Você teve uma incidência?

Bug bounty de Bit2Me

Na Bit2Me adoramos a cultura hacker. Sentimo-nos muito identificados com esta corrente que faz parte do DNA da nossa empresa. Tanto que alguns de nós participam em hackathons e CTFs (Capture-The-Flag). Na Bit2Me estamos sempre dispostos a colaborar e organizar eventos alinhados com este pensamento.

A fim de mover a sociedade para um mundo onde as criptomoedas como Bitcoin são mais amplamente aceites, estamos a trabalhar para construir a melhor plataforma do mundo para as criptomoedas.

Isto nos ajudará a fazer um mundo muito mais justo e democrático, sem o monopólio do dinheiro, como é actualmente o caso do dinheiro dos bancos centrais. Em que alguns escravizam o resto da humanidade por causa da forma como funcionam.

Estamos conscientes do ritmo frenético que uma startup como a nossa pode ter (actualizações, novos produtos, ...) Como seres humanos, também estamos conscientes de que não somos perfeitos e podemos esquecer algo.

Portanto, comunidade hacker, este documento é um apelo para si. Colocamos à sua disposição a melhor recompensa de bug bounty que conseguimos criar, tendo em conta a dimensão actual da nossa empresa. À medida que crescemos, iremos actualizando. 

Regras do programa

  • Só serão aceites relatórios de vulnerabilidades anteriormente não relatadas. No caso de duplicados, o primeiro relator será sempre recompensado (desde que tenha cumprido as regras aqui enunciadas, caso contrário, a ordem de apresentação de relatórios será do mais antigo para o mais recente).
  • Fornecer provas e informações suficientes para que a nossa equipa de engenharia reproduza e corrija a vulnerabilidade.
  • Não demonstrar qualquer tipo de conduta ilegal ao revelar a vulnerabilidade à Bit2me, tais como ameaças, processos judiciais, ou outras tácticas coercivas.
  • Não explorar a vulnerabilidade de forma a divulgar publicamente informações sensíveis, e não lucrar com a exploração da vulnerabilidade antes de a Bit2me obter a recompensa.
  • Não cometer a destruição de dados ou a interrupção de qualquer serviço Bit2me no processo.
  • Reportar apenas uma vulnerabilidade por pedido, a menos que seja necessário encadear vulnerabilidades em conjunto para maximizar o impacto sobre um tipo de vulnerabilidade.
  • Não informar sobre uma vulnerabilidade causada por um problema subjacente que seja o mesmo que um problema pelo qual foi paga uma recompensa em virtude deste Programa.
  • Vulnerabilidades múltiplas causadas por um problema subjacente receberão uma única recompensa.
  • A mesma vulnerabilidade susceptível de reprodução em mais de 1 serviço ou subdomínio será tratada como uma única vulnerabilidade.
  • Não é permitido publicar em nenhum meio de comunicação da Internet qualquer exploração bem sucedida feita durante a participação no programa Bug Bounty. Em caso de violação desta regra, os futuros pedidos a esse membro serão negados e os seus pagamentos de recompensa pendentes serão suspensos.

Vulnerabilidades já relatada

Uma pergunta normal que pode fazer a si próprio, e com razão, é: Como posso ter a certeza de que a Bit2Me será sincera na rejeição da vulnerabilidade, justificando que a vulnerabilidade já foi denunciada?

Como diz um dos famosos lemas do mundo das criptomoedas: “Don’t trust, Verify!"

Como sabem, adoramos inovar, e adoramos a tecnologia da criptomoeda. Com isto em mente, e para dar o exemplo com os valores e vantagens que a tecnologia Blockchain traz, todas as vulnerabilidades relatadas e aceites serão publicadas em Blockchain.

Como o faremos? Criptografia para o poder!

Assim que uma vulnerabilidade for denunciada e aceite, mesmo antes de ser corrigida pela nossa equipa, faremos o seguinte:

  1. Juntaremos toda a informação sobre vulnerabilidade e criaremos um relatório em formato PDF.

  2. A partir do relatório PDF recentemente criado, vamos gerar uma  impressão digital ( hash checksum).

  3. Emitiremos uma transacção para a blockchain Ethereum, incluindo nela o hash gerado do documento.

Esta transacção permanecerá transparente e imutável na rede para sempre, sendo totalmente impossível de alterar, e sendo reflectida no momento em que foi criada.

O que é isto significa?

Se esse hash existia nessa altura, significa que o documento, e com ele a informação que o compõe, também existia.

Se alguém nos denunciar posteriormente uma vulnerabilidade semelhante, forneceremos o relatório PDF, e a transacção. 

Com o relatório ele poderá gerar a impressão digital sozinho e verificar se já foi registado o hash no passado, graças à transacção de Ethereum fornecida, onde ele poderá ver a data exacta da transacção.

Para o hash / checksum do relatório, utilizaremos o algoritmo SHA-512.

Âmbito de actuação (escopo)

Limitamos a zona de ação para o varrimento de vulnerabilidades aos seguintes domínios / subdomínios:

  • bit2me.com

  • account.bit2me.com

  • wallet.bit2me.com

  • converter.bit2me.com 

  • converter-app.bit2me.com

  • explorer.bit2me.com

  • tikebit.bit2me.com

  • gateway.bit2me.com

  • Aplicaciones Bit2me de Android e iOS

Vulnerabilidades que NÃO serão aceites

  • Embora sejam permitidas vulnerabilidades que podem produzir uma negação de serviço (DoS), quer devido a inconsistências de código, serviços desactualizados na plataforma ou bibliotecas que geram loops cíclicos excessivos, negações de serviço distribuídas (DDoS), tais como ataques através de botnets ou ferramentas de flooding, estão fora do âmbito.
  • Enumeração de contas/emails.
  • Ataques de força bruta.
  • Content spoofing e text injection sem capacidade de modificar HTML/CSS.
  • Auto-exploração (tal como XSS bem sucedido executado apenas localmente, scripting, reutilização de token  ...).
  • Cabeçalhos CORS permissivos.
  • Clickjacking com ações de impacto mínimo.
  • Tab-nabbing.
  • Vulnerabilidades relacionadas com o preenchimento automático de formulários.
  • Falta de cabeçalhos ou flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, atributos de link "noopener noreferrer", etc.) que não podem levar à exploração direta.
  • Falta de boas práticas na configuração SSL/TLS.
  • Suporte para métodos HTTP como OPTIONS.
  • Ataques CSRF sem comprometer a autenticação ou operações críticas (adicionar a favoritos, logout, etc.).
  • Exposição de versões de software ou serviços desactualizados.
  • Exposição de directórios ou ficheiros públicos (tais como robots.txt) com um impacto mínimo.
  • Bugs em navegadores incomuns ou navegadores não suportados pela Bit2Me.
  • Ataques MITM que requerem acesso físico a um dispositivo do usuário.
  • Qualquer ataque físico contra a propriedade Bit2me ou os seus data centers.
  • Painéis de login acessíveis ao público.
  • Problemas de UX ou de usabilidade que não impliquem falhas de segurança.
  • Problemas que não têm impacto na segurança (por exemplo, falha em carregar uma página).
  • Engenharia social, phishing, vishing, smishing contra empregados, provedores, clientes ou usuários da Bit2Me.
  • Vulnerabilidades já conhecidas ou já relatadas por alguém (a recompensa irá para o primeiro informador).
  • Subdominios academy.bit2me.com, blog.bit2me.com, agenda.bit2me.com, news.bit2me.com, tv.bit2me.com, directory.bit2me.com, careers.bit2me.com, media.bit2me.com, support.bit2me.com, dex*.bit2me.com, *.qa.bit2me.com
  • Otros…

Como reportar um bug?

Envia tu informe al correo electrónico:

Terá de utilizar a seguinte chave pública PGP para encriptar o e-mail: https://bit2me.com/bugbounty-pgp.txt

Incluir o máximo de provas possíveis: título da vulnerabilidade explorada, descrição de cada etapa da exploração, ferramentas utilizadas na exploração, versão do navegador, anexar screenshots (ou inclusive vídeo), etc.

Incluir o CdP (prova de conceito), se o tiver realizado. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade denunciada.

Por favor, aguarde até 10 dias úteis para que a nossa equipa reveja a sua candidatura e receba uma resposta sobre se aceitamos a sua candidatura. Se aceite, a sua recompensa será creditada dentro do prazo estipulado na Política de Resposta (*ver política de resposta).

Política de respostas

Bit2Me fará, a todo o momento, todos os esforços para seguir a seguinte política na resposta aos pedidos submetidos pelos hackers que participam no nosso programa:

O nosso tempo máximo de resposta sobre a aceitação da vulnerabilidade (a partir da recepção do relatório) é de: 10 dias úteis.

A recompensa será paga quando a vulnerabilidade for corrigida. Este período pode demorar dias ou mesmo semanas.

Os pagamentos podem ser efectuados da seguinte forma:

  • Criptomoedas: Adoramos criptomoedas e se você também as adora, teremos todo o prazer em pagar-lhe a recompensa em moedas criptográficas como Bitcoin, Ethereum, Monero ou outras.

Recompensas

As recompensas atribuídas pela Bit2Me vão desde 50€ para vulnerabilidades baixas até 5.000€ para as altamente críticas.

As recompensas normais serão administradas com base nos nossos critérios de criticidade de vulnerabilidade:

Para vulnerabilidades que, a equipa interna de cibersegurança da empresa considere MUITO críticas, a Bit2Me tem uma recompensa especial de 5.000 euros.

Nota: Se o relatório não incluir um PdC válido (prova de conceito), a classificação da recompensa será decidida de acordo com a reprodutibilidade e a gravidade da vulnerabilidade, e o montante da recompensa pode ser significativamente reduzido.

Exemplos de vulnerabilidades que procuramos:

  • XSS (excluyendo self-XSS).
  • CSRF (excluindo CSRF que envolvam acções sem impacto).
  • Remote Code Execution.
  • Authentication Bypass.
  • SQL Injection.
  • Vazamento de informação sensível.
  • LFI/RFI.
  • Privilege Escalation.
  • Vulnerabilidades que podem causar a perda de fundos ou activos dos usuários.
  • Vulnerabilidades que podem causar a fuga de dados confidenciais da empresa à distância.

Hall of Fame

Todas as pessoas, ou entidades, que reportarem vulnerabilidades que sejam recompensadas serão publicadas, se assim o desejarem.

Estes são os membros que, a partir de hoje, denunciaram uma vulnerabilidade aceite:

  • Ch Chakradhar
  • White Coast Security Private Limited
  • Abhishek Pal
  • Javier Andreu
  • Pratik Yadav
  • Sachin Pandey
  • Shashank Jyoti
  • Moein Abas

  • Yash Ahmed Quashim
  • Volodymyr "Bob" Diachenko
  • Fahim Ali
  • Felipe Martinez
  • Taniya & Rohan

Esta resposta foi útil? Yes No

Send feedback
Sorry we couldn't be helpful. Help us improve this article with your feedback.