Masz jakiś problem?

Program bug bounty w Bit2Me

W Bit2Me uwielbiamy kulturę hackerską. Utożsamiamy się z tym trendem, który jest częścią DNA naszej firmy. Do tego stopnia, że niektórzy z nas uczestniczą w hackatonach i CTF-ach (Capture-The-Flag). Zawsze jesteśmy gotowi do współpracy lub organizowania tego typu wydarzeń.

W celu przybliżenia społeczeństwa do świata, w którym kryptowaluty takie jak bitcoin są szeroko akceptowane, pracujemy nad stworzeniem najlepszej na świecie platformy kryptowalut.

To pomoże nam zmienić świat na bardziej sprawiedliwy i demokratyczny, bez monopolu pieniądza, tak jak teraz ma to miejsce z pieniędzmi banków centralnych. W których kilka osób zniewala resztę ludzkości przez swój sposób działania.

Jesteśmy świadomi frenetycznego tempa, jakie może mieć startup taki jak nasz (aktualizacje, nowe produkty...) Jako istoty ludzkie, jesteśmy również świadomi, że nie jesteśmy doskonali i możemy o czymś zapomnieć.

Dlatego ten dokument jest apelem do społeczności hackerów. Macie do waszej dyspozycji najlepszy program bug bounty, jaki mogliśmy stworzyć, biorąc pod uwagę aktualny rozmiar naszej firmy. W miarę rozwoju będziemy go aktualizować.

Warunki programu

  • Przyjmowane będą tylko raporty wcześniej niezgłoszonych błędów. W przypadku kilku takich samych zgłoszeń, pierwsza osoba, która poinformuje o błędzie zostanie nagrodzona (o ile zastosowała się do zasad podanych tutaj, w przeciwnym razie kolejność zgłoszeń będzie od najstarszego do najnowszego).
  • Dostarczyć wystarczające dowody i informacje, by nasz zespół mógł odtworzyć i naprawić błędy.  
  • Nie podejmować żadnych zachowań niezgodnych z prawem w momencie informowania o błędach, takich jak groźby, pozwy sądowe czy inne sposoby wymuszania.
  • Nie wykorzystać błędu w sposób, który może doprowadzić do przecieku poufnych informacji do wiadomości publicznej lub otrzymać wynagrodzenie za przekazanie informacji o błędzie przed otrzymaniem zapłaty od Bit2Me.
  • Nie dopuścić do zniszczenia danych lub zakłócenia działania jakiejkolwiek usługi Bit2me.
  • Poinformować tylko o jednym błędzie w każdym zgłoszeniu, chyba że konieczne jest zgłoszenie wszystkich błędów razem w celu maksymalizacji impaktu związanego z jednym typem błędu. 
  • Nie informować o błędzie spowodowanym przez tą samą źródłową lukę w zabezpieczeniu, za którą wypłacono już wynagrodzenie w ramach tego programu.  
  • Za błędy wynikające z tej samej luki w zabezpieczeniu otrzyma się jedno wynagrodzenie. 
  • Jeżeli ten sam błąd występuje w kilku usługach lub subdomenach będzie traktowany jako ta sama luka w zabezpieczeniu. 
  • Nie jest dozwolona publikacja w jakimkolwiek środku przekazu internetowego wszystkich udanych analiz zrealizowanych podczas udziału w programie Bug Bounty. W przypadku nie przestrzegania tych norm zostaną odrzucone wszystkie przyszłe zgłoszenia, a niewypłacone wynagrodzenia nie zostaną zrealizowane. 

Zgłoszone wcześniej błędy

Być może zadajesz sobie pytanie: Skąd mogę mieć pewność, że Bit2Me to uczciwa firma i w momencie odrzucenia zgłoszenia udokumentuje, że błąd został wcześniej zgłoszony?

Jak głosi słynne powiedzenie ze świata kryptowalut: „Nie ufaj, sprawdź!”

Jak wiadomo, uwielbiamy innowacje oraz technologię kryptowalut. Biorąc to pod uwagę i żeby dać przykład jakie wartości i korzyści daje technologia blockchaina wszystkie zgłoszone i potwierdzone błędy zostaną opublikowane w blockchainie.

Jak to zrobimy? Kryptografia do dzieła!

Po otrzymaniu zgłoszenia i zaakceptowania go, nawet przed naprawieniem błędu, zrobimy:

  1.  Uwzględnimy wszystkie informacje dotyczące podatności na zagrożenia i stworzymy raport PDF.
  2. Ze sprawozdania PDF wygenerujemy cyfrowy odcisk (hash checksum).
  3. Wyślemy transakcje do blockchaina ethereum załączając hash utworzonego dokumentu. 

Transakcja ta zostanie w sposób przejrzysty na zawsze zapisana w sieci, nie będzie można jej zmienić i jednocześnie odzwierciedli moment jej utworzenia.

Co to oznacza?

Jeśli hash istniał w danym momencie oznacza to, że dokument i zawarta w nim informacja, także istniały.

W przypadku zgłoszenia podobnego błędu wręczymy raport PDF oraz transakcję.

Posiadając raport będzie mógł wygenerować cyfrowy odcisk i sprawdzić,  że hash został zarejestrowany w przeszłości dzięki dostarczonej  transakcji ethereum, oraz datę jej utworzenia. 

Do przekazania hash/checksum raportu użyjemy algorytm SHA-512.

Zakres zastosowania

Zakres działania w poszukiwaniu błędów ogranicza się do następujących domen/subdomen:

  • bit2me.com
  • account.bit2me.com
  • wallet.bit2me.com
  • converter.bit2me.com 
  • converter-app.bit2me.com
  • explorer.bit2me.com
  • tikebit.bit2me.com
  • gateway.bit2me.com
  • aplikacje Bit2me na Android i iOS


Błędy, które nie zostaną zaakceptowane

  • Chociaż błędy, które mogą prowadzić do odmowy usługi (DoS) są dozwolone, czy to z powodu niespójności kodu, zdezaktualizowanych usług na platformie czy bibliotek, które generują nadmierne pętle cyklomatyczne, rozproszone odmowy usługi (DDoS), takie jak ataki za pośrednictwem botnetów lub flood, są poza zakresem.
  • Lista kont/e-maili.
  • Ataki brute force.
  • Spoofing i text injection bez możliwości zmiany HTML/CSS.
  • Auto-Exploitation (jak na przykład udane XSS wykonywanie lokalne, skrypty konsolowe, ponowne użycie tokena...).
  • Dozwolone nagłówki CORS
  • Porywanie kliknięć z wpływem o minimalnym zasięgu.
  • Tab-nabbing.
  • Błędy związane z autouzupełnianiem formularzy
  • Brak nagłówków lub flag (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, atrybuty linków “noopener noreferrer”, itd.), które nie mogą  być źródłem bezpośredniej eksploatacji.
  • Brak dobrych praktyk w ustawieniach SSL/TLS.
  • Obsługa dla metod HTTP takich jak OPTIONS.
  • Ataki CSRF bez zagrożenia dla uwierzytelniania lub krytycznych operacji (dodawanie zakładki, wylogowanie, itp.).
  • Wyświetlanie nieaktualnych wersji oprogramowania lub usług.
  • Wyświetlanie publicznych katalogów lub plików (np. robots.txt) o minimalnym wpływie.
  • Błędy w niestandardowych przeglądarkach lub w przeglądarkach nie obsługiwanych przez Bit2Me.
  • Ataki MITM wymagające bezpośredniego dostępu do urządzenia użytkownika.
  • Jakikolwiek bezpośredni atak na własność Bit2me lub baz danych firmy.
  • Panele logowania publicznie dostępne.
  • Błędy UX lub użytkowania, które nie wpływają na bezpieczeństwo. 
  • Błędy, które nie mają wpływu na bezpieczeństwo (na przykład błąd przy ładowaniu strony) 
  • Inżynieria społeczna, phishing, vishing, smishing wobec pracowników, dostawców, klientów lub użytkowników Bit2Me.
  • Błędy już nam znane lub już przez kogoś zgłoszone (rekompensata zostanie przyznana pierwszemu zgłaszającemu).
  • Subdomeny academy.bit2me.com, blog.bit2me.com, agenda.bit2me.com, news.bit2me.com, tv.bit2me.com, directory.bit2me.com, careers.bit2me.com, media.bit2me.com, support.bit2me.com, dex*.bit2me.com, *.qa.bit2me.com
  • Inne…

Jak zgłosić błąd?

Wyślij raport na Należy użyć następującego publicznego klucza PGP, żeby zaszyfrować e-maila: https://bit2me.com/bugbounty-pgp.txt
Załącz jak największą liczbę dowodów: tytuł znalezionego błędu, opis każdej wykonanej czynności, narzędzia użyte w analizie, wersja przeglądarki, zrzuty ekranu lub wideo, itp.

Załącz weryfikację koncepcji PoC (proof of concept), jeśli ją zrealizowałeś. Obowiązkowo należy dodać wyjaśnienie jak naprawić zgłoszony błąd.

W ciągu 10 dni roboczy nasz zespół przeanalizuje Twoje zgłoszenie i otrzymasz odpowiedź, czy Twój raport został zaakceptowany. W przypadku potwierdzenia zgłoszenia otrzymasz rekompensatę w ciągu terminu przewidzianego w polityce odpowiedzi (*sprawdź politykę odpowiedzi).

Polityka odpowiedzi

Zawsze, kiedy będzie to możliwe Bit2Me zastosuje następującą politykę odpowiedzi na zgłoszenia wysłane przez hackerów, którzy biorą udział w naszym programie:

Maksymalny czas na odpowiedź odnośnie potwierdzenia błędu (licząc od momentu otrzymania raportu) to 10 dni roboczych.

Zapłaty dokonamy po naprawieniu błędu. Okres ten może trwać kilka dni, a nawet tygodni.

Wypłata wynagrodzenia może zostać zrealizowana w następujący sposób:

  • Kryptowaluty: uwielbiamy kryptowaluty, i jeśli Ty też, z przyjemnością wypłacimy Ci Twoją rekompensatę w kryptowalutach takich jak bitcoin, ethereun, monero lub innych.


Rekompensaty

Wynagrodzenia w Bit2Me wahają się między 50 euro w przypadku niewielkich błędów a 5000 euro w przypadku błędów krytycznych.

Nagrody będą przyznawane w oparciu o nasze kryteria krytyczności błędów:

W przypadku błędów, które według zespołu cyberbezpieczeństwa naszej firmy zostaną zakwalifikowane jako bardzo krytyczne,  Bit2Me oferuje specjalne wynagrodzenie w wysokości 5.000€.

Uwaga: Jeśli raport nie zawiera ważnej PoC (weryfikacji koncepcji), zaklasyfikowanie nagrody będzie oparte na odtworzeniu i ważności błędu, przy czym wysokość wynagrodzenia może zostać znacznie zmniejszona. 

Przykłady szukanych błędów:

  • XSS (wyłączjąc self-XSS).
  • CSRF (wyłączjąc CSRF, które nie mają wpływu na bezpieczeństwo).
  • Zdalne wykonanie kodu (RCE)
  • Ominiecia procesu uwierzytelniania
  • Wstrzyknięcie SQL (SQL Injection).
  • Wyciek poufnych informacji.
  • Luki LFI/RFI.
  • Luki Privilege Escalation.
  • Błędy, które mogą spowodować stratę środków lub dóbr użytkownika 
  • Błędy, które mogą spowodować wyciek poufnych danych firmy

Galeria Sław 

Informacja o wszystkich osobach lub firmach, które zgłoszą błąd i zostaną za to wynagrodzone zostanie opublikowana, jeżeli sobie tego życzą.

Poniżej przedstawiamy listę członków, którzy zgłosili błąd i ten został przez nas potwierdzony:

  • Ch Chakradhar
  • White Coast Security Private Limited
  • Abhishek Pal
  • Javier Andreu
  • Pratik Yadav
  • Sachin Pandey
  • Shashank Jyoti
  • Moein Abas

  • Yash Ahmed Quashim
  • Volodymyr "Bob" Diachenko
  • Fahim Ali
  • Felipe Martinez
  • Taniya & Rohan

Czy ta odpowiedź była pomocna? Tak Nie

Wyślij opinię
Przykro nam, że nie byliśmy w stanie pomóc. Pomóż ulepszyć ten artykuł i prześlij swoją opinię.