Pesquisas recentes

Nenhuma pesquisa recente

    Artigos populares

      Artigos
      Exibir todos
        Tópicos
        Exibir todos
          Tickets
          Exibir todos
            nenhum resultado

            Desculpe! Nada encontrado para

            Bug bounty da Bit2Me

            Modificado em Ter, 14 Out na (o) 1:05 PM

            Na Bit2Me, adoramos a cultura hacker. Sentimo-nos muito identificados com essa corrente que faz parte do DNA da nossa empresa. Tanto é assim que alguns de nós participamos de hackathons e jornadas de CTFs (Capture-The-Flag). Na Bit2Me, estamos sempre dispostos a colaborar e organizar eventos alinhados com esse pensamento.

            Com o objetivo de que a sociedade caminhe para um mundo onde as criptomoedas como o Bitcoin tenham maior aceitação, trabalhamos para construir a melhor plataforma do mundo para criptomoedas.

            Isso nos ajudará a transformar o mundo em um lugar muito mais justo e democrático, sem monopólio do dinheiro, como atualmente acontece com o dinheiro dos bancos centrais. No qual alguns poucos escravizam o resto da humanidade pela maneira como ele funciona.

            Somos conscientes do ritmo frenético que uma startup como a nossa pode ter (atualizações, novos produtos, ...). Como seres humanos, também somos conscientes de que não somos perfeitos e podemos esquecer alguma coisa.

            Por isso, comunidade hacker, este documento é um chamado para vocês. Colocamos à sua disposição o melhor bug bounty que pudemos criar, levando em conta o tamanho atual da nossa empresa. À medida que crescermos, iremos atualizá-lo.

            O que você precisa saber?

            Regras do programa

            • Você deve adicionar o cabeçalho "X-BUGBOUNTY-HACKER: <seu_nome_de_hacker>" ao realizar os testes para que possamos identificar suas solicitações.
            • Apenas serão aceitos relatórios de vulnerabilidades não reportadas anteriormente. Em caso de duplicatas, o primeiro relator será sempre recompensado (desde que tenha cumprido as regras aqui expostas; caso contrário, a ordem de reporte será seguida do mais antigo para o mais recente).
            • Fornecer as evidências e informações suficientes para que nossa equipe de engenheiros possa reproduzir e solucionar a vulnerabilidade.
            • Não demonstrar qualquer tipo de conduta ilegal ao revelar a vulnerabilidade à Bit2Me, como ameaças, processos judiciais ou outro tipo de tática coercitiva.
            • Não explorar a vulnerabilidade de forma que possa vazar informações sensíveis publicamente, bem como não obter lucro com a exploração da vulnerabilidade antes de receber a recompensa da Bit2Me.
            • Não perpetrar a destruição de dados ou a interrupção de algum serviço da Bit2Me no processo.
            • Reportar apenas uma vulnerabilidade por solicitação, a menos que seja necessário encadear vulnerabilidades para maximizar o impacto sobre um tipo de vulnerabilidade.
            • Não reportar uma vulnerabilidade causada por um problema subjacente que seja o mesmo de um problema pelo qual uma recompensa já foi paga sob este Programa.
            • Várias vulnerabilidades causadas por um problema subjacente receberão uma única recompensa.
            • Uma mesma vulnerabilidade reproduzível em mais de 1 serviço ou subdomínio será tratada como uma única vulnerabilidade.
            • Não é permitida a publicação em qualquer meio da Internet de qualquer exploração realizada com sucesso durante a participação no programa Bug Bounty. A violação desta norma resultará na negação de futuras solicitações a tal membro e na suspensão de seus pagamentos de recompensa pendentes.


            Vulnerabilidades já reportadas

            Uma pergunta normal que você pode se fazer, e com razão, é: Como posso ter certeza de que a Bit2Me será sincera ao rejeitar a vulnerabilidade, justificando que ela já foi reportada?

            Como diz um dos famosos lemas do mundo das criptomoedas: "Don't trust, Verify!"

            Como vocês sabem, adoramos inovar e amamos a tecnologia das criptomoedas. Com isso em mente, e para dar o exemplo com os valores e vantagens que a tecnologia Blockchain oferece, toda vulnerabilidade reportada e aceita será publicada na Blockchain.


            Como faremos? Criptografia ao poder!

            Uma vez reportada e aceita uma vulnerabilidade, antes mesmo de ser solucionada por nossa equipe, faremos o seguinte: 

            1. Pegaremos todas as informações da vulnerabilidade e criaremos um relatório em formato PDF.

            2. Do relatório PDF recém-criado, geraremos uma impressão digital (hash checksum).

            3. Emitiremos uma transação para a blockchain da Ethereum, incluindo nela o hash gerado do documento.

            Essa transação ficará transparente e imutável na rede para sempre, sendo totalmente impossível de alterar e refletindo o momento exato em que foi criada.


            O que isso quer dizer?

            Se esse hash existia naquele momento, quer dizer que o documento, e com ele as informações que o compõem, também existiam.

            Se, posteriormente, alguém nos reportar uma vulnerabilidade semelhante, entregaremos o relatório PDF e a transação. 

            Com o relatório, a pessoa poderá gerar a impressão digital por si mesma e comprovar que aquele hash já foi registrado no passado, graças à transação da Ethereum fornecida, onde poderá ver a data exata da mesma.

            Para o hash / checksum do relatório, usaremos o algoritmo SHA-512.


            Âmbito de ação (scope)

            Limitamos a zona de ação para a busca de vulnerabilidades aos seguintes domínios / subdomínios:

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Aplicativos Bit2Me para Android e iOS

            Vulnerabilidades que NÃO serão aceitas

            • Qualquer ativo fora do escopo indicado.
            • Embora sejam permitidas vulnerabilidades que possam produzir uma negação de serviço (DoS), seja por inconsistências de código, por serviços desatualizados na plataforma ou bibliotecas que gerem laços ciclomáticos excessivos, ficam fora do âmbito as negações de serviço de forma distribuída (DDoS), como ataques através de botnets ou com ferramentas de flooding.
            • Enumeração de contas/e-mails.
            • Ataques de força bruta.
            • Content spoofing e text injection sem capacidade de modificar HTML/CSS.
            • Autoexploração (como por exemplo XSS com sucesso apenas executado localmente, scripting no console, reutilização de token...).
            • Cabeçalhos CORS permissivos.
            • Clickjacking com ações de impacto mínimo.
            • Tab-nabbing.
            • Vulnerabilidades relacionadas com o preenchimento automático de formulários.
            • Carência de cabeçalhos ou flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flag HTTPOnly, atributos de link "noopener noreferrer", etc.) que não possam levar a uma exploração direta.
            • Carência de boas práticas na configuração SSL/TLS.
            • Suporte para métodos HTTP como OPTIONS.
            • Ataques CSRF sem comprometer a autenticação ou operações críticas (adicionar aos favoritos, logout, etc.).
            • Exposição de versões de software ou serviços desatualizados.
            • Exposição de diretórios ou arquivos públicos (como por exemplo robots.txt) de impacto mínimo.
            • Bugs em navegadores não comuns ou em navegadores não suportados pela Bit2Me.
            • Ataques de MITM que exijam acesso físico ao dispositivo de um usuário.
            • Qualquer ataque físico contra as propriedades da Bit2Me ou seus data centers.
            • Painéis de login acessíveis publicamente.
            • Problemas de UX ou de usabilidade que não implicam falhas de segurança.
            • Problemas que não têm impacto na segurança (por exemplo, falha ao carregar uma página).
            • Engenharia social, phishing, vishing, smishing contra funcionários, fornecedores, clientes ou usuários da Bit2Me.
            • Vulnerabilidades já conhecidas por nós ou já reportadas por outra pessoa (a recompensa irá para o primeiro relator).
            • Outros…


            Como reportar um bug?

            Envie seu relatório para o e-mail: security@bit2me.com.

            Inclua o maior número de evidências possíveis: título da vulnerabilidade explorada, descrição de cada passo na exploração, ferramentas utilizadas na exploração, versão do navegador, anexe capturas de tela (ou até mesmo vídeo), etc.

            Inclua a PoC (prova de conceito), se a realizou. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade reportada.

            Aguarde até 10 dias úteis para que nossa equipe estude sua solicitação e receba uma resposta sobre se aceitamos sua solicitação. Caso seja aceita, a recompensa será paga no prazo estipulado na Política de respostas (*ver política de respostas).


            Política de respostas

            A Bit2Me fará, sempre, todo o possível para seguir a seguinte política de resposta às solicitações enviadas pelos hackers que participam do nosso programa:

            Nosso tempo máximo para respostas sobre a aceitação da vulnerabilidade (a partir do recebimento do relatório) é de: 10 dias úteis.

            O pagamento da recompensa será efetuado quando a vulnerabilidade for solucionada. Este período pode demorar dias, ou até mesmo semanas.

            Os pagamentos podem ser realizados da seguinte forma:

            • Criptomoedas: Adoramos criptomoedas e, se você também gosta, será um prazer pagar a recompensa em criptomoedas como Bitcoin, Ethereum, Monero ou outras.


            Recompensas

            As recompensas concedidas pela Bit2Me variam entre 50€ para vulnerabilidades baixas até 5.000€ para as altamente críticas.

            As recompensas normais serão administradas com base no nosso critério de criticidade da vulnerabilidade:

            Para vulnerabilidades que, a partir da equipe interna de cibersegurança da empresa, consideramos MUITO críticas, a Bit2Me conta com uma recompensa especial de 5.000€.


            Nota: Se o relatório não incluir uma PoC (prova de conceito) válida, a qualificação da recompensa será decidida de acordo com a reprodutibilidade e a severidade da vulnerabilidade, e o valor da recompensa poderá ser significativamente reduzido.


            Exemplos de vulnerabilidades que buscamos:

            • XSS (excluindo self-XSS).
            • CSRF (excluindo CSRF que envolvam ações sem impacto).
            • Execução Remota de Código.
            • Bypass de Autenticação.
            • Injeção de SQL.
            • Vazamento de informações sensíveis.
            • LFI/RFI.
            • Escalação de Privilégios.
            • Vulnerabilidades que possam causar perda de fundos ou bens do usuário.
            • Vulnerabilidades que possam causar o vazamento remoto de dados confidenciais da empresa.


            Hall of Fame

            Todas as pessoas, ou entidades, que notificarem vulnerabilidades que sejam recompensadas serão publicadas, se assim o desejarem.

            Estes são os membros que, até hoje, reportaram alguma vulnerabilidade aceita:

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            Este artigo foi útil?

            Que bom!

            Obrigado pelo seu feedback

            Desculpe! Não conseguimos ajudar você

            Obrigado pelo seu feedback

            Deixe-nos saber como podemos melhorar este artigo!

            Selecione pelo menos um dos motivos
            A verificação do CAPTCHA é obrigatória.

            Feedback enviado

            Agradecemos seu esforço e tentaremos corrigir o artigo

            Visualizar
            0 de 0