Na Bit2Me, adoramos a cultura hacker. Nos identificamos muito com essa corrente que faz parte do DNA da nossa empresa. Tanto é assim que alguns de nós participamos de hackathons e jornadas de CTFs (Capture-The-Flag). Na Bit2Me, estamos sempre dispostos a colaborar e organizar eventos alinhados com esse pensamento.
Com o objetivo de fazer a sociedade caminhar para um mundo onde criptomoedas como o Bitcoin tenham maior aceitação, trabalhamos para construir a melhor plataforma do mundo para criptomoedas.
Isso nos ajudará a tornar um mundo muito mais justo e democrático, sem o monopólio do dinheiro, como atualmente ocorre com o dinheiro dos bancos centrais. Um sistema no qual poucos escravizam o resto da humanidade pela forma como ele funciona.
Estamos cientes do ritmo frenético que uma startup como a nossa pode ter (atualizações, novos produtos...). Como seres humanos, também estamos cientes de que não somos perfeitos e podemos esquecer de algo.
Por isso, comunidade hacker, este documento é um chamado para vocês. Colocamos à sua disposição o melhor programa de bug bounty que pudemos criar, levando em conta o tamanho atual da nossa empresa. À medida que crescermos, iremos atualizando.
O que você precisa saber?
- Regras do programa
- Vulnerabilidades já reportadas
- Como faremos isso? Criptografia no poder!
- O que isso significa?
- Âmbito de ação (scope)
- Vulnerabilidades que NÃO serão aceitas
- Como reportar um bug?
- Política de respostas
- Recompensas
- Exemplos de vulnerabilidades que procuramos:
- Hall da Fama
Regras do programa
- Você deve adicionar o cabeçalho "X-BUGBOUNTY-HACKER: <seu_nome_de_hacker>" ao realizar os testes para que possamos identificar suas solicitações.
- Somente serão aceitos relatórios de vulnerabilidades não reportadas anteriormente. Em caso de duplicatas, o primeiro informante será sempre recompensado (desde que tenha cumprido as regras aqui expostas; caso contrário, será seguido pela ordem de relato, do mais antigo ao mais recente).
- Fornecer as evidências e informações suficientes para que nossa equipe de engenheiros possa reproduzir e solucionar a vulnerabilidade.
- Não demonstrar qualquer tipo de conduta ilegal ao revelar a vulnerabilidade à Bit2Me, como ameaças, demandas ou outro tipo de tática coercitiva.
- Não explorar a vulnerabilidade de forma que possa exfiltrar informações sensíveis publicamente, bem como não obter benefício da exploração da vulnerabilidade antes da obtenção da recompensa por parte da Bit2Me.
- Não perpetrar a destruição de dados ou a interrupção de algum serviço da Bit2Me no processo.
- Informar apenas uma vulnerabilidade por solicitação, a menos que seja necessário encadear vulnerabilidades para maximizar o impacto sobre um tipo de vulnerabilidade.
- Não informar sobre uma vulnerabilidade causada por um problema subjacente que seja o mesmo que um problema pelo qual uma recompensa tenha sido paga em virtude deste Programa.
- Várias vulnerabilidades causadas por um problema subjacente receberão uma única recompensa.
- Uma mesma vulnerabilidade reproduzível em mais de 1 serviço ou subdomínio será tratada como uma única vulnerabilidade.
- Não é permitida a publicação em qualquer meio da Internet de qualquer exploração realizada com sucesso durante a participação no programa Bug Bounty. A violação desta norma resultará na negação de futuras solicitações a esse membro e na suspensão de seus pagamentos de recompensa pendentes.
Vulnerabilidades já reportadas
Uma pergunta normal que você pode fazer, e com razão, é: como posso ter certeza de que a Bit2Me será sincera ao rejeitar a vulnerabilidade justificando que a vulnerabilidade já foi reportada?
Como diz um dos famosos lemas do mundo das criptomoedas: "Don’t trust, Verify!"
Como sabem, adoramos inovar, e adoramos a tecnologia das criptomoedas. Com isso em mente, e para dar exemplo com os valores e vantagens que a tecnologia Blockchain oferece, toda vulnerabilidade reportada e aceita será publicada na Blockchain.
Como faremos isso? Criptografia no poder!
Uma vez reportada e aceita uma vulnerabilidade, antes mesmo de ser resolvida pela nossa equipe, faremos o seguinte:
Tomaremos todas as informações da vulnerabilidade e criaremos um relatório em formato PDF.
Do relatório PDF recém-criado, geraremos uma pegada digital (hash checksum).
Emitiremos uma transação para a blockchain da Ethereum incluindo nela o hash gerado do documento.
Esta transação ficará transparente e imutável na rede para sempre, sendo totalmente impossível de alterar, e ficando registrada no momento exato em que foi criada.
O que isso significa?
Se esse hash existia naquele momento, significa que o documento, e com ele a informação que o compõe, existiam também.
Se, posteriormente, alguém nos reportar uma vulnerabilidade similar, entregaremos o relatório PDF e a transação.
Com o relatório, poderá gerar a pegada digital por si mesmo e verificar que esse hash já foi registrado no passado, graças à transação da Ethereum fornecida, onde poderá ver a data exata da mesma.
Para o hash / checksum do relatório, usaremos o algoritmo SHA-512.
Âmbito de ação (scope)
Limitamos a área de ação para a busca de vulnerabilidades aos seguintes domínios / subdomínios:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Aplicativos Bit2me de Android e iOS
Vulnerabilidades que NÃO serão aceitas
- Todo ativo fora do scope indicado.
- Embora sejam permitidas vulnerabilidades que possam produzir uma negação de serviço (DoS), seja por incongruências de código, por serviços desatualizados na plataforma ou bibliotecas que gerem loops ciclomaticos excessivos, as negações de serviço de forma distribuída (DDoS), como ataques através de botnets ou com ferramentas de flooding, ficam fora do âmbito.
- Enumeração de contas/e-mails.
- Ataques de força bruta.
- Content spoofing e text injection sem capacidade de modificar HTML/CSS.
- Autoexploração (como por exemplo XSS com sucesso apenas executado localmente, scripting em console, reutilização de token ...).
- Cabeçalhos CORS permissivos.
- Clickjacking com ações de impacto mínimo.
- Tab-nabbing.
- Vulnerabilidades relacionadas com autocompletar formulários.
- Falta de cabeçalhos ou flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, atributos de link “noopener noreferrer”, etc.) que não possam resultar em uma exploração direta.
- Falta de boas práticas na configuração SSL/TLS.
- Suporte para métodos HTTP como OPTIONS.
- Ataques CSRF sem comprometer autenticação ou operações críticas (adicionar aos favoritos, logout, etc.).
- Exposição de versões de software ou serviços desatualizados.
- Exposição de diretórios ou arquivos públicos (como por exemplo robots.txt) de impacto mínimo.
- Bugs em navegadores incomuns ou em navegadores não suportados pela Bit2Me.
- Ataques de MITM que exijam acesso físico ao dispositivo de um usuário.
- Qualquer ataque físico contra as propriedades da Bit2Me ou seus data centers.
- Painéis de login acessíveis publicamente.
- Problemas de UX ou de usabilidade que não implicam falhas de segurança.
- Problemas que não têm impacto na segurança (por exemplo, falha ao carregar uma página).
- Engenharia social, phishing, vishing, smishing contra funcionários, fornecedores, clientes ou usuários da Bit2Me.
- Vulnerabilidades já conhecidas por nós ou já reportadas por alguém (a recompensa irá para o primeiro informante).
- Outros…
Como reportar um bug?
Envie seu relatório para o e-mail: security@bit2me.com.
Inclua o maior número de evidências possível: título da vulnerabilidade explorada, descrição de cada passo na exploração, ferramentas utilizadas na exploração, versão do navegador, anexe capturas de tela (ou até mesmo vídeo), etc.
Inclua a PoC (prova de conceito), se você a realizou. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade reportada.
Aguarde até 10 dias úteis para que nossa equipe estude sua solicitação e receba uma resposta sobre se aceitamos sua solicitação. Caso seja aceita, a recompensa será creditada no prazo estipulado na Política de Respostas (*ver política de respostas).
Política de respostas
A Bit2Me fará, sempre, todo o possível para seguir a seguinte política de resposta às solicitações enviadas pelos hackers que participam do nosso programa:
Nosso tempo máximo para respostas sobre a aceitação da vulnerabilidade (desde o recebimento do relatório) é de: 10 dias úteis.
O pagamento da recompensa será efetuado quando a vulnerabilidade for solucionada. Este período pode levar dias ou até semanas.
Os pagamentos podem ser realizados da seguinte forma:
Criptomoedas: Amamos criptomoedas e, se você também gosta, será um prazer pagar sua recompensa em criptomoedas como Bitcoin, Ethereum, Monero ou outras.
Recompensas
As recompensas concedidas pela Bit2Me variam entre 50€ para vulnerabilidades baixas até 5.000€ para as altamente críticas.
As recompensas normais serão administradas com base em nosso critério de criticidade da vulnerabilidade:

Para vulnerabilidades que, para a equipe interna de cibersegurança da empresa, considerarmos MUITO críticas, a Bit2Me oferece uma recompensa especial de 5.000€.
Nota: Se o relatório não incluir uma PoC (prova de conceito) válida, a qualificação da recompensa será decidida de acordo com a reprodutibilidade e gravidade da vulnerabilidade, e o valor da recompensa poderá ser reduzido significativamente. |
Exemplos de vulnerabilidades que procuramos:
- XSS (excluindo self-XSS).
- CSRF (excluindo CSRF que envolvam ações sem impacto).
- Remote Code Execution.
- Authentication Bypass.
- SQL Injection.
- Vazamento de informações sensíveis.
- LFI/RFI.
- Privilege Escalation.
- Vulnerabilidades que possam causar perda de fundos ou bens do usuário.
- Vulnerabilidades que possam causar o vazamento remoto de dados confidenciais da empresa.
Hall da Fama
Todas as pessoas, ou entidades, que notificarem vulnerabilidades que forem recompensadas serão publicadas, se assim desejarem.
Estes são os membros que, até hoje, reportaram alguma vulnerabilidade aceita:
- Ch Chakradhar
- White Coast Security Private Limited
- Abhishek Pal
- Javier Andreu
- Pratik Yadav
- Sachin Pandey
- Shashank Jyoti
- Moein Abas
- Yash Ahmed Quashim
- Volodymyr "Bob" Diachenko
- Fahim Ali
- Felipe Martinez
- Taniya & Rohan
- Shubham Kushwaha
- Pawan Rawat
- Akash Hamal
- Mehedi Hasan
- Anchal Vij
- Soumen Jana
- Rohan
- Mayank Sahu
- Kartik Singh
- Niket Popat
Este artigo foi útil?
Que bom!
Obrigado pelo seu feedback
Desculpe! Não conseguimos ajudar você
Obrigado pelo seu feedback
Feedback enviado
Agradecemos seu esforço e tentaremos corrigir o artigo