Plusieurs Chase.com des clients ont déclaré s’être connectés à leurs comptes bancaires, pour se voir présenter les coordonnées bancaires d’un autre client. Chase a reconnu l’incident, affirmant qu’il avait été causé par un « problème » interne mercredi soir qui n’impliquait aucune sorte de tentative de piratage ou de cyberattaque.
Trish Wexlerdirecteur de la communication pour le commerce de détail de JPMorgan Chasea déclaré que l’incident s’était produit mercredi soir, pour « un nombre assez limité de clients » entre 18h30 et 21h HE qui « sporadiquement pendant cette période, alors qu’ils étaient connectés à chase.com, pouvaient voir les détails du compte de quelqu’un d’autre ».
« Nous savons avec certitude que le problème était de notre côté, pas d’un acteur malveillant », a déclaré Wexler, notant que Chase essaie toujours de déterminer combien de clients ont pu être touchés. « Nous parcourons les Tweets des clients et nous nous assurons que si quelqu’un nous appelle avec des problèmes, nous travaillons individuellement avec les clients. Si vous voyez une activité suspecte, vous devez nous appeler.
Wexler a exhorté les clients à « pratiquer une bonne hygiène de sécurité » en examinant régulièrement leurs relevés de compte et en signalant rapidement toute anomalie. Elle a déclaré que Chase s’efforçait toujours de déterminer la cause précise de la confusion et qu’aucun client commercial de JPMC n’avait vu les informations de compte d’autres clients.
« Tout était de notre côté », a déclaré Wexler. « Je ne sais pas encore ce qui s’est passé, mais je sais ce qui ne s’est pas passé. Ce qui s’est passé la nuit dernière n’était à 100% pas le résultat de quoi que ce soit de malveillant.
La confusion des comptes a été documentée mercredi par Volez et dînez, une publication en ligne qui fait la chronique de l’industrie alimentaire aérienne. Fly & Dine comprenait des captures d’écran de l’un des conjoints de leur écrivain connecté au compte d’un autre client Chase avec une carte Amazon et Chase et un solde de plus de 16 000 $.
Kenneth Blancchercheur en sécurité et directeur du Projet d’audit cryptographique ouvert, a déclaré que les rapports qu’il avait vus sur Twitter et ailleurs suggéraient que le problème était lié d’une manière ou d’une autre aux applications mobiles de la banque. Il a également déclaré que l’application de banque de détail Chase proposait une mise à jour jeudi matin.
Chase dit que la bizarrerie s’est produite à la fois pour chase.com et pour les utilisateurs de l’application mobile Chase.
« Nous n’avons aucune preuve que cela soit lié à une mise à jour », a déclaré Wexler.
« Il n’y a qu’un nombre limité d’erreurs logiques lorsque Kenn se connecte et voit le compte de Meguetaoui », a déclaré White. «Cela peut être un diable à traquer, car chaque fois que quelqu’un se connecte, c’est un lancer de dés – peut-être qu’il obtient quelque chose dans la cache réchauffée ou qu’il obtient un nouveau succès. C’est difficile à déboguer, mais c’est aussi mauvais que possible en termes de ratage de l’application.
White a déclaré que l’incident rappelle un problème similaire chez le géant du jeu en ligne Steam, ce qui a amené de nombreux clients à voir les informations de compte d’autres utilisateurs de Steam pendant quelques heures. Il a dit qu’il soupçonnait que le problème était une erreur de configuration quelque part dans les «serveurs de mise en cache» de Chase.com, qui sont conçus pour alléger la charge d’une application Web en stockant périodiquement certains éléments graphiques courants sur la page, tels que des images, des vidéos et des GIF.
« Les images, la bannière du site, tout cela peut être mis en cache, mais vous ne voulez jamais mettre en cache le contenu actif ou les données brutes qui reviennent », a déclaré White. « Si vous êtes CNN, vous mettez probablement en cache tout le contenu de la page d’accueil. Mais pour une application bancaire qui a accès à des données en direct, vous ne voulez jamais que cela soit mis en cache. »
« C’est assez facile à résoudre une fois que vous avez identifié le problème », a-t-il ajouté. « Je peux imaginer juste obtenir les bases du problème principal [for Chase] serait un peu délicat et pourrait signifier que beaucoup de non-techniciens appellent votre personnel d’assistance de niveau 1.
Mise à jour, 20 h 10 HE : Ajout d’un commentaire de Chase sur l’incident affectant à la fois les utilisateurs d’appareils mobiles et de navigateurs Web.