Ricerche recenti

Nessuna ricerca recente

    Articoli popolari

      Articoli
      Vedi tutte
        Argomenti
        Vedi tutte
          Ticket
          Vedi tutte
            nessun risultato

            Spiacente, non ci sono risultati per

            Bug bounty di Bit2Me

            Modificato il Mar, 14 Ott alle 1:05 PM

            In Bit2Me amiamo la cultura hacker. Ci sentiamo molto identificati con questa corrente che fa parte del DNA della nostra azienda. Tanto che alcuni di noi partecipano a hackathon e giornate di CTF (Capture-The-Flag). In Bit2Me siamo sempre disposti a collaborare e organizzare eventi in linea con questo pensiero.

            Con l'obiettivo che la società si muova verso un mondo in cui le criptovalute come Bitcoin abbiano una maggiore accettazione, lavoriamo per costruire la migliore piattaforma al mondo per le criptovalute.

            Questo ci aiuterà a creare un mondo molto più giusto e democratico, senza il monopolio del denaro, come avviene attualmente con il denaro delle banche centrali. In cui pochi schiavizzano il resto dell'umanità per il modo in cui funziona.

            Siamo consapevoli del ritmo frenetico che una startup come la nostra può avere (aggiornamenti, nuovi prodotti, ...). Come esseri umani, siamo anche consapevoli di non essere perfetti e di poter dimenticare qualcosa.

            Per questo, comunità hacker, questo documento è un appello per voi. Mettiamo a vostra disposizione il miglior bug bounty che abbiamo potuto creare, tenendo conto delle dimensioni attuali della nostra azienda. Man mano che cresceremo, lo aggiorneremo.

            Cosa devi sapere?

            Regole del programma

            • Devi aggiungere l'header "X-BUGBOUNTY-HACKER: <tuo_nome_hacker>" quando esegui i test in modo che possiamo identificare le tue richieste.
            • Saranno accettate solo segnalazioni di vulnerabilità non segnalate in precedenza. In caso di duplicati, sarà sempre ricompensato il primo segnalatore (a condizione che abbia rispettato le regole qui esposte, altrimenti si seguirà l'ordine di segnalazione dal più vecchio al più recente).
            • Fornire prove e informazioni sufficienti affinché il nostro team di ingegneri possa riprodurre e risolvere la vulnerabilità.
            • Non mostrare alcun tipo di comportamento illegale nel rivelare la vulnerabilità a Bit2Me, come minacce, cause legali o altri tipi di tattiche coercitive.
            • Non sfruttare la vulnerabilità in modo da poter esfiltrare pubblicamente informazioni sensibili, né trarre profitto dallo sfruttamento della vulnerabilità prima di ottenere la ricompensa da Bit2Me.
            • Non causare la distruzione di dati o l'interruzione di alcun servizio di Bit2Me nel processo.
            • Segnalare una sola vulnerabilità per richiesta, a meno che non sia necessario concatenare vulnerabilità per massimizzare l'impatto su un tipo di vulnerabilità.
            • Non segnalare una vulnerabilità causata da un problema di fondo che è lo stesso di un problema per cui è già stata pagata una ricompensa nell'ambito di questo Programma.
            • Vulnerabilità multiple causate da un unico problema di fondo riceveranno un'unica ricompensa.
            • La stessa vulnerabilità riproducibile su più di un servizio o sottodominio sarà trattata come un'unica vulnerabilità.
            • Non è consentita la pubblicazione su qualsiasi mezzo Internet di qualsiasi exploit riuscito durante la partecipazione al programma Bug Bounty. La violazione di questa regola comporterà il rifiuto di future richieste a tale membro e la sospensione dei pagamenti delle ricompense in sospeso.


            Vulnerabilità già segnalate

            Una domanda normale che potresti farti, e a ragione, è: come posso essere sicuro/a che Bit2Me sarà sincera nel respingere la vulnerabilità giustificando che è già stata segnalata?

            Come dice uno dei famosi motti del mondo delle criptovalute: "Don't trust, Verify!"

            Come sapete, amiamo innovare e amiamo la tecnologia delle criptovalute. Con questo in mente, e per dare l'esempio con i valori e i vantaggi che la tecnologia Blockchain offre, ogni vulnerabilità segnalata e accettata sarà pubblicata sulla Blockchain.


            Come faremo? Crittografia al potere!

            Una volta segnalata e accettata una vulnerabilità, prima ancora che venga risolta dal nostro team, faremo quanto segue: 

            1. Prenderemo tutte le informazioni sulla vulnerabilità e creeremo un report in formato PDF.

            2. Dal report PDF appena creato genereremo un'impronta digitale (hash checksum).

            3. Emetteremo una transazione sulla blockchain di Ethereum includendo l'hash generato dal documento.

            Questa transazione rimarrà trasparente e immutabile sulla rete per sempre, essendo totalmente impossibile da alterare e riflettendo il momento esatto in cui è stata creata.


            Cosa significa questo?

            Se quell'hash esisteva in quel momento, significa che anche il documento, e con esso le informazioni che lo compongono, esistevano.

            Se, successivamente, qualcuno ci segnala una vulnerabilità simile, gli consegneremo il report PDF e la transazione. 

            Con il report potrà generare l'impronta digitale da solo e verificare che quell'hash è già stato registrato in passato, grazie alla transazione Ethereum fornita, dove potrà vedere la data esatta della stessa.

            Per l'hash / checksum del report useremo l'algoritmo SHA-512.


            Ambito di azione (scope)

            Abbiamo limitato l'area di azione per la ricerca di vulnerabilità ai seguenti domini / sottodomini:

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Applicazioni Bit2Me per Android e iOS

            Vulnerabilità che NON saranno accettate

            • Qualsiasi asset al di fuori dello scope indicato.
            • Anche se sono ammesse vulnerabilità che possono causare un denial of service (DoS), sia per incongruenze del codice, per servizi non aggiornati sulla piattaforma o librerie che generano loop ciclomatici eccessivi, sono fuori dallo scope i denial of service distribuiti (DDoS), come attacchi tramite botnet o con strumenti di flooding.
            • Enumerazione di account/email.
            • Attacchi di forza bruta.
            • Content spoofing e text injection senza capacità di modificare HTML/CSS.
            • Auto-sfruttamento (come ad esempio XSS con successo solo eseguito in locale, scripting in console, riutilizzo di token...).
            • Header CORS permissivi.
            • Clickjacking con azioni di impatto minimo.
            • Tab-nabbing.
            • Vulnerabilità relative all'autocompletamento dei moduli.
            • Mancanza di header o flag (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flag HTTPOnly, attributi di link "noopener noreferrer", ecc.) che non possono portare a uno sfruttamento diretto.
            • Mancanza di buone pratiche nella configurazione SSL/TLS.
            • Supporto per metodi HTTP come OPTIONS.
            • Attacchi CSRF senza compromettere l'autenticazione o operazioni critiche (aggiungere ai preferiti, logout, ecc.).
            • Esposizione di versioni di software o servizi non aggiornati.
            • Esposizione di directory o file pubblici (come robots.txt) di impatto minimo.
            • Bug in browser non comuni o non supportati da Bit2Me.
            • Attacchi MITM che richiedono accesso fisico al dispositivo di un utente.
            • Qualsiasi attacco fisico contro le proprietà di Bit2Me o i suoi data center.
            • Pannelli di login accessibili pubblicamente.
            • Problemi di UX o di usabilità che non implicano falle di sicurezza.
            • Problemi che non hanno impatto sulla sicurezza (ad esempio, errore nel caricamento di una pagina).
            • Ingegneria sociale, phishing, vishing, smishing contro dipendenti, fornitori, clienti o utenti di Bit2Me.
            • Vulnerabilità già note a noi o già segnalate da qualcun altro (la ricompensa andrà al primo segnalatore).
            • Altro…


            Come segnalare un bug?

            Invia la tua segnalazione all'indirizzo email: security@bit2me.com.

            Includi il maggior numero possibile di prove: titolo della vulnerabilità sfruttata, descrizione passo dopo passo dello sfruttamento, strumenti utilizzati, versione del browser, allega screenshot (o anche video), ecc.

            Includi la PoC (Proof of Concept), se l'hai realizzata. Sarà obbligatorio includere una spiegazione su come correggere la vulnerabilità segnalata.

            Attendi fino a 10 giorni lavorativi affinché il nostro team studi la tua richiesta e riceva una risposta sull'accettazione della tua segnalazione. In caso di accettazione, la ricompensa ti sarà corrisposta entro il termine stabilito nella Politica di risposta (*vedi politica di risposta).


            Politica di risposta

            Bit2Me farà sempre tutto il possibile per seguire la seguente politica di risposta alle richieste inviate dagli hacker che partecipano al nostro programma:

            Il nostro tempo massimo di risposta sull'accettazione della vulnerabilità (dalla ricezione del report) è di: 10 giorni lavorativi.

            Il pagamento della ricompensa verrà effettuato una volta risolta la vulnerabilità. Questo periodo può richiedere giorni, o addirittura settimane.

            I pagamenti possono essere effettuati nel seguente modo:

            • Criptovalute: Amiamo le criptovalute e, se piacciono anche a te, saremo lieti di pagarti la ricompensa in criptovalute come Bitcoin, Ethereum, Monero o altre.


            Ricompense

            Le ricompense concesse da Bit2Me variano da 50€ per le vulnerabilità basse fino a 5.000€ per quelle altamente critiche.

            Le ricompense normali saranno gestite in base al nostro criterio di criticità della vulnerabilità:

            Per le vulnerabilità che, dal team interno di cybersecurity dell'azienda, consideriamo MOLTO critiche, Bit2Me ha una ricompensa speciale di 5.000€.


            Nota: Se il report non include una PoC (Proof of Concept) valida, la valutazione della ricompensa sarà decisa in base alla riproducibilità e alla gravità della vulnerabilità, e l'importo della ricompensa potrà essere significativamente ridotto.


            Esempi di vulnerabilità che cerchiamo:

            • XSS (escluso self-XSS).
            • CSRF (escluso CSRF che coinvolge azioni senza impatto).
            • Esecuzione di codice in remoto.
            • Bypass dell'autenticazione.
            • SQL Injection.
            • Fuga di informazioni sensibili.
            • LFI/RFI.
            • Escalation dei privilegi.
            • Vulnerabilità che possono causare la perdita di fondi o beni dell'utente.
            • Vulnerabilità che possono causare la fuga remota di dati riservati dell'azienda.


            Hall of Fame

            Tutte le persone, o entità, che notificano vulnerabilità che vengono ricompensate saranno pubblicate, se lo desiderano.

            Questi sono i membri che, fino ad oggi, hanno segnalato una vulnerabilità accettata:

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            Questa risposta ti è stata utile?

            Fantastico!

            Grazie per il tuo feedback

            Siamo spiacenti di non poterti essere di aiuto

            Grazie per il tuo feedback

            Facci sapere come possiamo migliorare questo articolo!

            Seleziona almeno uno dei motivi
            La verifica CAPTCHA è richiesta.

            Feedback inviato

            Apprezziamo il tuo sforzo e cercheremo di correggere l’articolo

            Anteprima
            0 su 0