Bei Bit2Me lieben wir die Hacker-Kultur. Wir fühlen uns dieser Strömung, die Teil der DNA unseres Unternehmens ist, sehr verbunden. So sehr, dass einige von uns an Hackathons und CTF-Veranstaltungen (Capture-The-Flag) teilnehmen. Bit2Me ist immer bereit, mit diesem Gedanken übereinstimmende Veranstaltungen zu organisieren und daran teilzunehmen.
Mit dem Ziel, dass die Gesellschaft auf eine Welt zusteuert, in der Kryptowährungen wie Bitcoin größere Akzeptanz finden, arbeiten wir daran, die beste Kryptowährungsplattform der Welt aufzubauen.
Dies wird uns helfen, eine gerechtere und demokratischere Welt zu schaffen, ohne Geldmonopol, wie es derzeit bei Zentralbankgeld der Fall ist. Eine Welt, in der einige wenige den Rest der Menschheit durch ihre Funktionsweise versklaven.
Wir sind uns des frenetischen Tempos bewusst, das ein Startup wie unseres haben kann (Updates, neue Produkte, ...). Als Menschen wissen wir auch, dass wir nicht perfekt sind und etwas übersehen können.
Deshalb, liebe Hacker-Community, ist dieses Dokument ein Aufruf an euch. Wir stellen euch das beste Bug Bounty Programm zur Verfügung, das wir angesichts der aktuellen Größe unseres Unternehmens erstellen konnten. Mit unserem Wachstum werden wir es aktualisieren.
Was Sie wissen müssen?
- Programmregeln
- Bereits gemeldete Schwachstellen
- Wie gehen wir vor? Kryptographie an die Macht!
- Was bedeutet das?
- Anwendungsbereich (Scope)
- Schwachstellen, die NICHT akzeptiert werden
- Wie melde ich einen Bug?
- Antwortrichtlinie
- Belohnungen
- Beispiele für gesuchte Schwachstellen:
- Hall of Fame
Programmregeln
- Sie müssen den Header "X-BUGBOUNTY-HACKER: <Ihr_Hacker-Name>" hinzufügen, wenn Sie Tests durchführen, damit wir Ihre Anfragen identifizieren können.
- Es werden nur Meldungen von bisher unbekannten Schwachstellen akzeptiert. Im Falle von Duplikaten wird immer der erste Melder belohnt (sofern er die hier dargelegten Regeln eingehalten hat, andernfalls wird die Reihenfolge der Meldung von der ältesten zur jüngsten befolgt).
- Stellen Sie ausreichende Beweise und Informationen bereit, damit unser Ingenieurteam die Schwachstelle reproduzieren und beheben kann.
- Zeigen Sie bei der Offenlegung der Schwachstelle gegenüber Bit2Me keine illegalen Verhaltensweisen, wie Drohungen, Klagen oder andere Nötigungstaktiken.
- Die Schwachstelle darf nicht so ausgenutzt werden, dass sensible Informationen öffentlich abfließen können, und es dürfen keine Vorteile aus der Ausnutzung der Schwachstelle erzielt werden, bevor die Belohnung von Bit2Me erhalten wurde.
- Verursachen Sie im Prozess keine Datenzerstörung oder Dienstunterbrechung bei Bit2Me.
- Melden Sie nur eine Schwachstelle pro Anfrage, es sei denn, es ist notwendig, mehrere Schwachstellen zu verketten, um den Einfluss auf einen Schwachstellentyp zu maximieren.
- Melden Sie keine Schwachstellen, die durch ein zugrunde liegendes Problem verursacht wurden, das identisch mit einem Problem ist, für das bereits eine Belohnung im Rahmen dieses Programms gezahlt wurde.
- Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, erhalten eine einzige Belohnung.
- Eine gleiche Schwachstelle, die in mehr als einem Dienst oder Subdomain reproduzierbar ist, wird als eine einzige Schwachstelle behandelt.
- Die Veröffentlichung jeglicher erfolgreicher Ausnutzung, die während der Teilnahme am Bug Bounty Programm durchgeführt wurde, in irgendeinem Internetmedium ist nicht gestattet. Bei Verstoß gegen diese Regel werden zukünftige Anfragen dieses Mitglieds abgelehnt und ausstehende Belohnungszahlungen ausgesetzt.
Bereits gemeldete Schwachstellen
Eine berechtigte Frage, die Sie sich stellen können, ist: Wie kann ich sicher sein, dass Bit2Me ehrlich ist, wenn es eine Schwachstelle mit der Begründung ablehnt, dass sie bereits gemeldet wurde?
Wie eines der berühmten Mottos aus der Welt der Kryptowährungen besagt: „Don't trust, Verify!"
Wie Sie wissen, lieben wir Innovationen und die Kryptowährungstechnologie. Mit diesem Gedanken und um die Werte und Vorteile der Blockchain-Technologie zu demonstrieren, wird jede gemeldete und akzeptierte Schwachstelle in der Blockchain veröffentlicht.
Wie gehen wir vor? Kryptographie an die Macht!
Sobald eine Schwachstelle gemeldet und akzeptiert wurde, noch bevor sie von unserem Team behoben wird, werden wir Folgendes tun:
Wir werden alle Informationen zur Schwachstelle erfassen und einen Bericht im PDF-Format erstellen.
Aus dem neu erstellten PDF-Bericht generieren wir einen digitalen Fingerabdruck (Hash-Checksum).
Wir werden eine Transaktion an die Ethereum-Blockchain senden, die den generierten Hash des Dokuments enthält.
Diese Transaktion wird für immer transparent und unveränderlich im Netzwerk verbleiben, ist absolut unmöglich zu ändern und spiegelt den genauen Zeitpunkt ihrer Erstellung wider.
Was bedeutet das?
Wenn dieser Hash zu diesem Zeitpunkt existierte, bedeutet dies, dass auch das Dokument und damit die darin enthaltenen Informationen existierten.
Falls uns später jemand eine ähnliche Schwachstelle meldet, werden wir ihm den PDF-Bericht und die Transaktion aushändigen.
Mit dem Bericht kann er selbst den digitalen Fingerabdruck generieren und überprüfen, ob dieser Hash bereits in der Vergangenheit registriert wurde, dank der bereitgestellten Ethereum-Transaktion, in der er das genaue Datum sehen kann.
Für den Hash / Checksum des Berichts verwenden wir den SHA-512-Algorithmus.
Anwendungsbereich (Scope)
Wir haben den Aktionsbereich für die Suche nach Schwachstellen auf die folgenden Domains / Subdomains beschränkt:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Bit2Me Android- und iOS-Apps
Schwachstellen, die NICHT akzeptiert werden
- Alle Assets außerhalb des angegebenen Scopes.
- Obwohl Schwachstellen, die eine Dienstverweigerung (DoS) verursachen können, sei es durch Code-Inkonsistenzen, veraltete Dienste auf der Plattform oder Bibliotheken, die übermäßige zyklomatische Schleifen erzeugen, erlaubt sind, fallen verteilte Dienstverweigerungsangriffe (DDoS), wie Angriffe über Botnets oder mit Flooding-Tools, nicht in den Anwendungsbereich.
- Konto-/E-Mail-Aufzählung.
- Brute-Force-Angriffe.
- Content Spoofing und Text Injection ohne die Möglichkeit, HTML/CSS zu ändern.
- Selbstausbeutung (z.B. erfolgreiches XSS nur lokal ausgeführt, Skripting in der Konsole, Token-Wiederverwendung ...).
- Permissive CORS-Header.
- Clickjacking mit minimalen Auswirkungen.
- Tab-Napping.
- Schwachstellen im Zusammenhang mit dem automatischen Ausfüllen von Formularen.
- Fehlende Header oder Flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-Sniffing, HTTPOnly Flag, Link-Attribute „noopener noreferrer“ usw.), die nicht zu einer direkten Ausnutzung führen können.
- Mangelnde Best Practices bei der SSL/TLS-Konfiguration.
- Unterstützung für HTTP-Methoden wie OPTIONS.
- CSRF-Angriffe ohne Kompromittierung der Authentifizierung oder kritischer Operationen (Zu Favoriten hinzufügen, Abmelden usw.).
- Offenlegung veralteter Software- oder Dienstversionen.
- Offenlegung öffentlicher Verzeichnisse oder Dateien (z.B. robots.txt) mit minimalen Auswirkungen.
- Bugs in unüblichen oder von Bit2Me nicht unterstützten Browsern.
- MITM-Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Jeder physische Angriff auf Bit2Me-Eigentum oder deren Rechenzentren.
- Öffentlich zugängliche Login-Panels.
- UX- oder Usability-Probleme, die keine Sicherheitslücken darstellen.
- Probleme ohne Sicherheitsauswirkungen (z.B. Fehler beim Laden einer Seite).
- Social Engineering, Phishing, Vishing, Smishing gegen Mitarbeiter, Lieferanten, Kunden oder Nutzer von Bit2Me.
- Schwachstellen, die uns bereits bekannt sind oder bereits von jemandem gemeldet wurden (die Belohnung geht an den ersten Melder).
- Sonstiges…
Wie melde ich einen Bug?
Senden Sie Ihren Bericht an die E-Mail-Adresse: security@bit2me.com.
Fügen Sie so viele Beweise wie möglich hinzu: Titel der ausgenutzten Schwachstelle, Beschreibung jedes Schrittes der Ausnutzung, verwendete Tools bei der Ausnutzung, Browserversion, Screenshots (oder sogar Video) anhängen usw.
Fügen Sie den PoC (Proof of Concept) bei, falls Sie einen erstellt haben. Es ist obligatorisch, eine Erklärung zur Behebung der gemeldeten Schwachstelle beizufügen.
Bitte warten Sie bis zu 10 Werktage, bis unser Team Ihre Anfrage prüft und Sie eine Antwort erhalten, ob wir Ihre Anfrage angenommen haben. Im Falle einer Annahme wird Ihnen die Belohnung innerhalb des in der Antwortrichtlinie festgelegten Zeitraums ausgezahlt (*siehe Antwortrichtlinie).
Antwortrichtlinie
Bit2Me wird immer alles tun, um die folgende Antwortrichtlinie für Anfragen von Hackern, die an unserem Programm teilnehmen, einzuhalten:
Unsere maximale Antwortzeit für die Annahme einer Schwachstelle (ab Erhalt des Berichts) beträgt: 10 Werktage
Die Auszahlung der Belohnung erfolgt, sobald die Schwachstelle behoben ist. Dieser Zeitraum kann Tage oder sogar Wochen dauern.
Zahlungen können auf folgende Weise erfolgen:
Kryptowährungen: Wir lieben Kryptowährungen, und wenn Sie sie auch mögen, zahlen wir Ihnen die Belohnung gerne in Kryptowährungen wie Bitcoin, Ethereum, Monero oder anderen aus.
Belohnungen
Die von Bit2Me vergebenen Belohnungen reichen von 50€ für niedrige Schwachstellen bis zu 5.000€ für hochkritische.
Die regulären Belohnungen werden basierend auf unserem Kriterium der Schwachstellenkritikalität verwaltet:

Für Schwachstellen, die unser internes Cybersicherheitsteam als SEHR kritisch einstuft, bietet Bit2Me eine Sonderbelohnung von 5.000€.
Hinweis: Wenn der Bericht keinen gültigen PoC (Proof of Concept) enthält, wird die Bewertung der Belohnung entsprechend der Reproduzierbarkeit und Schwere der Schwachstelle entschieden, und die Höhe der Belohnung kann erheblich reduziert werden. |
Beispiele für gesuchte Schwachstellen:
- XSS (ausgenommen Self-XSS).
- CSRF (ausgenommen CSRF, die Aktionen ohne Auswirkungen betreffen).
- Remote Code Execution.
- Authentication Bypass.
- SQL Injection.
- Offenlegung sensibler Informationen.
- LFI/RFI.
- Privilege Escalation.
- Schwachstellen, die zum Verlust von Nutzergeldern oder Vermögenswerten führen können.
- Schwachstellen, die zum Remote-Abfluss vertraulicher Unternehmensdaten führen können.
Hall of Fame
Alle Personen oder Entitäten, die belohnte Schwachstellen melden, werden veröffentlicht, wenn sie dies wünschen.
Dies sind die Mitglieder, die bis heute eine akzeptierte Schwachstelle gemeldet haben:
- Ch Chakradhar
- White Coast Security Private Limited
- Abhishek Pal
- Javier Andreu
- Pratik Yadav
- Sachin Pandey
- Shashank Jyoti
- Moein Abas
- Yash Ahmed Quashim
- Volodymyr "Bob" Diachenko
- Fahim Ali
- Felipe Martinez
- Taniya & Rohan
- Shubham Kushwaha
- Pawan Rawat
- Akash Hamal
- Mehedi Hasan
- Anchal Vij
- Soumen Jana
- Rohan
- Mayank Sahu
- Kartik Singh
- Niket Popat
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren