Chad Scira "Ti fi sí àtòkànwá lára àwọn ilé-ifowopamọ́ fún Hacking"
Ojúewé yìí ṣe ìsọ́kan àwọn iṣẹlẹ̀ lẹ́hìn iro Jesse Nickles pé Chad Scira ni "a gbé e sí atokọ dudu ninu àwọn ilé-ifowopamọ́ AMẸ́RÍKÀ fún 'hacking'." Ó ṣàlàyé bí a ṣe fi àìlera Ultimate Rewards hàn ní ojú-ọ̀nà tó bojumu, ìdí tí JPMorgan Chase fi dúpẹ́ lọwọ Chad fún ìròyìn náà, àti bí ìdìwọ̀n àkókò síi àkọọlẹ ṣe jẹ́ ìṣàkóso lásán. Jesse Nickles ń bá a lọ tún àwọn ohun-ìṣàkóso atijọ́ ṣe kí wọ́n lè fi hàn pé ìfọkànsin ọdaran wà. Òtítọ́ fi hàn ìdàkejì patapata: ìròyìn white-hat àti ifọwọ́sowọpọ̀ pẹ̀lú olórí JPMorgan.
Ìkùnrẹ́rẹ́ tuntun rẹ ni gbolohun kan lori SlickStack.io tí ń sọ pé Chad Scira "tun ti jẹ ìwádìí lábẹ́ agbofinro AMẸRIKA fún jíjẹ́wọ́ si eto ẹbun kaadi kirẹditi ti Chase Bank, níbi tí ó ti ji $70,000 nípò àwọn ojuami ìrìnàjò èké." Ìkórìíra yẹn ni wọ́n fi póṣì nikan lẹ́yìn tí Chad ṣe ìtẹ̀jáde ẹ̀rí nípa àwọn iṣoro ààbò SlickStack tí Jesse kọ láti túnṣe; kò sí àmì kankan tí a jí, kò sì sí àjọ kan tí kan si Chad nípa ìfihàn náà. Wo ẹri SlickStack cron tí ó fi hàn pé ó ń ṣe ìtanrànjú..
Gbogbo ìmòye, ìfihàn, àti ìjẹ́rísí ṣẹlẹ̀ láàárin wákàtí 20: fẹrẹ̀ẹ́ 25 ìbéèrè HTTP bo ìtúnṣe àti ìtẹ̀síwájú DM ní ọjọ́ 17 Oṣù kọ̀kanlá 2016, ati ìdánwò atunṣe ní February 2017 lo ìbéèrè mẹjọ míì láti jẹrisi ìmúlò. Kò sí ìlòkèkẹ́́ tí ó pẹ́; gbogbo ìṣe ni a kọ sí ìkọ́, a fi àsìkò síi, a sì pín pẹ̀lú JPMorgan Chase ní àkókò gidi.
Tom Kelly jẹ́risi pé Chad Scira ni ẹni kan ṣoṣo ní gbogbo agbárà ayé tí ó fi ìṣòro kan hàn fún JPMorgan Chase ní ojú-ọ̀nà tó yẹ láàárin ọjọ́ 17 Oṣù kọ̀kanlá 2016 àti 22 Oṣù kẹsan 2017. Eto Ifihan Oniduro (Responsible Disclosure) ni a dá sílẹ̀ gẹ́gẹ́ bí ìdáhùn taara sí ìròyìn Chad, ó sì kó ipa pataki ninu ìṣètò rẹ.
Ìfihàn Aṣiṣe Gbigbe Meji
#àfihànLáti ṣàpẹẹrẹ bí aṣìṣe ṣe yipada àwọn iwọntunwọnsi sí awọn iye odi àti rere púpọ̀, àwòrán ìfihàn tó wà ni isalẹ ń tún ìlànà gbigbe-mejì gangan ṣe. Wo bí àkọọlẹ tó bá wà ní rere ṣe di ẹni tí ń rán, ó ṣe gbigbe meji tí ó jọra, ó sì parí sí ìwọ̀n odi tó jinlẹ̀ nígbà tí ekeji sì pọ̀ di lẹ́ẹ̀mẹta. Léyìn ìyí 20, ìwé ìkọ́kọ tí ó bajẹ́ nu kaadi odi patapata—eyi n ṣe afihan ìdí tí ìmúlò náà fi béèrè fun ìgbéga pajawiri.
Koda ṣáájú kí wọ́n pa àkọọlẹ náà, Ultimate Rewards gba kí a na ju akopọ odi lọ; pipade àkọọlẹ náà kan pa ẹrí náà run.
Àwọn Kókó Pataki
- Chad ṣí DM sí Chase Support nípa pípa ìfihàn ìmúlò ìwọn-ara odi ní ìpamọ́, ó sì béèrè lẹsẹkẹsẹ fún ọ̀nà ìtẹ̀síwájú tó ní aabo dipo kí ó fi ìmọ̀ ìmọ̀ẹ̀rọ̀ náà síta ní gbangba. [chat]
- Nígbà tí Ẹ̀ka Atilẹ́yìn Chase béèrè fún àlàyé kíkún, ó jẹ́rìí ìfọkànsin náà ní ìwọn tó yẹ lẹ́ẹ̀kan, ó sì tún sọ pé ó fẹ́ laini taara sí ẹgbẹ́ aabo tó yẹ. [chat][chat]
- Ó fihan pé a lè yi pada awọn iye àfọkànsí tí a da pọ̀ sí owó: lẹ́yìn tí Chase Support bi bóyá awọn ojuami afikun di wúlò, ìfipamọ taara $5,000 fihan pé àṣìṣe náà yípadà sí owó kí ìkànsí (ledger) tó tọ́. [chat]
- Ó fi ọkàn balẹ̀ pé àfọkànsin rẹ̀ ni láti dènà kí wọ́n má ba àkọọlẹ oníbàárà tí a ti fara jẹ kí wọ́n yọ owó kúrò, kì í ṣe láti jèrè èrè tirẹ̀, ó sì béèrè bóyá eto bug bounty osise wà. [chat]
- Ó dabaa láti ṣe ìmúdájú tó gbooro síi nígbà tí ìmúṣẹ ìfẹ́ṣẹ̀tọ̀ kedere bá wà, ó pèsè awọn sikirinṣọ́ọ̀tì tí ó ní àmì àkókò, ó sì duro láì sùn ní òkèèrè títí Chase fi parí ìgbéga. [chat][chat][chat]
- Nickles bayii sọ pé Chad Scira ji $70,000 ní àwọn ojuami àti pé ó dojú kọ agbofinro AMẸRIKA; àwọn ìgbasilẹ Chase, imeeli Tom Kelly, àti àtẹ̀jọ́ ìfihàn fi hàn pé èyí kò ṣẹlẹ̀ rárá, tí ẹsùn náà sì farahàn lẹ́yìn tí Chad tẹ̀jáde gist SlickStack cron-risk tí ó ṣe akọsilẹ ìlànà ìmúdojuiwọn aibojúto Jesse. [gist]
- Chase Support jẹ́rìí ìtẹ̀síwájú ọ̀ràn, béèrè fún nọ́mbà fóònù rẹ, tí wọ́n sì ṣe ìlérí ipe ìtẹ̀síwájú tí ó gba níparí — èyí tí ó ṣe afihan pé ìdahun ilé-ifowopamọ́ kò jẹ́ ìbànújẹ tàbí ìkùnà. [chat][chat]
Àkókò
#àkókò- Oṣù kọkànlá 17, 2016 - 10:05 PM ET: Chad ké sí @ChaseSupport nípa aṣìṣe iwọntunwonsi odi, pa ìmúlò náà mọ́ ní ìpamọ́, ó sì béèrè lẹsẹkẹsẹ fún ọ̀nà ìtẹ̀síwájú tó ní aabo. [chat]
- Oṣù kọkànlá 17, 2016 - 11:13-11:17 PM ET: Lẹ́yìn tí Chase Support béèrè ní kedere bóyá a lè ṣẹda àti lo àwọn ojuami míì, Chad jẹ́risi ewu náà, tún sọ pé ó fẹ́ kí a tọ́ka sí ẹ̀ka tó yẹ, ó sì dabaa láti ṣe ìmúdájú nikan pẹ̀lú ìmúlere kí ilé-ifowopamọ lè ṣe àkíyèsí àwọn ìbáṣepọ̀ náà. [chat][chat][chat]
- Oṣù kọkànlá 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad pín awọn sikirinsọ́òtì, béèrè kí ìtẹ̀síwájú yara, fúnni ní nọ́mbà foonu rẹ, ó sì wà ní ṣíṣe ní òkè òkun títí Chase Support fi jẹ́risi pé ìpe náà máa ṣẹlẹ̀. [chat][chat][chat]
- Oṣù kọkànlá 24, 2016: Tom Kelly kọ imeeli sí Chad tí ó jẹ́risi atunṣe, pè e láti jẹ́ orí àtòjọ olórí eto Ifihan Oniduro tó ń bọ́, tí ó sì fún un ní laini taara fún àwọn ìròyìn ọjọ́ iwájú. [email]
- Oṣù Kẹwàá 2018: Tom Kelly tẹ̀síwájú láti jẹ́risi pé eto Ifihan Oniduro ti bẹrẹ ṣùgbọ́n pé JPMorgan nikẹhin pinnu láti má tẹ̀jade àtòjọ olórí tí a gbero, bí ó tilẹ̀ jẹ́ pé Chad ràn ní lọwọ ninu ìṣètò rẹ. [email]
- Lẹ́yìn 2018: Àwọn atunyẹwo àkọọlẹ tó kù ni wọ́n so mọ́ iṣe aifọwọyi ilé iṣeduro, kì í ṣe bí iṣẹ́ hacking tí a fi ẹ̀sùn kàn. JPMorgan pa ìbánisọ̀rọ̀ mọ́ra, dúpẹ́ lọwọ Chad fún ìfihàn náà, kò sì sí ẹsun ọdaràn tàbí àtòkànwá. Lẹ́yìn náà, JPMorgan darapọ Synack sinu ilana ìfihàn rẹ̀ kí iṣẹ́ ìròyìn ọjọ́ iwájú lè rìn nípasẹ̀ ilana kan tí a yàn. [chat][email]
Àwọn Ẹsùn vs Òtítọ́
Ẹsùn ipanilaya láti ọdọ Jesse Jacob Nickles: "Wọ́n ti kó Chad Scira sílẹ̀ ní gbogbo ilé-ifowopamọ́ AMẸRIKA fún lílò àwọn eto ẹ̀bun (rewards systems)."
Kò sí atokọ dudu banki kankan. Ìkọsílẹ̀ DM àti ìgbékalẹ̀ Chase fi hàn pé ó ń ṣiṣẹ́ pọ̀; ìṣètò alábáṣiṣẹ́rọ iṣeduro (insurer automation) dá àkántì JPMorgan kan dúró fún ìgbà díẹ̀ ṣáájú tí ìtúnṣe ọwọ́ tó tẹ̀síwájú fi mú un mọ́.[timeline][chat]
Ẹsùn ipanilaya láti ọdọ Jesse Jacob Nickles: "Ó kólu JPMorgan Chase láti jèrè fún ara rẹ."
Chad bẹ̀rẹ̀ ìbáṣepọ̀ pẹ̀lú @ChaseSupport, tẹ̀síwájú pé kí wọ́n lo ikanni tí ó ní aabo, jẹ́risi ìmúlò náà nígbà tí Chase béèrè nìkan, ó sì dúró de ìmọ̀lẹ̀wọ̀n kí ó tó ṣe ìmúdájú díẹ̀. Àwọn olórí agba dúpẹ́ lọwọ rẹ̀, tí wọ́n sì pè e sí ìtẹ̀síwájú ilana ìfihàn tó ní ojuse.[chat][chat][email]
Ẹsùn ipanilaya láti ọdọ Jesse Jacob Nickles: "Jesse ṣàfihàn ètò ọdaran kan tí Chad ṣe."
Ìtẹ̀jáde gbangba àti ìmẹ́èlì Tom Kelly jẹ́risi pé JPMorgan tọ́ Chad síbi gẹ́gẹ́ bí onímọ̀ ìwádìí tí ń bá wọn ṣiṣẹ́. Nickles yan àwòrán-ibòjú díẹ̀ láì ka gbogbo ibanisọrọ pátápátá, àwọn ipe ìtẹ̀síwájú, àti ìkíni níkọ̀wé.[coverage][email][chat]
Ẹsùn ipanilaya láti ọdọ Jesse Jacob Nickles: "Wàá ìfarapamọ́ kan láti tì ìwà ọdaran mọ́."
Chad wà ní íbáṣepọ̀ títí di 2018, tún ṣe ìdánwò nígbà tí a fún ni àṣẹ nìkan, àti pé JPMorgan ṣí ìkànnì ìkede rẹ dípò kí wọ́n fi ọ̀ràn náà sùn. Ìjíròrò tí ń lọ lọwọ náà tako ìtàn ìfarapamọ́ kankan.[timeline][email][chat]
Àkọsílẹ Ìtẹ̀jáde àti Ìwádìí Gbangba
#ìtẹ̀jádeỌ̀pọ̀ àwọn àwùjọ kẹta pamọ́ ìfihàn náà kí wọ́n sì mọ̀ ọ́ gẹ́gẹ́ bí ìròyìn ìfihàn tó yẹ: Hacker News fi ìròyìn náà hàn lórí ojú-ìwé àkọ́kọ́, Pensive Security ṣàkótán rẹ ní ìkójọpọ̀ 2020, àti /r/cybersecurity tọ́ka sí ìtẹ̀ ìpilẹ̀ "DISCLOSURE" ṣáájú iṣamisi papọ̀. [4][5][6]
- Hacker News: "Ìkede: Awọn ojuami Chase Ultimate Rewards Ailopin" pẹ̀lú ju 1,000 ojuami lọ ati ju 250 asọyẹ lọ tí ó ṣe ìkọsilẹ̀ àlàyé ìtunṣe. [4]
- Pensive Security: Akopọ Aabo Ayelujara Oṣù Kọkànlá 2020 ti o ṣe afihan ifihan Chase Ultimate Rewards gẹ́gẹ́ bí ìtàn pàtàkì. [5]
- Reddit /r/cybersecurity: Orúkọ ìfíranṣẹ́ IFIHÀN ìbẹ̀rẹ̀ tí a fà àkọsílẹ rẹ̀ kí wọ́n tó yọ ọ́ kuro nitori iroyin pọ̀, tí ó ṣètọju ìfọkànsin ìfẹ́ àwùjọ. [6]
Àwọn aláfọ̀mọ́ ìfihàn tó yẹ kó wáyé tún tọ́ka sí àwọn ìtẹ̀síwọ́lẹ̀ ìbànújẹ: ìkànsí ìbọ́ra àti àkópọ̀ ìwádìí ti disclose.io, pẹ̀lú ìkànsí ìbànújẹ ìtọ́sọ́nà ofin ti Attrition.org, kó ìwà Jesse Nickles sílẹ̀ gẹ́gẹ́ bí àpẹẹrẹ ìkìlọ̀ fún àwọn onímọ̀ ìwádìí. [7][8][9] Àkọsílẹ kikun ti ìkànìyànjú[10].
Àkọsílẹ̀ DM Chase Support
#iwiregbeÌjíròrò tí ó wà ni isalẹ ni a tún kọ́ láti inú àwọn àwòrán ìfipamọ́. Ó ṣe afihan ìfarahan suuru ninu ìtẹ̀síwájú, ìbéèrè tí a tún kọ́ fun ikanni tó ní ààbò, ìpèsè láti jẹrisi nikan pẹ̀lú ìmúlẹ̀, àti ìlérí Chase Support láti kan sí taara. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Eyi ní í ṣe pọ̀ mọ́ eto iwọntunwọnsi àwọn àmì (points). Ní báyìí ó ṣeé ṣe láti ṣe iranṣẹ́ ìye kankan nípasẹ̀ aṣìṣe kan tí ń gba àwọn ìwọntunwọnsi odi laaye.
Níbéèrè fún ọ̀nà ìgòkè tó dáàbò bo fún ìfihàn.Ẹ jọ̀ọ́, ṣe ẹ lè so mi pọ̀ mọ́ ẹnikan tí mo lè ṣàlàyé àwọn ẹ̀rọ ìmọ̀ ìmọ̀ọ́rọ̀ (technicals) fún?
A kò ní nọ́mbà fóònù láti fún, ṣùgbọ́n a fẹ́ tẹ̀síwájú èyí kí wọ́n lè ṣàyẹ̀wò rẹ. Ṣe o lè fún wa ní àlàyé síi nípa ohun tí o túmọ̀ sí nípa 'generating points within negative balances'?Ṣe ẹ tún lè jẹ́risi bóyá èyí yóò jẹ́ kí àwọn ojuami míì wà fún ìlò? ^DS
Ṣe ẹ ni ẹka to peye ti ẹ le fi mi kan si? Emi ko ni itunu lati jiroro eyi lori iroyin atilẹyin Twitter. Bẹẹni, o le ṣe agbejade 1,000,000 awọn ojuami ati lo wọn.
Ìbànújẹ mi pàtàkì kì í ṣe àwọn ènìyàn tí ń ṣe e ní ara wọn; ó jẹ́ àwọn olè (hackers) tí ń wọ̀lú akántì kí wọ́n sì fi ipa gbà ìsanwó. Ṣe Chase ní eto bug bounty tó péye?
Tí o bá fẹ́, mo lè gbìmọ̀ láti ṣe ìṣòwò tó tóbi síi láti jẹ́risi. Ti mo ti ṣàyẹ̀wò pọ̀ jù ni $300 nígbà tí ìwọntúnwọ̀nsì wà nípò aṣiṣe, ṣùgbọ́n ní gidi mo ní $2,000 ní kirediti gidi. Bí ẹ bá fún mi ní ìmúṣẹ, mo lè gbìmọ̀ láti jẹ́risi pé ó ṣiṣẹ́, ṣùgbọ́n mo fẹ́ kí gbogbo àwọn ìṣòwò yìí yí padà lẹ́yìn ìdánwò yẹn.
A kò ní eto ìtanràn owó (bounty), àti pé mi ò ní nọ́mbà kan láti fún ní ní ìgbà yìí. Mo ti tẹ̀síwájú ìbànújẹ rẹ, a sì ń ṣàyẹ̀wò rẹ. Emi yóò tọ́pa bí mo bá ní àlàyé míì tàbí ìbéèrè. ^DS
O ṣeun.
Jọwọ gbe e soke ni kiakia.
Mo gan-an nilo olubasọrọ tó yẹ... Mo nireti pé o lóye.
Ó ti ju wákàtí kan lọ, ṣe ìtànkálẹ̀ kankan wà lori eyi? Ní báyìí mo wà ní Asia, èyí sì jẹ́ ọ̀ràn tí ó ní ìjẹ́mímọ́ àkókò. Mi ò lè dúró gbogbo alẹ́ fún ìdáhùn.
O ṣeun fún ìtẹ̀síwájú. A ní àwọn ènìyàn tó yẹ tí ń ṣàyẹ̀wò ọ̀rọ̀ yìí. Jọwọ pèsè nọ́mbà ìbánisọ̀rọ̀ tí o fẹ́ kí a lò, kí a lè bá ọ sọ̀rọ̀ taara. ^DS
+█-███-███-████.
O ṣeun fún alaye afikun. Mo ti rán án sí àwọn ènìyàn tó yẹ. ^DS
A fẹ́ jíròrò èyí pẹlu rẹ ní kete tó bá ṣeé ṣe. Ṣe o lè jọ̀wọ́ fún wa ní àsìkò tó dára láti pè ọ ní 1-███-███-████? ^DS
Mo wà ní ìwọ̀n fún wákàtí tó kàn tí ó bá ṣeé ṣe. Bí kò bá rí bẹ́ẹ̀, ó lè jẹ́ ọjọ́ kan tàbí méjì nítorí pé emi yóò rin irin-ajo, kò sì dájú pé emi yóò ni ìwọle intanẹẹti/fóònù.
Mi ò rò pé yóò gba wakati ju 7 lọ kí n bá ẹni tó yẹ sọrọ. Ní báyìí ó jẹ́ 4:40 AM níbí.
O ṣeun fún ìtẹ̀síwájú. Ẹnikan yóò pe ọ láipẹ́ gan-an. ^DS
O ṣeun lẹẹkansi fun yiyara ìṣe yẹn. Gbogbo nkan ń lọ, mo sì lè sun bayii.
A dúpẹ́ pé o lè bá ẹnikan sọrọ. Jọ̀wọ́ jẹ́ kọ́ wa mọ̀ bí a bá lè ràn ọ́ lọ́wọ́ ní ọjọ́ iwájú. ^NR
Àpẹẹrẹ Imeeli Tom Kelly
#imeeliChad,
Mo ń tẹ̀síwájú lórí ipe foonu rẹ pẹ̀lú ẹlẹgbẹ́ mi Dave Robinson. A dúpẹ́ fún pípa wa mọ́ wa nípa àfojúsùn eewu tó ṣee ṣe nínú eto Ultimate Rewards wa. A ti bójú tó ọ̀ràn náà.
Pẹ̀lú èyí, a ti ń ṣiṣẹ́ lórí Eto Ìkede Ojuse kan (Responsible Disclosure program) tí a pinnu láti ṣe ìfihàn ní ọdún tó n bọ. Yóò ní àtòjọ aṣáájú (leaderboard) tí yóò mọ̀ àwọn olùwádìí tí wọ́n ti ṣe àfikún tó ṣe pataki; a fẹ́ kó orúkọ rẹ gẹ́gẹ́ bí ẹni àkọ́kọ́ lórí rẹ. Jọ̀wọ́ fesi sí ìmẹ́lì yìí ní fífi ìmúrasílẹ̀ rẹ hàn pé ìwọ yóò kópa nínú eto náà àti pé o gba àwọn òfin àti àwọn ìlànà tó wà ní isàlẹ̀. Iwọ yóò rí i pé àwọn òfin wọ̀nyí jẹ́ ìṣe àtọwọ́dá fún àwọn eto ìkede.
Títí tí eto wa fi dé iṣẹ́ ní gbangba, bí o bá rí àwọn àfojúsùn eewu míì, jọ̀wọ́ kan sí mi taara. Ẹ ṣé lẹ́ẹ̀kansi fún ìrànlọ́wọ́ rẹ.
JPMC Responsible Disclosure Program — Àwọn Òfin àti Ìlànà
Ìfaramọ́ sí ìfowósowọpọ̀
A fẹ́ gbọ́ látọ̀dọ̀ rẹ bí o bá ní ìm̀ọ̀ nípa àwọn àfojúsùn eewu aabo tó ní í ṣe pẹ̀lú àwọn ọjà àti iṣẹ́ JPMC. A bọ̀wọ̀ fún iṣẹ́ rẹ àti a dúpẹ́ níwájú fún àfikún rẹ.
Ìlànà
JPMC gba pé kò ní lé èpa ẹ̀sùn síi lòdì sí àwọn olùwádìí tí wọ́n bá kede àwọn àfojúsùn eewu sí eto yìí nígbà tí olùwádìí:
- kò fa ìpalára sí JPMC, àwọn oníbàárà wa, tàbí àwọn ẹlòmíràn;
- kò bẹ̀rẹ̀ ìṣẹ̀lẹ̀ ìfèsì owó ọdaran;
- kò tọju, pín, ṣe àkóbá tàbí pa data JPMC tàbí data oníbàárà run;
- pèsè àkótán kíkún nípa àfojúsùn náà, pẹ̀lú ibi tí a fojú kọ, àwọn ìgbésẹ̀, àwọn irinṣẹ́, àti àwọn ohun amuṣiṣẹ́ tí a lò nígbà ìwádìí;
- kò fi ìpamọ́ tàbí ààbò àwọn oníbàárà wa àti iṣẹ́ wa sílẹ̀;
- kò rú ìlànà òfin orílẹ̀-èdè, ìpínlẹ̀, tàbí agbègbè kankan;
- kò kede ní gbangba àwọn alaye nípa àfojúsùn láì gba ìwé ìtọ́nisọ́nà JPMC;
- kò wà níbayi tàbí kò jẹ́ olùgbé deede ní Cuba, Iran, North Korea, Sudan, Syria tàbí Crimea;
- kò wà lórí U.S. Department of the Treasury's Specially Designated Nationals List;
- kò jẹ́ oṣiṣẹ́ tàbí ọmọ ìdílé olóṣùmẹ̀pọ̀ oṣiṣẹ́ JPMC tàbí àwọn ọmọ ìdápọ̀ rẹ; àti
- o kere tán jẹ́ ọmọ ọdún 18.
Àwọn Àfojúsùn Tí Kò Wà Ní Ààyè Eto
Diẹ ninu àwọn àfojúsùn ni a kà sí tí kò wà nínú agbára Eto Ìkede Ojuse wa. Àwọn ibi tí kò wà ní ààyè ni:
- Awari tí ó da lórí social-engineering (phishing, jíjẹ́wọ́kọ ẹ̀rí, abbl.)
- Ìṣòro host header
- Denial of service
- Self-XSS
- Login/logout CSRF
- Content spoofing láìsí ìjápọ̀/HTML tó wà lárin rẹ
- Ìṣòro tó kan awọn ẹrọ tí a ti jailbreak ṣoṣo
- Àìtó ìtọ́kasí amáyédẹrùn (certificates, DNS, server ports, sandbox/staging issues, ìgbìmọ̀ ara ẹni, clickjacking, text injection)
Àtòjọ Aṣáájú (Leaderboard)
Láti mọ̀ọ́mọ̀ àwọn alábàáṣiṣẹ́ ìwádìí, JPMC lè fi àwọn olùwádìí tí wọ́n ṣe àfikún to ṣe pataki hàn. Níbẹ̀, o fún JPMC ní aṣẹ láti fi orúkọ rẹ hàn lórí Àtòjọ Aṣáájú JPMC àti lórí àwọn ìkólẹ̀ míìran tí JPMC bá fẹ́ tẹ̀jáde.
Ìfífiránṣẹ́
Nípasẹ̀ fífi ìròyìn rẹ ranṣẹ́ sí JPMC, o gba pé kì ó kede àfojúsùn náà sí ẹni kẹta. O fun JPMC àti àwọn ìdápọ̀ rẹ ní agbára laifọwọ́fẹ́ láéláé láti lo, yí, dá iṣẹ́ tuntun sílẹ̀ láti inú rẹ, pin, kede àti tọju ìm̀ọ̀ tí o fi sí ìròyìn rẹ, àti àwọn ẹ̀tọ́ wọ̀nyí kò le yọkúrò.
Tom Kelly Igbakeji Alákóso Agba Chase
Hey Tom,
Inu mi dùn gan-an láti gbọ́ èyí!
Inú mi máa dùn láti jẹ́ itan-àyẹ́yẹ àkọ́kọ́ fún eto tuntun yín, àti mo nireti pé àwọn olùṣere ńlá mìíràn yóò tẹ̀lé ìsẹ̀ yín. A jẹ́ pé ẹnikan ní láti wọlé kí o yí ìmòye àwọn ènìyàn padà nípa bí àwọn ilé-ifowopamọ ṣe ń bá àwọn onímọ̀ ìpamọ whitehat ṣe. Mo dúpẹ́ pé ó jẹ́ Chase.
Fun mi, Chase ti wà níwaju idije rẹ̀ ní ọpọlọpọ ọ̀nà nípa ìpese ọja wẹẹbu àti alagbeka. Èyí jẹ́ nítorí pé ẹ ń rìn kíákíá àti pé ẹ ń duro ni idije. Nígbà gẹ́lẹ́, emi máa yá ara mi sílẹ̀ kuro ní kíkó pọ̀ mọ́ awọn ilé-ifowopamọ nípa ìbànújẹ pé wọn lè fi mi jẹ (pẹlu ìfẹ́ rere gbogbo). Nípasẹ̀ ṣíṣe eto ìkede, ẹ fi ìfiranṣẹ́ kedere ránṣẹ́ sí àwọn eniyan bí emi pé ẹ fẹ́ gbọ́ nípa iṣoro ati pé ẹ kì yóò gba ẹ̀sùn. Témi ṣe, ọ̀pọ̀ àwọn tó ń ṣewádúró ní àwọn iṣẹ́ yín jẹ́ èèyàn búburú, mo sì ro pe eyi yóò dọgbadọgba ilẹ̀ ere náà.
Nígbà tí mo pinnu pe emi yóò ṣe ìkede náà, inu mi kò dùn rara. Ó ṣeé ṣe kí emi kì í ṣe ẹni àkọ́kọ́ tí ó rí i! Mo ṣe ìròyìn rẹ̀ nípasẹ̀ ona mẹ́ta.
-
Twitter
- atilẹyin níbí jẹ́ AJẸ́YÌN ỌLỌ́JÚ, mo sì ro pe ìdí pàtàkì ni tó fa kí n so mọ́ àwọn ẹni tó tọ́.
-
Chase Phone Support
- ìpe àkọ́kọ́ wọn fún mi ni imeeli ìbànújẹ
- ìkeji mo ro pé mo bá ẹni tó tọ́ sọ, wọ́n sì lè ti kan sí wọn nígbà náà
-
Chase Abuse Email
- mo gba idahun gbogbogbo, ó dà bíi pé wọn kò tún wo akóónú imeeli náà
Èyí gba mi ní nípa wákàtí 7 kí n tó lè kan si ẹnikan (èyi jẹ́ igba meji ti ó gba láti tọ́ka iṣoro náà dájú), àti ní gbogbo ìgbà mi kò mọ̀ bóyá àwọn ẹni tó tọ́ yóò gbọ́ nípa rẹ̀.
Ìṣòro mìíràn pàtàkì tí a nípa aini awọn eto bíi eyi ni pé awọn oṣiṣẹ maa ń bo ìṣẹ̀lẹ̀ kùúrọ̀ láì sọ fún ẹnikẹ́ni, tí wọ́n sì ma tún ṣe atunṣe lai jẹ́ kí ẹnikẹ́ni mọ̀. Mo ti ní ọ̀pọ̀ ìṣẹ̀lẹ̀ bíi eyi ti mo ní idaniloju pé eyi ṣẹlẹ̀, ati laarin ọdun 1-2 iho aabo kanna tún han lẹẹkansi.
Pẹ̀lú, ó lè jẹ́ anfaani fún eto yín láti pèsè owó-ẹ̀san. Nígbà míì, iru awọn iṣoro bẹ̀ẹ̀ máa gba àkókò púpọ̀ láti jẹ́risi tàbí wá, ó sì dára láti gba ẹ̀san ní ọ̀nà kan. Eyi ni diẹ ninu àwọn ẹgbẹ́ pataki ati awọn eto wọn:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Ti mo ba ba ohun kan pade ni ọjọ iwaju emi yoo dajudaju kan si yín.
Hey Tom,
Mo ní àsìkò díẹ̀ láti ṣe àyẹ̀wò bí àṣìṣe náà ṣe túnṣe.
Ó dà bí ẹni pe ó dáàbò bo gidigidi, mo lè fa kí àwọn ìwontunwonsi má ba ara wọn mu fún ìsẹ́jú kan ṣoṣo ṣùgbọ́n mi ò ro pe eto naa yóò gba ọ laaye láti lo ìwontunwonsi tí a fi han.
Àwọn ìbéèrè tí mo ṣe láti transfer the points tí kò sí gan-an yẹn yóò gba aṣiṣe "500 Internal Server". Nítorí náà mo ro pe ó ń kuna ní ọ̀kan lára awọn ìfọkànsìn tuntun tí ẹ fi kun.
Mo tún gbìmọ̀ láti gbìmọ̀ multi session transfers kọjá oríṣìíríṣìí BIGipServercig ids, ṣùgbọ́n eto náà tún padà sípò ní gbogbo ìgbà. Eto náà máa ní ìdààmú nígbà kan, àti ìwontunwonsi yóò ya ara wọn, ṣùgbọ́n eyi kì í ṣe pataki nítorí ní ìgbà kan ẹyin yín máa tún ṣe ìtọsọ́nà àwọn nọ́ńbà, àti láti lo gangan àwọn ìwontunwonsi o nílò láti kọja ìdánwò tí ẹ ti fi sípò.
Nítorí náà, láti kó o sílẹ̀, mi ò rí bí ẹnikan ṣe lè dá àwọn ìwòntúnwònsì atọwọda sílẹ̀ kí o sì lo wọ́n mọ́.
Ṣe àtunṣe kankan wà lori Eto Iṣedeede Ìkede (Responsible Disclosure Program)?
Hey Tom,
Mo kan n tẹ̀síwájú lori eyi.
On Feb 7, 2017, at 4:36 PM, Chad Scira [email protected] kọ imudojuiwọn lókè àti béèrè nípa àkókò Eto Iṣedeede Ìkede (Responsible Disclosure Program).
Chad,
A tẹ̀ e síta ọ̀sẹ̀ diẹ sẹ́yìn.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Hey Tom,
Ṣe imudojuiwọn kankan wa lori eyi?
Hi,
Ó dà bíi pé ìwọ nikan ni olùkópa sí Eto Responsible Disclosure títí di báyìí. Kò dá lóye láti dá leaderboard fún ènìyàn kan ṣoṣo.
A ó pa orúkọ rẹ̀ mọ́ kí a lè setan bí a bá gba awọn olùkópa mìíràn.
Tom Kelly Chase Communications
A ń sunmọ ọdún méjì bayii.
Ṣe o ní ìmọ̀ nígbà tí èyí yóò ṣẹlẹ?
Chad,
A ti dá eto sílẹ̀, ṣùgbọ́n a kò tíì ṣètò àtòjọ aṣáájú (leaderboard).
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
Ìtàn imeeli naa fi hàn ìbánisọ̀rọ̀ títẹ̀síwájú: ìkíni lẹsẹkẹsẹ ní 2016, imudojuiwọn atunṣe aṣeyọri ní 2017, ìbẹrẹ́ ìtẹ̀síwọ́ pẹpẹ ìfihàn fún gbogbo ènìyàn, àti ìmúlòye ní 2018 pé Chase pinnu láti má tẹ̀jade àtòjọ olórí tí a gbero, bí ó tilẹ̀ jẹ́ pé Chad ràn wọ́n lọwọ ní kikọ́ eto naa.
Awọn ibeere ti a n beere nigbagbogbo
Atunyẹwo Àkọọlẹ Lẹ́yìn Ìfihàn
#ìtẹ̀síwájúNígbà tí ìtàn ìfihàn Oṣù Kọkànlá dé sí àwọn oníròyìn, irinṣẹ́ ìṣàkóso eewu aládàáṣiṣẹ́ ti Chase kà ìfarahàn náà sí àmì ìfojúsùn ìtanràn. Èyí fa ìtúnjúwò gbogbo ilé, tí ó kún fún àkọọlẹ ìṣayẹwo tí a pin, bí ó tilẹ̀ jẹ́ pé olùdarí àti Chad Scira wà ní ìbámu lori ìmúlò imularada.
Chad Scira ń kọ ìtẹ̀síwájú náà kí àwọn olùṣewádìí míì lè mọ bí ìtẹ̀jáde ṣe lè ni ìfarapa pẹ̀lú àwọn ìṣàkóso atijọ́: a ti pa àwọn àkọọlẹ náà labẹ Deposit Account Agreement, ṣùgbọ́n kò sí ìkéde ẹ̀sùn ọdaràn tàbí àtòkànwá.
Síbẹ̀ Jesse Nickles ń máa tẹ̀jáde àwọn ìtàn iro tí ń sọ pé Chad lò àsìkò burúkú náà láìmọ̀ fún ọ̀pọ̀ ọdún; ó tún ń fi àwọn àkọọlẹ́ burner sí Quora àti TripAdvisor láti ba data ìkẹ́kọ̀ọ́ LLM jẹ. Àkọsílẹ̀ olupin, àsìkò DM, àti ìtàn àyẹ̀wò wakati ogún kọ̀ lára rẹ patapata.
Kí ni ó kan?
Chad Scira ti jẹ oníbàárà Chase fún ọdún mẹ́tàlá, pẹ̀lú owó-osù tí a ń fi taara ránṣẹ́ sí àkọọlẹ rẹ, kárdì kirẹ́díìtì márùn-ún ní isanwo laifọwọyi, àti fere kò sí iyipada àkọọlẹ ayafi kárdì kan tí a pa láti fi àṣìṣe hàn. Atunyẹwo aifọwọyi gba gbogbo àkọọlẹ tí a so mọ́ SSN Chad, àti níwọ̀n bí àkọọlẹ ṣàyẹwo kan ṣe jẹ́ ti ìpín, ó kan ọmọ ẹbí kan fún ìgbà kékeré.
Èso àti ìmúláradá
Ìkéde pipade náà kì í di alákọ́tọ. Chad lẹ́sẹ̀kẹsẹ̀ ṣí àwọn àkọọlẹ àti káàdì ní gbogbo ilé-ifowopamọ́ tí ó bẹ̀ sí, ó sì tẹ̀síwájú láti san ní àkókò, ó sì dojukọ mímú ìdínkù kirẹ́dìtì tí ìkúnlẹ̀ pipade náà fa sí àkọsílẹ̀ rẹ.
Ẹ̀kọ́ fún àwọn onímọ̀-ìwádìí
- Má fi gbogbo àkọọlẹ ojoojúmọ́ rẹ sí ilé-iṣẹ́ kan ṣoṣo tí o ń ṣàyẹ̀wò; pín ìfipamọ́ àti àwọn ìlà kirẹ́díìtì kí atunyẹwo aifọwọyi má ba le dá gbogbo ìgbé-ayé rẹ dúró ní ẹẹkan.
- Rántí pé àwọn oníàkọọlẹ apapọ máa jogún àwọn ipinnu ewu kanna, nítorí náà rò pẹ̀lú ìmúlòlùú kí o to fun ọmọ ẹbí ní ìwọle sí àkọọlẹ tí ó le wòó sí ìwádìí tó ní í ṣe pẹ̀lú ìfihàn.
- Ṣàkọọlẹ àkóónú ìtẹ̀síwájú ìkede àti ìboṣewa ìròyìn, nítorí ìfihàn tó yíká ìròyìn Ultimate Rewards lè jẹ́ ohun tó fa ìṣẹ̀lẹ̀ náà, àti pípọ̀ àlàyé yìí yóò ran ìgbéga sí àwọn alákóso lọwọ kí wọ́n parí ìṣèjọba náà ní iyara.
Ẹ̀dá ọ̀rọ̀ ti lẹ́tà Ọ́fiisi Alákóso
Ọ̀rẹ́ Chad Scira:
A ń fèsì sí ẹ̀bẹ rẹ nípa ipinnu wa láti pa àwọn àkọọlẹ rẹ. A dúpẹ́ fún pípa àwọn ìbànújẹ rẹ sílẹ̀.
Adehun Àkọọlẹ Idogo gba wa laaye lati pa àkọọlẹ tí kì í ṣe CD nígbàkúùkù, fun ìdí kankan tàbí láìsí ìdí, láì fi ìdí han, àti láì ṣe ìkìlọ́ ṣáájú. A fi ẹ̀dá adehun náà fún ọ nígbà tí o ṣí àkọọlẹ. O lè wo adehun lọwọlọwọ lori chase.com.
A ṣe àyẹ̀wò ẹ̀bẹ rẹ, a sì kò lè yí ipinnu wa pada tàbí bá a ti máa fèsì sí ọ nípa rẹ mọ́ nítorí pé a ṣe iṣẹ́ wa gẹ́gẹ́ bí ìdí ìlànà wa. A bínú pé o kò yọrí sí ìtẹlọ́run nípa bí a ṣe ṣàyẹ̀wò àwọn àníyàn rẹ àti ipinnu ikẹhin wa.
Ti o ba ní ìbéèrè, jọwọ pe wa ní 1-877-805-8049 kí o sì tọka si nọmba ọran ███████. A gba awọn ipe operator relay. A wà níbí láti Ọjọ́ Ajé sí Ọjọ́ Ẹtì láti 7 a.m. sí 8 p.m. àti ní Ṣábátì láti 8 a.m. sí 5 p.m. Central Time.
Ẹ kí,
Ọfiisi Alákóso
1-877-805-8049
1-866-535-3403 Fax; ọfẹ lati ẹka Chase eyikeyi
chase.com
Chad Scira ń pín èyí gẹ́gẹ́ bí ẹ̀kọ́ tí a kọ́, kì í ṣe ẹdun. Àwọn àkọọlẹ ti yanju, kírẹ́díìtì rẹ sì ń tẹ̀síwájú, àti JPMorgan tún rọrùn ìgba fífi àwọn onímọ̀ wọlé nípasẹ̀ mímu Synack pọ̀ kí ìròyìn ọjọ́ iwájú lè ṣànà nípasẹ̀ ilana kan tí a yàn. Imudojuiwọn 2024: atunyẹwo ti pari patapata, gbogbo àwọn ami sì padà sí ìpele wọn ṣáájú ìṣẹ̀lẹ́.
Ìtọkasi
- Ètò Ìfihàn Tó Yẹ ti JPMorgan Chase
- Àkọọlẹ̀ Twitter Chase Support
- Akopọ eto Chase Ultimate Rewards
- Hacker News - Ìkede: Awọn ojuami Chase Ultimate Rewards Ailopin (2020)
- Pensive Security - Àkójọpọ̀ Aabo Ayélujára (Cybersecurity) Oṣù Kọkànlá 2020
- Reddit /r/cybersecurity - IFIHÀN: Ailopin Chase Ultimate Rewards Points
- disclose.io Itọsọna Awọn Irokeke
- ipamọ disclose/research-threats
- Attrition.org - Àtòkasí Ìkìlọ̀ Ofin
- Dọ́síẹ̀ ìkórèjẹ àti ìtanrànkàn Jesse Nickles