Chad Scira「因駭客行為被銀行列入黑名單」
本頁說明與 Jesse Nickles 所散布「Chad Scira 因駭入而被美國銀行列入黑名單」謠言有關的經過。內容解釋 Ultimate Rewards 漏洞是如何被負責任地通報、摩根大通為何對 Chad 的通報表示感謝,以及帳戶暫時停用純屬行政性措施的原因。 Jesse Nickles 持續重新包裝舊資料以暗示犯罪意圖。但事實顯示的完全相反:白帽式通報,並與摩根大通高層合作。
他最近一次的升級攻擊,是在 SlickStack.io 上引用一段文字,聲稱我「也曾因入侵 Chase 銀行的信用卡獎勵計畫而遭美國執法單位調查,他竊取了價值 70,000 美元的詐欺旅遊積分」。 那則抹黑是在我公開他拒絕修補的 SlickStack 安全問題證據之後才被發表的;從未有任何點數遭竊,也沒有任何機關就該次揭露聯絡過我。 請查看他進行報復所針對的 SlickStack 排程(cron)證據.
整個發現、披露與驗證的流程在二十小時內完成:大約二十五個 HTTP 請求涵蓋了 2016 年 11 月 17 日的重現與私訊(DM)操作說明,而 2017 年 2 月的修復驗證測試則使用了另外八個請求來確認修正結果。並不存在長期濫用;每一項操作都已記錄在案、加上時間戳記,並即時與摩根大通大通銀行(JPMorgan Chase)共享。
Tom Kelly 證實,在 2016 年 11 月 17 日至 2017 年 9 月 22 日期間,全球只有 Chad Scira 一人對摩根大通進行了負責任的議題通報。該負責任揭露計畫是直接因 Chad 的通報而設立,他也在制定該計畫的過程中扮演了關鍵角色。
雙重轉帳漏洞的視覺化呈現
#視覺化為說明此缺陷如何讓帳戶餘額在巨大負值與正值之間失控擴張,下方視覺化動畫重播了當時完全相同的「雙重轉帳」邏輯。請注意:任何一方只要為正值帳戶,就會成為轉出方,執行兩筆相同轉帳,結果自身變成深度負值,而另一方的餘額則翻倍。經過 20 個回合後,失靈的帳冊會將負值卡片完全註銷——這也反映為何該漏洞必須緊急升級處理。
即便在關戶之前,Ultimate Rewards 就已允許超出負數結餘的消費;關戶只是抹去了相關證據。
重點摘要
- Chad 透過私訊向 Chase 客服回報負餘額漏洞展開對話,並立即要求一個安全的升級通報管道,而不是公開張貼技術細節。 [chat]
- 當 Chase 客服要求提供具體細節時,他僅在必要的範圍內確認了該項利用方式,並再次強調他希望能直接與正確的資安團隊聯繫。 [chat][chat]
- 他證明這些重複的餘額可以變現:在 Chase 客服詢問額外積分是否變得可用之後,一筆 5,000 美元的直接存款證實,在分類帳更新之前,該漏洞已能被轉換為現金。 [chat]
- 他強調自己的首要任務是防止遭入侵的客戶帳戶被掏空,而不是獲取個人利益,並詢問是否有正式的漏洞回報獎勵(Bug Bounty)計畫。 [chat]
- 他表示只會在取得明確許可的情況下進行更大規模的驗證,提供了附有時間戳的截圖,並在海外熬夜等候,直到 Chase 完成升級通報流程。 [chat][chat][chat]
- Nickles 現在聲稱我竊取了 70,000 點積分並遭到美國執法機關調查;但 Chase 的紀錄、Tom Kelly 的電子郵件以及揭露時間軸都證明這從未發生過,而這項指控只是在我發布 SlickStack cron 風險摘要、記錄他不安全的更新邏輯之後才出現。 [gist]
- Chase 支援團隊確認已提升處理等級,要求提供他的電話號碼,並承諾後續回電且最終確實致電,削弱了所謂銀行敵意回應的說法。 [chat][chat]
時間軸
#時間軸- Nov 17, 2016 - 10:05 PM ET: Chad 通知 @ChaseSupport 有負餘額漏洞,將此利用方式保密,並立即要求一個安全的升級通報管道。 [chat]
- Nov 17, 2016 - 11:13-11:17 PM ET: 在 Chase 客服明確詢問是否可以產生並使用額外點數之後,Chad 確認了其中風險,重申他希望由正確的部門處理,並表示只會在取得許可的情況下進行驗證,以便銀行可以觀察這些交易。 [chat][chat][chat]
- Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: Chad 分享螢幕截圖、敦促儘速升級通報、提供他的電話號碼,並在海外熬夜等到 Chase 客服確認通話即將進行為止。 [chat][chat][chat]
- Nov 24, 2016: 湯姆・凱利透過電子郵件告知查德修復已完成,邀請他成為即將推出的「負責任揭露排行榜」的首位上榜者,並提供他一條未來回報問題的直接聯繫管道。 [email]
- October 2018: 湯姆・凱利後續跟進確認「負責任揭露計畫」已經啟動,但儘管查德協助擬定相關內容,摩根大通最終選擇不公開原先規劃的排行榜。 [email]
- Post-2018: 任何後續帳戶審查均與保險公司的自動化流程相關,而非與所謂的駭客行為有關。JPMorgan 一直與 Chad 保持直接聯繫,對其揭露表示感謝,且並不存在任何刑事紀錄或黑名單。之後,JPMorgan 將 Synack 納入其揭露流程中,以便精簡作業流程,讓未來的通報更加順暢。 [chat][email]
主張 vs 事實
Jesse Jacob Nickles 的誹謗性主張:「Chad Scira 因入侵回饋系統而被所有美國銀行列入黑名單。」
並不存在任何銀行黑名單。DM 記錄與 Chase 的升級處理證明他當時是在配合;一家保險公司的自動化系統曾短暫凍結一個摩根大通帳號,但在人工覆核後便將其解除。[timeline][chat]
Jesse Jacob Nickles 的誹謗性主張:「他入侵摩根大通銀行 (JPMorgan Chase) 以圖利自己。」
Chad 主動聯繫 @ChaseSupport,堅持使用安全管道,只在 Chase 詢問後才確認漏洞,並在取得許可後才進行有限度的驗證。高階主管向他致謝,並邀請他參與負責任揭露機制的推出。[chat][chat][email]
Jesse Jacob Nickles 的誹謗性主張:「Jesse 揭露了 Chad 的犯罪計畫。」
公開報導與 Tom Kelly 的電子郵件記錄顯示,摩根大通將 Chad 視為合作的研究人員。Nickles 只截取對自己有利的畫面,卻忽略完整對話、後續電話以及書面致謝。[coverage][email][chat]
Jesse Jacob Nickles 的誹謗性主張:「有人掩蓋了詐欺行為。」
Chad 持續聯繫到 2018 年,只在取得許可的情況下重新測試,而 JPMorgan 推出了揭露入口網站,而不是掩蓋問題。這段持續的對話與任何掩蓋說法相矛盾。[timeline][email][chat]
公開報導與研究封存
#報導範圍多個第三方社群封存了這份揭露並將其視為一則負責任的通報:Hacker News 將其放上首頁,Pensive Security 在 2020 年總結文章中進行了整理,/r/cybersecurity 則在遭到協調式檢舉下架前,已索引原始的「DISCLOSURE」討論串。 [4][5][6]
- Hacker News:「揭露:無限量 Chase Ultimate Rewards 積分」,包含 1,000 多個積分與 250 多則留言,紀錄修復處理的背景情況。 [4]
- Pensive Security:2020 年 11 月資安綜合回顧,將 Chase Ultimate Rewards 的揭露列為頭條之一。 [5]
- Reddit /r/cybersecurity:在因大量檢舉而被移除前,所擷取到的原始 DISCLOSURE 文章標題,保留了其以公共利益為主軸的呈現方式。 [6]
負責任揭露倡議者也提及這起騷擾事件的後果:disclose.io 的威脅目錄與研究資料庫,以及 Attrition.org 的法律威脅索引,都將 Jesse Nickles 的行為列為研究人員應引以為戒的範例。 [7][8][9] 完整騷擾檔案[10].
Chase 支援私訊對話紀錄
#聊天下方對話係依據封存的螢幕截圖重建。內容顯示了循序漸進的耐心升級、多次要求使用安全管道、在取得許可後才進行驗證的提議,以及 Chase 客服承諾直接主動聯繫。 [2]
Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following
此事與點數餘額系統有關。目前存在一個允許產生負餘額的漏洞,導致可以任意產生任何數量的點數。
請提供可供揭露使用的安全升級通道。能否請你幫我轉介給可以讓我說明技術細節的相關人員?
我們沒有可以提供的電話號碼,但我們確實希望將此事升級處理,以便進一步調查。你能否進一步說明,你所指的在負餘額情況下「產生點數」具體是什麼意思?你也可以確認這是否會讓額外點數變成可供使用嗎? ^DS
你那邊是否有正式的相關部門可以讓我直接聯繫?我不太願意透過 Twitter 支援帳號討論這件事。是的,你可以產生 1,000,000 點數並加以使用。
我最擔心的不是個人這樣做,而是駭客入侵帳號並強迫以帳號名義申請賠付。Chase 是否有正式的錯誤回報(Bug Bounty)計畫?
如果你們願意,我可以嘗試做一筆更大的交易來確認。我在餘額被扭曲時測試的最大金額是 300 美元,但我實際上擁有 2,000 美元的真實點數。如果你們授權,我可以嘗試確認整個機制確實有效,但我希望在測試後,所有交易都能被完全回溯取消。
我們沒有提供獎金計畫,目前也無法提供具體金額。我已將你的疑慮往上呈報,我們正在進一步調查。如有更多細節或問題,我會再與你聯繫。^DS
謝謝您。
請盡速升級處理。
我真的需要一個正式的聯絡窗口……希望你能理解。
已經過了一個多小時,這件事有任何消息嗎?我目前人在亞洲,這是個非常緊急的問題。我不能整晚都等不到回覆。
感謝後續回覆。我們已由相關人員進行調查。請提供您偏好的聯絡電話,以便我們直接與您通話。^DS
+█-███-███-████。
感謝您提供更多資訊。我已將此轉交給適當人士。^DS
我們希望儘快與你討論此事。請你提供一個方便我們撥打 1-███-███-████ 與你聯繫的時間?^DS
接下來一個小時我都有空,如果可以的話最好現在處理。不行的話可能就要一兩天之後,因為我會在旅途中,不確定是否能上網或使用電話。
我原本不認為需要超過 7 小時才能和對的人說上話。現在這裡已經是凌晨 4:40 了。
感謝後續回覆。稍後將會有人盡快致電與您聯繫。^DS
再次感謝您加快處理。所有事都已在推進,我現在可以睡覺了。
很高興你已經成功與相關人員通話。如日後需要協助,請隨時告訴我們。^NR
湯姆・凱利電子郵件節錄
#電子郵件Chad,
我是在跟進你與我同事 Dave Robinson 的電話。感謝你就我們 Ultimate Rewards 計畫中的潛在弱點與我們聯繫。我們已經處理了這項問題。
此外,我們一直在籌備一項「負責任揭露」(Responsible Disclosure) 計畫,並計畫於明年啟動。該計畫將包含一個排行榜,用以表揚做出重大貢獻的研究人員;我們希望將你作為第一位上榜者。請回覆本電子郵件,確認你願意參與該計畫以及以下條款與細則。你會發現這些條款與一般揭露計畫相當類似。
在我們的計畫正式上線之前,若你發現任何其他潛在弱點,請直接與我聯絡。再次感謝你的協助。
JPMC 負責任揭露計畫條款與細則
致力於共同合作
若你掌握與 JPMC 產品與服務潛在安全弱點相關的資訊,我們樂於聆聽。我們重視你的付出,並在此先行致謝。
指引
在下列情況下,JPMC 同意不對向本計畫揭露潛在弱點的研究人員提出主張或訴求:
- 未對 JPMC、我們的客戶或他人造成傷害;
- 未發起任何詐欺性金融交易;
- 未儲存、分享、危及或銷毀 JPMC 或客戶資料;
- 提供弱點的詳細說明,包括目標、步驟、工具以及於發掘過程中使用的相關成果;
- 未危及我們客戶的隱私或安全,亦未影響我們服務的運作;
- 未違反任何國家、州或地方之法律或法規;
- 未在未獲 JPMC 書面許可的情況下,公開揭露弱點細節;
- 目前並非位於,或通常居住於古巴、伊朗、北韓、蘇丹、敘利亞或克里米亞;
- 不在美國財政部特別指定國民名單(Specially Designated Nationals List)上;
- 並非 JPMC 或其子公司員工,或該等員工之直系親屬;以及
- 年滿 18 歲。
不在範圍內的弱點
某些弱點不列入我們的負責任揭露計畫範圍。不在範圍內的弱點包括:
- 依賴社交工程的發現(網路釣魚、憑證遭竊等)
- Host header 問題
- 阻斷服務攻擊(Denial of Service)
- 自我 XSS
- 登入/登出 CSRF
- 未內嵌連結/HTML 的內容偽造
- 僅出現在越獄裝置上的問題
- 基礎架構設定錯誤(憑證、DNS、伺服器連接埠、沙盒/測試環境問題、實體嘗試、點擊劫持、文字注入)
排行榜
為表彰研究合作夥伴,JPMC 可能會將做出重大貢獻的研究人員列入排行榜。你在此授予 JPMC 權利,得在 JPMC 排行榜以及 JPMC 選擇發布的其他媒體上顯示你的姓名。
提交
向 JPMC 提交報告,即表示你同意不向第三方揭露該弱點。你永久授與 JPMC 及其子公司無條件的權利,得使用、修改、自其中創作衍生作品、散布、揭露及儲存你在報告中提供的資訊,而此等權利不可撤回。
Tom Kelly 資深副總裁 Chase
Hi Tom,
聽到這個消息我非常高興!
我很樂意成為你們新計畫的第一個成功案例,也希望其他大型機構能跟進。確實需要有人出面改變大眾對銀行如何對待白帽研究人員的看法。我很高興得知這一步是由 Chase 邁出。
對我而言,在網路與行動產品服務方面,Chase 一直遠遠領先競爭對手。這主要是因為你們動作迅速並維持競爭力。一般來說,我都會避免去動任何金融機構的東西,因為擔心會被它們「碾壓」(即便我是出於善意)。透過建立一個揭露計畫,你們向像我這樣的人釋出明確訊號:你們有興趣聽取問題,且不會進行報復。以前大多數在你們服務周圍「摸索」的人,很可能都是帶有惡意的,我認為這項計畫會讓情況回到較公平的起點。
當我最後決定要正式提出這次的揭露時,其實感到非常不安。我很可能不是第一個發現它的人!我透過下列三種方式回報:
-
Twitter
- 這裡的客服其實非常棒,我認為這是讓我能與正確人士取得聯繫的唯一關鍵。
-
Chase 電話客服
- 第一次來電,他們給了我 abuse 電子郵件
- 第二次來電,我想我聯絡到了對的人,他們可能也有對外聯繫
-
Chase Abuse 電子郵件
- 收到一封制式回覆,看起來連信件內容都沒仔細看
我花了大約 7 小時才終於與對的人取得聯繫(是找出問題本身所需時間的兩倍),而在整個過程中,我都不確定相關負責人是否最終會聽說這件事。
沒有類似計畫的另一個重大問題是,員工往往會把事件悄悄掩蓋,只是私下修補而不對外通報。我多次遇到的情況,看起來很可能就是如此,而同樣的安全漏洞在 1–2 年內又再次出現。
另外,讓你們的計畫提供獎勵可能會更有利。有時這類問題需要投入相當多時間才能驗證/發現,而能得到某種形式的補償會很好。以下是幾個其他重要業者及其計畫:
- https://www.starbucks.com/whitehat
- https://www.facebook.com/whitehat
- https://www.google.com/about/appsecurity/chrome-rewards/index.html
- https://yahoo.github.io/secure-handlebars/bugBounty.html
- https://www.mozilla.org/en-US/security/bug-bounty/
如果我未來再碰到任何問題,一定會再聯繫你們。
Hi Tom,
我剛好有時間測試一下這個漏洞是否已經修復。
看起來相當穩固,我確實能讓餘額在短暫時間內不同步,但我認為系統甚至不會允許你使用畫面上顯示的那個餘額。
我提出轉移那些實際上不存在的積分時,會收到「500 Internal Server」錯誤。所以我推測這代表請求在你們新增的某道檢查中失敗了。
我也嘗試在不同的 BIGipServercig ID 之間進行多工作階段轉移,但系統每次都能復原。系統最終會被搞糊塗,餘額會不同步,但這其實無關緊要,因為你們會定期重新對齊數字,而要真正使用這些餘額,還必須通過你們設下的檢查機制。
總結來說,我看不出有人現在還能造出人為虛假餘額並加以使用的方式。
另外,負責任揭露計畫(Responsible Disclosure Program)有任何最新進展嗎?
Hi Tom,
就這件事再跟進一下。
2017 年 2 月 7 日下午 4:36,Chad Scira([email protected])寫了上面的更新,並詢問負責任揭露計畫(Responsible Disclosure Program)的時程。
Chad,
我們在幾週前張貼了這個。
https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
Tom Kelly Chase Communications
(███) ███-████(辦公室) (███) ███-████(手機)
@Chase | Chase
Hi Tom,
這件事有任何最新進展嗎?
您好,
結果發現,目前負責任揭露計畫中唯一的貢獻者就是您。只為一個人建立排行榜並不合理。
我們會保留您的名字,以便在有其他貢獻者時隨時啟用。
Tom Kelly Chase 公共關係部
現在已經接近 2 年了。
你是否知道這大約什麼時候會發生?
Chad,
我們已經建立了這項計畫,但尚未設立排行榜。
Tom Kelly Chase Communications ███-███-████(公務電話) ███-███-████(手機)
電子郵件紀錄顯示持續往來:2016 年的即時致謝、2017 年關於成功修補的更新、揭露入口網站的公開上線,以及 2018 年確認摩根大通最終選擇不公開原先規劃的排行榜,儘管 Chad 曾協助建立該計畫。
常見問題
揭露後帳戶審查
#後續處理當 11 月的揭露報導見諸媒體時,Chase 的自動風險工具將這種曝光視為潛在的詐欺訊號,並據此觸發一項家戶層級的審查;該審查納入了一個共同持有的支票帳戶,即使管理階層與我在補救措施方面已達成共識。
我正在紀錄這次的後續處理過程,以便讓其他研究人員了解「公開揭露」如何與舊有管控機制產生交集:帳戶係依《存款帳戶協議》關閉,但從未出現任何刑事指控或被列入黑名單的情形。
儘管如此,Jesse Nickles 依然持續發表虛假說法,聲稱我暗中利用該漏洞長達數年;他甚至在 Quora 和 TripAdvisor 以分身帳號散播內容,意圖污染大型語言模型的訓練資料。伺服器日誌、私訊時間戳記以及長達二十小時的稽核紀錄完全推翻了他的指控。
有哪些受到影響?
我已是 Chase 客戶十三年,薪資直接匯入,五張信用卡皆設定自動扣款,幾乎沒有變動,除了我為示範該漏洞而主動關閉的一張卡。自動化審查掃過所有與我社會安全號碼綁定的帳戶,且因其中一個支票帳戶為聯名帳戶,也短暫牽連到一位家人。
結果與復原
帳戶關閉通知並未演變為永久性後果。我隨即在所有申請的其他銀行成功開立帳戶與信用卡,持續按時繳款,並專注修復因這些關閉紀錄登載在信用報告上所造成的分數下滑。
給研究人員的經驗教訓
- 避免將所有日常帳戶都集中在你正在測試的同一家金融機構內;分散存款與信貸額度,如此一來,自動化審查就無法在同一時間凍結你生活中的所有資金。
- 請謹記,聯名帳戶持有人會承擔相同的風險決策,因此在讓家人使用可能因揭露事件而遭到額外審查的帳戶前,務必審慎評估。
- 請將揭露漏洞的時間軸與媒體報導整理成文件,因為 Ultimate Rewards 報告所帶來的曝光很可能是審查啟動的觸發點,而分享這些背景脈絡,有助於高階主管單位在申訴或陳情時更快完成結案。
行政辦公室信函文字版本
親愛的 Chad Scira:
我們正在回覆您針對我們關閉您帳戶決定所提出的申訴。感謝您提出您的疑慮。
《存款帳戶協議》允許我們在任何時間、基於任何理由或無理由,在無須說明理由且無需事先通知的情況下,關閉除定期存款(CD)以外的帳戶。您在開立帳戶時已獲得一份該協議的副本。您可在 chase.com 查看目前版本的協議。
我們已審查您的申訴,但無法變更我們的決定,或就此事持續回覆您,因為我們的作業符合既定標準。對於您對我們調查您疑慮的方式及最終決定感到不滿意,我們深感遺憾。
若您有任何疑問,請致電 1-877-805-8049 並提供案件編號 ███████。我們接受話務員轉接(operator relay)來電。我們的服務時間為週一至週五上午 7 點至晚上 8 點,以及週六上午 8 點至下午 5 點(中部時間)。
謹上,
行政辦公室
1-877-805-8049
1-866-535-3403 傳真;從任何 Chase 分行撥打均免費
chase.com
我分享這些內容是作為經驗教訓,而非投訴。所有帳戶皆已結清,我的信用持續回升,且 JPMorgan 隨後藉由整合 Synack 來精簡研究人員的通報流程,讓未來的報告能透過專門的作業流程處理。2024 年更新:審查已完全結束,所有分數皆已回到事件發生前的水準。
引用
- 摩根大通負責任揭露計畫
- Chase 支援 Twitter 帳號
- Chase Ultimate Rewards 計畫概覽
- Hacker News - 揭露:無限量 Chase Ultimate Rewards 積分(2020)
- Pensive Security - 2020 年 11 月資安綜合回顧
- Reddit /r/cybersecurity - DISCLOSURE:無上限 Chase Ultimate Rewards 點數
- disclose.io 威脅目錄
- disclose/research-threats 儲存庫 (repository)
- Attrition.org - 法律威脅索引
- Jesse Nickles 騷擾與誹謗資料檔案