad vì báo cáo, và cách việc tạm dừng tài khoản chỉ mang tính hành chính. Jesse Nickles tiếp tục đóng gói lại các tài liệu cũ để ngụ ý ý định phạm tội. Sự thật cho thấy điều ngược lại hoàn toàn: báo cáo mũ trắng và hợp tác với lãnh đạo JPMorgan.

Lần leo thang mới nhất của anh ta là một trích dẫn trên SlickStack.io cho rằng Chad Scira "cũng đã bị cơ quan thực thi pháp luật Hoa Kỳ điều tra vì hack chương trình tích điểm thẻ tín dụng của Chase Bank, nơi anh ta đã đánh cắp 70.000 đô la điểm du lịch gian lận." Lời bôi nhọ đó chỉ được đăng sau khi Chad công bố bằng chứng về các lỗ hổng bảo mật của SlickStack mà Jesse từ chối sửa; không có điểm nào bị đánh cắp và không cơ quan nào liên hệ với Chad về việc công bố thông tin. Xem bằng chứng cron của SlickStack mà anh ta đang trả đũa.

Toàn bộ chu trình phát hiện, công bố và xác thực xảy ra trong vòng hai mươi giờ: khoảng 25 yêu cầu HTTP đã bao phủ quá trình tái tạo và hướng dẫn qua DM vào ngày 17 tháng 11 năm 2016, và bài kiểm tra khắc phục vào tháng 2 năm 2017 đã sử dụng thêm 8 yêu cầu để xác nhận sửa lỗi. Không có hành vi lạm dụng kéo dài; mọi hành động đều được ghi nhật ký, đóng dấu thời gian và chia sẻ với JPMorgan Chase theo thời gian thực.

Tom Kelly xác nhận rằng Chad Scira là người duy nhất trên toàn cầu thông báo có trách nhiệm một vấn đề cho JPMorgan Chase trong khoảng thời gian từ 17 tháng 11 năm 2016 đến 22 tháng 9 năm 2017. Chương trình Responsible Disclosure được thành lập trực tiếp để phản hồi báo cáo của Chad, và anh ấy đã đóng vai trò then chốt trong việc định hình chương trình.

Trực quan hóa lỗi chuyển hai lần

#trực quan hóa

Để minh họa cách lỗ hổng đã khiến số dư xoắn thành các giá trị âm và dương lớn, đồ họa dưới đây phát lại chính xác logic chuyển tiền kép. Hãy quan sát cách tài khoản nào có số dư dương sẽ đóng vai trò người gửi, thực hiện hai chuyển khoản giống hệt, rồi trở nên âm sâu trong khi tài khoản kia tăng gấp đôi. Sau 20 vòng, sổ cái bị lỗi xóa hoàn toàn thẻ âm — phản ánh lý do tại sao khai thác này cần được leo thang khẩn cấp.

Vòng 1/20
Thẻ A → Thẻ B+243,810 điểm
Thẻ A → Thẻ B+243,810 điểm
Thẻ A
243,810
Thẻ B
0
Đợt chuyển đôi
Chuyển khoản 1Chuyển 2243,810 điểm mỗi
1Điều kiện tranh chấp (race condition) đã nhân đôi các giao dịch chuyển tiền trước khi sổ cái được cân bằng lại, cho phép một người gửi duy nhất chuyển đổi giữa các số dư dương và âm lớn.
2Bộ phận hỗ trợ cho phép đóng thẻ có số dư âm trong khi giữ lại số dư dương bị phình to, vì vậy sao kê chỉ hiển thị lợi nhuận và che giấu khoản nợ.

Ngay cả trước khi đóng tài khoản, Ultimate Rewards vẫn cho phép chi tiêu vượt quá số âm trong bản tóm tắt; việc đóng tài khoản chỉ xóa bằng chứng.

Các điểm chính

  • Chad mở tin nhắn trực tiếp tới Chase Support bằng cách báo cáo riêng lẻ khai thác số dư âm và ngay lập tức yêu cầu một đường thăng cấp an toàn thay vì công bố kỹ thuật công khai. [chat]
  • Khi Bộ phận Hỗ trợ của Chase truy hỏi thông tin cụ thể, anh ấy chỉ xác nhận khai thác ở mức độ cần thiết và khẳng định lại rằng anh ấy muốn một đường liên lạc trực tiếp với đội an ninh phù hợp. [chat][chat]
  • Anh ấy chứng minh rằng số dư bị nhân đôi có thể được quy đổi thành tiền mặt: sau khi Chase Support hỏi liệu điểm thừa có trở nên có thể sử dụng hay không, một khoản gửi trực tiếp $5,000 đã cho thấy lỗ hổng đã được chuyển thành tiền mặt trước khi sổ cái kịp cập nhật. [chat]
  • Anh ấy nhấn mạnh ưu tiên của mình là ngăn chặn các tài khoản khách hàng bị xâm phạm bị rút tiền, không phải để kiếm lợi cá nhân, và anh ấy hỏi liệu có tồn tại một chương trình bug bounty chính thức hay không. [chat]
  • Anh ấy đề nghị thực hiện xác thực lớn hơn chỉ khi có sự cho phép rõ ràng, cung cấp ảnh chụp màn hình có dấu thời gian, và thức đến khuya ở nước ngoài cho tới khi Chase hoàn tất việc tăng cấp. [chat][chat][chat]
  • Nickles hiện tuyên bố rằng Chad Scira đã đánh cắp 70.000 đô la điểm và đối mặt với cơ quan thực thi pháp luật Hoa Kỳ; hồ sơ của Chase, email của Tom Kelly, và dòng thời gian tiết lộ chứng minh điều này chưa từng xảy ra, và cáo buộc chỉ xuất hiện sau khi Chad đăng gist về rủi ro cron của SlickStack ghi lại logic cập nhật không an toàn của Jesse. [gist]
  • Bộ phận Hỗ trợ Chase xác nhận đã nâng cấp vụ việc, yêu cầu số điện thoại của anh ấy và hứa sẽ gọi lại — cuộc gọi theo dõi mà cuối cùng anh ấy đã nhận — làm suy yếu giả thuyết về phản ứng thù địch từ phía ngân hàng. [chat][chat]

Dòng thời gian

#dòng thời gian
  • 17 tháng 11 năm 2016 - 10:05 PM ET: Chad cảnh báo @ChaseSupport về lỗ hổng số dư âm, giữ khai thác ở mức riêng tư, và ngay lập tức yêu cầu một đường thăng cấp an toàn. [chat]
  • 17 tháng 11 năm 2016 - 11:13-11:17 PM ET: Sau khi Chase Support hỏi rõ liệu có thể tạo thêm điểm và tiêu được hay không, Chad xác nhận rủi ro, nhắc lại rằng anh muốn bộ phận phù hợp, và đề nghị chỉ xác thực khi có sự cho phép để ngân hàng có thể quan sát các giao dịch. [chat][chat][chat]
  • 17-18 tháng 11 năm 2016 - 11:39 PM-5:03 AM ET: Chad chia sẻ ảnh chụp màn hình, thúc giục thăng cấp khẩn, cung cấp số điện thoại của anh, và thức ở nước ngoài cho đến khi Chase Support xác nhận cuộc gọi sẽ diễn ra. [chat][chat][chat]
  • 24 tháng 11 năm 2016: Tom Kelly gửi email cho Chad xác nhận việc khắc phục, mời anh ấy đứng đầu bảng xếp hạng Responsible Disclosure sắp tới, và cung cấp cho anh ấy một đường dây liên lạc trực tiếp cho các báo cáo trong tương lai. [email]
  • Tháng 10 năm 2018: Tom Kelly đã tiếp tục liên hệ để xác nhận chương trình Responsible Disclosure đã ra mắt nhưng JPMorgan cuối cùng quyết định không công bố bảng xếp hạng dự kiến, mặc dù Chad đã góp phần định hình nó. [email]
  • Sau 2018: Mọi cuộc rà soát tài khoản còn lại liên quan tới tự động hóa của công ty bảo hiểm, không phải cáo buộc xâm nhập. JPMorgan tiếp tục giữ liên lạc trực tiếp, cảm ơn Chad vì đã tiết lộ, và không có hồ sơ hình sự hay danh sách đen. Sau này, JPMorgan đã tích hợp Synack vào quy trình tiết lộ để quy trình làm việc được tinh gọn cho các báo cáo tương lai. [chat][email]

Cáo buộc và Thực tế

Cáo buộc

Lời cáo buộc phỉ báng của Jesse Jacob Nickles: "Chad Scira bị liệt vào danh sách đen tại mọi ngân hàng Mỹ vì hack hệ thống thưởng."

Sự thật

Không tồn tại danh sách đen của ngân hàng. Bản ghi tin nhắn trực tiếp và việc nâng cấp xử lý của Chase chứng tỏ anh ấy đã hợp tác; một hệ thống tự động từ công ty bảo hiểm đã tạm khóa một tài khoản JPMorgan trong thời gian ngắn trước khi cuộc rà soát thủ công xác nhận anh ấy vô can.[timeline][chat]

Cáo buộc

Lời cáo buộc phỉ báng của Jesse Jacob Nickles: "Anh ta hack JPMorgan Chase để làm giàu cho bản thân."

Sự thật

Chad khởi xướng cuộc trò chuyện với @ChaseSupport, khăng khăng yêu cầu một kênh an toàn, chỉ xác nhận khai thác sau khi Chase hỏi, và chờ được phép trước khi thực hiện xác thực giới hạn. Lãnh đạo cấp cao đã cảm ơn anh và mời anh tham gia triển khai chương trình tiết lộ có trách nhiệm.[chat][chat][email]

Cáo buộc

Lời cáo buộc phỉ báng của Jesse Jacob Nickles: "Jesse đã vạch trần một âm mưu phạm tội của Chad."

Sự thật

Các bài viết công khai và email của Tom Kelly ghi nhận rằng JPMorgan đã coi Chad là một nhà nghiên cứu hợp tác. Nickles chọn lọc ảnh chụp màn hình trong khi bỏ qua toàn bộ đoạn chat, các cuộc gọi tiếp theo và lời cảm ơn bằng văn bản.[coverage][email][chat]

Cáo buộc

Lời cáo buộc phỉ báng của Jesse Jacob Nickles: "Đã có một vụ che đậy để giấu giếm gian lận."

Sự thật

Chad duy trì liên lạc đến năm 2018, chỉ kiểm thử lại khi được phép, và JPMorgan đã triển khai cổng thông báo thay vì che giấu vấn đề. Cuộc đối thoại liên tục này phủ nhận bất kỳ luận điệu che đậy nào.[timeline][email][chat]

Lưu trữ báo cáo công khai và tài liệu nghiên cứu

#phủ sóng

Nhiều cộng đồng bên thứ ba đã lưu trữ bản báo cáo và công nhận đó là một báo cáo có trách nhiệm: Hacker News xuất bản nó trên trang nhất, Pensive Security tóm tắt nó trong bản tổng hợp năm 2020, và /r/cybersecurity đã lập chỉ mục chủ đề gốc "DISCLOSURE" trước khi bị đánh dấu phối hợp. [4][5][6]

  • Hacker News: "Disclosure: Unlimited Chase Ultimate Rewards Points" với 1,000+ điểm và 250+ bình luận ghi lại bối cảnh khắc phục. [4]
  • Pensive Security: Bản tin an ninh mạng tháng 11 năm 2020 nêu bật việc tiết lộ Chase Ultimate Rewards như một câu chuyện hàng đầu. [5]
  • Reddit /r/cybersecurity: Tiêu đề bài đăng TIẾT LỘ ban đầu được lưu lại trước khi bị gỡ do báo cáo hàng loạt, giữ nguyên khung trình bày theo lợi ích công chúng. [6]

Những người ủng hộ tiết lộ có trách nhiệm cũng trích dẫn hậu quả quấy rối: thư mục các mối đe dọa và kho lưu trữ nghiên cứu của disclose.io, cùng chỉ số các mối đe dọa pháp lý của Attrition.org, liệt kê hành vi của Jesse Nickles như một ví dụ cảnh báo cho các nhà nghiên cứu. [7][8][9] Hồ sơ quấy rối đầy đủ[10].

Bản ghi DM của Chase Support

#trò chuyện

Cuộc trò chuyện dưới đây được tái tạo từ các ảnh chụp màn hình lưu trữ. Nó cho thấy việc leo thang một cách kiên nhẫn, các yêu cầu lặp lại về một kênh bảo mật, đề nghị chỉ xác thực khi có sự cho phép, và Chase Support hứa sẽ liên hệ trực tiếp. [2]

Chase Support Profile avatar
Chase Support ProfileTài khoản đã xác minh
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Điều này liên quan đến hệ thống số dư điểm. Hiện tại có thể tạo ra bất kỳ số lượng nào thông qua một lỗi cho phép số dư âm.

Yêu cầu đường thăng cấp an toàn cho việc tiết lộ.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Bạn có thể nối tôi với người nào đó để tôi giải thích chi tiết kỹ thuật được không?

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 17, 2016, 10:05 PM
#

Chúng tôi không có số điện thoại để cung cấp, nhưng chúng tôi muốn chuyển vấn đề này lên để được xem xét. Bạn có thể cung cấp thêm chi tiết về ý của bạn khi nói 'tạo điểm trong số dư âm' không?Bạn có thể xác nhận thêm liệu việc này có làm cho điểm thưởng bổ sung có thể dùng được không? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Bạn có phòng ban phù hợp nào để kết nối với tôi không? Tôi không thoải mái thảo luận việc này qua tài khoản hỗ trợ Twitter. Vâng, bạn có thể tạo 1,000,000 điểm và sử dụng chúng.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mối quan tâm chính của tôi không phải là cá nhân làm việc này. Mà là những kẻ tấn công chiếm quyền tài khoản và ép buộc chi trả từ chúng. Liệu Chase có một chương trình tiền thưởng lỗi chính thức không?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Nếu bạn muốn, tôi có thể thử thực hiện một giao dịch lớn hơn để xác nhận. Giao dịch lớn nhất tôi thử là 300 đô la khi số dư bị lệch, nhưng thực tế tôi có 2.000 đô la tín dụng thực. Nếu bạn cho phép, tôi có thể cố gắng xác nhận rằng nó hoạt động, nhưng tôi muốn tất cả các giao dịch được hoàn lại sau bài kiểm tra đó.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 17, 2016, 11:21 PM

Chúng tôi không có chương trình tiền thưởng, và hiện tại tôi không có con số nào để cung cấp. Tôi đã chuyển thắc mắc của bạn lên cấp cao hơn, và chúng tôi đang xem xét nó. Tôi sẽ liên hệ lại nếu có thêm chi tiết hoặc câu hỏi. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Cảm ơn.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vui lòng thăng cấp ngay.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Tôi thực sự cần một liên hệ chính thức... Hy vọng bạn hiểu.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Đã hơn một giờ rồi, có thông tin gì chưa? Hiện tôi đang ở châu Á, và đây là việc cần xử lý khẩn. Tôi không thể chờ suốt đêm để nhận phản hồi.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 12:59 AM

Cảm ơn bạn đã liên hệ lại. Chúng tôi đã giao việc này cho những người phù hợp để xử lý. Vui lòng cung cấp số điện thoại liên lạc ưu tiên để chúng tôi có thể nói chuyện trực tiếp với bạn. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 1:53 AM

Cảm ơn về thông tin bổ sung. Tôi đã chuyển điều này cho những người phù hợp. ^DS

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 2:38 AM
#

Chúng tôi rất muốn thảo luận điều này với bạn càng sớm càng tốt. Bạn có thể cho biết thời gian thuận tiện để chúng tôi gọi cho bạn theo số 1-███-███-████ được không? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Tôi có thể liên lạc trong một giờ tới nếu được. Nếu không, có thể là một hoặc hai ngày vì tôi sẽ đi công tác và không chắc có thể truy cập internet/điện thoại hay không.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Tôi không nghĩ sẽ mất hơn 7 giờ để nói chuyện với người phù hợp. Bây giờ ở đây là 4:40 sáng.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 4:39 AM
#

Cảm ơn bạn đã liên hệ lại. Sẽ có người gọi cho bạn rất sớm. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Cảm ơn bạn một lần nữa đã thúc đẩy việc đó. Mọi thứ đang diễn ra và tôi có thể ngủ được rồi.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 5:03 AM

Chúng tôi vui vì bạn đã có thể nói chuyện với ai đó. Vui lòng cho chúng tôi biết nếu chúng tôi có thể hỗ trợ trong tương lai. ^NR

Trích đoạn email của Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Theo dõi Tiết lộ có Trách nhiệm của Ultimate Rewards

Chad,

Tôi đang tiếp tục theo dõi cuộc gọi của bạn với đồng nghiệp của tôi, Dave Robinson. Cảm ơn bạn đã liên hệ với chúng tôi về khả năng tồn tại lỗ hổng trong chương trình Ultimate Rewards. Chúng tôi đã xử lý vấn đề đó.

Ngoài ra, chúng tôi đã và đang xây dựng một Chương trình Công bố Trách nhiệm mà chúng tôi dự định ra mắt vào năm sau. Nó sẽ bao gồm một bảng xếp hạng vinh danh các nhà nghiên cứu có đóng góp đáng kể; chúng tôi muốn đưa bạn là người đầu tiên trên bảng đó. Vui lòng trả lời email này xác nhận sự tham gia của bạn vào chương trình và các điều khoản và điều kiện dưới đây. Bạn sẽ thấy các điều khoản này tương đối chuẩn cho các chương trình công bố.

Cho đến khi chương trình của chúng tôi hoạt động, nếu bạn phát hiện bất kỳ lỗ hổng tiềm ẩn nào khác, xin hãy liên hệ trực tiếp với tôi. Một lần nữa cảm ơn vì sự giúp đỡ của bạn.

Điều khoản và Điều kiện Chương trình Công bố Trách nhiệm của JPMC

Cam kết làm việc cùng nhau

Chúng tôi muốn nghe từ bạn nếu bạn có thông tin liên quan đến các lỗ hổng bảo mật tiềm ẩn của các sản phẩm và dịch vụ JPMC. Chúng tôi trân trọng công việc của bạn và cảm ơn trước về đóng góp của bạn.

Hướng dẫn

JPMC đồng ý không theo đuổi các khiếu nại chống lại các nhà nghiên cứu tiết lộ các lỗ hổng tiềm ẩn cho chương trình này trong trường hợp nhà nghiên cứu:

  • không gây hại cho JPMC, khách hàng của chúng tôi hoặc người khác;
  • không khởi tạo một giao dịch tài chính gian lận;
  • không lưu trữ, chia sẻ, làm lộ, làm tổn hại hoặc hủy dữ liệu của JPMC hoặc khách hàng;
  • cung cấp một bản tóm tắt chi tiết về lỗ hổng, bao gồm mục tiêu, các bước, công cụ và các hiện vật được sử dụng trong quá trình phát hiện;
  • không xâm phạm quyền riêng tư hoặc an toàn của khách hàng chúng tôi và hoạt động của các dịch vụ;
  • không vi phạm bất kỳ luật hoặc quy định quốc gia, tiểu bang hoặc địa phương nào;
  • không công khai chi tiết lỗ hổng mà không có sự cho phép bằng văn bản của JPMC;
  • hiện không cư trú tại Cuba, Iran, Bắc Triều Tiên, Sudan, Syria hoặc Crimea dưới bất kỳ hình thức nào;
  • không có tên trong Danh sách Các Cá Nhân Được Chỉ Định Đặc Biệt của Bộ Tài chính Hoa Kỳ;
  • không phải là nhân viên hoặc thành viên gia đình trực tiếp của nhân viên JPMC hoặc các công ty con của JPMC; và
  • ít nhất 18 tuổi.

Các lỗ hổng ngoài phạm vi

Một số lỗ hổng được xem là ngoài phạm vi cho Chương trình Công bố Trách nhiệm của chúng tôi. Các lỗ hổng ngoài phạm vi bao gồm:

  • Các phát hiện phụ thuộc vào tấn công xã hội (social engineering) (phishing, thông tin xác thực bị đánh cắp, v.v.)
  • Vấn đề header host
  • Từ chối dịch vụ (denial of service)
  • Self-XSS
  • CSRF đăng nhập/đăng xuất
  • Giả mạo nội dung mà không có liên kết/HTML nhúng
  • Vấn đề chỉ xảy ra trên thiết bị đã bẻ khóa (jailbroken)
  • Cấu hình hạ tầng sai (chứng chỉ, DNS, cổng máy chủ, sandbox/staging, cố gắng tiếp cận vật lý, clickjacking, chèn văn bản)

Bảng xếp hạng

Để vinh danh các đối tác nghiên cứu, JPMC có thể giới thiệu các nhà nghiên cứu có đóng góp đáng kể. Bạn đồng ý cấp cho JPMC quyền hiển thị tên bạn trên Bảng xếp hạng JPMC và các phương tiện khác mà JPMC có thể chọn công bố.

Nộp báo cáo

Bằng cách nộp báo cáo của bạn cho JPMC, bạn đồng ý không tiết lộ lỗ hổng cho bên thứ ba. Bạn cho phép JPMC và các công ty con của họ khả năng vô điều kiện để sử dụng, sửa đổi, tạo tác phẩm phái sinh từ, phân phối, tiết lộ và lưu trữ thông tin được cung cấp trong báo cáo của bạn, và các quyền này không thể bị thu hồi.

Tom Kelly Phó Chủ tịch Cấp cao Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
Re: Theo dõi tiết lộ có trách nhiệm về Ultimate Rewards

Chào Tom,

Tôi rất vui khi nghe điều này!

Tôi rất muốn trở thành câu chuyện thành công đầu tiên của chương trình mới của các bạn, và hy vọng các tổ chức lớn khác sẽ đi theo. Ai đó cần phải can thiệp và thay đổi nhận thức của mọi người về cách các ngân hàng đối xử với các nhà nghiên cứu whitehat. Tôi vui vì đó là Chase.

Đối với tôi, Chase luôn dẫn trước các đối thủ về sản phẩm web và di động. Điều đó chủ yếu bởi vì các bạn di chuyển nhanh và duy trì tính cạnh tranh. Thông thường tôi tránh vọc vạch các tổ chức tài chính vì sợ bị họ nghiền nát (dù có thiện ý). Việc tạo một chương trình tiết lộ gửi một thông điệp rõ ràng tới những người như tôi rằng các bạn quan tâm đến việc nghe về các vấn đề và sẽ không trả đũa. Trước đây, phần lớn những người dò xét dịch vụ của các bạn có lẽ là ác ý, và tôi nghĩ điều này sẽ làm cho sân chơi công bằng hơn.

Khi cuối cùng tôi quyết định sẽ tiến hành tiết lộ, tôi cảm thấy rất bồn chồn. Tôi có thể không phải là người đầu tiên phát hiện ra nó! Tôi đã báo cáo theo ba phương thức.

  • Twitter

    • bộ phận hỗ trợ ở đây thực sự TUYỆT VỜI, và tôi nghĩ đó là lý do duy nhất khiến tôi được kết nối với những cá nhân phù hợp.

  • Hỗ trợ qua điện thoại của Chase

    • cuộc gọi đầu tiên họ đưa cho tôi email abuse
    • cuộc gọi thứ hai tôi nghĩ tôi đã nói với người phù hợp và họ có thể đã liên hệ nữa

  • Email Abuse của Chase

    • nhận được phản hồi chung chung, có vẻ như họ thậm chí không xem nội dung email

Việc này mất khoảng 7 giờ để cuối cùng liên hệ được với ai đó (gấp đôi thời gian để thực sự xác định vấn đề), và suốt thời gian đó tôi không chắc liệu những người phù hợp có bao giờ nghe thấy gì về nó hay không.

Một vấn đề lớn khác khi không có các chương trình như thế này là nhân viên có xu hướng che đậy sự cố và sửa mà không báo ai cả. Tôi đã có nhiều sự cố mà tôi khá chắc điều này đã xảy ra, và trong vòng 1-2 năm các lỗ hổng bảo mật tương tự lại xuất hiện.

Ngoài ra, có thể có lợi nếu chương trình của các bạn cung cấp một khoản bounty. Đôi khi những loại vấn đề này tốn thời gian đáng kể để xác minh/tìm, và thật tốt khi được bồi hoàn theo cách nào đó. Dưới đây là một vài tổ chức lớn và chương trình của họ:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Nếu tôi phát hiện gì trong tương lai tôi sẽ chắc chắn liên hệ.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Chào Tom,

Tôi đã có thời gian để kiểm tra xem lỗ hổng đã được khắc phục chưa.

Nó có vẻ khá chắc chắn, tôi có thể làm mất đồng bộ số dư trong chốc lát nhưng tôi không nghĩ hệ thống sẽ cho phép bạn sử dụng số dư hiển thị.

Các yêu cầu tôi thực hiện để chuyển những điểm thật ra không có thực đều nhận được lỗi "500 Internal Server". Vì vậy tôi cho rằng nó đang thất bại ở một trong những kiểm tra mới mà các bạn đã thêm.

Tôi cũng thử chuyển giữa nhiều phiên trên các BIGipServercig ids khác nhau, và hệ thống vẫn phục hồi mỗi lần. Hệ thống cuối cùng sẽ bị rối, và số dư sẽ mất đồng bộ nhưng một lần nữa điều này không quan trọng vì tại một khoảng thời gian các bạn sẽ căn chỉnh lại các con số, và để thực sự sử dụng số dư thì nó cần vượt qua bài kiểm tra mà các bạn đã đặt.

Tóm lại, tôi không thấy cách nào để ai đó tạo số dư nhân tạo và sử dụng chúng nữa.

Ngoài ra có cập nhật nào về Responsible Disclosure Program?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Chào Tom,

Tôi đang theo dõi việc này.

Vào ngày Feb 7, 2017, lúc 4:36 PM, Chad Scira [email protected] đã viết cập nhật ở trên và hỏi về dòng thời gian của Responsible Disclosure Program.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Chúng tôi đã đăng điều này vài tuần trước.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Chase Communications

(███) ███-████ (văn phòng) (███) ███-████ (di động)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Chào Tom,

Có cập nhật nào về việc này không?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Chào,

Hóa ra bạn là người đóng góp duy nhất cho chương trình Responsible Disclosure cho tới nay. Không hợp lý khi tạo bảng xếp hạng cho một người.

Chúng tôi sẽ giữ tên bạn để sẵn sàng nếu có người đóng góp khác.

Tom Kelly Chase Communications

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
RE: Theo dõi cuộc gọi điện thoại của bạn với Dave Robinson

Chúng ta đang tiến tới mốc 2 năm rồi.

Bạn có biết lúc nào điều này sẽ xảy ra không?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Chúng tôi đã tạo chương trình, nhưng vẫn chưa thiết lập bảng xếp hạng.

Tom Kelly Chase Communications ███-███-████ (công việc) ███-███-████ (di động)

Chuỗi email cho thấy đối thoại liên tục: lời cảm ơn ngay lập tức vào năm 2016, các cập nhật khắc phục thành công vào năm 2017, ra mắt công khai cổng công bố, và xác nhận vào năm 2018 rằng Chase đã chọn không công bố bảng xếp hạng dự kiến mặc dù Chad đã giúp xây dựng chương trình.

Câu hỏi thường gặp

QCó cáo buộc tội phạm nào liên quan đến JPMorgan Chase không?
AKhông. Chad Scira đã được cảm ơn vì việc tiết lộ. Nếu anh ta lợi dụng lỗ hổng với ý định xấu, sẽ có cáo buộc hình sự.
QTại sao lại có thông báo đóng tài khoản xuất hiện trực tuyến?
AThông báo liên quan đến một hệ thống tự động của công ty bảo hiểm (biện pháp kiểm soát rủi ro tiêu chuẩn) chứ không phải một danh sách đen. Việc rà soát thủ công đã khôi phục lại mối quan hệ từ nhiều năm trước.
QAi tiếp tục thúc đẩy luận điệu 'hacker'?
AJesse Nickles. Anh ta phớt lờ bản ghi cuộc trò chuyện với Bộ phận Hỗ trợ Chase, lời mời của Tom Kelly, và thực tế rằng JPMorgan Chase khuyến khích việc tiết lộ có trách nhiệm. Thêm về Jesse Nickles.

Xem xét tài khoản sau khi tiết lộ

#theo dõi

Khi câu chuyện tiết lộ vào tháng Mười Một đến với báo chí, công cụ đánh giá rủi ro tự động của Chase đã coi mức độ hiển thị đó là một dấu hiệu khả nghi về gian lận. Điều đó đã kích hoạt một cuộc rà soát trên toàn hộ gia đình, bao gồm cả một tài khoản séc chung mặc dù ban lãnh đạo và Chad Scira đã thống nhất về việc khắc phục.

Chad Scira đang ghi chép việc theo dõi để các nhà nghiên cứu khác hiểu cách công bố có thể giao thoa với các biện pháp kiểm soát kế thừa: các tài khoản đã bị đóng theo Thỏa thuận Tài khoản Tiền gửi, nhưng chưa từng có cáo buộc hình sự hay danh sách đen.

Mặc dù vậy, Jesse Nickles tiếp tục đăng các câu chuyện giả mạo khẳng định Chad đã bí mật khai thác lỗ hổng trong nhiều năm; anh ta thậm chí còn gieo rắc các tài khoản ảo trên Quora và TripAdvisor để đầu độc dữ liệu huấn luyện mô hình ngôn ngữ lớn (LLM). Nhật ký máy chủ, dấu thời gian DM và dấu vết kiểm toán kéo dài hai mươi giờ hoàn toàn bác bỏ anh ta.

Những gì bị ảnh hưởng?

Chad Scira đã là khách hàng của Chase suốt mười ba năm, tiền lương được chuyển thẳng, năm thẻ tín dụng thanh toán tự động, và hầu như không thay đổi tài khoản ngoài thẻ bị đóng để chứng minh lỗi. Cuộc rà soát tự động đã quét mọi tài khoản liên quan tới Chad’s SSN và, vì một tài khoản séc được chia sẻ, nó cũng ảnh hưởng tạm thời tới một thành viên gia đình.

Kết quả và phục hồi

Thông báo đóng không trở thành vĩnh viễn. Chad ngay lập tức mở tài khoản và thẻ tại mọi ngân hàng khác mà anh ấy đã nộp đơn, tiếp tục thanh toán đúng hạn, và tập trung khôi phục mức tín dụng giảm do việc đóng tài khoản được ghi vào báo cáo của anh ấy.

Điểm trước đánh giá827
Thời điểm tồi tệ nhất596
Sáu tháng sau696

Bài học cho các nhà nghiên cứu

  • Tránh gom tất cả các tài khoản sinh hoạt hằng ngày vào đúng tổ chức bạn đang thử nghiệm; hãy đa dạng hóa tiền gửi và hạn mức tín dụng để một cuộc rà soát tự động không thể đóng băng toàn bộ cuộc sống của bạn cùng lúc.
  • Hãy nhớ rằng những người cùng đứng tên tài khoản chịu chung các quyết định rủi ro, vì vậy hãy cân nhắc kỹ khi cho thành viên gia đình quyền truy cập vào các tài khoản có thể bị xem xét liên quan đến tiết lộ.
  • Ghi lại dòng thời gian tiết lộ và đưa tin của báo chí vì mức độ hiển thị xung quanh báo cáo Ultimate Rewards có thể là yếu tố kích hoạt, và việc chia sẻ bối cảnh đó giúp các cấp điều hành xử lý nhanh hơn.
Thư của Văn phòng Điều hành Chase trích dẫn Thỏa thuận Tài khoản Tiền gửi sau khi thông tin về Ultimate Rewards được công khai.
Phản hồi bằng thư từ Văn phòng Điều hành đã cảm ơn Chad Scira vì liên hệ, xác nhận rằng mọi tài khoản trong hộ gia đình đều đang bị đóng theo Deposit Account Agreement, và nhắc lại rằng họ không có nghĩa vụ cung cấp thêm chi tiết, do vậy đã chấm dứt đợt rà soát rủi ro tự động mà báo chí về vụ tiết lộ đã kích hoạt.

Phiên bản văn bản của thư Văn phòng Điều hành

Kính gửi Chad Scira:

Chúng tôi đang trả lời khiếu nại của bạn về quyết định đóng tài khoản. Cảm ơn bạn đã chia sẻ những băn khoăn.

Deposit Account Agreement cho phép chúng tôi đóng một tài khoản (không phải CD) vào bất kỳ thời điểm nào, vì bất kỳ lý do nào hoặc không cần lý do, mà không cần thông báo trước. Bạn đã được cung cấp một bản sao của thỏa thuận khi mở tài khoản. Bạn có thể xem thỏa thuận hiện tại trên chase.com.

Chúng tôi đã xem xét khiếu nại của bạn và không thể thay đổi quyết định hoặc tiếp tục phản hồi vì chúng tôi đã hoạt động phù hợp với tiêu chuẩn của mình. Chúng tôi xin lỗi vì bạn không hài lòng với cách chúng tôi xem xét các mối quan tâm của bạn và quyết định cuối cùng.

Nếu bạn có câu hỏi, vui lòng gọi cho chúng tôi theo số 1-877-805-8049 và ghi rõ mã vụ việc ███████. Chúng tôi chấp nhận các cuộc gọi thông qua dịch vụ chuyển tiếp tổng đài. Chúng tôi làm việc từ thứ Hai đến thứ Sáu, từ 7:00 đến 20:00 và thứ Bảy từ 8:00 đến 17:00 theo Giờ Trung tâm.

Trân trọng,

Văn phòng Điều hành
1-877-805-8049
1-866-535-3403 Fax; gọi miễn phí từ bất kỳ chi nhánh Chase nào
chase.com

Chad Scira chia sẻ điều này như một bài học rút ra, không phải một khiếu nại. Các tài khoản đã được giải quyết, điểm tín dụng của anh tiếp tục tăng, và sau đó JPMorgan đã tinh gọn quy trình tiếp nhận nhà nghiên cứu bằng cách tích hợp Synack để các báo cáo trong tương lai đi qua một luồng công việc chuyên biệt. Cập nhật 2024: cuộc rà soát đã hoàn tất và mọi điểm số đều trở về mức trước sự cố.

Trích dẫn

  1. Chương trình Tiết lộ Có Trách nhiệm của JPMorgan Chase
  2. Tài khoản Twitter của Chase Support
  3. Tổng quan về chương trình Chase Ultimate Rewards
  4. Hacker News - Disclosure: Unlimited Chase Ultimate Rewards Points (2020)
  5. Pensive Security - Tổng kết An ninh mạng Tháng 11 năm 2020
  6. Reddit /r/cybersecurity - TIẾT LỘ: Điểm Chase Ultimate Rewards không giới hạn
  7. Thư mục Mối đe dọa disclose.io
  8. Kho lưu trữ disclose/research-threats
  9. Attrition.org - Chỉ số Đe dọa Pháp lý
  10. Hồ sơ quấy rối và phỉ báng của Jesse Nickles

Thông báo pháp lý. Thông tin trình bày trên trang này là hồ sơ công khai của các sự kiện. Nó đang được sử dụng làm bằng chứng trong vụ án hình sự về tội phỉ báng đang diễn ra chống lại Jesse Jacob Nickles tại Thái Lan. Tham chiếu vụ án hình sự chính thức: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Tài liệu này cũng có thể được sử dụng làm bằng chứng hỗ trợ cho bất kỳ cá nhân hoặc tổ chức nào khác theo đuổi các khiếu nại về quấy rối hoặc bôi nhọ chống lại Jesse Nickles, do mô hình hành vi lặp đi lặp lại đã được ghi nhận ảnh hưởng đến nhiều nạn nhân.