Hai avuto un’incidenza?

Bug bounty di Bit2Me

In Bit2Me amiamo la cultura hacker. Ci sentiamo molto identificati con questa corrente che fa parte del DNA della nostra azienda. Tanto che alcuni di noi partecipano a hackathon e CTF (Capture-The-Flag). Da Bit2Me siamo sempre disposti a collaborare e organizzare eventi in linea con questa mentalità.

Con l'obiettivo che la società si incammini verso un mondo in cui le criptovalute come Bitcoin vengano maggiormente accettate, stiamo lavorando per costruire la migliore piattaforma al mondo per le criptovalute.

Questo ci aiuterà a creare un mondo molto più giusto e democratico, senza il monopolio del denaro, come avviene attualmente con il denaro delle banche centrali. In cui, a causa del modo in cui funziona, in pochi schiavizzano il resto dell'umanità.

Siamo consapevoli del ritmo frenetico che una startup come la nostra può avere (aggiornamenti, nuovi prodotti, ...) Come esseri umani, siamo anche consapevoli che non siamo perfetti e possiamo dimenticare qualcosa.


Per questo, comunità hacker, questo documento è un appello a voi. Mettiamo a vostra disposizione il miglior bug bounty che siamo stati in grado di creare, considerando le dimensioni attuali della nostra azienda. Man mano che cresciamo lo aggiorneremo.

Regole del programma

  • Saranno accettate solo le segnalazioni di vulnerabilità non segnalate in precedenza. In caso di duplicati, il primo ad aver segnalato l'errore sarà colui che verrà premiato (a condizione che abbia rispettato le regole qui indicate, altrimenti l'ordine di segnalazione sarà dal più vecchio al più recente).
  • Fornire prove ed informazioni sufficienti al nostro team di ingegneri affinchè possano riprodurre e correggere la vulnerabilità.
  • Non intraprendere alcuna condotta illegale nel rivelare la vulnerabilità a Bit2me, come minacce, cause legali o altre tattiche coercitive.
  • Non sfruttare la vulnerabilità in modo tale da far trapelare informazioni sensibili pubblicamente, e non trarre profitto dallo sfruttamento della vulnerabilità prima di ottenere la ricompensa da Bit2me.
  • Durante il processo non bisogna perpetrare la distruzione di dati o l'interruzione di qualsiasi servizio Bit2Me.
  • Segnalate solo una vulnerabilità in ogni richiesta, a meno che non abbiate bisogno di concatenare le vulnerabilità per massimizzare l'impatto su un tipo di vulnerabilità.
  • Non segnalare una vulnerabilità causata da un problema sottostante che sia la stessa di un problema per il quale è stata pagata una ricompensa nell'ambito di questo programma.
  • Le molteplici vulnerabilità causate da un problema sottostante riceveranno una sola ricompensa.
  • La stessa vulnerabilità riproducibile su più di 1 servizio o sottodominio sarà trattata come una singola vulnerabilità.
  • Non è permessa la pubblicazione in qualsiasi mezzo Internet di qualsiasi attività portata a termine con esito positivo durante la partecipazione al programma Bug Bounty. In caso di violazione di questa norma, saranno rifiutate le richieste future di questo membro e si sospenderanno i pagamenti delle ricompense in sospeso.

Vulnerabilità già seganalate

Un quesito normale che ci si può porre, e giustamente, è: come posso essere sicuro/a che Bit2Me sarà sincero nel rifiutare la vulnerabilità dicendo che la vulnerabilità è già stata segnalata?

Come dice uno dei famosi slogan del mondo delle criptovalute, "Non fidarti, verifica!"

Come sapete noi amiamo innovare ed amiamo la tecnologia delle criptovalute. Tenendo a mente questo, e per dare un esempio dei valori e i vantaggi che apporta la tecnologia Blockchain, tutte le vulnerabilità segnalate ed accettate saranno pubblicate in Blockchain.

Come lo faremo? Crittografia al potere!

Una volta che una vulnerabilità è segnalata e accettata, anche prima che sia risolta dal nostro team, faremo quanto segue: 

  1. Prenderemo tutta l'informazione della vulnerabilità e creeremo un dossier in formato PDF.

  2. Dal dossier PDF creato di recente generemo un'impronta digitale (hash checksum).

  3. Emetteremo una transazione sulla blockchain di Ethereum includendo in essa l'hash generato del documento.

Questa transazione rimarrà trasparente ed immutabile nella rete per sempre, essendo totalmente impossibile da alterare e rimanendo riflessa nel sistema giusto nel momento in cui fu creata.

Che cosa vuol dire?

Se quell'hash esisteva in quel momento, significa che anche il documento, e con esso le informazioni che lo compongono, esistevano.

Se qualcuno successivamente ci segnala una vulnerabilità simile, vi forniremo il dossier PDF e la transazione.

Con il dossier sarai in grado di generare l'impronta digitale da solo e controllare se quell'hash fosse stato già registrato in passato, grazie alla transazione Ethereum fornita, dove potrai vedere la data esatta della transazione.

Per l' hash / checksum del dossier utilizzeremo l'algoritmo SHA-512.

Ambito d'azione (scopo)

Abbiamo limitato la zona d'azione di ricerca delle vulnerabilità per i seguenti domini/sottodomini:

  • bit2me.com

  • account.bit2me.com

  • wallet.bit2me.com

  • converter.bit2me.com 

  • converter-app.bit2me.com

  • explorer.bit2me.com

  • tikebit.bit2me.com

  • gateway.bit2me.com

  • Applicazioni Bit2me di Android e iOS

Vulnerabilità che NON saranno accettate 

  • Anche se saranno permesse le vulnerabilità che possono produrre a un rifiuto del servizio (DoS) sono ammessi, sia a causa di incongruenze del codice, servizi obsoleti sulla piattaforma o librerie che generano loop ciclomatici eccessivi, rimangono fuori dall'ambito d'applicazione gli attacchi (Ddos), come gli attacchi tramite botnet o strumenti di flooding.
  • Conteggio di account/emails.
  • Attacchi di forza bruta.
  • Content spoofing y text injection senza capacitá di modificare HTML/CSS.
  • Auto explotación (como per esempio XSS con successo solo eseguito localmente, scripting per console, riutilizzo dei token ...).
  • Intestazioni CORS permissive.
  • Clickjacking con azioni di minimo impatto.
  • Tab-nabbing.
  • Vulnerabilità che sono in relazione con moduli di autocompletamento.
  • Mancanza di intestazioni o flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, attributi al collegamento “noopener noreferrer”, etc.) che non possano risultare in una gestione diretta
  • Mancanza di buone pratiche nella configurazione SSL/TLS
  • Supporto per metodi HTTP come OPTIONS.
  • Attacchi CSRF che non compormettano  comprometer l'autenticazione o operazioni critiche (aggiungere a preferiti, logout, etc.).
  • Esposizione di versioni obsolete del software o dei servizi.
  • Esposizione di files o elenchi pubblici (come per esempio robots.txt) con un minimo impatto.
  • Bugs in browsers inusuali o non supportati da Bit2Me.  
  • Attacchi MITM che richiedano un accesso fisico al dispositivo di un utente.
  • Qualsiasi tipo di attacco fisico contro le proprietà di Bit2Me o alla sua rete di data centers.
  • Pannelli di login pubblicamente accessibili.
  • Problemi di UX o problemi legati all'utilizzabilità che non implichino problemi di sicurezza.
  • Problemi che non tengano un impatto con la sicurezza  (per esempio un errore nel caricare la pagina).
  • Ingegneria sociale, phishing, vishing, smishing contro lavoratori, fornitori, clienti o utenti di Bit2Me.
  • Vulnerabilità di cui siamo già al corrente o già segnalate da qualcuno (la ricompensa andrà al primo informatore).
  • Sottodomini academy.bit2me.com, blog.bit2me.com, agenda.bit2me.com, news.bit2me.com, tv.bit2me.com, directory.bit2me.com, careers.bit2me.com, media.bit2me.com, support.bit2me.com, dex*.bit2me.com, *.qa.bit2me.com
  • Altri…

Come segnalare un bug?

Invia il tuo report all'indirizzo di posta elettronica:

Avrai bisogno di usare la seguente chiave pubblica PGP per crittografare l'email: https://bit2me.com/bugbounty-pgp.txt

Includi il maggior numero di prove possibili: titolo della vulnerabilità, descrizione di ogni passo della vulnerabilità esposta, strumenti utilizzati, versione del browser, allega degli screenshot (o anche un video), ecc.

Includi la PoC (prova del concetto), se la effettuaste. Sará obbligatorio includere una spiegazione su come correggere la vulnerabilità segnalata

Si prega di attendere fino a 10 giorni lavorativi per consentire al nostro team di esaminare la tua domanda e ricevere una risposta per sapere se abbiamo accettato la tua richiesta. Se accettata, la tua ricompensa sarà accreditata entro i tempi stabiliti nella Politica di risposta (*vedi politica di risposta).

Politica di risposta

Bit2Me, in ogni momento, farà tutto il possibile per seguire la seguente politica nel rispondere alle richieste presentate dagli hacker che partecipano al nostro programma:

Il nostro tempo massimo di risposta all'accettazione della vulnerabilità (dal ricevimento della segnalazione) è: 10 giorni lavorativi.

Il pagamento della ricompensa sarà effettuato quando la vulnerabilità sarà risolta. Questo periodo può durare giorni o addirittura settimane.

I pagamenti possono essere effettuati come segue:

  • Criptovalute: Amiamo le criptovalute e se anche tu le ami, saremo felici di pagare la tua ricompensa in criptovalute come Bitcoin, Ethereum, Monero o altre.

Ricompense

Le ricompense di Bit2Me vanno da 50 euro per le vulnerabilità basse a 5.000 euro per quelle altamente critiche.

Le ricompense normali saranno amministrate in base al nostro criterio di criticità della vulnerabilità:

Per le vulnerabilità che il team interno di cybersicurezza dell'azienda considera MOLTO critiche, Bit2Me ha una ricompensa speciale di 5.000 euro.

Nota: Se il report non include un PoC (proof of concept) valido, la valutazione della ricompensa sarà decisa in base alla riproducibilità e alla gravità della vulnerabilità, e l'importo della ricompensa potrebbe essere significativamente ridotto.

Esempi di vulnerabilità che stiamo cercando:

  • XSS (escludendo self-XSS).
  • CSRF (escludendo CSRF que involucren acciones sin impacto).
  • Remote Code Execution.
  • Authentication Bypass.
  • SQL Injection.
  • Perdita d'informazione sensibile.
  • LFI/RFI.
  • Privilege Escalation.
  • Vulnerabilità che possono causare la perdita di fondi o beni degli utenti.
  • Vulnerabilità che possono causare la fuga di dati aziendali riservati in remoto.

Hall of Fame

Tutte le persone, o entità, che segnalano vulnerabilità che vengono premiate saranno pubblicate, se lo desiderano.

Questi sono i membri che, ad oggi, hanno segnalato una vulnerabilità accettata:

  • Ch Chakradhar
  • White Coast Security Private Limited
  • Abhishek Pal
  • Javier Andreu
  • Pratik Yadav
  • Sachin Pandey
  • Shashank Jyoti
  • Moein Abas

  • Yash Ahmed Quashim
  • Volodymyr "Bob" Diachenko
  • Fahim Ali
  • Felipe Martinez
  • Taniya & Rohan

Questa risposta ti è stata utile? No

Invia feedback
Siamo spiacenti di non aver potuto fornire aiuto. Il feedback degli utenti ci permette di migliorare questo articolo.