Chad Scira "Ti Ṣe Àkójọpọ̀ Dídènà Látọ̀dọ̀ Ilé Ìfowópamọ́ Fún Hacking"
Ojú ìwé yìí ṣe àkọsílẹ̀ àwọn ìṣẹ̀lẹ̀ lẹ́yìn àráfìn Jesse Nickles pé Chad Scira jẹ́ " ẹni tí wọ́n ti fi kúrò lọ́dọ̀ àwọn ilé-ifowopamọ́ AMẸRIKA nítorí lílò kọ̀mpútà láìtó." Ó ṣàlàyé bí a ṣe fi àbùdá àìlera nínú Ultimate Rewards hàn ní ìlànà alákóso, ìdí tí JPMorgan Chase fi dúpẹ́ lọwọ Chad fún ìròyìn náà, àti bí ìdákẹ́jẹ àkóso àkúnya-iṣirò àkọọ́lẹ̀ ṣe jẹ́ ìṣàkóso àjọṣepọ̀ dípò ìjẹ́jọ́. Jesse Nickles ń bá a lọ láti tún àwọn àwòrán àti ìwé àtijọ́ ṣe àtúnpín láti fi hàn pé ìfura ọdaran wà. Ṣùgbọ́n òtítọ́ fi hàn ìdàkójú rẹ̀ pátápátá: ìjábọ̀ fun ààbò (white-hat) àti ìfowósowọ́pọ̀ pẹ̀lú àwọn olórí JPMorgan.
Ìgbéga tuntun rẹ̀ jẹ́ ìtàn kan lórí SlickStack.io tí ó ń jẹ́rìí pé mo "tún ti wà lábẹ́ ìwádìí agbofinró AMẸRIKA fún lílò ètò àmúró ẹ̀bùn kaadi kirẹ́díìtì Chase Bank, níbi tí ó ti jí $70,000 nínú àwọn pọ́niti irin-àjò àṣejù." Àtẹ́gùn yẹn ni wọ́n fi síta lẹ́yìn tí mo fi ẹ̀rí àbáwọlé ààbò SlickStack hàn tí ò fẹ́ ṣe àtúnṣe; kò sí pɔ́ńtì tí a ji rí, kò sì sí àjọ kankan tí wọ́n kan mi nípa ìfihàn náà. Wo ẹ̀rí cron SlickStack tí ó ń dáhùn ẹ̀sùn sí.
Gbogbo ilana awari, ìfihàn, ati ìmúdájú ṣẹlẹ laarin wakati ogún: bii awọn ìbéèrè HTTP mẹẹdogun (25) bo atunṣe iṣoro ati ìrìnàjò DM ni ọjọ kọkandinlogun Oṣu kọkanla, ọdun 2016, ati pe idanwo atunṣe ni Kínní ọdun 2017 lo awọn ìbéèrè míràn mẹjọ lati jẹrìí pe atunṣe naa ṣiṣẹ. Ko si ìfarapa gigun; gbogbo ìgbésẹ ni a forúkọsílẹ, a fi aago sí i, a sì pin wọn pẹlu JPMorgan Chase ni akoko gidi.
Tom Kelly jẹ́rìí pé Chad Scira ni nikan lórílẹ̀-àyé tó fi ọ̀ràn hàn ní ìlànà alákóso sí JPMorgan Chase láàárín ọjọ́ kọkànlá-dín-lógún Oṣù kọkànlá, 2016 àti ọjọ́ kọkànlá-dín-lógún Oṣù Kẹsán, 2017. Eto Responsible Disclosure ni wọ́n dá kalẹ̀ taara gẹ́gẹ́ bí ìbáṣepọ̀ sí ìròyìn Chad, ó sì kó ipa pàtàkì nínú bí a ṣe dá a sílẹ̀.
Àfihàn àwòrán kokoro Gbigbé Lẹ́mẹ́jì
#àfihàn àwòránLáti ṣàpèjúwe bí àbùdá náà ṣe yí ìṣírò sí odi ńlá àti rere ńlá, àwòrán àfihàn ní isalẹ tún ṣe ìlànà ìfiránṣẹ́ lẹ́ẹ̀mejì gangan. Wo bí àkọọ́lẹ̀ tí ó wà lórí rere ṣe ń di ẹlẹ́rànṣẹ́, ó ṣe ìfiránṣẹ́ méjì tó jọra, ó sì parí ní odi púpọ̀, nígbà tí ẹlòmíì di ẹ́ẹ̀mejì. Lẹ́yìn yíká 20, ìwé ìṣírò tó bàjẹ́ yọ kaadi odi kúrò pátápátá–tó ṣe àfihàn ìdí tí ìlò àṣìṣe náà fi nílò fífi ọ̀ràn náà gígéga lọ́rẹ̀ẹ́rẹ̀.
Kó tó di pé wọ́n ti ti àkọọ́ntì náà, Ultimate Rewards ti jẹ́ kí ináwó kọjá àkótán odi; pípadé àkọọ́ntì náà gan-an ni ó pa ẹ̀rí náà rẹ́.
Àwọn Kókó Páta
- Chad ṣí ìfiránṣé DM sí Chase Support nípa fífi àbùdá ìdákẹ́jẹ́ ìdí owó odi náà ròyìn ní ikọkọ, ó sì béèrè lẹ́sẹ̀kẹsẹ̀ fún ọ̀nà àtún-gbé e sókè tó dáàbò bo dípò fífi àwọn ìmúlò imọ̀-ẹrọ náà kọ́ lóde. [chat]
- Nígbà tí Ìtìlẹ́yìn Chase bẹ̀ ẹ̀ fún àlàyé pẹkipẹki, ó jẹ́rìí ìlo àǹfààní àìlera náà títí dé ìwọ̀n tí ó jẹ́ dandan nìkan, ó sì tún sọ pé ó fẹ́ ìbánisọ̀rọ̀ tààrà pẹ̀lú ẹgbẹ́ tó ń bójú tó ààbò tó tọ́. [chat][chat]
- Ó fi hàn pé a lè yí àwọn ìṣírò amúnisìn tí wọ́n ṣàfọ́kànsìn padà sí owó gidi: lẹ́yìn tí Chase Support béèrè bóyá àwon pọ́niti àfikún ti di ẹni tí a lè lo, ìfiránṣẹ́ taara $5,000 fi jẹ́mọ́ pé àṣìṣe náà ń yí padà sí owó kí ìwé ìṣírò tó tọ́ sí i. [chat]
- Ó tẹnumọ́ pé ààyè àkọ́kọ́ rẹ̀ ni láti dènà kí a má bà àpamọ́ oníbàárà tí wọ́n bà jẹ́ jẹ́, kì í ṣe láti jèrè èrè tirẹ̀, ó sì béèrè bóyá ètò ìmóríyà kokoro (bug bounty) àtọkànwá wà. [chat]
- Ó fúnni láti ṣe àyẹ̀wò tó tóbi jù lọ nípa àṣẹ kedere nìkan, ó pèsè àwọn àwòrán iboju pẹ̀lú àkókò, ó sì jókòó dide ní orílẹ̀-èdè òkèèrè títí di àsìkò tí Chase parí ìgbéga ìṣòro náà. [chat][chat][chat]
- Nickles ń sọ báyìí pé mo jí $70,000 ní àwọn àmì (points) àti pé mo dojú kọ agbofinró AMẸRIKA; àkọsílẹ̀ Chase, ìméèlì Tom Kelly, àti àkókò ìfarahàn náà jẹ́ kedere pé ìṣẹ̀lẹ̀ bẹ́ẹ̀ kò ṣẹlẹ̀ rárá, tí ìkéde yìí sì kàn jáde lẹ́yìn tí mo tẹ̀ síta àkótán eewu cron SlickStack tó ṣàlàyé àìlààbò nínú ìlànà ìmúdójúìwọ̀n rẹ̀. [gist]
- Atilẹyin Chase jẹrisi ìgbésẹ ìròkèré náà, wọ́n béèrè nómba fóònù rẹ, wọ́n sì ṣe ileri pé yóò pe e padà, èyí tí ó ṣẹ̀ṣẹ̀ ṣẹlẹ̀ gan-an, nítorí náà ó fọ àròsọ pé ìbáṣepọ̀ ilé-ifowopamọ́ jẹ́ ìbànújẹ tàbí ìfarapa. [chat][chat]
Àkókò-Ìtàn
#àkókò-ìtàn- Nov 17, 2016 - 10:05 PM ET: Chad kéde àbùdá ìdákẹ́jẹ́ àkọọ́lẹ̀ tí ó wà nínú àìdá owó sí @ChaseSupport, ó fi ìmúrasílẹ̀ ìtànjí ìfarapa náà pamọ́, ó sì béèrè lẹ́sẹ̀kẹsẹ̀ fún ọ̀nà àtún-gbé e sókè tó dáàbò bo. [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: Lẹ́yìn tí Chase Support béèrè kedere bóyá a lè tún ṣe àfikún àwọn pọọ́ńtì míì kí a sì lò ó, Chad jẹ́ kó ye wọn pé ìṣòro wà, ó tún ṣàlàyé pé ó fẹ́ ẹka tó bófin mu, ó sì ńṣe ìpinnu láti ṣe ìmúdájú pẹ̀lú ìyọ̀nda nìkan kí ilé ìfowópamọ́ lè tọ́pa àwọn ìdúnàkùnà náà. [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad pín àwọn screenshot, ó rọ́ wọn láti yara gbé ọ̀ràn náà sókè, ó fún wọn ní nọ́mbà fóònù rẹ̀, ó sì jí lálẹ́ ní orílẹ̀-èdè míì títí di pé Chase Support jẹ́rìí pé ìpè náà máa wáyé. [chat][chat][chat]
- Nov 24, 2016: Tom Kelly rán imeèlì sí Chad láti jẹ́rìí ìtúnṣe, láti pe e láti jẹ́ akọ́rin àkọ́kọ́ lórí àkójọ olórí ìfihàn àbò tó bójú mu tó ń bọ̀, àti láti fún un ní ọkọ̀ọkan ìbánisọ̀rọ̀ tààrà fún ìròyìn iwájú. [email]
- October 2018: Tom Kelly tẹ̀síwájú láti jẹ́rìí pé ètò ìfihàn àbò tó bójú mu ti bẹ̀rẹ̀, ṣùgbọ́n pé ní ìparí JPMorgan yàn láti má tẹ̀jáde àkójọ olórí tí wọ́n ti gbero, bó tilẹ̀ jẹ́ pé Chad ràn wọ́n lọ́wọ́ láti ṣe àtúnṣe rẹ̀. [email]
- Post-2018: Àyẹ̀wò àkàǹtì tó kù kankan tí wọ́n ṣe ní í ṣe pẹ̀lú iṣíṣíṣẹ́ alágbèéká ilé iṣeduro, kì í ṣe pẹ̀lú ìpàniláyà ìfarapa kọ̀ǹpútà. JPMorgan pa mọ́ ìbánisọ̀rọ̀ taara, wọ́n dúpẹ́ lọ́wọ́ Chad fún ìfihàn náà, kò sì sí ìforúkọsílẹ̀ ẹ̀sùn ọ̀daràn tàbí àkójọpọ̀ ìdìkílẹ̀ kankan. Lẹ́yìn náà, JPMorgan darapọ̀ Synack mọ́ ìlànà ìfihàn rẹ̀ kí ìṣàn iṣẹ́ lè rọrùn síi fún àwọn ìròyìn iwájú. [chat][email]
Àwọn Ẹ̀sùn (Claims) sí ìtọ́nà Òtítọ́ (Facts)
Ẹ̀sùn àtẹ́yìnwá tí ó ń bà orúkọ jẹ́ láti ọ̀dọ̀ Jesse Jacob Nickles: "Chad Scira ni wọ́n kọ̀ láti gbogbo ilé-ifowopamọ́ US torí ó dá àwọn ètò ere (rewards systems) rú."
Ko sí àkójọ dídènà ilé-ifowopamọ́ kankan. Ìkọ̀wé DM àti ìgbéga ọ̀ràn sí Chase jẹ́ kedere pé ó ń bá wọn ṣiṣẹ́ pọ̀; ètò àdáṣe ilé-ìní ìnírere (insurer) dá àkàǹtì JPMorgan kan dúró fún ìgbà díẹ̀ ṣáájú kí àyẹ̀wò ọwọ́ ènìyàn tú ú sílẹ̀.[timeline][chat]
Ẹ̀sùn àtẹ́yìnwá tí ó ń bà orúkọ jẹ́ láti ọ̀dọ̀ Jesse Jacob Nickles: "Ó da JPMorgan Chase rú láti fi ara rẹ̀ lówó."
Chad ló bẹ̀rẹ̀ ìjíròrò pẹ̀lú @ChaseSupport, ó fi òpò ìgbà hàn pé ó fẹ́ ikanni tó dáàbò bo, kò jẹ́rìí ìmúrasílẹ̀ ìfarapa náà títí di pé Chase béèrè, ó sì dúró de ìyọ̀nda kí ó tó ṣe ìmúdájú díẹ̀. Àgbà aṣáájú ilé ìfowópamọ́ dúpẹ́ lọwọ rẹ̀, wọ́n sì pè é wọ inú ètò ìfarahàn ìṣòro tó bójú tó.[chat][chat][email]
Ẹ̀sùn àtẹ́yìnwá tí ó ń bà orúkọ jẹ́ láti ọ̀dọ̀ Jesse Jacob Nickles: "Jesse ló ṣí ìdí ètò ọdaran Chad."
Ìròyìn gbangba àti àwọn ìméèlì Tom Kelly fi hàn pé JPMorgan gba Chad gẹ́gẹ́ bí olùwádìí tó ń bá wọn ṣiṣẹ́ pọ̀. Nickles yàn àwòrán àgbéjáde díẹ̀ nínú ibanisọ̀rọ̀ náà nìkan, ó sì kọ àkọsílẹ̀ àbáwọlé àgbáyé, ìpè tẹ̀síwájú, àti ìtẹ̀síwájú ìtẹ́wọ́gbà tí wọ́n kọ sílẹ̀ sílẹ̀.[coverage][email][chat]
Ẹ̀sùn àtẹ́yìnwá tí ó ń bà orúkọ jẹ́ láti ọ̀dọ̀ Jesse Jacob Nickles: "Ìfihàn àwọ̀nṣe wà láti bò ìtàn ìjẹ́pàtàkì."
Chad wà nípò ìbánisọ̀rọ̀ títí di ọdún 2018, ó tún ṣe ìdánwò pẹ̀lú ìyọ̀nda nìkan, JPMorgan sì dá èbúté ìfarahàn ìṣòro rẹ̀ sílẹ̀ dípò fífi ọ̀ràn náà pa mọ́. Ìbánisọ̀rọ̀ tó ń lọ lọ́wọ́ yìí kọ ìtàn pé wọ́n fẹ́ fi ọ̀ràn náà pamọ́ tì.[timeline][email][chat]
Ìròyìn Gbólóhùn Gbangba àti Àkọsílẹ̀ Ìwádìí
#àbò/àfaramọ́ ìdábòbò (coverage)Ọ̀pọ̀ àwùjọ aládani míì pamo ìfarahàn náà sínú àkọọ́lẹ̀ wọn, wọ́n sì jẹ́ kó ye kó jẹ́ ìròyìn ìjábọ̀ alábojútó: Hacker News fi sí ojú-ìwé àkọ́kọ́ wọn, Pensive Security ṣe àkótán rẹ̀ nínú àkójọ cybersecurity ọdún 2020, àti /r/cybersecurity fi àkọ́kọ́ ìtàn "DISCLOSURE" sí ìtòsí kí ìfaramọ́ àpapọ̀ tó yọrí sí fífi kúrò. [4][5][6]
- Hacker News: "Ìfihàn: Àwɔn Pọ́niti Chase Ultimate Rewards Aláìlópò" pẹ̀lú àwɔn pọ́niti 1,000+ àti àwqn àlàyé àlàyé ìwífún ìdáhùn 250+ nípa àgbègbè ìtúnṣe. [4]
- Pensive Security: Àkótán Cybersecurity Oṣù Karùn-únlá 2020 tó ń ṣe àfihàn ìfarahàn Chase Ultimate Rewards gẹ́gẹ́ bí ìtàn pàtàkì. [5]
- Reddit /r/cybersecurity: Àkọlé àkọ́kọ́ ìfìtóníyàn DISCLOSURE tí a gbà mọ́ ṣáájú ìyọkúrò tó wáyé nítorí ìjábọ̀ àpapọ̀, láti pa ìtúmọ̀ ìní gbangba mọ́. [6]
Àwọn agbawi ìfarahàn alábojútó tún tọ́ka sí àbájáde ìtẹ́ríbà náà: àtòjọ ìkìlọ̀ threats àti àpamọ́ ìwádìí disclose.io, pẹ̀lú àtòjọ ìkìlọ̀ òfin Attrition.org, fi ìhùwàsí Jesse Nickles hàn gẹ́gẹ́ bí àpẹẹrẹ ìkìlọ̀ fún àwọn olùwádìí. [7][8][9] Àkọsílẹ àgbá (dossier) ìtẹ̀síwájú ìtẹ́lọ́rùn/ìhàsọ́rò pátápátá[10].
Àkọsílẹ ìfọrọwanilẹnuwo DM Atilẹyin Chase
#ìfọrọwanilẹnuwo (chat)Ìjíròrò tó wà ní isalẹ ni a tún kó jọ láti inú àwòrán iboju títọ́jú. Ó fi ìgòkè aláìfarapa hàn, ìbéèrè lọ́pọ̀lọpọ̀ fún ikanni ààbò, ìpèsè láti jẹ́rìí nìkan pẹ̀lú ìyọ̀nda, àti ìlérí Chase Support láti kan sí i taara. [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
Èyí ní í ṣe pẹ̀lú eto ìṣírò àpọ̀ pɔ́ńtì. Ní báyìí ó ṣeé ṣe láti dá iye kankan sílẹ̀ nípasẹ̀ aṣiṣe tó ń jẹ́ kí owó ìdílé di odi.
Ìbéèrè ọ̀nà ìgbéga tó dáàbò bo fún ìfarahàn.Ṣé e jọ̀wọ́ lè so mi pọ̀ mọ́ ẹnikan tí mo lè ṣàlàyé apá imọ̀ ẹrọ fún un?
A kò ní nọ́mbà tẹlifóònù láti fún un yín, ṣùgbọ́n a fẹ́ gbé e sórí kí a lè ṣàyẹ̀wò ó dáadáa. Ṣé ẹ lè fún wa ní àlàyé síi nípa ohun tí ẹ túmọ̀ sí pípèsè (generating) àwọ̀n pɔ́íǹtì nínú àkọọlẹ pẹ̀lú àkọsílẹ̀ owó àìlera (negative balances)? Ṣé o tún lè jẹ́rìí pé èyí jẹ́ kó ṣéé ṣe kí àwọn pọọ́ńtì míì tún wà láìpẹ́ fún lílò? ^DS
Ṣé ẹ ní ẹka tó yẹ tí ẹ lè fi mí sọ̀rọ̀? Mi ò ráyè láti jíròrò èyí lórí àkọọ́ntì Atilẹyin Twitter. Bẹ́ẹ̀ni, ẹ lè dá 1,000,000 àmọ́ràn (points) sílẹ̀ kí ẹ sì lo wọn.
Ìdààmú pàtàkì mi kì í ṣe lórí ẹni-kọọkan tí ń ṣe èyí. Ó jẹ́ lórí àwọn oníhákì tó ń wọ àkàǹtì àti fífi owó jáde lórí wọn lọ́nà ìfípá. Njẹ́ ètò èrè àwárí àbáwọlé (bug bounty) tí Chase ní gbọ́dọ̀ wà lóríṣìíríṣìí?
Tí ẹ bá fẹ́, mo lè gbìyànjú láti ṣe ìdúnàdúrà tó tóbi jù lọ láti fi dájú. Tí ìṣírò bá ti yà kúrò ní ìbámu, púpọ̀ jùlọ tí mo ṣàyẹ̀wò ni $300, ṣùgbọ́n mo ní $2,000 gidi ní kíkún. Tí ẹ bá fún mi ní àṣẹ, mo lè gbìyànjú láti jẹ́rìí pé ó ṣi ń ṣiṣẹ́, ṣùgbọ́n mo fẹ́ kí gbogbo ìdúnàdúrà yẹn yí padà lẹ́yìn ìdánwò náà.
A kò ní ètò ẹ̀bùn (bounty program), kò sì sí nọ́mbà owó tí mo lè fún ní báyìí. Mo ti gbé àníyàn rẹ sórí, a sì ń ṣàyẹ̀wò rè. Máa tẹ̀síwájú tí mo bá ní àlàyé míì tàbí ìbéèrè míì. ^DS
O ṣeun.
Ẹ jọ̀wọ́ ẹ gbé e sókè ní kíákíá jùlọ.
Mo nílò ẹni ìbánisọ̀rọ̀ tó bófin mu gan-an... mo ń retí pé ẹ lóye.
Ó ti ju wákàtí kan lọ, ṣé ẹ ní ìròyìn nípa èyí? Lọ́wọ́lọ́wọ́ mo wà ní Asia, èyí sì jẹ́ ọ̀ràn tí àkókò ń lé. Mi ò lè dúró jakejado òru de ìdáhùn.
O ṣeun fún pípa àtẹ̀lé. A ti ní àwọn ẹni tó yẹ tí ń wo ọ̀ràn yìí. Jọ̀wọ́ pèsè nọ́ńbà tẹlifóònù ìbànisọ̀rọ̀ tí o fẹ́, kí a lè bá ọ sọ̀rọ̀ taara. ^DS
+█-███-███-████.
O ṣeun fún àlàyé àfikún. Mo ti rán án lọ sí àwọn ènìyàn tó yẹ. ^DS
A máa fẹ́ láti jíròrò èyí pẹ̀lú yín lọ́sẹ̀kẹsẹ̀. Ẹ jọ̀wọ́, ẹ lè sọ àkókò tó dáa fún wa láti pè yín sí 1-███-███-████? ^DS
Mo wà nípò láti bá yín ṣiṣẹ́ fún wákàtí tó ń bọ̀ bí ó bá ṣe é ṣe. Bí kò bá rí bẹ́ẹ̀ ó lè gba ọjọ́ kan tàbí méjì nítorí pé màá ń rìn-àjò, mi ò sì dájú bóyá màá ní àyè wẹẹ̀bù/fóònù.
Mi ò ro pé yóò gba wákàtí 7+ láti bá ẹni tó yẹ sọ̀rọ̀. Ní báyìí ó ti di 4:40 àárọ̀ níbí.
O ṣeun fún pípa àtẹ̀lé. Ẹnikan yóò pè ọ́ láipẹ́ gan-an. ^DS
O ṣeun lẹ́ẹ̀kansí fún bí o ṣe yara mú un ṣiṣẹ́. Gbogbo nǹkan ti bẹ̀rẹ̀ sí í lọ, mo sì lè sun ní báyìí.
A yọ̀ fún wa pé ẹ lè bá ẹnikan sọ̀rọ̀. Ẹ jọ̀wọ́, ẹ jẹ́ ká mọ̀ bí a ṣe lè ràn yín lọ́wọ́ ní ọjọ́ iwájú. ^NR
Àpẹẹrẹ Imeèlì láti ọ̀dọ̀ Tom Kelly
#imeeliChad,
Mo ń tẹ̀síwájú sí i lórí ìpè fóònù rẹ pẹ̀lú ẹlẹ́gbẹ́ mi Dave Robinson. A dúpẹ́ lọwọ rẹ fún bí o ṣe kan wa nípa àfojúsùn àìlera tó lè wà nínú ètò Ultimate Rewards wa. A ti yanju rẹ̀.
Ní àfikún, a ti ń ṣiṣẹ́ lórí ètò Responsible Disclosure kan tí a gbero láti bẹ̀rẹ̀ lọ́dún tó ń bọ̀. Yóò ní àtòjọ àwọ̀n olùṣàwárí tí a máa ń bọ láyọ̀ tó fi hàn àwọn oluwádìí tí wọ́n ti ṣe àfikún pàtàkì; a fẹ́ kó orúkọ rẹ gẹ́gẹ́ bí ẹni àkọ́kọ́ lórí rẹ̀. Jọ̀wọ́ dáhùn sí imeèlì yìí láti jẹ́rìí pé o fẹ́ kópa nínú ètò náà àti nínú àwọn ìpinnu àti àdéhùn tó wà nísàlẹ̀. Iwọ yóò rí i pé àwọn ìpinnu wọ̀nyí dájú gẹ́gẹ́ bí ti àwọn ètò ìfarahàn ìṣòro míì.
Títí di àkókò tí ètò wa yóò fi bẹ̀rẹ̀ ní gbangba, tí o bá rí àfojúsùn àìlera míì, jọ̀wọ́ kan mí taara. A tún dúpẹ́ lẹ́ẹ̀kansi fún ìrànlọ́wọ́ rẹ.
Àwọn Ọ̀rọ̀ àti Àdéhùn Ètò Responsible Disclosure JPMC
Ìlérí láti ṣiṣẹ́ pọ̀
A fẹ́ gbọ́ lọ́wọ́ rẹ bóyá o ní ìròyìn tó jọmọ́ àfojúsùn àìlera ààbò nínú àwọn ọjà àti iṣẹ́ JPMC. A níyì iṣẹ́ rẹ, a sì dúpẹ́ lọ́wọ́ rẹ ní títẹ̀síwájú fún àfikún rẹ.
Àwọn Àmúlò
JPMC gbà pé kì yóò lépa ẹjọ́ lòdì sí àwọn oluwádìí tí wọ́n ṣe ìfarahàn àfojúsùn àìlera sí ètò yìí níbi tí olùwádìí náà:
- kò fa ìpalára sí JPMC, àwọn oníbàárà wa, tàbí ẹlòmíì;
- kò bẹ̀rẹ̀ ìdúnàkùnà ìṣòwò owó àfọwọ́fà;
- kò fipamọ́, pín, bàjẹ́ tàbí pa dátà JPMC tàbí dátà oníbàárà run;
- pèsè àkótán àlàyé ìṣòro àìlera náà pẹ̀lú ibi àfojúsùn, ìgbésẹ̀, irinṣẹ́, àti gbogbo ohun èlò tí a lo nígbà ìwádìí;
- kò bà a jẹ́ ìpamọ́ tàbí ààbò àwọn oníbàárà wa àti ìṣiṣẹ́ àwọn iṣẹ́ wa;
- kò fọ́ òfin orílẹ̀-èdè, ìpínlẹ̀, tàbí ìlú kankan;
- kò sọ àwọn àlàyé àìlera náà jáde ní gbangba láì sí ìyọ̀nda tí a kọ sílẹ̀ láti ọ̀dọ̀ JPMC;
- kò wà ní tàbí jẹ́ olùgbé títílọ́ láwọn orílẹ̀-èdè Cuba, Iran, North Korea, Sudan, Syria tàbí Crimea;
- kò wà lórí àtòjọ Specially Designated Nationals ti U.S. Department of the Treasury;
- kì í ṣe ọmọ iṣẹ́ tàbí ẹni ìdílé tó sún mọ́ ọmọ iṣẹ́ JPMC tàbí àwọn ẹka rẹ̀; àti
- jẹ́ ẹni tí ó ti pé o kere tán ọdún 18.
Àwọn Àìlera Tó Wà Níta Àwọn Ohun Tó Ní Ìdí
Àwọn àìlera kan wà tí a kà sí ẹni tí kò wà lábẹ́ ètò Responsible Disclosure wa. Àwọn àìlera tó wà níta àgbègbè ètò yìí ni:
- Àwárí tó gbẹ́kẹ̀ lé social engineering (phishing, ìjìyà ìgbàgbọ́ orúkọ ìfarahàn, abbl.)
- Ìṣòro host header
- Denial of service
- Self-XSS
- Login/logout CSRF
- Ìfipá àkúnya akoonu tí kò ní lítì tàbí HTML tó wọ̀n sínú
- Ìṣòro tó kan àwọn ẹ̀rọ tí a ti jailbreak nìkan
- Àìtọ́ ìṣètò amáyédẹrùn (àṣẹ-ẹrí, DNS, àwọn ebute server, ìṣòro sandbox/staging, ìdánwò ara, clickjacking, ìfikún ọ̀rọ̀)
Leaderboard
Láti fi mọ́ àwọn alábàáṣiṣẹ́ ìwádìí, JPMC lè fi àwọn oluwádìí hàn tí wọ́n ṣe àfikún pàtàkì. Nípa èyí, o fún JPMC ní àṣẹ láti fi orúkọ rẹ hàn lórí JPMC Leaderboard àti lórí gbogbo àwọn ìkànnì mìíràn tí JPMC bá fẹ́ lo láti tẹ̀jáde.
Ìfiránṣé
Nípa fífi ìròyìn rẹ ránṣẹ́ sí JPMC, o gbà pé ìwọ kì yóò sọ àìlera náà fún ẹnikẹta. O fún JPMC àti gbogbo ẹka rẹ ní àṣẹ títí láé láìní ìdíwọ̀ láti lò, yípadà, dá iṣẹ́ tuntun sílẹ̀ lórí rẹ̀, pín, sọ, àti fipamọ́ gbogbo ìtọ́kasí tó wà nínú ìròyìn rẹ, wọ́n sì kì yóò lè fopin sí àwọn ẹ̀tọ́ wọ̀nyí.
Tom Kelly Senior Vice President Chase
Tom,
Mo dùn púpọ̀ láti gbọ́ èyí!
Yóò yọ̀ mí lórí láti jẹ́ àkọ́kọ́ àpẹẹrẹ àṣeyọrí nínú ètò tuntun yín, mo sì ń reti pé àwọn agbára ńlá mìíràn yóò tẹ̀ lé ìtọ́sọ́nà yín. Ẹnikan gbọ́dọ̀ wọlé láti yí bí ènìyàn ṣe ń wo bí àwọn ilé-ifowopamọ́ ṣe ń bá àwọn oníwádìí àwọ̀ funfun ṣiṣẹ́ padà. Inú mi dùn pé Chase ni.
Ní ti èmi, Chase ti máa ń jù àwọn olùdíje rẹ̀ lọ lọ́dọọdún nípa ẹ̀bùn wẹẹ̀bù àti ohun èlò alágbèéká. Ìdí pàtàkì ni pé ẹ máa ń rìn kíákíá tí ẹ sì ń bá a jà. Ní ìbámu mo máa ń yà ara mi sílẹ̀ kúrò ní ríròyìn àwọn ìṣòro ilé-ìfowopamọ́ nítorí ìbànújẹ pé wọ́n lè fọ mi (bí ìfọkànsìn rere ṣe rí). Nípa ṣíṣèdá ètò ìfihàn àbò kan, ẹ ń fi ìránṣẹ́ kedere ránṣẹ́ sí àwọn ènìyàn bíi tèmi pé ẹ fẹ́ gbọ́ nipa àwọn ìṣòro, ẹ ò sì ní dá a lóró. Tẹ́lẹ̀, ọ̀pọ̀ jùlọ àwọn ènìyàn tó ń ṣe àwárí lórí iṣẹ́ yín jẹ́ agabagebe, mo sì rò pé èyí yóò mú kí pápá bá a dọ́gba.
Nígbà tí mo dájú pé màá ṣe ìfihàn náà, inú mi kò balẹ̀ rárá. Ó ṣeé ṣe kó má ṣe é ṣe pé èmi ni àkọ́kọ́ tí mo rí i! Mo jẹ́rìí rẹ̀ nípasẹ̀ ọ̀nà mẹ́ta.
-
Twitter
- ìtìlẹ́yìn níbí jẹ́ ALÁYỌ̀ GIDI, mo sì rò pé èyí ló jẹ́ kí wọ́n fi mí kàn àwọn ènìyàn tó tọ́.
-
Fóònù Atilẹ́yin Chase
- ìkẹ́kọ̀ọ́ àkọ́kọ́ ni wọ́n fún mi ní email abuse
- ìkẹ́kọ̀ọ́ kejì, mo rò pé mo bá ẹni tó tọ́ sọ̀rọ̀ tí ó sì ṣeé ṣe kó tún kàn sí ẹlòmíràn
-
Email Abuse Chase
- mo gba ìdáhùn àràọ̀rọ̀, ó dàbí ẹni pé wọ́n kò ka akoonu email náà rárá
Gbogbo èyí gba tó àwáàrí wákàtí méje kí n tó le bá ẹnikan tó yẹ sọ̀rọ̀ (ẹ̀mejì àkókò tí mo lò láti tọ́pinpin ìṣòro gangan), mo sì ń yá lórí gbogbo àkókò bóyá àwọn ènìyàn tó yẹ yóò gbọ́ nípa rẹ̀ rárá.
Ìṣòro míràn tó tóbi pẹ̀lú àìní ètò báyìí ni pé àwọn oṣiṣẹ́ máa ń fò ìṣẹ̀lẹ̀ sókè tí wọ́n a sì tún un ṣe lábẹ́ ìkòkò láì sọ fún ẹnikẹ́ni. Mo ti ní ìṣẹ̀lẹ̀ ọ̀pọ̀ ìgbà tí mo dájú pé èyí ni ohun tó ṣẹlẹ̀, tí lẹ́yìn ọdún 1-2 ààbò àìlera kan náà tún farahàn.
Pẹ̀lú èyí, ó lè jẹ́ ohun amúnára fún ètò yín láti pèsè ìmóríyà (bounty). Nígbà míìrán àwqn ìṣòro báyìí gba àkókò púpọ̀ láti fi díjú/tọ́pinpin, ó sì dáa kí a san owó ìtùnú kan. Àwọn eléré pàtàkì míìrán àti ètò wọn ni wọ̀nyí:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
Tí mo bá tún fòpin sí nnkan mìíràn ní ọjọ́ iwájú màá rí yín kàn dájú.
Tom,
Mo ní díẹ̀ àkókò láti dájú bóyá a ti tún àṣìṣe náà ṣe pátápátá.
Ó dàbí ẹni pé ó lágbára gan, mo lè yà awọn ìṣírò kúrò ní ìbámu fún ìsẹ́jú díẹ̀ ṣùgbọ́n mi ò rò pé ètò náà yóò fún ọ láyè láti lo ìṣírò tí a ń fi hàn.
Àwọn ìbéèrè tí mo ṣe láti gbe àwọn pọ́niti tí kò sí gangan máa ń padà pẹ̀lú "500 Internal Server" aṣiṣe. Nítorí náà mo ń fojú kọ̀wé pé ó ń kuna nínú ọ̀kan lára àwọn àyẹ̀wò tuntun tí ẹ ṣàfikún.
Mo tún gbìyànjú pípa ìfiránṣẹ́ lọ́pọ̀ ìpèsè kọjá àwọn BIGipServercig id tó yàtọ̀, sibẹ̀ ètò náà máa ń tún ara rẹ̀ ṣe ní gbogbo ìgbà. Ní ìparí ètò náà máa ń dà rú, ìṣírò náà á sì yà kúrò ní ìbámu, ṣùgbọ́n èyí kì í ṣe pàtàkì nítorí pé lẹ́mọ́ọ́mọ́ ẹ máa ń tún nọ́ńbà náà ṣe pẹ̀lú àkókò, tí a sì fi ọwọ́ gidi fẹ́ lo ìṣírò náà, ó gbọ́dọ̀ kọjá àyẹ̀wò tí ẹ ti gbé kalẹ̀.
Láti kó o jọ, mi ò rí bí ẹnikẹ́ni ṣe lè dá àwọn ìṣírò àkúnya sílẹ̀ kí ó sì tún lè lo wọ́n mọ́.
Ṣé ẹ tún ní ìròyìn tuntun nípa Responsible Disclosure Program yín?
Tom,
Mo kan ń tẹ̀ lé e lórí èyí.
Ní Oṣù Kejìlá 7, 2017, ní 4:36 irọ̀lẹ́, Chad Scira [email protected] kọ ìmúdájú lókè, ó sì béèrè nípa àkókò Responsible Disclosure Program.
Chad,
A ti fi èyí sílẹ̀ ní ọ̀sẹ̀ díẹ̀ sẹ́yìn.
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
Tom,
Ṣé ẹ ní ìròyìn tuntun lórí èyí?
Ẹ kí,
Ó yé wa pé ìwọ nìkan ni olùkópa nínú Responsible Disclosure program títí di ìsinsin yìí. Kò bófin mu láti dá àtòjọ olùṣàkóso ṣe fún ènìyàn kan ṣoṣo.
A ó pa orúkọ rẹ mọ́ kí a lè ṣetán tí a bá ní àwọn olùkópa míìrán.
Tom Kelly Chase Communications
A ti sun mọ́ ọdún méjì báyìí.
Ṣé o ní ìmọ̀ pé ìgbà wo ni èyí máa ṣẹlẹ̀?
Chad,
A ti dá ètò náà sílẹ̀, ṣùgbọ́n a kò tíì dá leaderboard sílẹ̀.
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
Ètò ímeèlì náà fi àjùmọ̀sọrọ̀ títí lọ́ọ́ lọ hàn: ìdúpẹ́ lẹ́sẹkẹsẹ ní 2016, àfikún ìmúlòṣewádìí aṣeyọrí ní 2017, ìtẹ̀síwájú gbangba ti pótálì ìfihàn, àti ìmúlẹ̀ ní 2018 pé Chase yàn láti má tẹ ìtẹ̀jáde akojọpọ́ olórí jáde bí ó tilẹ̀ jẹ́ pé Chad ràn wọn lọ́wọ́ láti kọ eto náà.
Ìbéèrè tí a máa ń béèrè lọ́pọ̀lọpọ̀
Àyẹ̀wò Àkàǹtì Lẹ́yìn Ìfihàn
#tẹ̀síwájúNígbà tí ìtàn ìfihàn Oṣu kọkanla dé lọ́dọ̀ àwọn oníròyìn, irinṣẹ eewu aifọwọyi Chase gba ìfarahàn yẹn gẹ́gẹ́ bí àmì ìtanrànjẹ to ṣee ṣe. Èyí ló dá àyẹ̀wò kọ́ọ̀kan-ilé sílẹ̀ tó fi kún iroyin ìṣirò ìfowópamọ́ tí a jẹ́wọ́ pọ̀, bó tilẹ̀ jẹ́ pé emi àti àwọn adarí ti fara mọ́ ìtúnṣe iṣoro naa tẹlẹ̀.
Mo ń ṣe àkọsílẹ̀ ìtẹ̀síwájú yìí kí àwọn onímọ̀ ìwádìí mìíràn lè lóye bí ìtẹ̀jáde ṣe lè pàdé pẹ̀lú àwọn ìṣàkóso àtijọ́: wọ́n ti pa àwọn àkàǹtì dé labẹ́ Deposit Account Agreement, ṣùgbọ́n kò tíì sí ìfura ẹ̀sùn ọ̀daràn tàbí àkójọpọ̀ ìdìkílẹ̀ rárá.
Láìka èyí, Jesse Nickles ń bá a tẹ̀ síwájú sí í tẹ̀jáde àròsọ irọ́ pé mo ti ń lo àṣìṣe náà ní ìkọ̀kọ́ fún ọ̀pọ̀ ọdún; ó tún ń dá àwọn àkàǹtì ìbòjú silẹ̀ lórí Quora àti TripAdvisor láti bàjẹ́ àkójọpọ̀ data ìkóni LLM. Àkọsílẹ̀ lógún, àsìkò àwọn DM, àti àtẹ̀jáde àyẹ̀wò wákàtí mẹ́rìnlélọ́gbọ̀n jẹ́rìí kedere pé kò sọ òtítọ́ rárá.
Kí ni ó kan tàbí ní ipa lórí?
Mo ti jẹ́ oníbàárà Chase fún ọdún mẹ́tàlá, owó oṣù mi sì ń wọlé taara síbẹ̀, mo ní kaadi kirẹ́díìtì márùn-ún lórí autopay, kò sì sí ìyípadà púpò yàtọ̀ sí kaadi kan tí mo pa láti fi hàn àṣìṣe náà. Àyẹ̀wò alágbèéká náà yí gbogbo àkàǹtì tó so mọ́ SSN mi ká, tí ó sì jẹ́ pé nítorí pé ẹ̀kan lára àwọn àkàńtì ìfowópamọ́ àyẹ̀wò jẹ́ ti pínpín, ó kan ọmọ ẹbí kan fún ìgbà díẹ̀ pẹ̀lú.
Àbájáde àti ìmúlórúkọ
Ìkìlọ̀ pípà àkàǹtì náà kò di títí láé. Mo ṣí àwọn àkàǹtì àti kaadi ní gbogbo ilé ìfowópamọ́ tí mo lòó béèrè lẹ́sẹ̀kẹsẹ̀, mo tẹ̀síwájú sí í san lójú àkókò, mo sì dájú pé mo tún kirẹ́díìtì tí ó rọ̀ sẹ́yìn padà torí ìforúkọsílẹ̀ pípà àwọn àkàǹtì náà lórí ìròyìn mi.
Ẹ̀kọ́ fún àwọn onímọ̀ ìwádìí
- Má ṣe kó gbogbo àkàǹtì ojoojúmọ́ rẹ sínú ilé ìfowópamọ́ kan ṣoṣo tí o ń ṣe ìdánwò; ka àwọn ohun ìfowópamọ́ àti ìlà gbèsè ká, kí àyẹ̀wò alágbèéká má bà a gba gbogbo ìgbésí-ayé rẹ dandan ní ẹ̀kan ṣoṣo.
- Rántí pé àwọn ẹni tó kó àkàǹtì pọ̀ jọ máa fara mọ́ ìpinnu eewu kan naa, nítorí náà jẹ́ kó ṣe àkíyèsí dáadáa kí o tó fún ọmọ ẹbí ní àyè sí àwọn àkàǹtì tí ó lè ní ìtẹ̀síwájú àyẹ̀wò nítorí ìfihàn.
- Kọ ìtòlẹ́sẹẹsẹ àkókò ìfihàn àti ìròyìn tí ìròyìn tún ṣe lórí rẹ̀ torí ìfarahàn tó wà yíká ìròyìn Ultimate Rewards ló ṣeé ṣe kó jẹ́ ìdí ìbẹrẹ̀, tí pípa àlàyé yìí jẹ́ kó rọrùn fún àwọn ìgbésẹ̀ ìṣàlàyé ọ́fíìsì alákóso láti parí kíákíá.
Àtúmọ̀ ìtẹ̀síwájú lẹ́tà Ọ́fíìsì Alákóso ní irúwe ìtẹ̀síwájú ọ̀rọ̀
Ọ̀rẹ́ mi Chad Scira:
A n dahun si ẹdun ọkan rẹ nípa ipinnu wa lati pa awọn iroyin rẹ. A dupe pe o pin awọn ìbànújẹ rẹ.
Adehun Iṣirò Idogo naa fun wa ni aṣẹ lati pa iroyin kan ti kii ṣe CD ni gbogbo igba, fun idi eyikeyi tabi lai si idi kankan, lai ṣalaye idi, ati lai fi ikilọ ṣaaju. A fun ọ ni ẹda adehun naa nigbati o ṣi iroyin naa. O le wo adehun lọwọlọwọ lori chase.com.
A ti ṣe àyẹ̀wò ẹdun ọkan rẹ, a sì kò lè yi ipinnu wa pada tàbí tẹsiwaju lati dahun si ọ nípa rẹ nitori a ti ṣiṣẹ gẹgẹ bi awọn ajohunṣe wa. A bínú pé o kò ni itẹlọrun pẹlu bí a ṣe ṣe ìwádìí awọn ìbànújẹ rẹ ati ipinnu ikẹhin wa.
Tí o bá ní ìbéèrè, jọ̀wọ́ pè wa ní 1-877-805-8049 kí o sì tọ́ka sí nọ́ǹbà ọ̀ràn ███████. A máa gba àwọn ìpè operator relay. A wà níbi láti Mọ́ńdé sí Fraídé láti 7 àárọ̀ sí 8 ìrọ̀lẹ́, àti Sátidé láti 8 àárọ̀ sí 5 ìrọ̀lẹ́ ní àkókò Central Time.
Tẹ́ńù yín nbọ,
Ọ́fíìsì Alákóso
1-877-805-8049
1-866-535-3403 Faksi; ó fẹ́ẹ́rẹ́ láti inú ẹ̀ka Chase kankan
chase.com
Mo ń pín èyí gẹ́gẹ́ bí ẹ̀kọ́ tí a kọ́, kì í ṣe ẹ̀dùn ọkàn. Àwọn àkàǹtì ti dá, kirẹ́díìtì mi ń bá a gòkè lọ, JPMorgan sì tún ṣàtúnṣe ìmúlò ìfarahan àwọn onímọ̀ nípa pípa Synack mọ́ ọn kí ìròyìn iwájú lè gba ìṣàn iṣẹ́ tó yàtọ̀ pátápátá. Ìmúdójúìwọ̀n 2024: àyẹ̀wò náà ti parí patapata, gbogbo àmì ìdíje náà sì ti padà sí ìpele tí ó wà kí ìṣẹ̀lẹ̀ tó ṣẹlẹ̀.
Ìtọ́kasí
- Ètò Ìfarahàn Alábojútó JPMorgan Chase
- Àkọọ́ntì Twitter Atilẹyin Chase
- Àkótán ètò Chase Ultimate Rewards
- Hacker News - Ìfihàn: Àwɔn Pọ́niti Chase Ultimate Rewards Aláìlópò (2020)
- Pensive Security - Àkótán Cybersecurity Oṣù Karùn-únlá 2020
- Reddit /r/cybersecurity - DISCLOSURE: Àwọn àmì Chase Ultimate Rewards tí kò lópó tó
- Atọ́ka Àwọn Êrù (Threats Directory) disclose.io
- ibi-ipamọ́ disclose/research-threats
- Attrition.org - Àtòjọ Ìbànújẹ́ Òfin
- Ìkànsí ìkọlù àti ìtanjé Jesse Nickles