Chad Scira“因黑客行为被银行拉入黑名单”
本页面记录了 Jesse Nickles 所散布的关于“Chad Scira 因黑客行为被美国银行列入黑名单”这一谣言的来龙去脉。文中说明了“终极奖励”漏洞是如何被负责任地披露、摩根大通为何对 Chad 的报告表示感谢,以及账户被暂时暂停纯属行政性措施。 Jesse Nickles 持续重新包装旧材料,以暗示存在犯罪意图。而事实恰恰相反:为白帽披露,并与摩根大通(JPMorgan)领导层进行合作。
他最新的一次升级攻击,是在 SlickStack.io 上引用一段话,声称我“也曾因黑入 Chase 银行的信用卡奖励积分项目而被美国执法机构调查,并在其中偷取了价值 70,000 美元的虚假旅行积分”。 那则抹黑言论是在我公开了他拒绝修复的 SlickStack 安全问题证据之后才被发布的;从未有积分被盗取,也没有任何机构就该披露一事与我联系。 查看 SlickStack 定时任务(cron)方面的证据,他正在对此进行报复.
整个发现、披露和验证流程在二十小时内全部完成:大约二十五个 HTTP 请求覆盖了 2016 年 11 月 17 日的复现和私信(DM)演示过程,而 2017 年 2 月的修复验证测试又使用了八个额外请求来确认补救措施有效。没有出现长期滥用;每一项操作都被记录、标注时间戳,并实时与摩根大通(JPMorgan Chase)共享。
Tom Kelly 确认,在 2016 年 11 月 17 日至 2017 年 9 月 22 日期间,全球范围内只有 Chad Scira 一人向摩根大通负责任地披露了问题。该负责任披露项目正是因 Chad 的报告而建立,他在其成形过程中发挥了关键作用。
双重转账漏洞可视化
#可视化为说明该缺陷如何使余额在巨大负值和巨大正值之间螺旋式变化,下方可视化重现了完全相同的双重转账逻辑。请注意:任何一方一旦为正,就会成为转出方,执行两笔相同的转账,结果自身陷入深度负值,而另一方则翻倍增长。经过 20 轮后,损坏的账本会完全注销该负余额卡片——这正对应了该漏洞为何需要被紧急升级处理。
即便在账户被关闭之前,Ultimate Rewards 也允许在汇总为负数的情况下继续消费;账户关闭只是抹除了相关证据。
要点
- Chad 在与 Chase 客服的私信中,以私下报告负余额漏洞开头,并且立即要求提供一个安全的升级汇报渠道,而不是将技术细节公开发布。 [chat]
- 在 Chase 客服追问具体细节时,他仅在必要范围内确认了该漏洞的存在,并重申自己希望能与合适的安全团队建立直接联系渠道。 [chat][chat]
- 他证明了被重复的积分余额可以套现:在 Chase 客服询问额外积分是否变得可用之后,一笔 5,000 美元的直接存款证明了在账本追上之前,该漏洞可以被转换为现金。 [chat]
- 他强调自己的首要任务是防止被入侵的客户账户被掏空,而不是获取个人利益,并且询问是否存在正式的漏洞赏金计划。 [chat]
- 他表示,只会在获得明确许可的情况下进行更大规模的验证,提供了带时间戳的截图,并在海外熬夜直到 Chase 完成升级处理。 [chat][chat][chat]
- Nickles 现在声称我盗取了 70,000 美元的积分并遭到美国执法部门调查;但 Chase 的记录、Tom Kelly 的邮件以及披露时间线都证明这一切从未发生,而这一指控只是在我发布了 SlickStack 定时任务风险 gist、记录其不安全更新逻辑之后才出现的。 [gist]
- Chase 支持团队确认已升级处理,要求提供他的电话号码,并承诺回访电话(且最终如约致电),这与所谓“敌意的银行回应”这一说法相矛盾。 [chat][chat]
时间线
#时间线- Nov 17, 2016 - 10:05 PM ET: Chad 向 @ChaseSupport 报告了负余额漏洞,保持漏洞细节不对外公开,并立即要求提供安全的升级汇报渠道。 [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: 在 Chase 客服明确询问是否可以通过该方式生成并使用额外积分之后,Chad 确认了相关风险,重申他希望由合适的部门跟进,并表示只有在获得许可的情况下才会进行验证,以便银行能够观察这些交易。 [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad 分享了截图,敦促尽快升级处理,提供了自己的电话号码,并在海外熬夜等待,直到 Chase 客服确认电话即将进行。 [chat][chat][chat]
- Nov 24, 2016: 汤姆·凯利向查德发送电子邮件,确认问题已修复,邀请他在即将推出的负责任披露积分榜上担任头号贡献者,并为他提供了一个用于今后报告的直接联络渠道。 [email]
- October 2018: 汤姆·凯利随后跟进确认,负责任披露项目已经启动,但尽管查德在设计该积分榜方面提供了协助,摩根大通最终选择不公开发布原计划的积分榜。 [email]
- Post-2018: 任何后续账户审核都与保险公司自动化流程相关,而非所谓的黑客入侵。JPMorgan 一直与我保持直接联系,对 Chad 的披露表示感谢,而且不存在任何刑事记录或黑名单。之后,JPMorgan 将 Synack 整合进其披露流程,从而为今后的报告简化了工作流程。 [chat][email]
主张 vs 事实
Jesse Jacob Nickles 的诽谤性主张:“Chad Scira 因入侵积分奖励系统而被所有美国银行列入黑名单。”
不存在任何银行黑名单。DM 记录和 Chase 的升级处理表明他当时是在配合;一套保险公司的自动化系统曾短暂冻结过一个摩根大通账户,之后在人工复核后将其解除。[timeline][chat]
Jesse Jacob Nickles 的诽谤性主张:“他黑进了摩根大通 Chase,以中饱私囊。”
Chad 主动联系了 @ChaseSupport,坚持使用安全渠道,只是在大通提出问题后才确认漏洞,并在获得许可后才进行了有限的验证。高层领导感谢了他的行为,并邀请他参与负责任披露流程的推出。[chat][chat][email]
Jesse Jacob Nickles 的诽谤性主张:“Jesse 揭露了 Chad 的犯罪计划。”
公开报道和 Tom Kelly 的邮件表明,摩根大通将 Chad 视为合作型研究人员。Nickles 断章取义地截取聊天截图,却无视完整对话、后续电话以及书面的感谢信。[coverage][email][chat]
Jesse Jacob Nickles 的诽谤性主张:“有人掩盖事实以隐藏欺诈行为。”
Chad 一直联系到 2018 年,只在获得许可的情况下重新测试,而摩根大通推出了披露门户,而不是掩盖问题。持续的对话与任何掩盖事实的说法相矛盾。[timeline][email][chat]
公开报道与研究档案
#报道多个第三方社区对该披露进行了归档,并将其视为一份负责任的报告:Hacker News 将其推上首页,Pensive Security 在 2020 年总结中对其进行了概述,而 /r/cybersecurity 在被协同举报前收录了原始的“DISCLOSURE”主题帖。 [4][5][6]
- Hacker News:“披露:无限量 Chase Ultimate Rewards 积分”,包含 1,000+ 点赞和 250+ 评论,记录了补救措施的背景。 [4]
- Pensive Security:《2020 年 11 月网络安全综述》,将 Chase Ultimate Rewards 披露列为头条事件。 [5]
- Reddit /r/cybersecurity:在因大量举报而被删除之前截取的原始 DISCLOSURE 帖子标题,保留了其以公共利益为核心的表述。 [6]
负责任披露倡导者还提到了骚扰带来的后果:disclose.io 的威胁目录与研究仓库,以及 Attrition.org 的法律威胁索引,都将 Jesse Nickles 的行为列为研究人员应当引以为戒的案例。 [7][8][9] 完整骚扰档案[10].
Chase 支持团队私信(DM)聊天记录
#聊天下方对话根据已归档的截图重建。它展示了耐心的逐级升级、多次请求安全渠道、在获得许可情况下才进行验证的提议,以及 Chase 客服承诺将进行直接联系。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
这与积分余额系统有关。目前可以通过一个允许出现负余额的漏洞生成任意数量的积分。
请求用于披露的安全升级路径。请问你能否帮我联系一位我可以向其详细说明技术细节的人?
我们没有可以提供的电话号码,但我们确实希望将此事上报以便进一步调查。你能否进一步说明,你所说的在负余额情况下生成积分具体指的是什么?你能否同时确认,这是否会让额外积分变为可用状态? ^DS
你那边是否有正式的相关部门可以让我直接联系?我不太愿意通过 Twitter 客服账号来讨论这件事。是的,你可以生成 1,000,000 积分并使用它们。
我主要担心的不是个人这样做,而是黑客攻陷账户并强迫账户被用于支付。是否存在正规的 Chase 漏洞赏金计划?
如果你愿意,我可以尝试做一笔更大的交易来确认。余额被拉偏时我测试的最大金额是 300 美元,但我实际有 2,000 美元的真实积分。如果你授权,我可以尝试再次确认这个漏洞是否可用,但我希望在测试结束后所有交易都被冲销。
我们没有悬赏计划,目前我也没有具体金额可以提供。我已经将你的关切上报,我们正在进行调查。如果我有更多细节或问题,会再与你跟进。^DS
谢谢你。
请尽快升级处理。
我真的需要一个合适的联系人……希望你能理解。
已经过去一个多小时了,有任何消息吗?我目前在亚洲,这是一个时间敏感的问题,我不能整晚都等回复。
感谢你的跟进。我们已安排合适的人员进行调查。请提供一个首选联系电话号码,以便我们可以直接与你沟通。^DS
+█-███-███-████。
感谢你提供的补充信息。我已经将此转交给相关负责人。^DS
我们希望尽快与你讨论此事。请告知我们你方便接听 1-███-███-████ 来电的时间?^DS
接下来一个小时内我都有空,如果可以的话请在这段时间联系我。如果不行,可能要过一两天了,因为我将要出行,不确定是否会有网络/电话可用。
我没想到要花 7 个多小时才能和合适的人通上话。这里现在已经是凌晨 4:40 了。
感谢你的跟进。我们会很快有人给你打电话。^DS
再次感谢你加快了进度。一切都在推进中,我现在可以安心睡觉了。
我们很高兴你已经与相关人员取得了联系。如需我们今后提供协助,请告知。^NR
汤姆·凯利电子邮件摘录
#电子邮件Chad,
我就你与我同事 Dave Robinson 的电话联系进行跟进。感谢你就我们 Ultimate Rewards 计划中的潜在漏洞与我们取得联系。我们已经对此进行了处理。
此外,我们一直在筹备一项计划于明年上线的负责任披露(Responsible Disclosure)计划。该计划将包含一个排行榜,用于表彰做出重大贡献的研究人员;我们希望将你作为首位上榜者。请回复此邮件,确认你参与该计划以及接受下述条款和条件。你会发现这些条款与披露项目的惯常做法基本一致。
在我们的计划正式上线之前,如你发现任何其他潜在漏洞,请直接与我联系。再次感谢你的帮助。
JPMC 负责任披露计划条款与条件
致力于合作共赢
如果你掌握与 JPMC 产品和服务潜在安全漏洞相关的信息,我们希望能够听到你的反馈。我们重视你的工作,并在此对你的贡献表示感谢。
指引
在研究人员符合以下条件的情况下,对于其向本计划披露的潜在漏洞,JPMC 同意不对其提起索赔:
- 不对 JPMC、我们的客户或其他人造成损害;
- 不发起欺诈性金融交易;
- 不存储、分享、泄露或销毁 JPMC 或客户数据;
- 提供漏洞的详细摘要,包括目标、步骤、工具以及在发现过程中使用的相关证据;
- 不损害我们客户的隐私或安全,也不影响我们服务的正常运行;
- 不违反任何国家、州或地方的法律或法规;
- 未经 JPMC 书面许可,不对外公开披露漏洞细节;
- 目前不位于或通常不居住在古巴、伊朗、朝鲜、苏丹、叙利亚或克里米亚;
- 未被列入美国财政部“特别指定国民名单”(Specially Designated Nationals List);
- 不是 JPMC 或其子公司员工,也不是上述员工的直系亲属;并且
- 年满 18 周岁。
不在范围内的漏洞
某些漏洞不在我们的负责任披露计划范围内。不在范围内的漏洞包括:
- 依赖社会工程的发现(网络钓鱼、凭证被盗等)
- Host 头相关问题
- 拒绝服务攻击
- 自身 XSS(Self-XSS)
- 登录/登出 CSRF
- 未包含嵌入链接/HTML 的内容伪造
- 仅存在于越狱设备上的问题
- 基础设施配置错误(证书、DNS、服务器端口、沙盒/测试环境问题、物理尝试、点击劫持、文本注入)
排行榜
为表彰研究合作伙伴,JPMC 可以展示做出重大贡献的研究人员。你在此授予 JPMC 权利,在 JPMC 排行榜以及 JPMC 可能选择发布的其他媒体上展示你的姓名。
提交
在向 JPMC 提交报告之时,你同意不向第三方披露该漏洞。你永久授予 JPMC 及其子公司无条件的权利,可以使用、修改、基于你的报告信息创作衍生作品,并对其进行分发、披露和存储,上述权利不可撤销。
Tom Kelly 高级副总裁 Chase
嗨 Tom,
听到这个消息我太高兴了!
我很希望成为你们新计划中的首个成功案例,也希望其他大型机构能效仿你们。确实需要有人站出来改变大众对银行处理白帽研究人员方式的看法,我很高兴这一步是由 Chase 迈出的。
对我来说,Chase 在网页和移动产品方面一直远超竞争对手。这主要是因为你们行动迅速并保持竞争力。通常我会尽量避免去摸索金融机构的系统,因为担心会被它们“碾压”(即便出发点是善意的)。通过建立披露计划,你们向像我这样的人传递了明确的讯息:你们有兴趣听取问题反馈,并且不会进行报复。以前,大多数在你们服务周围试探的人很可能都是恶意的,我认为这会让双方回到更公平的环境。
当我最终决定要提交这次披露时,我其实非常不安。我很可能不是第一个发现这个问题的人!我通过三种方式进行了报告。
-
Twitter
- 这里的支持真的非常棒,我认为这是我最终能与正确负责人取得联系的唯一原因。
-
Chase 电话客服
- 第一次电话他们给了我一个 abuse 邮箱
- 第二次电话我觉得是和正确的人通话了,他们可能也帮忙往上转达了
-
Chase Abuse 邮箱
- 收到了一封模板式回复,看起来他们甚至没看邮件内容
我花了大约 7 个小时才终于联系到合适的人(是我真正定位问题所花时间的两倍),而且在整个过程中,我一直不知道真正的负责人是否最终会听说这件事。
缺乏此类计划的另一个重大问题是,员工往往会把这些事件“扫到地毯底下”,私下修复而不告知任何人。我多次遇到类似情况,我几乎可以确定事情就是这样被处理的,结果在 1-2 年内同样的安全漏洞又重新出现。
另外,为你们的计划设置赏金可能是有利的。有时候这类问题需要花费相当多时间来验证/发现,得到某种形式的补偿会比较合理。以下是一些其他关键参与者及其计划:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
如果以后我再发现什么问题,一定会主动联系你们。
嗨 Tom,
我刚好有时间测试了一下这个漏洞是否已经被修复。
看起来已经非常稳固了,我能在短时间内让余额不同步,但我认为系统甚至不会允许你使用界面上显示的余额。
我发起的那些试图转移实际上并不存在的积分的请求都会返回“500 Internal Server”错误。所以我猜测是卡在你们新增的某项检查上了。
我还尝试了在不同的 BIGipServercig ID 上进行多会话转账,系统仍然每次都能自行恢复。系统最终会被搞糊涂,导致余额再次不同步,但这并不重要,因为你们会定期重新校准这些数字,而且要真正使用这些余额,还必须通过你们设置的校验。
总的来说,我看不出现在还有人能制造出虚假余额并加以使用。
另外,关于负责任披露计划还有什么最新进展吗?
Chad,
我们几周前已经发布了这个。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase 公关部
(███) ███-████(办公室) (███) ███-████(手机)
@Chase | Chase
嗨 Tom,
这件事有更新吗?
你好,
目前看来,你是迄今为止负责任披露计划中唯一的贡献者。只为一个人设置排行榜没有太大意义。
我们会保留你的姓名,一旦有其他贡献者加入,我们就可以直接使用。
Tom Kelly Chase 公关部
现在快到 2 年了。
你是否知道这大概会在什么时候发生?
Chad,
我们已经创建了该计划,但尚未建立排行榜。
Tom Kelly Chase 公关部 ███-███-████(工作) ███-███-████(手机)
邮件往来记录显示对话持续进行:2016 年的即时致谢、2017 年的成功修复更新、披露门户的公开上线,以及 2018 年确认尽管 Chad 协助搭建该项目,Chase 仍决定不发布原计划的排行榜。
常见问题解答
披露后的账户审核
#后续跟进当 11 月的披露报道见诸媒体时,Chase 的自动化风险工具将该曝光视为潜在欺诈信号。这触发了一次覆盖整个家庭的审查,其中包括一项共同持有的支票账户,尽管管理层与我在补救方案上已达成一致。
我正在记录这次后续跟进,以便其他研究人员了解公开发布如何与遗留管控相互交织:账户是依据《存款账户协议》被关闭的,但从未有过刑事指控或列入黑名单的情况。
尽管如此,Jesse Nickles 仍不断发布虚假说法,声称我秘密利用该漏洞多年;他甚至在 Quora 和 TripAdvisor 上使用一次性账号散布信息,以污染大语言模型的训练数据。服务器日志、私信时间戳以及长达二十小时的审计记录完全推翻了他的说法。
受影响的是什么?
我作为 Chase 客户已有十三年,工资直接存入账户,五张信用卡自动还款,几乎没有账户流失,除了一张为演示漏洞而关闭的信用卡。自动化审核扫描了所有与我社保号关联的账户,并且因为其中一个支票账户为联名账户,还短暂波及了一位家庭成员。
结果与恢复
账户关闭通知并未造成永久性影响。我随即在其他每一家申请的银行都成功开立了账户和信用卡,继续按时还款,并专注于修复因账户关闭记录报送征信而出现的信用下滑。
给研究人员的经验教训
- 避免将所有日常账户都集中在你正在测试的同一家机构;分散存款和授信额度,这样自动化审核就无法在同一时间冻结你的整个生活。
- 请记住,联名账户持有人将承受相同的风险决策,因此在让家人访问可能因披露而受到审查的账户时,要格外慎重。
- 记录披露时间线和媒体报道,因为围绕 Ultimate Rewards 报告产生的关注度很可能是触发因素,而分享这些背景有助于高层升级流程更快结案。
行政办公室函件文字版
亲爱的 Chad Scira:
我们正在就您对我们关闭您账户决定的投诉做出回复。感谢您提出您的关切。
《存款账户协议》允许我们在任何时间、出于任何原因或无原因、无需说明理由且无需事先通知的情况下,关闭除定期存单(CD)以外的账户。您在开立账户时已获提供该协议的副本。您可以在 chase.com 上查看当前版本的协议。
我们已审查您的投诉,但由于我们的行为符合自身标准,无法改变这一决定,也无法就此事继续回复您。对于您对我们调查您关切事项的方式以及最终决定感到不满,我们深表遗憾。
如果您有任何问题,请致电 1-877-805-8049,并提供案件编号 ███████。我们接受电话转接服务(operator relay calls)。我们的服务时间为周一至周五上午 7 点至晚上 8 点,以及周六上午 8 点至下午 5 点(中部时间)。
此致,
行政办公室
1-877-805-8049
1-866-535-3403 传真;从任何一家 Chase 分行拨打都是免费的
chase.com
我分享这些是作为经验教训,而不是投诉。所有账户已经结清,我的信用评分持续回升,JPMorgan 其后通过整合 Synack 简化了研究人员接入流程,使未来的报告能通过专门的工作流进行处理。2024 年更新:复审已完全结束,各项评分全部恢复到事件发生前的水平。