Pesquisas recentes

Não há pesquisas recentes

    Artigos populares

      Artigos
      Ver tudo
        Tópicos
        Ver tudo
          Tickets
          Ver tudo
            sem resultados

            Lamentamos! Não encontrámos nada para

            Bug bounty de Bit2Me

            Modificado em Tue, 14 Out às 1:05 PM

            Na Bit2Me, adoramos a cultura hacker. Sentimo-nos muito identificados com esta corrente que faz parte do ADN da nossa empresa. Tanto é assim que alguns de nós participam em hackathons e jornadas de CTFs (Capture-The-Flag). Na Bit2Me, estamos sempre dispostos a colaborar e organizar eventos alinhados com este pensamento.

            Com o objetivo de que a sociedade caminhe para um mundo onde as criptomoedas como o Bitcoin tenham maior aceitação, trabalhamos para construir a melhor plataforma do mundo para criptomoedas.

            Isto ajudar-nos-á a criar um mundo muito mais justo e democrático, sem monopólio do dinheiro, como atualmente acontece com o dinheiro dos bancos centrais. No qual uns poucos escravizam o resto da humanidade pela maneira como funciona.

            Estamos cientes do ritmo frenético que uma startup como a nossa pode ter (atualizações, novos produtos, ...). Como seres humanos, também estamos cientes de que não somos perfeitos e podemos esquecer alguma coisa.

            Por isso, comunidade hacker, este documento é um apelo para vós. Colocamos à vossa disposição o melhor bug bounty que conseguimos criar, tendo em conta o tamanho atual da nossa companhia. À medida que crescermos, iremos atualizando.

            O que precisa de saber?

            Regras do programa

            • Deve adicionar o cabeçalho "X-BUGBOUNTY-HACKER: <o_seu_nome_de_hacker>" quando realizar os testes para que possamos identificar os seus pedidos.
            • Apenas serão aceites relatórios de vulnerabilidades não reportadas anteriormente. Em caso de duplicados, será sempre recompensado o primeiro informador (desde que tenha cumprido as regras aqui expostas; caso contrário, seguir-se-á por ordem de reporte, do mais antigo para o mais recente).
            • Fornecer as evidências e informações suficientes para que a nossa equipa de engenheiros possa reproduzir e solucionar a vulnerabilidade.
            • Não exibir qualquer tipo de conduta ilegal ao revelar a vulnerabilidade à Bit2Me, como ameaças, processos judiciais ou outro tipo de tática coerciva.
            • Não explorar a vulnerabilidade de tal maneira que possa exfiltrar informação sensível publicamente, assim como não obter benefício da exploração da vulnerabilidade previamente à obtenção da recompensa por parte da Bit2Me.
            • Não perpetrar a destruição de dados ou a interrupção de algum serviço da Bit2Me no processo.
            • Reportar apenas uma vulnerabilidade por pedido, a menos que seja necessário encadear vulnerabilidades para maximizar o impacto sobre um tipo de vulnerabilidade.
            • Não reportar uma vulnerabilidade causada por um problema subjacente que seja o mesmo que um problema pelo qual já tenha sido paga uma recompensa ao abrigo deste Programa.
            • Várias vulnerabilidades causadas por um problema subjacente receberão uma única recompensa.
            • Uma mesma vulnerabilidade reproduzível em mais de 1 serviço ou subdomínio será tratada como uma única vulnerabilidade.
            • Não é permitida a publicação em qualquer meio da Internet de qualquer exploração realizada com sucesso durante a participação no programa Bug Bounty. A violação desta norma levará à recusa de futuros pedidos a tal membro e à suspensão dos seus pagamentos de recompensa pendentes.


            Vulnerabilidades já reportadas

            Uma pergunta normal que pode fazer, e com razão, é: Como posso ter a certeza de que a Bit2Me será sincera ao rejeitar a vulnerabilidade, justificando que a mesma já foi reportada?

            Como diz um dos famosos lemas do mundo das criptomoedas: "Don't trust, Verify!"

            Como sabem, adoramos inovar e adoramos a tecnologia das criptomoedas. Com isto em mente, e para dar o exemplo com os valores e vantagens que a tecnologia Blockchain oferece, toda a vulnerabilidade reportada e aceite será publicada na Blockchain.


            Como o faremos? Criptografia ao poder!

            Uma vez reportada e aceite uma vulnerabilidade, antes mesmo de ser resolvida pela nossa equipa, faremos o seguinte: 

            1. Recolheremos toda a informação da vulnerabilidade e criaremos um relatório em formato PDF.

            2. Do relatório PDF recém-criado, geraremos uma impressão digital (hash checksum).

            3. Emitiremos uma transação para a blockchain da Ethereum, incluindo nela o hash gerado do documento.

            Esta transação ficará transparente e imutável na rede para sempre, sendo totalmente impossível de alterar e ficando o registo do momento exato em que foi criada.


            O que quer isto dizer?

            Se esse hash existia nesse momento, quer dizer que o documento, e com ele a informação que o compõe, também existiam.

            Se, posteriormente, alguém nos reportar uma vulnerabilidade semelhante, entregar-lhe-emos o relatório PDF e a transação. 

            Com o relatório, poderá gerar a impressão digital por si mesmo e comprovar que esse hash já foi registado no passado, graças à transação da Ethereum fornecida, onde poderá ver a data exata da mesma.

            Para o hash / checksum do relatório usaremos o algoritmo SHA-512.


            Âmbito de ação (scope)

            Limitámos a zona de ação para a procura de vulnerabilidades aos seguintes domínios / subdomínios:

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Aplicações Bit2Me para Android e iOS

            Vulnerabilidades que NÃO serão aceites

            • Todo o ativo fora do scope indicado.
            • Embora sejam permitidas vulnerabilidades que possam produzir uma negação de serviço (DoS), seja por incongruências de código, por serviços desatualizados na plataforma ou bibliotecas que gerem ciclos ciclomáticos excessivos, ficam fora do âmbito as negações de serviço de forma distribuída (DDoS), como ataques através de botnets ou com ferramentas de flooding.
            • Enumeração de contas/e-mails.
            • Ataques de força bruta.
            • Content spoofing e text injection sem capacidade de modificar HTML/CSS.
            • Autoexploração (como por exemplo XSS com sucesso apenas executado em local, scripting em consola, reutilização de token...).
            • Cabeçalhos CORS permissivos.
            • Clickjacking com ações de impacto mínimo.
            • Tab-nabbing.
            • Vulnerabilidades relacionadas com o preenchimento automático de formulários.
            • Carência de cabeçalhos ou flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flag HTTPOnly, atributos de ligação "noopener noreferrer", etc.) que não possam derivar numa exploração direta.
            • Carência de boas práticas na configuração SSL/TLS.
            • Suporte para métodos HTTP como OPTIONS.
            • Ataques CSRF sem comprometer a autenticação ou operações críticas (adicionar a favoritos, logout, etc.).
            • Exposição de versões de software ou serviços desatualizados.
            • Exposição de diretórios ou ficheiros públicos (como por exemplo robots.txt) de impacto mínimo.
            • Bugs em navegadores não comuns ou em navegadores não suportados pela Bit2Me.
            • Ataques de MITM que requeiram acesso físico ao dispositivo de um utilizador.
            • Qualquer ataque físico contra as propriedades da Bit2Me ou os seus data centers.
            • Painéis de login acessíveis publicamente.
            • Problemas de UX ou de usabilidade que não implicam falhas de segurança.
            • Problemas que não têm impacto na segurança (por exemplo, falha ao carregar uma página).
            • Engenharia social, phishing, vishing, smishing contra funcionários, fornecedores, clientes ou utilizadores da Bit2Me.
            • Vulnerabilidades já conhecidas por nós ou já reportadas por alguém (a recompensa irá para o primeiro informador).
            • Outros…


            Como reportar um bug?

            Envie o seu relatório para o correio eletrónico: security@bit2me.com.

            Inclua o maior número de evidências possível: título da vulnerabilidade explorada, descrição de cada passo na exploração, ferramentas utilizadas na exploração, versão do navegador, anexe capturas de ecrã (ou até mesmo vídeo), etc.

            Inclua a PoC (prova de conceito), se a realizou. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade reportada.

            Aguarde até 10 dias úteis para que a nossa equipa estude o seu pedido e receba uma resposta sobre se aceitámos o seu pedido. Caso seja aceite, a recompensa ser-lhe-á paga no prazo estipulado na Política de respostas (*ver política de respostas).


            Política de respostas

            A Bit2Me fará, sempre, tudo o que for possível para seguir a seguinte política de resposta aos pedidos enviados pelos hackers que participam no nosso programa:

            O nosso tempo máximo para respostas sobre a aceitação da vulnerabilidade (desde a receção do relatório) é de: 10 dias úteis.

            O pagamento da recompensa será efetuado quando a vulnerabilidade for resolvida. Este período pode demorar dias, ou até mesmo semanas.

            Os pagamentos podem ser realizados da seguinte forma:

            • Criptomoedas: Adoramos criptomoedas e, se também gosta, teremos todo o prazer em pagar-lhe a recompensa em criptomoedas como Bitcoin, Ethereum, Monero ou outras.


            Recompensas

            As recompensas outorgadas pela Bit2Me oscilam entre 50€ para vulnerabilidades baixas até 5.000€ para as altamente críticas.

            As recompensas normais serão administradas com base no nosso critério de criticidade da vulnerabilidade:

            Para vulnerabilidades que, a partir da equipa interna de cibersegurança da companhia, consideremos MUITO críticas, a Bit2Me conta com uma recompensa especial de 5.000€.


            Nota: Se o relatório não incluir uma PoC (prova de conceito) válida, a qualificação da recompensa será decidida de acordo com a reprodutibilidade e severidade da vulnerabilidade, e a quantia da recompensa poderá ser reduzida significativamente.


            Exemplos de vulnerabilidades que procuramos:

            • XSS (excluindo self-XSS).
            • CSRF (excluindo CSRF que envolvam ações sem impacto).
            • Execução Remota de Código.
            • Bypass de Autenticação.
            • Injeção de SQL.
            • Filtração de informação sensível.
            • LFI/RFI.
            • Escalonamento de Privilégios.
            • Vulnerabilidades que possam causar perda de fundos ou bens do utilizador.
            • Vulnerabilidades que possam causar a filtração de dados confidenciais da empresa remotamente.


            Hall of Fame

            Todas as pessoas, ou entidades, que notifiquem vulnerabilidades que sejam recompensadas serão publicadas, se assim o desejarem.

            Estes são os membros que, até ao dia de hoje, reportaram alguma vulnerabilidade aceite:

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            Este artigo foi útil?

            Isso é ótimo!

            Obrigado pelo seu feedback

            Lamentamos por não termos podido ajudá-lo(a)

            Obrigado pelo seu feedback

            Diga-nos como podemos melhorar este artigo!

            Selecione pelo menos um motivo
            A verificação CAPTCHA é obrigatória.

            Comentário enviado

            Agradecemos o seu esforço e iremos tentar corrigir o artigo

            Pré-visualizar
            0 de 0