Program bug bounty Bit2Me

Zmodyfikowano dnia pon, 6 Lip o 9:48 RANO

W Bit2Me uwielbiamy kulturę hakerów. Bardzo utożsamiamy się z tym nurtem, który stanowi część DNA naszej firmy. Do tego stopnia, że niektórzy z nas uczestniczą w hackathonach i sesjach CTF (Capture-The-Flag). Bit2Me zawsze chętnie współpracuje i organizuje wydarzenia zgodne z tą ideą.

Aby społeczeństwo zmierzało w stronę świata, w którym kryptowaluty takie jak Bitcoin cieszą się większą akceptacją, pracujemy nad budową najlepszej na świecie platformy do obsługi kryptowalut.

Pomoże nam to stworzyć świat znacznie sprawiedliwszy i bardziej demokratyczny, wolny od monopolu pieniądza, jak to ma miejsce obecnie w przypadku pieniądza banków centralnych, gdzie nieliczni zniewalają resztę ludzkości poprzez sposób jego funkcjonowania.

Jesteśmy świadomi zawrotnego tempa, jakie może mieć startup taki jak nasz (aktualizacje, nowe produkty...). Jako ludzie, jesteśmy również świadomi, że nie jesteśmy doskonali i możemy o czymś zapomnieć.

Dlatego też, społeczności hakerów, ten dokument jest do Was skierowany. Udostępniamy Wam najlepszy program bug bounty, jaki udało nam się stworzyć, biorąc pod uwagę obecną wielkość naszej firmy. W miarę naszego rozwoju będziemy go aktualizować.


Co musisz wiedzieć?


Zasady programu

  • Podczas przeprowadzania testów musisz dodać nagłówek "X-BUGBOUNTY-HACKER: <twoja_nazwa_hakera>", abyśmy mogli zidentyfikować Twoje zgłoszenia.
  • Przyjmowane będą wyłącznie zgłoszenia wcześniej niezgłoszonych luk w zabezpieczeniach. W przypadku duplikatów, nagrodę otrzyma zawsze pierwszy zgłaszający (o ile spełnił tutaj przedstawione zasady; w przeciwnym razie decydować będzie kolejność zgłoszeń od najstarszych do najnowszych).
  • Dostarcz wystarczające dowody i informacje, aby nasz zespół inżynierów mógł odtworzyć i rozwiązać lukę.
  • Nie wykazuj żadnych nielegalnych zachowań podczas ujawniania luki w zabezpieczeniach Bit2Me, takich jak groźby, pozwy sądowe lub inne taktyki przymusu.
  • Nie wykorzystuj luki w taki sposób, który mógłby publicznie ujawnić wrażliwe informacje, ani nie czerp korzyści z wykorzystania luki przed otrzymaniem nagrody od Bit2me.
  • Nie dopuszczaj do niszczenia danych ani przerywania żadnych usług Bit2me w trakcie procesu.
  • Zgłaszaj tylko jedną lukę na zgłoszenie, chyba że konieczne jest łączenie luk w celu zmaksymalizowania wpływu na dany typ luki.
  • Nie zgłaszaj luk spowodowanych przez podstawowy problem, który jest taki sam jak problem, za który nagroda została już wypłacona w ramach tego Programu.
  • Wiele luk spowodowanych jednym podstawowym problemem otrzyma pojedynczą nagrodę.
  • Ta sama luka możliwa do odtworzenia w więcej niż 1 usłudze lub subdomenie będzie traktowana jako pojedyncza luka.
  • Nie jest dozwolone publikowanie w jakichkolwiek mediach internetowych informacji o udanych exploitach dokonanych podczas uczestnictwa w programie Bug Bounty. Naruszenie tej zasady skutkować będzie odrzuceniem przyszłych zgłoszeń od danego uczestnika oraz zawieszeniem jego oczekujących wypłat nagród.


Już zgłoszone luki

Naturalnym i uzasadnionym pytaniem, jakie możesz sobie zadać, jest: jak mogę mieć pewność, że Bit2Me będzie szczere, odrzucając lukę w zabezpieczeniach i uzasadniając to tym, że została ona już wcześniej zgłoszona?

Jak głosi jedno ze słynnych haseł świata kryptowalut: „Don’t trust, Verify! (Nie ufaj, weryfikuj!)”

Jak wiecie, uwielbiamy innowacje i technologię kryptowalut. Mając to na uwadze i chcąc dać przykład wartościom i zaletom technologii blockchain, każda zgłoszona i zaakceptowana luka w zabezpieczeniach zostanie opublikowana w blockchainie.


Jak to zrobimy? Potęga kryptografii!

Po zgłoszeniu i zaakceptowaniu luki w zabezpieczeniach, jeszcze zanim zostanie ona usunięta przez nasz zespół, wykonamy następujące kroki: 

  1. Zbierzemy wszystkie informacje o luce i stworzymy raport w formacie PDF.

  2. Z nowo utworzonego raportu PDF wygenerujemy cyfrowy odcisk (sumę kontrolną hash).

  3. Wyślemy transakcję do blockchaina Ethereum, zawierającą wygenerowany hash dokumentu.

Ta transakcja pozostanie transparentna i niezmienna w sieci na zawsze, całkowicie niemożliwa do zmiany, odzwierciedlając dokładny moment jej utworzenia.


Co to oznacza?

Jeśli dany hash istniał w tym momencie, oznacza to, że dokument, a co za tym idzie, zawarte w nim informacje, również istniały.

Jeśli później ktoś zgłosi nam podobną lukę w zabezpieczeniach, dostarczymy mu raport PDF oraz transakcję. 

Na podstawie raportu będzie mógł samodzielnie wygenerować cyfrowy odcisk i sprawdzić, czy ten hash został już zarejestrowany w przeszłości, dzięki dostarczonej transakcji Ethereum, gdzie będzie mógł zobaczyć dokładną datę jej utworzenia.

Do generowania hasha / sumy kontrolnej raportu użyjemy algorytmu SHA-512.


Zakres działania (scope)

Ograniczyliśmy zakres poszukiwania luk w zabezpieczeniach do następujących domen / subdomen:

  • bit2me.com

  • account.bit2me.com

  • wallet.bit2me.com

  • converter.bit2me.com 

  • explorer.bit2me.com

  • gateway.bit2me.com

  • Aplikacje Bit2me na Androida i iOS

Luki, które NIE zostaną przyjęte

  • Wszystkie zasoby spoza wskazanego zakresu (scope).
  • Chociaż luki, które mogą prowadzić do odmowy usługi (DoS), czy to z powodu niespójności kodu, nieaktualnych usług na platformie, czy też bibliotek generujących nadmierne pętle cyklomatyczne, są dozwolone, rozproszone ataki odmowy usługi (DDoS), takie jak ataki za pośrednictwem botnetów lub narzędzi do floodingu, pozostają poza zakresem.
  • Enumeracja kont/adresów e-mail.
  • Ataki siłowe (brute force).
  • Content spoofing i text injection bez możliwości modyfikacji HTML/CSS.
  • Samowykorzystanie (np. udane XSS wykonane tylko lokalnie, skryptowanie w konsoli, ponowne wykorzystanie tokena...).
  • Permisywne nagłówki CORS.
  • Clickjacking z działaniami o minimalnym wpływie.
  • Tab-nabbing.
  • Luki związane z autouzupełnianiem formularzy.
  • Brak nagłówków lub flag (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flaga HTTPOnly, atrybuty linków „noopener noreferrer” itp.), które nie mogą prowadzić do bezpośredniego wykorzystania (eksploatacji).
  • Brak dobrych praktyk w konfiguracji SSL/TLS.
  • Obsługa metod HTTP, takich jak OPTIONS.
  • Ataki CSRF bez naruszenia uwierzytelniania lub krytycznych operacji (dodawanie do ulubionych, wylogowanie itp.).
  • Ujawnienie nieaktualnych wersji oprogramowania lub usług.
  • Ujawnienie publicznych katalogów lub plików (takich jak np. robots.txt) o minimalnym wpływie.
  • Błędy w rzadko używanych przeglądarkach lub przeglądarkach nieobsługiwanych przez Bit2Me.
  • Ataki MITM (Man-in-the-Middle) wymagające fizycznego dostępu do urządzenia użytkownika.
  • Wszelkie ataki fizyczne na własność Bit2me lub jej centra danych.
  • Publicznie dostępne panele logowania.
  • Problemy z UX (doświadczeniem użytkownika) lub użytecznością, które nie implikują błędów bezpieczeństwa.
  • Problemy, które nie mają wpływu na bezpieczeństwo (np. błąd ładowania strony).
  • Inżynieria społeczna, phishing, vishing, smishing skierowane przeciwko pracownikom, dostawcom, klientom lub użytkownikom Bit2Me.
  • Luki już nam znane lub zgłoszone przez kogoś innego (nagroda zostanie przyznana pierwszemu zgłaszającemu).
  • Inne…


Jak zgłosić błąd?

Wyślij swój raport na adres e-mail: security@bit2me.com.

Dołącz jak najwięcej dowodów: tytuł wykorzystanej luki, opis każdego kroku wykorzystania, użyte narzędzia, wersję przeglądarki, załącz zrzuty ekranu (lub nawet wideo) itp.

Dołącz PoC (Proof of Concept – dowód koncepcji), jeśli go wykonałeś. Obowiązkowe jest dołączenie wyjaśnienia, jak naprawić zgłoszoną lukę.

Poczekaj do 10 dni roboczych, aż nasz zespół rozpatrzy Twoje zgłoszenie i otrzymasz odpowiedź, czy je zaakceptowaliśmy. W przypadku akceptacji, nagroda zostanie wypłacona w terminie określonym w Polityce odpowiedzi (*patrz polityka odpowiedzi).


Polityka odpowiedzi

Bit2Me zawsze dołoży wszelkich starań, aby przestrzegać następującej polityki odpowiedzi na zgłoszenia wysłane przez hakerów uczestniczących w naszym programie:

Nasz maksymalny czas na odpowiedź dotyczącą akceptacji luki (od momentu otrzymania raportu) wynosi: 10 dni roboczych.

Wypłata nagrody nastąpi po usunięciu luki. Okres ten może potrwać dni, a nawet tygodnie.

Płatności mogą być realizowane w następujący sposób:

  • Kryptowaluty: Kochamy kryptowaluty i jeśli Ty też je lubisz, z przyjemnością wypłacimy Ci nagrodę w kryptowalutach takich jak Bitcoin, Ethereum, Monero lub innych.


Nagrody

Nagrody przyznawane przez Bit2Me wahają się od 50 € za luki o niskiej krytyczności do 5000 € za te o wysokiej krytyczności.

Standardowe nagrody będą zarządzane na podstawie naszego kryterium krytyczności luki:

W przypadku luk, które wewnętrzny zespół cyberbezpieczeństwa firmy uzna za BARDZO krytyczne, Bit2Me przewiduje specjalną nagrodę w wysokości 5000 €.


Uwaga: Jeśli raport nie zawiera ważnego PoC (Proof of Concept – dowodu koncepcji), kwalifikacja nagrody zostanie ustalona zgodnie z odtwarzalnością i powagą luki, a wysokość nagrody może zostać znacząco zmniejszona.


Przykłady luk, których szukamy:

  • XSS (z wyłączeniem self-XSS).
  • CSRF (z wyłączeniem CSRF dotyczących działań bez wpływu).
  • Remote Code Execution (zdalne wykonanie kodu).
  • Authentication Bypass (ominięcie uwierzytelniania).
  • SQL Injection (wstrzykiwanie SQL).
  • Wyciek wrażliwych informacji.
  • LFI/RFI.
  • Privilege Escalation (eskalacja uprawnień).
  • Luki, które mogą spowodować utratę środków lub aktywów użytkownika.
  • Luki, które mogą spowodować zdalny wyciek poufnych danych firmy.


Hall of Fame

Wszystkie osoby lub podmioty, które zgłoszą nagrodzone luki, zostaną opublikowane, jeśli sobie tego życzą.

Oto członkowie, którzy do tej pory zgłosili zaakceptowane luki:

  • Ch Chakradhar
  • White Coast Security Private Limited
  • Abhishek Pal
  • Javier Andreu
  • Pratik Yadav
  • Sachin Pandey
  • Shashank Jyoti
  • Moein Abas
  • Yash Ahmed Quashim
  • Volodymyr "Bob" Diachenko
  • Fahim Ali
  • Felipe Martinez
  • Taniya & Rohan
  • Shubham Kushwaha
  • Pawan Rawat
  • Akash Hamal
  • Mehedi Hasan
  • Anchal Vij
  • Soumen Jana
  • Rohan
  • Mayank Sahu
  • Kartik Singh
  • Niket Popat


Czy ten artykuł był pomocny?

To wspaniale!

Dziękujemy za opinię

Przepraszamy, że nie udało nam się pomóc!

Dziękujemy za opinię

Daj nam znać, jak możemy ulepszyć ten artykuł!

Wybierz co najmniej jeden powód
Wymagana weryfikacja captcha.

Wysłano opinię

Doceniamy Twój wysiłek i postaramy się naprawić artykuł