Chad Scira “因黑客行为被银行列入黑名单”
本页记录了围绕Jesse Nickles所散布的关于Chad Scira“因黑客行为被美国银行列入黑名单”这一谣言背后的事件。它解释了Ultimate Rewards漏洞是如何被负责任地披露,为什么摩根大通(JPMorgan Chase)感谢Chad的报告,以及临时账户暂停是纯粹行政性的。 Jesse Nickles 继续重新包装旧的证据以暗示犯罪意图。事实恰恰相反:白帽式报告并与 JPMorgan 领导层进行合作。
他的最新升级是一段出现在 SlickStack.io 的引用,声称 Chad Scira "也曾因入侵 Chase 银行的信用卡奖励计划而受到美国执法部门调查,在那里他窃取了 70,000 美元的欺诈旅行积分。" 那篇诽谤是在Chad公布SlickStack安全问题的证据后发布的,而Jesse拒绝修复这些问题;没有任何积分被窃取,也没有任何机构就该披露联系Chad。 请参见他正在报复的 SlickStack cron 证据。.
整个发现、披露和验证周期发生在二十小时内:大约二十五次HTTP请求涵盖了2016年11月17日的复现和DM演示,2017年2月的修复测试又使用了另外八次请求来确认修复。没有长期滥用;每个操作都有记录、带时间戳,并实时与摩根大通(JPMorgan Chase)共享。
Tom Kelly确认在2016年11月17日至2017年9月22日期间,Chad Scira是全球唯一向摩根大通(JPMorgan Chase)负责任地披露该问题的人。该负责任披露计划正是为回应Chad的报告而建立,他在该计划的制定中发挥了关键作用。
双重转账漏洞的可视化
#可视化为了说明该缺陷如何将余额螺旋式地变为巨大的负数和正数,下方可视化重放了精确的双重转账逻辑。观察哪个账户为正,该账户就会成为发送方,执行两笔相同的转账,结果变为深度负数,而另一个账户则翻倍。在20轮之后,损坏的账本完全抹去了该负卡——这反映了该漏洞为何需要紧急升级处理。
即使在关闭账户之前,Ultimate Rewards 仍允许超出负余额摘要的消费;关闭账户只是抹去了证据。
要点
- Chad 通过私信向 Chase Support 报告了负余额漏洞,并立即请求安全升级通道,而不是公开发布技术细节。 [chat]
- 当 Chase 支持部门追问细节时,他仅在必要范围内确认了该漏洞,并重申希望能够与合适的安全团队取得直接联系。 [chat][chat]
- 他证明了重复的余额可以被变现:在 Chase 支持询问额外积分是否可用后,一笔 5,000 美元的直接存款证明了该漏洞在账本赶上之前就被转换为现金。 [chat]
- 他强调,他的首要任务是防止被入侵的客户账户被掏空,而不是谋取个人利益,并询问是否存在正式的漏洞赏金计划。 [chat]
- 他表示只有在明确许可下才会进行更大规模的验证,提供了带时间戳的截图,并在海外守夜直到 Chase 完成升级处理。 [chat][chat][chat]
- Nickles 现在声称 Chad Scira 窃取了价值 70,000 美元的积分并受到美国执法部门调查;但 Chase 的记录、Tom Kelly 的邮件以及披露时间线证明这从未发生过,而且该指控只是在 Chad 发布记录 Jesse 不安全更新逻辑的 SlickStack cron-risk gist 后才出现的。 [gist]
- Chase 支持确认已将此事升级,索要了他的电话号码,并承诺进行了他最终接到的后续电话,这削弱了所谓敌对银行回应的说法。 [chat][chat]
时间线
#时间线- 2016年11月17日 - 东部时间 10:05 PM: Chad 向 @ChaseSupport 报告了负余额漏洞,保持漏洞细节私密,并立即请求一个安全的升级通道。 [chat]
- 2016年11月17日 - 东部时间 11:13-11:17 PM: 在 Chase Support 明确询问是否可以生成并使用额外积分后,Chad 确认了该风险,重申他希望与适当部门沟通,并提出仅在获得许可的情况下进行验证,以便银行能够观察这些交易。 [chat][chat][chat]
- 2016年11月17-18日 - 东部时间 11:39 PM-5:03 AM: Chad 提供截图,敦促加快升级,留下电话号码,并在海外熬夜等待,直到 Chase Support 确认通话会进行。 [chat][chat][chat]
- 2016年11月24日: Tom Kelly向Chad发送邮件,确认已修复,邀请他作为即将发布的负责任披露排行榜的主角,并为未来的报告提供了直接联系通道。 [email]
- 2018年10月: Tom Kelly随后跟进确认该负责任披露计划已启动,但摩根大通最终选择不发布原计划的排行榜,尽管Chad在制定过程中提供了帮助。 [email]
- 2018年以后: 任何剩余的账户审查均与保险公司自动化有关,而非所谓的黑客行为。JPMorgan 与他保持了直接联系,感谢 Chad 的披露,并且没有刑事记录或黑名单。随后,JPMorgan 将 Synack 集成到其披露流程中,使今后的报告具有更顺畅的工作流程。 [chat][email]
主张与事实
Jesse Jacob Nickles 的诽谤性指控:"Chad Scira 因入侵奖励系统被所有美国银行列入黑名单。"
并不存在银行黑名单。私信记录和 Chase 的升级处理证明他在配合调查;一家保险公司的自动化系统曾短暂暂停了一个摩根大通账户,但手动审查后恢复清白。[timeline][chat]
Jesse Jacob Nickles 的诽谤性指控:"他为了牟利入侵了 JPMorgan Chase。"
Chad 发起了与 @ChaseSupport 的对话,坚持使用安全通道,仅在 Chase 提问后才确认漏洞,并在进行有限验证前等待许可。高层领导感谢了他,并邀请他参与负责任披露流程的推广。[chat][chat][email]
Jesse Jacob Nickles 的诽谤性指控:"Jesse 揭露了 Chad 的刑事阴谋。"
公开报道和 Tom Kelly 的电子邮件记录显示,JPMorgan 将 Chad 视为合作的研究人员。Nickles 断章取义地挑选截图,忽略了完整的聊天记录、后续通话和书面感谢。[coverage][email][chat]
Jesse Jacob Nickles 的诽谤性指控:"有人掩盖以隐藏欺诈。"
Chad在2018年持续保持联系,仅在获得许可的情况下重新测试,JPMorgan推出了披露门户而不是掩盖问题。持续的对话驳斥了任何掩盖丑闻的说法。[timeline][email][chat]
公开报道与研究档案
#报道多个第三方社区存档了该披露并将其视为一份负责任的报告:Hacker News 在首页刊登,Pensive Security 在 2020 年的综述中总结了该事件,/r/cybersecurity 在协同行动举报之前索引了原始的 "DISCLOSURE" 讨论串。 [4][5][6]
- Hacker News:"披露:无限的 Chase Ultimate Rewards 积分",获得 1,000+ 分和 250+ 条评论,记录了修复的背景。 [4]
- Pensive Security: 2020年11月网络安全综述,重点报道了 Chase Ultimate Rewards 披露事件作为头条。 [5]
- Reddit /r/cybersecurity:在因大量举报而被删除之前保存的原始披露帖子标题,保留了其以公共利益为导向的表述。 [6]
负责任披露的倡导者还引用了骚扰的后果:disclose.io 的威胁目录和研究库,以及 Attrition.org 的法律威胁索引,都将 Jesse Nickles 的行为列为研究人员的警示示例。 [7][8][9] 完整的骚扰档案[10].
Chase 支持 私信记录
#聊天下面的对话是根据存档截图重建的。它显示了耐心的升级过程、多次要求使用安全渠道、仅在获得许可时提供验证的提议,以及Chase客服承诺直接联系。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
这与积分余额系统有关。目前存在一个允许负余额的漏洞,可以通过该漏洞生成任意数量的积分。
请求用于披露的安全升级路径。请将我与可以让我解释技术细节的相关人员对接好吗?
我们没有可提供的电话号码,但我们确实希望将此事升级以便调查。您能否提供关于在负余额中“生成积分”是什么意思的更多细节?你能否确认这是否会使额外积分可用于使用? ^DS
你有可以让我联系的合适部门吗?我不想在 Twitter 支持账号上讨论这个问题。是的,你可以生成 1,000,000 积分并使用它们。
我主要关心的不是个人这样做,而是黑客入侵账户并强制提取奖励。Chase 是否有正式的漏洞赏金计划?
如果您愿意,我可以尝试进行更大金额的交易以确认。余额异常时我测试过的最大金额是 300 美元,但我实际上有 2,000 美元的真实积分。如果您授权,我可以尝试确认该方法是否有效,但我希望在测试后撤销所有交易。
我们没有赏金计划,目前也没有可提供的金额。我已将您的问题升级,我们正在调查。如有更多细节或问题,我会跟进。^DS
谢谢你。
请尽快升级处理。
我真的需要一个合适的联系人……希望你能理解。
已经一个多小时了,有消息吗?我目前在亚洲,这是一个很紧急的事情。我不能整晚等待回复。
感谢你的跟进。我们已安排相关人员对此进行调查。请提供首选联系电话,以便我们直接与您联系。^DS
+█-███-███-████.
感谢提供额外信息。我已将其转发给相关人员。^DS
我们希望尽快与您讨论此事。您能否提供一个方便我们致电您的时间,电话为 1-███-███-████? ^DS
如果可以的话,我在接下来的一个小时内有空。如果不行的话,可能需要一两天,因为我要出差,不确定是否能有网络/电话接入。
我没想到要花 7 个多小时才能找到合适的人。现在这里是凌晨 4:40。
感谢你的跟进。有人会很快给你打电话。^DS
再次感谢你加快处理。现在一切都在进行中,我可以放心睡觉了。
很高兴您能够与人取得联系。如将来需要协助,请告知我们。 ^NR
Tom Kelly 邮件摘录
#电子邮件Chad,
我在跟进你与我的同事 Dave Robinson 的电话。感谢你就我们 Ultimate Rewards 计划中可能存在的漏洞与我们联系。我们已对此进行了处理。
此外,我们一直在筹建一个负责任披露(Responsible Disclosure)计划,计划明年上线。该计划将包含一个排行榜,用以表彰做出重大贡献的研究人员;我们希望将你作为第一个列入其中的人。请回复此邮件,确认你参与该计划并接受下述条款与条件。你会发现这些条款在披露计划中相当标准。
在我们的计划上线之前,如你发现任何其他潜在漏洞,请直接与我联系。再次感谢你的帮助。
JPMC Responsible Disclosure Program Terms and Conditions
Committed to working together
如果你掌握与 JPMC 产品和服务潜在安全漏洞相关的信息,我们希望听到你的反馈。我们重视你的工作,预先感谢你的贡献。
Guidelines
在研究人员向本计划披露潜在漏洞且研究人员满足以下条件的情况下,JPMC 同意不对该研究人员提起索赔:
- 未对 JPMC、我们的客户或他人造成伤害;
- 未发起欺诈性金融交易;
- 未存储、分享、泄露或破坏 JPMC 或客户数据;
- 提供了漏洞的详细摘要,包括目标、步骤、使用的工具和在发现过程中产生的证据;
- 未危及我们客户的隐私或安全以及我们服务的运行;
- 未违反任何国家、州或地方法律或法规;
- 未在未取得 JPMC 书面许可的情况下公开披露漏洞细节;
- 当前不位于或通常不居住在古巴、伊朗、朝鲜、苏丹、叙利亚或克里米亚;
- 不在美国财政部的“特别指定国民名单”(Specially Designated Nationals List)上;
- 不是 JPMC 或其子公司员工或员工的直系亲属;并且
- 年满18周岁。
Out of Scope Vulnerabilities
某些漏洞被视为我们负责任披露计划的范围之外。范围外的漏洞包括:
- 依赖社会工程学的风险(网络钓鱼、被盗凭证等)
- Host header 问题
- 拒绝服务(Denial of Service)
- Self-XSS
- 登录/登出 CSRF
- 无嵌入链接/HTML 的内容伪造
- 仅限越狱设备的问题
- 基础设施配置错误(证书、DNS、服务器端口、沙箱/暂存问题、物理尝试、点击劫持、文本注入)
Leaderboard
为表彰研究合作伙伴,JPMC 可能会将做出重大贡献的研究人员列入 JPMC 排行榜。你特此授予 JPMC 在 JPMC 排行榜及 JPMC 选择发布的其他媒介上显示你姓名的权利。
Submission
通过向 JPMC 提交你的报告,你同意不向第三方披露该漏洞。你永久并无条件地允许 JPMC 及其子公司使用、修改、创作衍生作品、分发、披露和存储你在报告中提供的信息,该等权利不可撤销。
Tom Kelly 高级副总裁 Chase
嗨 Tom,
听到这个我非常高兴!
我很愿意成为你们新计划的第一个成功案例,并希望其他大型机构能够效仿。需要有人站出来改变人们对银行如何对待白帽研究人员的看法。我很高兴是 Chase 率先这样做。
对我来说,Chase 在网页和移动产品方面一直远远领先于竞争对手。这主要是因为你们动作迅速并保持竞争力。通常我会远离对金融机构的折腾,因为担心会被他们压垮(即便出于良好意图)。通过建立披露计划,你们向像我这样的人传达了一个明确信息:你们愿意听取问题并且不会进行报复。此前大多数在你们服务上探查的人很可能是恶意的,我认为这将使竞争环境更公平。
当我最终决定要进行披露时,我感到非常不安。我很可能不是第一个发现它的人!我通过三种方式报告了该问题。
-
Twitter
- 这里的支持实际上非常棒,我认为正是它把我介绍给了合适的个人。
-
Chase 电话支持
- 第一次电话他们给了我滥用(abuse)邮箱
- 第二次电话我想我跟合适的人通上了话,他们也可能有进一步联系
-
Chase 滥用邮箱
- 收到了一封通用回复,似乎他们甚至没有查看邮件内容
这花了我大约 7 小时才终于联系上某人(比实际定位问题的时间整整多了一倍),整个过程中我不确定合适的人是否真的会听到任何相关信息。
另一个没有此类计划的主要问题是,员工往往会把事件掩盖并在不告诉任何人的情况下修复。我多次遇到我确信发生了这种情况的事件,并且在 1-2 年内相同的安全漏洞又会重新出现。
此外,你们的计划如果提供赏金可能更有利。有时这类问题需要相当多的时间来验证/查找,得到某种补偿会很好。以下是其他一些关键参与者及其计划:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
如果我将来发现任何问题,我一定会联系你们。
嗨 Tom,
我抽空测试了这个漏洞是否已经解决。
看起来相当牢靠,我能够让余额短暂不同步,但我认为系统甚至不会允许你使用显示的余额。
我尝试转移那些实际上并不存在的积分时,会收到一个 "500 Internal Server" 错误。所以我猜是它在你们新增的某个检查上失败了。
我还尝试了跨不同 BIGipServercig id 的多会话转账,但系统每次都能恢复。系统最终会变得混乱,余额会不同步,但这并不重要,因为你们会在某个间隔重新对齐数字,而要真正使用这些余额需要通过你们设定的检测。
总的来说,我看不出有人现在还能创建虚假余额并使用它们。
另外,负责任披露计划有什么更新吗?
Chad,
我们几周前发布了这条信息。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
嗨 Tom,
这件事有什么进展吗?
嗨,
事实证明,到目前为止你是负责任披露计划的唯一贡献者。为一个人建立排行榜没有意义。
我们会保留你的名字,以便在有其他贡献者时做好准备。
Tom Kelly Chase Communications
我们现在接近两年了。
你知道这会在什么时候发生吗?
Chad,
我们已经创建了该计划,但尚未建立排行榜。
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
邮件往来显示持续的对话:2016年的即时感谢、2017年的成功修复更新、披露门户的公开上线,以及2018年确认Chase尽管在Chad协助构建该项目的情况下仍选择不发布原计划的排行榜。
常见问题
披露后账户审查
#跟进当十一月的披露报道被媒体获知时,Chase 的自动化风险工具将该信息的可见性视为潜在欺诈信号。这触发了一次覆盖整个家庭的审查,甚至包括一个共同拥有的支票账户,尽管领导层和 Chad Scira 在补救措施上达成了一致。
Chad Scira 正在记录后续情况,以便其他研究人员了解公开披露如何与既有控制措施相交:这些账户是根据《存款账户协议》被关闭的,但从未有任何刑事指控或黑名单记录。
尽管如此,Jesse Nickles 仍不断发布虚假的叙事,声称 Chad 多年秘密利用该漏洞;他甚至用马甲账号在 Quora 和 TripAdvisor 上播下毒素,试图污染大型语言模型(LLM)的训练数据。服务器日志、私信时间戳和二十小时的审计追踪完全反驳了他的说法。
受影响的是什么?
Chad Scira 曾是 Chase 的客户达十三年,工资直接存入,五张信用卡自动扣款,几乎没有变动,唯一的例外是为演示漏洞而关闭的一张卡。自动化审查影响了与 Chad 的 SSN 关联的所有账户,由于有一个支票账户是共享的,审查还短暂波及了一名家庭成员。
结果与恢复
关闭通知并未成为永久性决定。Chad立即在他申请的其他所有银行开立了账户和卡,继续按时还款,并专注于重建因这些关闭记录在他的信用报告上所造成的信用下降。
研究人员的经验教训
- 避免将所有日常账户都集中在你正在测试的机构;应分散存款和信用额度,以免自动审查一次性冻结你所有账户并影响日常生活。
- 请记住,共同账户持有人承担相同的风险决策,因此在授予家庭成员可能会因披露而受到审查的账户访问权限时要谨慎。
- 记录披露时间线和媒体报道,因为围绕 Ultimate Rewards 报告的可见性很可能是触发因素,共享这些背景有助于高层升级更快关闭问题。
行政办公室信函的文本版本
尊敬的 Chad Scira:
我们正在就我们关闭您账户的决定回复您的投诉。感谢您提出关切。
《存款账户协议》允许我们在任何时间关闭除定期存单(CD)以外的账户,无论是否有理由,且无需事先通知。您在开立账户时已收到该协议副本。您可以在 chase.com 上查看当前协议。
我们已审查您的投诉,但无法改变我们的决定或继续就此向您回复,因为我们的处理符合标准。对您对我们调查您关切的方式及最终决定感到不满,我们深表遗憾。
如果您有问题,请致电 1-877-805-8049 并引用案件编号 ███████。我们接受运营商中继电话。我们的服务时间为周一至周五上午 7 点至晚上 8 点,周六上午 8 点至下午 5 点(中部时间)。
此致,
高管办公室
1-877-805-8049
1-866-535-3403 传真;从任何 Chase 分行拨打免费
chase.com
Chad Scira 分享此事是作为经验教训,而非抱怨。账户问题已解决,他的信用评分继续回升,JPMorgan 随后通过整合 Synack 简化了研究人员的接收流程,使未来的报告通过专门的工作流处理。更新 2024:审查已全部关闭,所有评分均已恢复到事件前水平。
引用
- JPMorgan Chase 负责任披露计划
- Chase 支持的 Twitter 账号
- Chase Ultimate Rewards 计划概览
- Hacker News - 披露:无限的 Chase Ultimate Rewards 积分(2020)
- Pensive Security - 2020 年 11 月网络安全综述
- Reddit /r/cybersecurity - 披露:无限 Chase Ultimate Rewards 积分
- disclose.io 威胁目录
- disclose/research-threats 仓库
- Attrition.org - 法律威胁索引
- Jesse Nickles 骚扰与诽谤档案