Programa de Bug Bounty da Bit2Me

Modificado em Mon, 6 Jul às 9:45 AM

Na Bit2Me, adoramos a cultura hacker. Sentimo-nos muito identificados com esta corrente que faz parte do ADN da nossa empresa. Tanto que alguns de nós participamos em hackathons e jornadas de CTFs (Capture-The-Flag). Na Bit2Me, estamos sempre disponíveis para colaborar e organizar eventos alinhados com este pensamento.


Com o objetivo de que a sociedade caminhe para um mundo onde as criptomoedas como o Bitcoin tenham maior aceitação, trabalhamos para construir a melhor plataforma do mundo para criptomoedas.


Isto ajudar-nos-á a criar um mundo muito mais justo e democrático, sem o monopólio do dinheiro, como acontece atualmente com o dinheiro dos bancos centrais. Um mundo onde poucos escravizam o resto da humanidade pela sua forma de funcionamento.


Estamos cientes do ritmo frenético que uma startup como a nossa pode ter (atualizações, novos produtos, ...). Como seres humanos, também estamos cientes de que não somos perfeitos e podemos esquecer-nos de algo.


Por isso, comunidade hacker, este documento é um apelo para vós. Colocamos à vossa disposição o melhor programa de recompensa por bugs (bug bounty) que conseguimos criar, tendo em conta o tamanho atual da nossa empresa. À medida que crescermos, iremos atualizá-lo.


O que precisa de saber?


Regras do programa

  • Deve adicionar o cabeçalho "X-BUGBOUNTY-HACKER: <o_seu_nome_de_hacker>" ao realizar os testes para que possamos identificar os seus pedidos.
  • Serão aceites apenas relatórios de vulnerabilidades não reportadas anteriormente. Em caso de duplicados, o primeiro a reportar será sempre recompensado (desde que tenha cumprido as regras aqui expostas; caso contrário, será seguido pela ordem de reporte, do mais antigo para o mais recente).
  • Fornecer as evidências e informações suficientes para que a nossa equipa de engenheiros possa reproduzir e solucionar a vulnerabilidade.
  • Não exibir qualquer tipo de conduta ilegal ao revelar a vulnerabilidade à Bit2Me, como ameaças, processos judiciais ou outro tipo de tática coerciva.
  • Não explorar a vulnerabilidade de forma a exfiltrar informações sensíveis publicamente, bem como não obter benefício da exploração da vulnerabilidade antes de receber a recompensa da Bit2Me.
  • Não perpetrar a destruição de dados ou a interrupção de qualquer serviço da Bit2Me durante o processo.
  • Reportar apenas uma vulnerabilidade por pedido, a menos que seja necessário encadear vulnerabilidades para maximizar o impacto sobre um tipo de vulnerabilidade.
  • Não reportar uma vulnerabilidade causada por um problema subjacente que seja o mesmo que um problema pelo qual já foi paga uma recompensa ao abrigo deste Programa.
  • Várias vulnerabilidades causadas por um problema subjacente receberão uma única recompensa.
  • Uma mesma vulnerabilidade reproduzível em mais de 1 serviço ou subdomínio será tratada como uma única vulnerabilidade.
  • Não é permitida a publicação em qualquer meio da Internet de qualquer exploração bem-sucedida realizada durante a participação no programa Bug Bounty. Em caso de violação desta norma, os futuros pedidos a esse membro serão negados e os seus pagamentos de recompensa pendentes serão suspensos.


Vulnerabilidades já reportadas

Uma pergunta normal que poderá fazer, e com razão, é: como posso ter a certeza de que a Bit2Me será sincera ao rejeitar a vulnerabilidade, justificando que a mesma já foi reportada?


Como diz um dos famosos lemas do mundo das criptomoedas: “Don’t trust, Verify!"


Como sabem, adoramos inovar e adoramos a tecnologia das criptomoedas. Com isto em mente, e para dar o exemplo com os valores e vantagens que a tecnologia Blockchain oferece, toda e qualquer vulnerabilidade reportada e aceite será publicada na Blockchain.


Como o faremos? Criptografia ao poder!

Assim que uma vulnerabilidade for reportada e aceite, mesmo antes de ser resolvida pela nossa equipa, faremos o seguinte: 

  1. Recolheremos toda a informação da vulnerabilidade e criaremos um relatório em formato PDF.

  2. Do relatório PDF recém-criado, geraremos uma assinatura digital (hash checksum).

  3. Emitiremos uma transação para a blockchain da Ethereum, incluindo nela o hash gerado do documento.

Esta transação ficará transparente e imutável na rede para sempre, sendo totalmente impossível de alterar e ficando registada no momento exato em que foi criada.


O que isto significa?

Se esse hash existia naquele momento, significa que o documento, e com ele a informação que o compõe, também existiam.

Se, posteriormente, alguém nos reportar uma vulnerabilidade semelhante, entregaremos o relatório PDF e a transação. 

Com o relatório, poderá gerar a assinatura digital por si mesmo e verificar que esse hash já foi registado no passado, graças à transação da Ethereum fornecida, onde poderá ver a data exata da mesma.

Para o hash / checksum do relatório, usaremos o algoritmo SHA-512.


Âmbito de ação (scope)

Limitamos a área de ação para a procura de vulnerabilidades aos seguintes domínios / subdomínios:

  • bit2me.com

  • account.bit2me.com

  • wallet.bit2me.com

  • converter.bit2me.com 

  • explorer.bit2me.com

  • gateway.bit2me.com

  • Aplicações Bit2me para Android e iOS

Vulnerabilidades que NÃO serão aceites

  • Qualquer ativo fora do scope indicado.
  • Embora sejam permitidas vulnerabilidades que possam produzir uma denegação de serviço (DoS), seja por inconsistências de código, por serviços desatualizados na plataforma ou bibliotecas que gerem ciclos ciclómaticos excessivos, as denegações de serviço de forma distribuída (DDoS), como ataques através de botnets ou com ferramentas de flooding, ficam fora do âmbito.
  • Enumeração de contas/e-mails.
  • Ataques de força bruta.
  • Content spoofing e text injection sem capacidade de modificar HTML/CSS.
  • Autoexploração (como, por exemplo, XSS com sucesso apenas executado localmente, scripting na consola, reutilização de token ...).
  • Cabeçalhos CORS permissivos.
  • Clickjacking com ações de mínimo impacto.
  • Tab-nabbing.
  • Vulnerabilidades relacionadas com o preenchimento automático de formulários.
  • Falta de cabeçalhos ou flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, atributos de ligação “noopener noreferrer”, etc.) que não possam resultar numa exploração direta.
  • Falta de boas práticas na configuração SSL/TLS.
  • Suporte para métodos HTTP como OPTIONS.
  • Ataques CSRF sem comprometer a autenticação ou operações críticas (adicionar aos favoritos, logout, etc.).
  • Exposição de versões de software ou serviços desatualizados.
  • Exposição de diretórios ou ficheiros públicos (como, por exemplo, robots.txt) de mínimo impacto.
  • Bugs em navegadores incomuns ou em navegadores não suportados pela Bit2Me.
  • Ataques de MITM que exijam acesso físico ao dispositivo de um utilizador.
  • Qualquer ataque físico contra as propriedades da Bit2Me ou os seus data centers.
  • Painéis de login acessíveis publicamente.
  • Problemas de UX ou de usabilidade que não implicam falhas de segurança.
  • Problemas que não têm impacto na segurança (por exemplo, falha ao carregar uma página).
  • Engenharia social, phishing, vishing, smishing contra colaboradores, fornecedores, clientes ou utilizadores da Bit2Me.
  • Vulnerabilidades já conhecidas por nós ou já reportadas por alguém (a recompensa irá para o primeiro a informar).
  • Outros…


Como reportar um bug?

Envie o seu relatório para o endereço de e-mail: security@bit2me.com.

Inclua o maior número possível de evidências: título da vulnerabilidade explorada, descrição de cada passo na exploração, ferramentas utilizadas na exploração, versão do navegador, anexe capturas de ecrã (ou até vídeo), etc.

Inclua a PoC (prova de conceito), se a realizou. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade reportada.

Aguarde até 10 dias úteis para que a nossa equipa analise o seu pedido e receba uma resposta sobre se aceitamos o seu pedido. Caso seja aceite, a recompensa ser-lhe-á paga no prazo estipulado na Política de Respostas (*ver política de respostas).


Política de respostas

A Bit2Me fará, sempre, todos os esforços para seguir a seguinte política de resposta aos pedidos enviados pelos hackers que participarem no nosso programa:

O nosso tempo máximo para respostas sobre a aceitação da vulnerabilidade (desde a receção do relatório) é de: 10 dias úteis.

O pagamento da recompensa será efetuado quando a vulnerabilidade for resolvida. Este período pode demorar dias, ou mesmo semanas.

Os pagamentos podem ser realizados da seguinte forma:

  • Criptomoedas: Adoramos criptomoedas e, se também gostar, será um prazer pagar-lhe a recompensa em criptomoedas como Bitcoin, Ethereum, Monero ou outras.


Recompensas

As recompensas atribuídas pela Bit2Me variam entre 50€ para vulnerabilidades de baixo impacto até 5.000€ para as altamente críticas.

As recompensas normais serão administradas com base no nosso critério de criticidade da vulnerabilidade:

Para vulnerabilidades que, a partir da equipa interna de cibersegurança da empresa, considerarmos MUITO críticas, a Bit2Me oferece uma recompensa especial de 5.000€.


Nota: Se o relatório não incluir uma PoC (prova de conceito) válida, a classificação da recompensa será decidida de acordo com a reprodutibilidade e a severidade da vulnerabilidade, e o valor da recompensa poderá ser significativamente reduzido.


Exemplos de vulnerabilidades que procuramos:

  • XSS (excluindo self-XSS).
  • CSRF (excluindo CSRF que envolvam ações sem impacto).
  • Remote Code Execution.
  • Authentication Bypass.
  • SQL Injection.
  • Fuga de informação sensível.
  • LFI/RFI.
  • Privilege Escalation.
  • Vulnerabilidades que possam causar perda de fundos ou bens do utilizador.
  • Vulnerabilidades que possam causar a fuga de dados confidenciais da empresa remotamente.


Hall of Fame

Todas as pessoas, ou entidades, que notificarem vulnerabilidades que sejam recompensadas serão publicadas, se assim o desejarem.

Estes são os membros que, até à data, reportaram alguma vulnerabilidade aceite:

  • Ch Chakradhar
  • White Coast Security Private Limited
  • Abhishek Pal
  • Javier Andreu
  • Pratik Yadav
  • Sachin Pandey
  • Shashank Jyoti
  • Moein Abas
  • Yash Ahmed Quashim
  • Volodymyr "Bob" Diachenko
  • Fahim Ali
  • Felipe Martinez
  • Taniya & Rohan
  • Shubham Kushwaha
  • Pawan Rawat
  • Akash Hamal
  • Mehedi Hasan
  • Anchal Vij
  • Soumen Jana
  • Rohan
  • Mayank Sahu
  • Kartik Singh
  • Niket Popat


Este artigo foi útil?

Isso é ótimo!

Obrigado pelo seu feedback

Lamentamos por não termos podido ajudá-lo(a)

Obrigado pelo seu feedback

Diga-nos como podemos melhorar este artigo!

Selecione pelo menos um motivo
A verificação CAPTCHA é obrigatória.

Comentário enviado

Agradecemos o seu esforço e iremos tentar corrigir o artigo