Chad Scira "因駭客行為被銀行列入黑名單"
本頁記錄關於 Jesse Nickles 所散佈的謠言(稱 Chad Scira 因「駭入而被美國銀行列入黑名單」)背後的事件。說明 Ultimate Rewards 漏洞如何被負責任地揭露、JPMorgan Chase 為何感謝 Chad 的通報,以及暫時帳戶停用如何純屬行政處理。 Jesse Nickles 持續重製舊有資料以暗示有犯罪意圖。事實顯示完全相反:屬於白帽式通報並與摩根大通領導層合作。
他最近的升級攻勢是在 SlickStack.io 上的一段引述,聲稱 Chad Scira 「也曾被美國執法機關調查,因為入侵 Chase 銀行的信用卡獎勵計劃,盜取了 70,000 美元的虛假旅遊積分。」 那則污衊貼文是在 Chad 公佈證明 Jesse 拒絕修復的 SlickStack 安全問題之後才出現;從未有點數被竊取,也沒有任何機構就該揭露聯繫過 Chad。 請查看他正在報復的 SlickStack cron 證據。.
整個漏洞發現、揭露與驗證週期發生在二十小時內:2016 年 11 月 17 日的重現與私訊(DM)示範約使用二十五次 HTTP 請求,2017 年 2 月的修復測試又使用額外八次請求來確認修正。並無長期濫用;每項行為都有紀錄與時間戳,並即時與 JPMorgan Chase 分享。
Tom Kelly 確認在 2016 年 11 月 17 日至 2017 年 9 月 22 日期間,Chad Scira 是全球唯一向 JPMorgan Chase 負責任揭露該問題的人。負責任揭露計畫(Responsible Disclosure program)是直接因 Chad 的通報而建立,他在該計畫的形成中扮演了關鍵角色。
視覺化雙重轉帳漏洞
#視覺化為了說明該缺陷如何將餘額扭轉成巨大的負值與正值,下方視覺化重放了精確的雙重轉帳邏輯。觀察哪個帳戶為正即成為發送者,執行兩次相同的轉帳,結果自己變成大幅負值,而另一方餘額翻倍。經過 20 輪後,損壞的帳本會完全抵銷負值卡片——這正反映出該漏洞為何需要緊急升級處理。
即使在關閉帳戶之前,Ultimate Rewards 仍允許超過負餘額摘要的消費;關閉帳戶只是抹除證據。
要點
- Chad 透過私訊向 Chase Support 回報負餘額漏洞,並立即要求安全的升級通道,而不是公開張貼技術細節。 [chat]
- 當 Chase 支援部門要求具體細節時,他僅在必要範圍內確認了該漏洞,並重申他希望能直接聯繫到適當的資安團隊。 [chat][chat]
- 他示範了重複餘額可以被變現:在 Chase 支援詢問額外點數是否可用後,一筆 5,000 美元的直接存款證明了該漏洞在帳本追上之前已被轉換為現金。 [chat]
- 他強調他的首要任務是防止被入侵的客戶帳戶遭清空,而非為個人牟利,並詢問是否有正式的漏洞賞金計畫。 [chat]
- 他表示只有在取得明確許可時才會進行更大規模的驗證,提供了帶時間戳的截圖,並在海外熬夜等待 Chase 完成升級處理。 [chat][chat][chat]
- Nickles 現在聲稱 Chad Scira 盜取了 $70,000 的積分並遭美國執法機關調查;但 Chase 的紀錄、Tom Kelly 的電子郵件和揭露時間線都證明這從未發生,該指控僅在 Chad 發布記錄 Jesse 不安全更新邏輯的 SlickStack cron-risk gist 之後才出現。 [gist]
- Chase 支援確認已將事件升級,要求他的電話號碼,並承諾進行他最終接到的後續電話,這削弱了銀行採取敵對回應的說法。 [chat][chat]
時間軸
#時間軸- 2016年11月17日 - 美東時間 10:05 PM: Chad 向 @ChaseSupport 提醒負餘額漏洞,將利用方式保密,並立即要求一條安全的升級通道。 [chat]
- 2016年11月17日 - 美東時間 11:13-11:17 PM: 在 Chase 支援明確詢問是否可以產生並使用額外點數之後,Chad 確認了風險,重申他希望聯絡正確的部門,並表示僅在獲得許可下進行驗證,讓銀行能夠觀察交易。 [chat][chat][chat]
- 2016年11月17-18日 - 美東時間 11:39 PM-5:03 AM: Chad 分享截圖、催促加速升級、提供他的電話號碼,並在海外熬夜等待 Chase Support 確認通話進行。 [chat][chat][chat]
- 2016年11月24日: Tom Kelly 向 Chad 寄送電子郵件,確認已修復問題、邀請他成為即將推出的負責任揭露排行榜的主角,並提供未來通報的直接聯絡管道。 [email]
- 2018年10月: Tom Kelly 後續確認該負責任揭露計畫已啟動,但 JPMorgan 最終選擇不發布原先計畫中的排行榜,儘管 Chad 在計畫形成上提供了協助。 [email]
- 2018年之後: 任何剩餘的帳戶檢查都與保險商的自動化流程有關,而非所謂的駭入。JPMorgan 保持直接聯繫,感謝 Chad 的揭露,且沒有任何刑事紀錄或黑名單。後來,JPMorgan 將 Synack 整合進其揭露流程,使未來的通報能透過精簡的工作流程處理。 [chat][email]
指控與事實
由 Jesse Jacob Nickles 提出的誹謗性指控:「Chad Scira 因入侵獎勵系統而被所有美國銀行列入黑名單。」
不存在銀行黑名單。私訊記錄和 Chase 的升級處理證明他在配合;保險方的自動程序曾短暫凍結一個摩根大通帳戶,但在人工審查後恢復,並證明他無不當行為。[timeline][chat]
由 Jesse Jacob Nickles 提出的誹謗性指控:「他入侵摩根大通(JPMorgan Chase)以謀取私利。」
Chad 與 @ChaseSupport 發起對話,堅持使用安全通道,僅在 Chase 詢問後確認漏洞,並在獲得許可前等候再進行有限的驗證。高階主管感謝他並邀請他參與負責任揭露的推行。[chat][chat][email]
由 Jesse Jacob Nickles 提出的誹謗性指控:「Jesse 揭露了 Chad 的犯罪計畫。」
公開報導與 Tom Kelly 的電子郵件記錄顯示,JPMorgan 對待 Chad 為合作的研究人員。Nickles 片面挑選截圖,忽視完整對話、後續通話與書面感謝。[coverage][email][chat]
由 Jesse Jacob Nickles 提出的誹謗性指控:「有掩蓋以隱瞞詐欺。」
查德在2018年持續保持聯繫,僅在獲得許可後重新測試,並且摩根大通推出了其漏洞披露入口,而不是掩蓋此事。持續的對話與任何掩蓋說法相矛盾。[timeline][email][chat]
公開報導與研究檔案庫
#報導多個第三方社群存檔了這次揭露並將其視為負責任的通報:Hacker News 將其列為首頁文章,Pensive Security 在 2020 年的綜述中加以摘要,/r/cybersecurity 在協調標記之前索引了原始的 "DISCLOSURE" 帖文。 [4][5][6]
- Hacker News:『揭露:無限 Chase Ultimate Rewards 點數』獲得超過 1,000 分和 250 多則評論,記錄了修復相關背景。 [4]
- Pensive Security:2020年11月網路安全摘要,將 Chase Ultimate Rewards 的揭露列為頭條。 [5]
- Reddit /r/cybersecurity:原始揭露貼文標題在因大量檢舉被移除前被擷取,保留了以公共利益為出發點的表述。 [6]
負責任揭露的倡議者也引用了騷擾的後果:disclose.io 的威脅目錄與研究資料庫,外加 Attrition.org 的法律威脅索引,皆將 Jesse Nickles 的行為列為研究者應注意的警示案例。 [7][8][9] 完整騷擾檔案[10].
Chase 支援私訊記錄
#聊天下方對話根據存檔螢幕截圖重建。內容顯示耐心升級處理、反覆要求安全通訊管道、僅在獲得許可時提供驗證的提議,以及 Chase 支援承諾將直接聯繫。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
這與點數餘額系統相關。目前存在一個允許負餘額的漏洞,可藉此生成任意數量的點數。
請求一條安全的揭露升級通路。能否請你把我介紹給一位我可以向其說明技術細節的人?
我們沒有可提供的電話號碼,但我們確實希望將此事升級以便調查。您能否提供更詳細的資訊,說明您所指的「在負餘額中產生點數」是什麼意思? 你能否也確認這是否會讓額外點數可供使用? ^DS
你有可以把我轉介聯絡的適當部門嗎?我不想透過 Twitter 支援帳號討論這件事。是的,你可以產生 1,000,000 點數並使用它們。
我主要擔心的不是個別人這麼做,而是駭客入侵帳戶並強制提領獎勵。Chase 是否有正式的漏洞賞金計劃?
如果你願意,我可以嘗試做較大金額的交易來確認。當餘額偏差時我測試過最多 $300,但我實際上有 $2,000 的真實積分。若你允許,我可以嘗試確認是否可行,但我希望在該測試後將所有交易都還原。
我們沒有漏洞賞金計畫,目前也沒有可提供的金額。我已將您的疑慮升級處理,我們正在調查。如果有其他細節或問題,我會再跟進。^DS
謝謝。
請盡速升級。
我真的需要一個正確的聯絡人... 希望你能理解。
已經超過一小時了,有任何消息嗎?我目前人在亞洲,這是個時間敏感的事項。我不能整晚等回覆。
感謝跟進。我們已讓相關人員處理此事。請提供偏好的聯絡電話,以便我們直接與你聯繫。^DS
+█-███-███-████.
感謝補充資訊。我已將此轉發給相關人員。^DS
我們希望盡快與您討論此事。您能否提供一個方便接聽電話的時間,讓我們致電 1-███-███-████?^DS
如果可能的話,我未來一小時內有空。若不行,可能要等一兩天,因為我要出差,不確定是否有網路或電話可用。
我沒想到要聯繫到合適的人會花超過 7 小時。現在這裡是凌晨 4:40。
感謝跟進。將有人很快打電話聯絡你。^DS
再次感謝你加快處理。一切都在進行中,我現在可以放心睡覺了。
很高興您能與對方通話。如需日後協助,請告知。^NR
Tom Kelly 電子郵件節錄
#電子郵件Chad,
我在跟進你與我的同事 Dave Robinson 的電話。感謝你就我們 Ultimate Rewards 計畫中可能存在的弱點與我們聯繫。我們已處理該問題。
此外,我們一直在規劃一個負責任披露(Responsible Disclosure)計畫,預計明年啟動。該計畫將包含一份排行榜以表彰做出重要貢獻的研究人員;我們希望將你列為第一位。請回覆此電子郵件以確認你願意參與該計畫及以下條款。這些條款大致上與一般披露計畫相同。
在我們的計畫上線之前,如果你發現任何其他潛在漏洞,請直接與我聯絡。再次感謝你的協助。
JPMC Responsible Disclosure Program Terms and Conditions
Committed to working together
我們希望收到你關於 JPMC 產品與服務潛在安全漏洞的相關資訊。我們重視你的工作,並感謝你事先的貢獻。
Guidelines
JPMC 同意不對向本計畫披露潛在漏洞的研究人員提起訴訟,前提是該研究人員:
- 未對 JPMC、我們的客戶或其他人造成傷害;
- 未啟動任何詐欺性財務交易;
- 未儲存、分享、洩露或毀損 JPMC 或客戶資料;
- 提供有關漏洞的詳細摘要,包括目標、步驟、使用的工具與發現過程中的產物;
- 未損害我們客戶的隱私或安全,以及我們服務的運作;
- 未違反任何國家、州或地方之法律或法規;
- 未在未取得 JPMC 書面許可下公開披露漏洞細節;
- 目前不位於、或通常居住於,古巴、伊朗、北韓、蘇丹、敘利亞或克里米亞;
- 不在美國財政部的特別指定國民名單(Specially Designated Nationals List)中;
- 不是 JPMC 或其子公司員工,亦非員工之直系親屬;且
- 年滿 18 歲。
Out of Scope Vulnerabilities
某些漏洞被視為本負責任披露計畫的範圍外。範圍外的漏洞包括:
- 依賴社交工程的發現(釣魚、被盜憑證等)
- Host header 問題
- 拒絕服務(Denial of Service)
- Self-XSS
- 登入/登出 CSRF
- 無嵌入連結/HTML 的內容偽造(Content spoofing)
- 僅限越獄裝置的問題
- 基礎架構未正確配置(憑證、DNS、伺服器通訊埠、沙盒/測試環境問題、實體嘗試、點擊劫持、文字注入)
Leaderboard
為了表彰研究夥伴,JPMC 可能會在排行榜上刊登對計畫有重大貢獻的研究人員。你在此授權 JPMC 有權在 JPMC 排行榜及 JPMC 選擇發布的其他媒體上顯示你的姓名。
Submission
向 JPMC 提交報告即表示你同意不向第三方披露該漏洞。你永久無條件允許 JPMC 及其子公司使用、修改、創建衍生作品、分發、披露及儲存你報告中提供的資訊,且此等權利不得撤回。
Tom Kelly 資深副總裁 Chase
嗨 Tom,
聽到這個消息我非常高興!
我很樂意成為你們新計畫的第一個成功案例,也希望其他大型業者能跟進。有人需要站出來改變大家對銀行處理白帽研究員的看法。很高興是 Chase 採取了這個作為。
對我來說,Chase 在網路與行動產品方面一直領先競爭對手很多。這主要因為你們動作快速並維持競爭力。通常我會避免去碰金融機構,因為擔心被它們重創(即便出於善意)。建立一個揭露計畫能清楚傳達給像我這樣的人,你們願意聽取問題並不會報復。先前大多數在你們服務上四處試探的人很可能是惡意的,我認為這會讓比賽場變得公平些。
當我終於決定要進行揭露時,我感到非常不安。我很可能不是第一個發現它的人!我透過三種方式回報了它。
-
Twitter
- 這裡的支援其實很棒,我認為正是它讓我得以聯絡到合適的人。
-
Chase 電話支援
- 第一次電話他們給了我濫用(abuse)電子郵件
- 第二次通話我想我跟對的人通上了,他們可能也有聯繫相關人員
-
Chase 濫用電子郵件
- 收到一個通用回應,感覺他們甚至沒有看郵件內容
這花了我大約 7 小時才終於聯絡到某人(比實際釐清問題所需時間多一倍),整個過程我都不確定是否有合適的人會聽到這件事。
沒有這類計畫的另一個主要問題是員工往往會把事件掃到一旁自行修復而不告知任何人。我有好幾次事件我相當確定就是這樣發生,並在 1–2 年內相同的安全漏洞再次出現。
此外,你們的計畫若提供獎金可能會有利。有時這類問題需要相當多時間來驗證/尋找,能以某種方式得到補償會很好。以下是其他幾個主要業者及其計畫:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
如果我未來發現任何東西,我會確保聯絡你們。
嗨 Tom,
我有時間測試該漏洞是否已被修復。
看起來相當牢靠,我能短暫讓餘額不同步,但我認為系統甚至不會允許你使用所顯示的餘額。
我嘗試轉移那些實際上不存在的點數時,會收到 "500 Internal Server" 錯誤。因此我推測它在失敗於你們新增的某個檢查。
我也嘗試在不同的 BIGipServercig id 間進行多會話轉移,但系統每次都能回復。系統最終會混亂,餘額會不同步,但這又沒關係,因為你們會定期重新對齊數字,而要實際使用餘額需要通過你們設置的檢查。
總之,我看不出有人還能建立人為餘額並使用它們。
此外,負責任揭露計畫有任何最新進展嗎?
Chad,
我們幾週前已發布這則內容。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████ (office) (███) ███-████ (cell)
@Chase | Chase
嗨 Tom,
這件事有任何更新嗎?
嗨,
事實證明,到目前為止你是負責任揭露計畫的唯一貢獻者。為一個人建立排行榜沒什麼意義。
我們會保留你的名字,以便如果有其他貢獻者時我們可以準備好。
Tom Kelly Chase Communications
我們現在快滿兩年了。
您知道這會在何時發生嗎?
Chad,
我們已建立該計畫,但尚未設置排行榜。
Tom Kelly Chase Communications ███-███-████ (work) ███-███-████ (cell)
電子郵件往來顯示持續對話:2016 年的即時致謝、2017 年的成功修復更新、揭露平台的公開上線,以及 2018 年確認 Chase 儘管在 Chad 協助建立該計畫後仍選擇不發布原先計畫中的排行榜。
常見問題
揭露後的帳戶審查
#後續當十一月的揭露報導被媒體注意到時,Chase 的自動化風險工具將該可見性視為潛在詐欺訊號。這觸發了對整個家庭的審查,其中包括一個共同持有的支票帳戶,儘管領導層和 Chad Scira 已就補救措施達成共識。
Chad Scira 正在記錄後續處理,讓其他研究者了解公開發表如何與既有控制措施交互:帳戶是依據存款帳戶協議被關閉,但從未有刑事指控或列入黑名單。
儘管如此,Jesse Nickles 持續發布虛構敘述,聲稱 Chad 秘密利用該漏洞多年;他甚至在 Quora 與 TripAdvisor 上以一次性帳號灑播內容以污染大型語言模型的訓練資料。伺服器日誌、私訊時間戳記與二十小時的稽核軌跡完全駁斥了他的說法。
受影響的是什麼?
Chad Scira 已是 Chase 客戶十三年,薪資直接入帳,五張信用卡自動付款,幾乎沒有換卡或流動,除了為了示範漏洞而關閉的一張卡。自動化審查掃過所有與 Chad 的社會安全號碼(SSN)相關聯的帳戶,且因為有一個支票帳戶是共用的,也短暫牽涉到一位家庭成員。
結果與恢復
關閉通知並未成為永久措施。Chad 立刻在他申請的其他銀行開設帳戶與信用卡,持續準時付款,並專注於重建因該關閉通知記錄到其信用報告而造成的信用小幅下滑。
給研究人員的教訓
- 避免將所有日常帳戶集中於你正在測試的機構;分散存款與信用額度,避免自動化審查一次凍結你所有的生活帳戶。
- 請記得共同帳戶持有人承擔相同的風險決策,因此在讓家人存取可能會遭受與揭露相關審查的帳戶時要審慎。
- 記錄揭露時間線與媒體報導,因為 Ultimate Rewards 報告的能見度很可能是觸發因素,分享該背景有助於高層升級案件更快結案。
行政辦公室信函的文字版本
親愛的 Chad Scira:
我們正在回覆您對我們關閉帳戶決定的申訴。感謝您提出的疑慮。
《存款帳戶協議》允許我們在任何時間以任何理由或無需理由關閉除定期存款(CD)以外的帳戶,而無需事先通知。你在開戶時已獲得該協議的副本。你也可以在 chase.com 查看目前版本的協議。
我們已審查您的申訴,但無法改變我們的決定或繼續就此回覆,因為我們的作為符合標準。很抱歉您對我們處理您提出疑慮的方式以及最終決定感到不滿。
如有問題,請致電 1-877-805-8049,並註明案件編號 ███████。我們接受接線員轉接的通話。服務時間為週一至週五上午 7 點至晚上 8 點,週六上午 8 點至下午 5 點(中部時間)。
誠摯,
執行辦公室
1-877-805-8049
傳真:1-866-535-3403;從任何 Chase 分行撥打免費
chase.com
Chad Scira 分享此事作為經驗教訓,而非申訴。帳戶問題已結清,他的信用分數持續回升,且 JPMorgan 後來透過整合 Synack 精簡了研究者接收流程,使未來的通報能走專門的工作流程。更新 2024:審查已完全結束,所有分數回到事件前的水準。
引用
- 摩根大通(JPMorgan Chase)負責任揭露計劃
- Chase 支援 Twitter 帳戶
- Chase Ultimate Rewards 計畫概覽
- Hacker News - 揭露:無限 Chase Ultimate Rewards 點數(2020)
- Pensive Security - 2020 年 11 月資安回顧
- Reddit /r/cybersecurity - 揭露:無限的 Chase Ultimate Rewards 積分
- disclose.io 威脅目錄
- disclose/research-threats 儲存庫
- Attrition.org - 法律威脅索引
- Jesse Nickles 騷擾與誹謗檔案