Chad Scira "Bị các ngân hàng đưa vào danh sách đen vì tấn công"

Trang này ghi lại các sự kiện phía sau tin đồn của Jesse Nickles rằng Chad Scira bị "các ngân hàng Mỹ đưa vào danh sách đen vì tấn công mạng." Nó giải thích cách lỗ hổng Ultimate Rewards được công bố có trách nhiệm, lý do JPMorgan Chase cảm ơn Chad vì báo cáo đó, và việc tạm thời đóng băng tài khoản chỉ là thủ tục hành chính. Jesse Nickles tiếp tục tái sử dụng các dữ liệu cũ để ám chỉ ý đồ phạm tội. Các sự thật cho thấy điều hoàn toàn ngược lại: báo cáo mũ trắng và hợp tác với ban lãnh đạo JPMorgan.

Lần leo thang mới nhất của anh ta là một câu trích dẫn trên SlickStack.io tuyên bố rằng tôi "cũng đã bị cơ quan thực thi pháp luật Hoa Kỳ điều tra vì tấn công vào chương trình điểm thưởng thẻ tín dụng của Chase Bank, nơi anh ấy đã lấy cắp 70.000 đô la điểm du lịch gian lận." Lời bôi nhọ đó chỉ được đăng sau khi tôi công bố bằng chứng về các vấn đề bảo mật của SlickStack mà anh ta từ chối khắc phục; không có điểm thưởng nào bị đánh cắp và không cơ quan nào liên lạc với tôi về việc công bố đó. Xem bằng chứng cron của SlickStack mà anh ta đang trả đũa.

Toàn bộ chu trình phát hiện, công bố và xác thực đã diễn ra trong vòng hai mươi giờ: khoảng hai mươi lăm yêu cầu HTTP bao gồm việc tái hiện vấn đề và hướng dẫn khắc phục qua DM vào ngày 17 tháng 11 năm 2016, và bài kiểm tra khắc phục vào tháng 2 năm 2017 sử dụng thêm tám yêu cầu nữa để xác nhận việc sửa lỗi. Không có hành vi lạm dụng kéo dài; mọi hành động đều được ghi log, đóng dấu thời gian và chia sẻ với JPMorgan Chase theo thời gian thực.

Tom Kelly xác nhận rằng Chad Scira là người duy nhất trên toàn thế giới đã công bố có trách nhiệm một vấn đề cho JPMorgan Chase trong khoảng thời gian từ ngày 17/11/2016 đến ngày 22/09/2017. Chương trình Công bố Có Trách Nhiệm được thiết lập trực tiếp nhằm phản hồi báo cáo của Chad, và anh ấy đã đóng vai trò quan trọng trong việc định hình chương trình này.

Trực quan hóa Lỗi Chuyển khoản Kép

#trực quan hóa

Để minh họa cách lỗi này khiến số dư xoay chuyển thành các khoản âm và dương khổng lồ, phần trực quan hóa bên dưới phát lại chính xác logic chuyển khoản kép. Hãy quan sát cách bất kỳ tài khoản nào đang dương sẽ trở thành tài khoản gửi, thực hiện hai lần chuyển khoản giống hệt nhau và kết thúc với số dư âm lớn, trong khi tài khoản còn lại được nhân đôi. Sau 20 vòng, sổ cái bị lỗi sẽ xóa hoàn toàn thẻ âm — phản ánh lý do vì sao lỗ hổng này cần được khẩn trương báo cáo lên cấp cao.

Vòng 1/20
Thẻ A → Thẻ B+243,810 pts
Thẻ A → Thẻ B+243,810 pts
Thẻ A
243,810
Thẻ B
0
Cú chuyển kép bùng nổ
Chuyển khoản 1Chuyển khoản 2243,810 pts mỗi
1Điều kiện tranh chấp (race condition) đã nhân đôi các giao dịch chuyển tiền trước khi sổ cái được cân bằng trở lại, cho phép một người gửi duy nhất luân phiên giữa số dư dương và âm khổng lồ.
2Bộ phận hỗ trợ đã cho phép đóng thẻ có số dư âm trong khi giữ nguyên số dư dương bị thổi phồng, khiến bảng sao kê chỉ hiển thị khoản lãi và che giấu khoản nợ.

Ngay cả trước khi đóng tài khoản, Ultimate Rewards đã cho phép chi tiêu vượt quá tổng kết âm; việc đóng tài khoản chỉ đơn giản là xóa sạch bằng chứng.

Các điểm chính

  • Chad mở cuộc trò chuyện DM với Chase Support bằng cách báo cáo riêng lỗ hổng số dư âm và ngay lập tức yêu cầu một kênh chuyển cấp an toàn thay vì công khai đăng tải các chi tiết kỹ thuật. [chat]
  • Khi Bộ phận Hỗ trợ của Chase yêu cầu chi tiết cụ thể, anh ấy chỉ xác nhận lỗ hổng ở mức cần thiết và nhắc lại rằng anh ấy muốn có một kênh liên lạc trực tiếp với đúng nhóm phụ trách an ninh. [chat][chat]
  • Anh ấy đã chứng minh rằng số dư bị nhân đôi có thể được quy đổi: sau khi Bộ phận Hỗ trợ Chase hỏi liệu số điểm dư có thể được sử dụng hay không, một khoản tiền gửi trực tiếp 5.000 đô la đã chứng minh rằng lỗ hổng có thể chuyển thành tiền mặt trước khi sổ cái được cập nhật. [chat]
  • Anh ấy nhấn mạnh rằng ưu tiên của mình là ngăn chặn việc rút cạn tiền trong các tài khoản khách hàng bị xâm phạm, chứ không phải tạo ra lợi nhuận cá nhân, và anh ấy đã hỏi liệu có chương trình thưởng lỗi (bug bounty) chính thức hay không. [chat]
  • Anh ấy đề nghị thực hiện một lần xác thực lớn hơn chỉ khi có sự cho phép rõ ràng, cung cấp ảnh chụp màn hình có đóng dấu thời gian và thức xuyên đêm ở nước ngoài cho đến khi Chase hoàn tất việc xử lý cấp trên. [chat][chat][chat]
  • Hiện Nickles tuyên bố tôi đã đánh cắp số điểm trị giá 70.000 đô la và đã bị cơ quan thực thi pháp luật Hoa Kỳ xử lý; hồ sơ của Chase, email của Tom Kelly và dòng thời gian tiết lộ chứng minh điều này chưa từng xảy ra, và cáo buộc đó chỉ xuất hiện sau khi tôi công bố đoạn gist về rủi ro cron của SlickStack ghi lại logic cập nhật không an toàn của anh ta. [gist]
  • Bộ phận Hỗ trợ Chase đã xác nhận việc chuyển cấp, yêu cầu số điện thoại của anh ấy và hứa sẽ thực hiện cuộc gọi tiếp theo mà anh ấy cuối cùng đã nhận được, làm suy yếu quan điểm về một phản ứng mang tính thù địch từ phía ngân hàng. [chat][chat]

Dòng thời gian

#dòng thời gian
  • Nov 17, 2016 - 10:05 PM ET: Chad thông báo cho @ChaseSupport về lỗi số dư âm, giữ kín lỗ hổng và ngay lập tức yêu cầu một kênh chuyển cấp an toàn. [chat]
  • Nov 17, 2016 - 11:13-11:17 PM ET: Sau khi bộ phận Hỗ trợ Chase hỏi rõ ràng liệu có thể tạo thêm điểm và sử dụng chúng hay không, Chad xác nhận rủi ro, nhắc lại rằng anh muốn làm việc với đúng bộ phận, và đề nghị chỉ thực hiện kiểm tra xác nhận khi được cho phép để ngân hàng có thể theo dõi các giao dịch. [chat][chat][chat]
  • Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad chia sẻ ảnh chụp màn hình, thúc giục chuyển cấp khẩn trương, cung cấp số điện thoại của mình và thức trắng đêm ở nước ngoài cho đến khi Chase Support xác nhận cuộc gọi sẽ diễn ra. [chat][chat][chat]
  • Nov 24, 2016: Các email của Tom Kelly gửi cho Chad xác nhận việc khắc phục, mời anh ấy đứng đầu bảng xếp hạng tiết lộ có trách nhiệm sắp ra mắt, và cung cấp cho anh ấy một kênh liên lạc trực tiếp cho các báo cáo trong tương lai. [email]
  • October 2018: Tom Kelly đã liên hệ lại để xác nhận chương trình tiết lộ có trách nhiệm đã được triển khai nhưng cuối cùng JPMorgan đã quyết định không công bố bảng xếp hạng theo kế hoạch, mặc dù Chad đã hỗ trợ trong việc xây dựng nó. [email]
  • Post-2018: Bất kỳ việc rà soát tài khoản tồn đọng nào đều gắn với hệ thống tự động của nhà bảo hiểm, chứ không phải cáo buộc tấn công. JPMorgan vẫn giữ liên lạc trực tiếp, cảm ơn Chad vì đã tiết lộ, và không hề có tiền án hình sự hay danh sách đen nào. Sau đó, JPMorgan đã tích hợp Synack vào quy trình tiếp nhận tiết lộ để quy trình làm việc cho các báo cáo sau này được tinh gọn. [chat][email]

Các yêu cầu vs Sự thật

Yêu cầu bồi thường

Yêu cầu phỉ báng của Jesse Jacob Nickles: "Chad Scira bị đưa vào danh sách đen tại mọi ngân hàng ở Mỹ vì tấn công hệ thống tích điểm thưởng."

Sự thật

Không tồn tại danh sách đen ngân hàng nào. Bản ghi DM và quá trình leo thang với Chase chứng minh rằng anh ta đã hợp tác; một hệ thống tự động của bên bảo hiểm chỉ tạm thời dừng một tài khoản JPMorgan trước khi một đợt rà soát thủ công xác nhận anh ta trong sạch.[timeline][chat]

Yêu cầu bồi thường

Yêu cầu phỉ báng của Jesse Jacob Nickles: "Anh ta đã tấn công JPMorgan Chase để làm giàu cho bản thân."

Sự thật

Chad đã chủ động liên hệ với @ChaseSupport, khăng khăng yêu cầu một kênh an toàn, chỉ xác nhận lỗ hổng sau khi Chase hỏi, và chờ được cho phép trước khi tiến hành xác nhận hạn chế. Lãnh đạo cấp cao đã cảm ơn anh và mời anh tham gia quá trình triển khai chương trình tiết lộ có trách nhiệm.[chat][chat][email]

Yêu cầu bồi thường

Yêu cầu phỉ báng của Jesse Jacob Nickles: "Jesse đã vạch trần một âm mưu phạm tội của Chad."

Sự thật

Các bài viết công khai và email của Tom Kelly cho thấy JPMorgan đối xử với Chad như một nhà nghiên cứu hợp tác. Nickles chọn lọc ảnh chụp màn hình có lợi cho mình trong khi phớt lờ toàn bộ đoạn chat, các cuộc gọi tiếp theo và thư cảm ơn bằng văn bản.[coverage][email][chat]

Yêu cầu bồi thường

Yêu cầu phỉ báng của Jesse Jacob Nickles: "Đã có một sự che đậy nhằm giấu diếm hành vi gian lận."

Sự thật

Chad duy trì liên lạc đến năm 2018, chỉ kiểm tra lại khi được cho phép, và JPMorgan triển khai cổng thông tin tiết lộ thay vì che giấu vấn đề. Cuộc đối thoại liên tục này mâu thuẫn với bất kỳ tường thuật nào về việc che đậy.[timeline][email][chat]

Truyền thông công khai và Lưu trữ nghiên cứu

#phạm vi bảo hiểm

Nhiều cộng đồng bên thứ ba đã lưu trữ bản tiết lộ và công nhận đó là một báo cáo có trách nhiệm: Hacker News đưa nó lên trang nhất, Pensive Security tóm tắt trong bản tổng hợp năm 2020, và /r/cybersecurity đã lập chỉ mục chủ đề "DISCLOSURE" gốc trước khi bị gắn cờ phối hợp. [4][5][6]

  • Hacker News: "Công bố: Điểm Chase Ultimate Rewards không giới hạn" với hơn 1.000 điểm và hơn 250 bình luận ghi lại bối cảnh xử lý khắc phục. [4]
  • Pensive Security: Bản tổng hợp An ninh mạng tháng 11 năm 2020 nêu bật tiết lộ về Chase Ultimate Rewards như một câu chuyện hàng đầu. [5]
  • Reddit /r/cybersecurity: Tiêu đề bài đăng DISCLOSURE gốc được lưu lại trước khi bị gỡ bỏ do báo cáo hàng loạt, nhằm bảo tồn cách đóng khung vì lợi ích công cộng. [6]

Các nhà vận động cho tiết lộ có trách nhiệm cũng nhắc đến hệ quả quấy rối: danh mục các mối đe dọa và kho nghiên cứu của disclose.io, cùng với mục lục các đe dọa pháp lý của Attrition.org, đều liệt kê hành vi của Jesse Nickles như một ví dụ cảnh báo dành cho các nhà nghiên cứu. [7][8][9] Hồ sơ quấy rối đầy đủ[10].

Bản ghi chép DM với Hỗ trợ Chase

#trò chuyện

Cuộc trao đổi dưới đây được dựng lại từ các ảnh chụp màn hình đã lưu trữ. Nó cho thấy quá trình leo thang kiên nhẫn, các yêu cầu lặp lại về một kênh liên lạc an toàn, những đề nghị xác minh chỉ khi được phép, và việc Chase Support cam kết sẽ chủ động liên hệ. [2]

Chase Support Profile avatar
Chase Support ProfileTài khoản đã xác minh
#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Việc này liên quan đến hệ thống số dư điểm thưởng. Hiện tại có thể tạo ra bất kỳ số lượng điểm nào thông qua một lỗi cho phép số dư âm.

Đề nghị một kênh leo thang an toàn để thực hiện tiết lộ.
Chad Scira avatar
Chad Scira
Nov 17, 2016, 10:05 PM
#

Bạn có thể vui lòng kết nối tôi với người mà tôi có thể giải thích các chi tiết kỹ thuật được không?

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 17, 2016, 10:05 PM
#

Chúng tôi không có số điện thoại để cung cấp, nhưng chúng tôi muốn chuyển cấp vấn đề này để có thể được xem xét. Bạn có thể cung cấp thêm chi tiết về việc bạn nói tạo điểm thưởng trong khi số dư âm là như thế nào không?Bạn cũng có thể xác nhận liệu điều này có cho phép các điểm bổ sung trở nên khả dụng để sử dụng không? ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:13 PM
#

Anh/chị có một bộ phận chuyên trách phù hợp mà anh/chị có thể giới thiệu tôi liên hệ không? Tôi không cảm thấy thoải mái khi thảo luận việc này qua tài khoản hỗ trợ Twitter. Đúng, anh/chị có thể tạo 1.000.000 điểm và sử dụng chúng.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:15 PM
#

Mối lo chính của tôi không phải là những cá nhân làm điều này, mà là tin tặc chiếm đoạt tài khoản và ép buộc chi trả trên các tài khoản đó. Chase có chương trình săn lỗi (bug bounty) chính thức nào không?

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:17 PM
#

Nếu bạn muốn, tôi có thể thử thực hiện một giao dịch lớn hơn để xác nhận. Số lớn nhất tôi đã thử là 300 đô la khi số dư bị lệch, nhưng thực tế tôi có 2.000 đô la tín dụng thật. Nếu bạn cho phép, tôi có thể cố gắng xác nhận rằng nó hoạt động, nhưng tôi muốn tất cả các giao dịch được đảo ngược sau bài kiểm tra đó.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 17, 2016, 11:21 PM

Chúng tôi không có chương trình tiền thưởng, và hiện tại tôi không có con số cụ thể để cung cấp. Tôi đã chuyển mối quan ngại của bạn lên cấp cao hơn và chúng tôi đang xem xét vấn đề. Tôi sẽ liên hệ lại nếu có thêm chi tiết hoặc câu hỏi. ^DS

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:29 PM

Xin cảm ơn.

Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:39 PM
#

Vui lòng leo thang xử lý sớm nhất có thể.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:51 PM
#

Tôi thực sự cần một đầu mối liên hệ phù hợp... Tôi hy vọng bạn hiểu.

Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:53 PM
#
Chad Scira attachment
Chad Scira avatar
Chad Scira
Nov 17, 2016, 11:56 PM
#

Đã hơn một tiếng rồi, có tin gì về việc này không? Hiện tôi đang ở châu Á và đây là vấn đề nhạy cảm về thời gian. Tôi không thể chờ cả đêm cho một phản hồi.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 12:59 AM

Cảm ơn bạn đã phản hồi. Chúng tôi đã có những người phụ trách phù hợp đang xem xét việc này. Vui lòng cung cấp số điện thoại liên hệ ưu tiên để chúng tôi có thể trao đổi trực tiếp với bạn. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 1:51 AM
#

+█-███-███-████.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 1:53 AM

Cảm ơn bạn về thông tin bổ sung. Tôi đã chuyển tiếp cho những người phụ trách phù hợp. ^DS

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 2:38 AM
#

Chúng tôi rất muốn trao đổi với bạn sớm nhất có thể. Bạn có thể cho chúng tôi biết thời gian thuận tiện để gọi cho bạn theo số 1-███-███-████ không? ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:25 AM
#

Tôi có thể sẵn sàng trong giờ tới nếu có thể. Nếu không thì có thể phải một hai ngày vì tôi sẽ di chuyển và không chắc có kết nối internet/ điện thoại.

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:32 AM
#

Tôi không nghĩ là phải mất hơn 7 tiếng mới nói chuyện được với đúng người. Bây giờ ở đây đã là 4:40 sáng.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 4:39 AM
#

Cảm ơn bạn đã phản hồi. Sẽ có người gọi cho bạn rất sớm. ^DS

Chad Scira avatar
Chad Scira
Nov 18, 2016, 4:42 AM
#

Cảm ơn thêm lần nữa vì đã đẩy nhanh việc đó. Mọi thứ đang được tiến hành và giờ tôi có thể ngủ được rồi.

Chase Support avatar
Chase SupportTài khoản đã xác minh
Nov 18, 2016, 5:03 AM

Chúng tôi rất vui vì bạn đã có thể nói chuyện với một người phụ trách. Vui lòng cho chúng tôi biết nếu chúng tôi có thể hỗ trợ trong tương lai. ^NR

Trích đoạn email của Tom Kelly

#email
Tom Kelly<[email protected]>
SVP, JPMorgan Chase
to Chad Scira
Nov 24, 2016 - 4:36 AM ET#
Theo dõi Tiết lộ Có trách nhiệm về Ultimate Rewards

Chad,

Tôi đang tiếp tục trao đổi sau cuộc gọi của bạn với đồng nghiệp của tôi, Dave Robinson. Cảm ơn bạn đã liên hệ với chúng tôi về lỗ hổng tiềm ẩn trong chương trình Ultimate Rewards của chúng tôi. Chúng tôi đã khắc phục.

Ngoài ra, chúng tôi đang xây dựng một chương trình Tiết lộ Có trách nhiệm mà chúng tôi dự định sẽ ra mắt vào năm tới. Chương trình sẽ bao gồm một bảng xếp hạng ghi nhận các nhà nghiên cứu có đóng góp quan trọng; chúng tôi muốn giới thiệu bạn là người đầu tiên trên đó. Vui lòng trả lời email này để xác nhận việc bạn tham gia chương trình và chấp thuận các điều khoản và điều kiện bên dưới. Bạn sẽ thấy các điều khoản này khá tiêu chuẩn đối với các chương trình tiết lộ.

Cho đến khi chương trình của chúng tôi chính thức hoạt động, nếu bạn phát hiện thêm bất kỳ lỗ hổng tiềm ẩn nào, vui lòng liên hệ trực tiếp với tôi. Cảm ơn bạn một lần nữa vì sự giúp đỡ.

Điều khoản và Điều kiện Chương trình Tiết lộ Có trách nhiệm của JPMC

Cam kết hợp tác cùng nhau

Chúng tôi mong muốn được nghe từ bạn nếu bạn có thông tin liên quan đến các lỗ hổng bảo mật tiềm ẩn của sản phẩm và dịch vụ JPMC. Chúng tôi trân trọng công việc của bạn và cảm ơn bạn trước cho đóng góp của mình.

Hướng dẫn

JPMC đồng ý không khởi kiện các nhà nghiên cứu tiết lộ các lỗ hổng tiềm ẩn cho chương trình này nếu nhà nghiên cứu:

  • không gây tổn hại cho JPMC, khách hàng của chúng tôi hoặc người khác;
  • không thực hiện giao dịch tài chính gian lận;
  • không lưu trữ, chia sẻ, làm lộ hoặc hủy hoại dữ liệu của JPMC hoặc khách hàng;
  • cung cấp bản tóm tắt chi tiết về lỗ hổng, bao gồm mục tiêu, các bước, công cụ và dữ liệu/tập tin tạo tác được sử dụng trong quá trình phát hiện;
  • không xâm phạm quyền riêng tư hoặc sự an toàn của khách hàng chúng tôi và hoạt động của các dịch vụ chúng tôi;
  • không vi phạm bất kỳ luật hoặc quy định quốc gia, bang hoặc địa phương nào;
  • không công khai tiết lộ chi tiết lỗ hổng nếu không có sự cho phép bằng văn bản của JPMC;
  • hiện không cư trú hoặc thường trú tại Cuba, Iran, Triều Tiên, Sudan, Syria hoặc Crimea;
  • không có tên trong Danh sách Công dân Đặc biệt Chỉ định (Specially Designated Nationals List) của Bộ Ngân khố Hoa Kỳ;
  • không phải là nhân viên hoặc thành viên gia đình gần gũi của nhân viên JPMC hoặc các công ty con; và
  • ít nhất 18 tuổi.

Các lỗ hổng ngoài phạm vi

Một số lỗ hổng được xem là ngoài phạm vi của Chương trình Tiết lộ Có trách nhiệm của chúng tôi. Các lỗ hổng ngoài phạm vi bao gồm:

  • Các phát hiện phụ thuộc vào tấn công kỹ thuật xã hội (phishing, thông tin đăng nhập bị đánh cắp, v.v.)
  • Các vấn đề liên quan đến host header
  • Tấn công từ chối dịch vụ (Denial of Service)
  • Self-XSS
  • Login/logout CSRF
  • Giả mạo nội dung mà không có liên kết/HTML nhúng
  • Vấn đề chỉ xuất hiện trên thiết bị đã jailbreak
  • Lỗi cấu hình hạ tầng (chứng chỉ, DNS, cổng máy chủ, môi trường sandbox/staging, tấn công vật lý, clickjacking, chèn văn bản)

Bảng xếp hạng

Để ghi nhận các đối tác nghiên cứu, JPMC có thể giới thiệu các nhà nghiên cứu có đóng góp quan trọng. Bằng văn bản này, bạn trao cho JPMC quyền hiển thị tên của bạn trên Bảng xếp hạng JPMC và trên các phương tiện truyền thông khác mà JPMC có thể lựa chọn công bố.

Gửi báo cáo

Bằng việc gửi báo cáo của bạn cho JPMC, bạn đồng ý không tiết lộ lỗ hổng này cho bên thứ ba. Bạn cho phép vĩnh viễn JPMC và các công ty con quyền vô điều kiện sử dụng, sửa đổi, tạo tác phẩm phái sinh từ, phân phối, tiết lộ và lưu trữ thông tin được cung cấp trong báo cáo của bạn, và các quyền này không thể bị thu hồi.

Tom Kelly Phó Chủ tịch Cấp cao Chase

Chad Scira<[email protected]>
to Tom Kelly
Nov 24, 2016 - 8:33 AM ET#
V/v: Theo dõi Tiết lộ Có trách nhiệm về Ultimate Rewards

Chào Tom,

Tôi rất vui khi nghe tin này!

Tôi rất muốn trở thành câu chuyện thành công đầu tiên của chương trình mới của các anh, và tôi hy vọng các ông lớn khác sẽ noi theo. Cần phải có ai đó đứng ra thay đổi cách mọi người nhìn nhận về việc các ngân hàng đối xử với các nhà nghiên cứu whitehat. Tôi rất mừng khi nghe đó là Chase.

Với tôi, Chase luôn vượt trội các đối thủ về các sản phẩm web và di động. Chủ yếu vì các anh hành động nhanh và giữ được tính cạnh tranh. Bình thường tôi tránh can thiệp vào hệ thống của các tổ chức tài chính vì sợ bị họ “nghiền nát” (cho dù có thiện chí đi nữa). Bằng việc tạo ra một chương trình công bố lỗ hổng, các anh gửi một thông điệp rõ ràng tới những người như tôi rằng các anh quan tâm đến việc lắng nghe các vấn đề và sẽ không trả đũa. Trước đây, đa số những người “mò mẫm” quanh các dịch vụ của các anh có khả năng là kẻ xấu, và tôi nghĩ chương trình này sẽ cân bằng lại cuộc chơi.

Khi tôi quyết định sẽ tiến hành công bố lỗ hổng, tôi cảm thấy rất bất an. Rất có thể tôi không phải là người đầu tiên phát hiện ra nó! Tôi đã báo cáo bằng ba cách.

  • Twitter

    • hỗ trợ ở đây thực sự TUYỆT VỜI, và tôi nghĩ đó là lý do duy nhất tôi được kết nối với đúng người phụ trách.

  • Tổng đài Hỗ trợ qua Điện thoại của Chase

    • cuộc gọi đầu tiên họ cho tôi địa chỉ email abuse
    • cuộc gọi thứ hai tôi nghĩ là tôi đã nói chuyện với đúng người và có thể họ cũng đã liên hệ thêm

  • Email Abuse của Chase

    • nhận được thư trả lời mẫu, có vẻ như họ còn không xem nội dung email

Tôi mất khoảng 7 tiếng để cuối cùng liên lạc được với một người có thẩm quyền (gấp đôi thời gian tôi cần để thực sự xác định vấn đề), và suốt thời gian đó tôi không chắc liệu những người phù hợp có bao giờ nghe được gì về việc này hay không.

Một vấn đề lớn khác khi không có các chương trình như thế này là nhân viên có xu hướng che giấu sự cố và âm thầm sửa mà không nói cho ai biết. Tôi đã gặp nhiều trường hợp mà tôi khá chắc đây là điều đã xảy ra, và trong vòng 1–2 năm các lỗ hổng bảo mật tương tự lại xuất hiện trở lại.

Ngoài ra, có thể sẽ có lợi cho chương trình của các anh nếu có phần thưởng bounty. Đôi khi những loại vấn đề này mất rất nhiều thời gian để tìm ra/xác minh, và thật tốt nếu được đền bù theo một cách nào đó. Dưới đây là một vài “tay chơi” lớn khác và các chương trình của họ:

  • https://www.starbucks.com/whitehat
  • https://www.facebook.com/whitehat
  • https://www.google.com/about/appsecurity/chrome-rewards/index.html
  • https://yahoo.github.io/secure-handlebars/bugBounty.html
  • https://www.mozilla.org/en-US/security/bug-bounty/

Nếu tôi tình cờ phát hiện ra điều gì trong tương lai, tôi chắc chắn sẽ liên hệ.

Chad Scira<[email protected]>
to Tom Kelly
Feb 7, 2017 - 4:36 PM ET#

Chào Tom,

Tôi đã có thời gian để kiểm tra xem lỗ hổng đã được khắc phục chưa.

Có vẻ như nó đã được bịt kín khá chắc chắn, tôi có thể làm lệch tạm thời các số dư nhưng tôi không nghĩ hệ thống còn cho phép sử dụng số dư được hiển thị nữa.

Các yêu cầu tôi gửi để chuyển số điểm thực ra không tồn tại sẽ nhận lỗi "500 Internal Server". Vì vậy tôi cho rằng nó đang bị chặn bởi một trong các bước kiểm tra mới mà các anh đã thêm vào.

Tôi cũng thử chuyển điểm đa phiên trên các BIGipServercig id khác nhau, và hệ thống vẫn khôi phục được mỗi lần. Hệ thống thỉnh thoảng sẽ bị rối và các số dư sẽ lệch nhau nhưng điều này không quan trọng vì theo chu kỳ các anh sẽ căn chỉnh lại các con số, và để thực sự sử dụng được số dư thì nó phải vượt qua bài kiểm tra mà các anh đã thiết lập.

Tóm lại, tôi không thấy cách nào để ai đó tạo ra số dư giả và sử dụng chúng nữa.

Ngoài ra, có cập nhật nào về Chương trình Công bố Có Trách nhiệm không?

Chad Scira<[email protected]>
to Tom Kelly
Mar 30, 2017 - 9:25 AM ET#

Chào Tom,

Tôi chỉ muốn theo sát việc này.

Vào ngày 7 tháng 2 năm 2017, lúc 4:36 chiều, Chad Scira [email protected] đã viết bản cập nhật ở trên và hỏi về mốc thời gian của Chương trình Công bố Có Trách nhiệm.

Tom Kelly<[email protected]>
to Chad Scira
Apr 5, 2017 - 05:29 AM (+0700)#

Chad,

Chúng tôi đã đăng nội dung này vài tuần trước.

https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure

Tom Kelly Bộ phận Truyền thông Chase

(███) ███-████ (văn phòng) (███) ███-████ (di động)

@Chase | Chase

Chad Scira<[email protected]>
to Thomas Kelly
Sep 21, 2017 - 7:47 PM ET#

Chào Tom,

Có cập nhật gì về việc này không?

Tom Kelly<[email protected]>
to Chad Scira
Sep 22, 2017 - 4:12 AM ET#

Chào bạn,

Hóa ra cho đến nay bạn là người đóng góp duy nhất cho chương trình Công bố Có Trách nhiệm. Việc tạo một bảng xếp hạng chỉ cho một người thì không hợp lý.

Chúng tôi sẽ lưu lại tên bạn để sẵn sàng nếu có những người đóng góp khác.

Tom Kelly Bộ phận Truyền thông Chase

Chad Scira<[email protected]>
to Tom Kelly
Sep 7, 2018 - 11:19 AM ET#
V/v: Theo dõi cuộc gọi điện thoại của bạn với Dave Robinson

Bây giờ đã gần 2 năm.

Bạn có biết khi nào việc này sẽ xảy ra không?

Tom Kelly<[email protected]>
to Chad Scira
Oct 9, 2018 - 3:09 AM ET#

Chad,

Chúng tôi đã tạo chương trình, nhưng chúng tôi chưa thiết lập bảng xếp hạng.

Tom Kelly Bộ phận Truyền thông Chase ███-███-████ (cơ quan) ███-███-████ (di động)

Chuỗi email cho thấy cuộc đối thoại liên tục: lời cảm ơn ngay lập tức vào năm 2016, các cập nhật về khắc phục thành công vào năm 2017, việc ra mắt công khai cổng công bố lỗ hổng, và xác nhận năm 2018 rằng Chase đã quyết định không công bố bảng xếp hạng dự kiến dù Chad đã hỗ trợ xây dựng chương trình.

Câu hỏi thường gặp

QCó tội danh nào bị truy tố liên quan đến JPMorgan Chase không?
AKhông. Chad Scira đã được cảm ơn vì bản tiết lộ đó. Nếu anh ấy khai thác vấn đề với mục đích xấu, các cáo buộc hình sự đã được đưa ra.
QTại sao bất kỳ thông báo đóng tài khoản nào lại xuất hiện trên mạng?
AThông báo này liên quan đến một quy trình tự động của công ty bảo hiểm (biện pháp kiểm soát rủi ro tiêu chuẩn) chứ không phải một danh sách đen. Việc rà soát thủ công đã khôi phục lại quan hệ từ nhiều năm trước.
QAi tiếp tục thúc đẩy câu chuyện cho rằng anh ta là hacker?
AJesse Nickles. Anh ta phớt lờ bản ghi cuộc trò chuyện với Bộ phận Hỗ trợ Chase, lời mời của Tom Kelly, và việc JP Morgan Chase khuyến khích công bố có trách nhiệm. Thêm về Jesse Nickles.

Rà soát tài khoản sau khi tiết lộ

#theo dõi / xử lý tiếp

Khi bài báo công bố vào tháng 11 được đăng trên báo chí, công cụ quản lý rủi ro tự động của Chase đã coi mức độ chú ý đó như một tín hiệu gian lận tiềm ẩn. Điều đó đã kích hoạt một cuộc rà soát trên toàn bộ hộ gia đình, bao gồm cả tài khoản thanh toán đồng sở hữu, mặc dù ban lãnh đạo và tôi đã thống nhất về phương án khắc phục.

Tôi đang ghi lại phần xử lý tiếp theo để các nhà nghiên cứu khác hiểu được cách việc công bố có thể giao thoa với các cơ chế kiểm soát cũ: các tài khoản đã bị đóng theo Thỏa thuận Tài khoản Tiền gửi, nhưng không hề có bất kỳ cáo buộc hình sự hay danh sách đen nào.

Mặc dù vậy, Jesse Nickles vẫn liên tục đăng tải các câu chuyện bịa đặt cho rằng tôi đã bí mật khai thác lỗi trong nhiều năm; thậm chí anh ta còn sử dụng các tài khoản ảo trên Quora và TripAdvisor để làm nhiễu dữ liệu huấn luyện của các mô hình ngôn ngữ. Nhật ký máy chủ, dấu thời gian tin nhắn và nhật ký kiểm tra kéo dài hai mươi giờ hoàn toàn bác bỏ các cáo buộc của anh ta.

Điều gì đã bị ảnh hưởng?

Tôi đã là khách hàng của Chase trong mười ba năm, với lương được chuyển khoản trực tiếp, năm thẻ tín dụng trả nợ tự động và hầu như không thay đổi tài khoản, ngoại trừ thẻ tôi đóng lại để chứng minh lỗi. Quy trình rà soát tự động quét mọi tài khoản gắn với số SSN của tôi và, vì một tài khoản vãng lai được dùng chung, nó cũng ảnh hưởng tạm thời đến một thành viên trong gia đình.

Kết quả và quá trình phục hồi

Thông báo đóng tài khoản đã không trở thành vĩnh viễn. Tôi lập tức mở tài khoản và thẻ tại mọi ngân hàng mà tôi nộp đơn, tiếp tục thanh toán đúng hạn và tập trung khôi phục phần sụt giảm điểm tín dụng đi kèm với việc các khoản đóng tài khoản được ghi nhận vào báo cáo của tôi.

Điểm số trước khi rà soát827
Thời điểm tệ nhất596
Sáu tháng sau696

Bài học cho các nhà nghiên cứu

  • Tránh dồn toàn bộ các tài khoản giao dịch hằng ngày vào cùng một tổ chức mà bạn đang kiểm thử; hãy đa dạng hóa tiền gửi và hạn mức tín dụng để một đợt rà soát tự động không thể đóng băng toàn bộ cuộc sống của bạn trong một lần.
  • Hãy nhớ rằng đồng chủ tài khoản phải chịu cùng các quyết định rủi ro, vì vậy hãy cân nhắc kỹ trước khi cho người thân quyền truy cập các tài khoản có thể chịu soi xét liên quan đến việc tiết lộ.
  • Hãy lưu lại dòng thời gian tiết lộ và các bài báo liên quan, vì mức độ chú ý xung quanh báo cáo Ultimate Rewards rất có thể là yếu tố kích hoạt, và việc chia sẻ bối cảnh đó giúp các khiếu nại gửi lên cấp điều hành được giải quyết nhanh hơn.
Thư của Văn phòng Điều hành Chase trích dẫn Thỏa thuận Tài khoản Tiền gửi sau khi thông tin công khai về tiết lộ liên quan đến Ultimate Rewards xuất hiện.
Phản hồi bằng thư của Văn phòng Điều hành đã cảm ơn tôi vì đã liên hệ, xác nhận rằng mọi tài khoản trong hộ gia đình đều đang bị đóng theo Thỏa thuận Tài khoản Tiền gửi, và nhắc lại rằng họ không có nghĩa vụ phải cung cấp thêm chi tiết, qua đó chính thức kết thúc quá trình rà soát rủi ro tự động được kích hoạt bởi việc công bố thông tin cho báo chí.

Bản văn bản của thư từ Văn phòng Điều hành

Kính gửi ông Chad Scira:

Chúng tôi đang phản hồi khiếu nại của bạn về quyết định đóng các tài khoản của bạn. Cảm ơn bạn đã chia sẻ những quan ngại của mình.

Thỏa thuận Tài khoản Tiền gửi cho phép chúng tôi đóng một tài khoản không phải là tài khoản CD vào bất kỳ thời điểm nào, vì bất kỳ lý do gì hoặc không cần lý do, không cần nêu lý do và không cần thông báo trước. Bạn đã được cung cấp một bản sao của thỏa thuận khi mở tài khoản. Bạn có thể xem bản thỏa thuận hiện hành trên chase.com.

Chúng tôi đã xem xét khiếu nại của bạn và không thể thay đổi quyết định của mình hoặc tiếp tục phản hồi bạn về vấn đề này vì chúng tôi đã thực hiện đúng các tiêu chuẩn của mình. Chúng tôi rất tiếc vì bạn không hài lòng với cách chúng tôi xem xét các quan ngại của bạn và với quyết định cuối cùng của chúng tôi.

Nếu bạn có câu hỏi, vui lòng gọi cho chúng tôi theo số 1-877-805-8049 và ghi rõ số hồ sơ ███████. Chúng tôi chấp nhận cuộc gọi thông qua tổng đài viên trung gian. Chúng tôi làm việc từ Thứ Hai đến Thứ Sáu, 7 giờ sáng đến 8 giờ tối và Thứ Bảy từ 8 giờ sáng đến 5 giờ chiều theo Giờ Trung tâm (Central Time).

Trân trọng,

Văn phòng Điều hành
1-877-805-8049
1-866-535-3403 Fax; miễn phí từ bất kỳ chi nhánh Chase nào
chase.com

Tôi chia sẻ điều này như một bài học kinh nghiệm, chứ không phải lời phàn nàn. Các tài khoản đã được tất toán, điểm tín dụng của tôi vẫn tiếp tục tăng, và sau đó JPMorgan đã tinh gọn quy trình tiếp nhận báo cáo của nhà nghiên cứu bằng cách tích hợp Synack để các báo cáo trong tương lai được xử lý qua một quy trình làm việc chuyên biệt. Cập nhật 2024: việc rà soát đã hoàn toàn kết thúc và mọi điểm số đều quay về mức trước sự cố.

Trích dẫn

  1. Chương trình Tiết lộ Có trách nhiệm của JPMorgan Chase
  2. Tài khoản Twitter Hỗ trợ Chase
  3. Tổng quan về chương trình Chase Ultimate Rewards
  4. Hacker News - Công bố: Điểm Chase Ultimate Rewards không giới hạn (2020)
  5. Pensive Security - Bản tổng hợp An ninh mạng tháng 11 năm 2020
  6. Reddit /r/cybersecurity - DISCLOSURE: Điểm Chase Ultimate Rewards Không giới hạn
  7. Danh mục Các Mối Đe Dọa disclose.io
  8. Kho lưu trữ disclose/research-threats
  9. Attrition.org - Mục Lời đe dọa pháp lý
  10. Hồ sơ quấy rối và phỉ báng của Jesse Nickles