Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Bug bounty da Bit2Me

            Geändert am Di, 14 Okt um 1:05 NACHMITTAGS

            Bei Bit2Me lieben wir die Hacker-Kultur. Wir identifizieren uns sehr mit dieser Strömung, die Teil der DNA unseres Unternehmens ist. So sehr, dass einige von uns an Hackathons und CTF-Veranstaltungen (Capture-The-Flag) teilnehmen. Bei Bit2Me sind wir immer bereit, an Veranstaltungen mitzuwirken und diese zu organisieren, die mit diesem Denken im Einklang stehen.

            Mit dem Ziel, dass die Gesellschaft sich in eine Welt bewegt, in der Kryptowährungen wie Bitcoin eine größere Akzeptanz finden, arbeiten wir daran, die beste Plattform der Welt für Kryptowährungen zu bauen.

            Dies wird uns helfen, eine viel gerechtere und demokratischere Welt zu schaffen, ohne ein Geldmonopol, wie es derzeit bei Zentralbankgeld der Fall ist. In der einige wenige den Rest der Menschheit durch die Art und Weise, wie es funktioniert, versklaven.

            Wir sind uns des rasanten Tempos bewusst, das ein Startup wie unseres haben kann (Updates, neue Produkte, ...). Als Menschen sind wir uns auch bewusst, dass wir nicht perfekt sind und etwas vergessen können.

            Deshalb, Hacker-Community, ist dieses Dokument ein Aufruf an euch. Wir stellen euch das beste Bug-Bounty-Programm zur Verfügung, das wir unter Berücksichtigung der aktuellen Größe unseres Unternehmens erstellen konnten. Mit unserem Wachstum werden wir es aktualisieren.

            Was müssen Sie wissen?

            Programmregeln

            • Sie müssen den Header "X-BUGBOUNTY-HACKER: <Ihr_Hackername>" hinzufügen, wenn Sie Tests durchführen, damit wir Ihre Anfragen identifizieren können.
            • Es werden nur Berichte über bisher nicht gemeldete Schwachstellen akzeptiert. Bei Duplikaten wird immer der erste Melder belohnt (vorausgesetzt, er hat die hier dargelegten Regeln befolgt; andernfalls wird die Reihenfolge der Meldung vom ältesten zum neuesten Bericht eingehalten).
            • Stellen Sie ausreichende Beweise und Informationen zur Verfügung, damit unser Ingenieurteam die Schwachstelle reproduzieren und beheben kann.
            • Zeigen Sie bei der Offenlegung der Schwachstelle gegenüber Bit2Me kein illegales Verhalten, wie Drohungen, Klagen oder andere erpresserische Taktiken.
            • Nutzen Sie die Schwachstelle nicht so aus, dass sensible Informationen öffentlich exfiltriert werden könnten, und ziehen Sie keinen Gewinn aus der Ausnutzung der Schwachstelle, bevor Sie die Belohnung von Bit2Me erhalten haben.
            • Verursachen Sie im Prozess keine Datenzerstörung oder Unterbrechung eines Dienstes von Bit2Me.
            • Melden Sie nur eine Schwachstelle pro Anfrage, es sei denn, es ist notwendig, Schwachstellen zu verketten, um die Auswirkungen auf einen Schwachstellentyp zu maximieren.
            • Melden Sie keine Schwachstelle, die durch ein zugrunde liegendes Problem verursacht wird, das dasselbe ist wie ein Problem, für das im Rahmen dieses Programms bereits eine Belohnung gezahlt wurde.
            • Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, erhalten eine einzige Belohnung.
            • Dieselbe reproduzierbare Schwachstelle in mehr als einem Dienst oder einer Subdomain wird als eine einzige Schwachstelle behandelt.
            • Die Veröffentlichung einer erfolgreichen Ausnutzung während der Teilnahme am Bug-Bounty-Programm in jeglichen Internetmedien ist nicht gestattet. Bei Verstoß gegen diese Regel werden zukünftige Anfragen dieses Mitglieds abgelehnt und ausstehende Belohnungszahlungen ausgesetzt.


            Bereits gemeldete Schwachstellen

            Eine normale Frage, die Sie sich zu Recht stellen können, ist: Wie kann ich sicher sein, dass Bit2Me ehrlich ist, wenn sie die Schwachstelle mit der Begründung ablehnt, dass sie bereits gemeldet wurde?

            Wie eines der berühmten Mottos der Kryptowelt lautet: "Don't trust, Verify!"

            Wie Sie wissen, lieben wir Innovationen und die Technologie der Kryptowährungen. Vor diesem Hintergrund und um ein Beispiel für die Werte und Vorteile der Blockchain-Technologie zu geben, wird jede gemeldete und akzeptierte Schwachstelle auf der Blockchain veröffentlicht.


            Wie machen wir das? Kryptographie an die Macht!

            Sobald eine Schwachstelle gemeldet und akzeptiert wurde, noch bevor sie von unserem Team behoben wird, werden wir Folgendes tun: 

            1. Wir werden alle Informationen über die Schwachstelle nehmen und einen Bericht im PDF-Format erstellen.

            2. Aus dem neu erstellten PDF-Bericht generieren wir einen digitalen Fingerabdruck (Hash-Prüfsumme).

            3. Wir werden eine Transaktion an die Ethereum-Blockchain ausgeben, die den aus dem Dokument generierten Hash enthält.

            Diese Transaktion wird für immer transparent und unveränderlich im Netzwerk bleiben, ist absolut unveränderbar und spiegelt den genauen Zeitpunkt ihrer Erstellung wider.


            Was bedeutet das?

            Wenn dieser Hash zu diesem Zeitpunkt existierte, bedeutet das, dass das Dokument und damit die darin enthaltenen Informationen ebenfalls existierten.

            Wenn uns später jemand eine ähnliche Schwachstelle meldet, werden wir ihm den PDF-Bericht und die Transaktion aushändigen. 

            Mit dem Bericht kann er selbst den digitalen Fingerabdruck generieren und überprüfen, dass dieser Hash bereits in der Vergangenheit registriert wurde, dank der bereitgestellten Ethereum-Transaktion, in der er das genaue Datum sehen kann.

            Für den Hash / die Prüfsumme des Berichts verwenden wir den SHA-512-Algorithmus.


            Anwendungsbereich (Scope)

            Wir haben den Aktionsbereich für die Suche nach Schwachstellen auf die folgenden Domains / Subdomains beschränkt:

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Bit2Me-Anwendungen für Android und iOS

            Schwachstellen, die NICHT akzeptiert werden

            • Jeder Vermögenswert außerhalb des angegebenen Bereichs.
            • Obwohl Schwachstellen, die zu einem Denial-of-Service (DoS) führen können, sei es durch Code-Inkongruenzen, veraltete Dienste auf der Plattform oder Bibliotheken, die übermäßige zyklomatische Schleifen erzeugen, erlaubt sind, sind verteilte Denial-of-Service-Angriffe (DDoS), wie Angriffe durch Botnetze oder mit Flooding-Tools, vom Anwendungsbereich ausgeschlossen.
            • Aufzählung von Konten/E-Mails.
            • Brute-Force-Angriffe.
            • Content Spoofing und Text Injection ohne die Möglichkeit, HTML/CSS zu ändern.
            • Selbstausbeutung (wie z.B. XSS, das nur lokal erfolgreich ausgeführt wird, Konsolen-Scripting, Wiederverwendung von Token...).
            • Permissive CORS-Header.
            • Clickjacking mit Aktionen mit minimalen Auswirkungen.
            • Tab-Nabbing.
            • Schwachstellen im Zusammenhang mit dem automatischen Ausfüllen von Formularen.
            • Fehlende Header oder Flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-Sniffing, HTTPOnly-Flag, "noopener noreferrer"-Linkattribute usw.), die nicht zu einer direkten Ausnutzung führen können.
            • Fehlende bewährte Verfahren bei der SSL/TLS-Konfiguration.
            • Unterstützung für HTTP-Methoden wie OPTIONS.
            • CSRF-Angriffe ohne Kompromittierung der Authentifizierung oder kritischer Operationen (zu Favoriten hinzufügen, abmelden usw.).
            • Offenlegung von veralteten Softwareversionen oder Diensten.
            • Offenlegung von öffentlichen Verzeichnissen oder Dateien (wie z.B. robots.txt) mit minimalen Auswirkungen.
            • Fehler in nicht gängigen Browsern oder in von Bit2Me nicht unterstützten Browsern.
            • MITM-Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
            • Jeder physische Angriff auf die Besitztümer von Bit2Me oder ihre Rechenzentren.
            • Öffentlich zugängliche Anmelde-Panels.
            • UX- oder Usability-Probleme, die keine Sicherheitsprobleme darstellen.
            • Probleme, die keine Auswirkungen auf die Sicherheit haben (z.B. Fehler beim Laden einer Seite).
            • Social Engineering, Phishing, Vishing, Smishing gegen Mitarbeiter, Lieferanten, Kunden oder Benutzer von Bit2Me.
            • Schwachstellen, die uns bereits bekannt sind oder bereits von jemand anderem gemeldet wurden (die Belohnung geht an den ersten Melder).
            • Andere…


            Wie meldet man einen Bug?

            Senden Sie Ihren Bericht an die E-Mail-Adresse: security@bit2me.com.

            Fügen Sie so viele Beweise wie möglich bei: Titel der ausgenutzten Schwachstelle, Beschreibung jedes Schritts der Ausnutzung, verwendete Tools, Browserversion, hängen Sie Screenshots (oder sogar ein Video) an, etc.

            Fügen Sie den PoC (Proof of Concept) bei, falls Sie einen durchgeführt haben. Es ist obligatorisch, eine Erklärung beizufügen, wie die gemeldete Schwachstelle behoben werden kann.

            Warten Sie bis zu 10 Werktage, bis unser Team Ihre Anfrage prüft und Sie eine Antwort erhalten, ob wir Ihre Anfrage angenommen haben. Im Falle einer Annahme wird Ihnen die Belohnung innerhalb der in der Antwortrichtlinie festgelegten Frist ausgezahlt (*siehe Antwortrichtlinie).


            Antwortrichtlinie

            Bit2Me wird stets alles Mögliche tun, um die folgende Antwortrichtlinie für die von Hackern, die an unserem Programm teilnehmen, eingereichten Anfragen zu befolgen:

            Unsere maximale Antwortzeit für die Annahme der Schwachstelle (ab Eingang des Berichts) beträgt: 10 Werktage.

            Die Auszahlung der Belohnung erfolgt, sobald die Schwachstelle behoben ist. Dieser Zeitraum kann Tage oder sogar Wochen dauern.

            Zahlungen können auf folgende Weise erfolgen:

            • Kryptowährungen: Wir lieben Kryptowährungen, und wenn Sie sie auch mögen, zahlen wir Ihnen die Belohnung gerne in Kryptowährungen wie Bitcoin, Ethereum, Monero oder anderen aus.


            Belohnungen

            Die von Bit2Me gewährten Belohnungen reichen von 50 € für niedrige Schwachstellen bis zu 5.000 € für hochkritische.

            Die normalen Belohnungen werden nach unserem Kritikalitätskriterium für die Schwachstelle verwaltet:

            Für Schwachstellen, die vom internen Cybersicherheitsteam des Unternehmens als SEHR kritisch eingestuft werden, hat Bit2Me eine Sonderbelohnung von 5.000 €.


            Hinweis: Wenn der Bericht keinen gültigen PoC (Proof of Concept) enthält, wird die Belohnungsstufe entsprechend der Reproduzierbarkeit und Schwere der Schwachstelle festgelegt, und der Belohnungsbetrag kann erheblich reduziert werden.


            Beispiele für Schwachstellen, die wir suchen:

            • XSS (außer Self-XSS).
            • CSRF (außer CSRF, das Aktionen ohne Auswirkungen beinhaltet).
            • Remote Code Execution.
            • Authentication Bypass.
            • SQL Injection.
            • Leckage sensibler Informationen.
            • LFI/RFI.
            • Privilege Escalation.
            • Schwachstellen, die zum Verlust von Geldern oder Vermögenswerten des Benutzers führen können.
            • Schwachstellen, die zur Fern-Leckage vertraulicher Unternehmensdaten führen können.


            Hall of Fame

            Alle Personen oder Organisationen, die belohnte Schwachstellen melden, werden auf Wunsch veröffentlicht.

            Dies sind die Mitglieder, die bis heute eine akzeptierte Schwachstelle gemeldet haben:

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0