Actualizado el Mie, 3 Ene, 2024 a 11:33 A. M.
En Bit2Me nos encanta la cultura hacker. Nos sentimos muy identificados con esta corriente que forma parte del ADN de nuestra empresa. Tanto es así que, algunos de nosotros participamos en hackathones y jornadas de CTFs (Capture-The-Flag). Desde Bit2Me siempre estamos dispuestos a colaborar y organizar eventos alineados con este pensamiento.
Con el objetivo de que la sociedad camine hacia un mundo donde las criptomonedas como Bitcoin tengan mayor aceptación trabajamos para construir la mejor plataforma del mundo para criptomonedas.
Esto nos ayudará a convertir un mundo mucho más justo y democrático, sin monopolio del dinero, como actualmente ocurre con el dinero de los bancos centrales. En el que unos pocos esclavizan al resto de la humanidad por la manera de funcionar que tiene.
Somos conscientes del ritmo frenético que una startup como la nuestra puede tener (actualizaciones, nuevos productos, ...) Como seres humanos, también somos conscientes de que no somos perfectos y podemos olvidar alguna cosa.
Por ello, comunidad hacker, este documento es un llamamiento para vosotros. Ponemos a vuestra disposición el mejor bug bounty que hemos podido crear, teniendo en cuenta el tamaño actual de nuestra compañía. A medida que crezcamos iremos actualizando.
Una pregunta normal que te puedes hacer, y con razón, es: ¿Cómo puedo estar seguro/a de que Bit2Me será sincero al rechazar la vulnerabilidad justificando que la vulnerabilidad ya fue reportada
Como dice uno de los famosos lemas del mundo de las criptomonedas: “Don’t trust, Verify!"
Como sabéis nos encanta innovar, y nos encanta la tecnología de las criptomonedas. Con esto en mente, y para dar ejemplo con los valores y ventajas que aporta la tecnología Blockchain, toda vulnerabilidad reportada y aceptada, será publicada en Blockchain.
Una vez reportada y aceptada una vulnerabilidad, antes incluso de ser solventada por nuestro equipo, haremos lo siguiente:
Tomaremos toda la información de la vulnerabilidad y crearemos un informe en formato PDF.
Del informe PDF recién creado generaremos una huella digital (hash checksum).
Emitiremos una transacción a la blockchain de Ethereum incluyendo en ella el hash generado del documento.
Esta transacción quedará transparente e inmutable en la red para siempre, siendo totalmente imposible de alterar, y quedando reflejo en el momento justo en que fue creada.
Si ese hash existía en ese momento, quiere decir que el documento, y con ello la información que la conforma, existían también.
Si, posteriormente, alguien nos reporta una vulnerabilidad similar, le entregaremos el informe PDF, y la transacción.
Con el informe podrá generar la huella digital por él mismo y comprobar que ya fue registrado ese hash en el pasado, gracias a la transacción de Ethereum proporcionada, donde podrá ver la fecha exacta de la misma.
Para el hash / checksum del informe usaremos el algoritmo SHA-512.
Hemos limitado la zona de acción para la búsqueda de vulnerabilidades a los siguientes dominios / subdominios:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Aplicaciones Bit2me de Android e iOS
Envía tu informe al correo electrónico:
Deberás utilizar la siguiente clave pública PGP para cifrar el correo electrónico: https://bit2me.com/bugbounty-pgp.txt
Incluye el mayor número de evidencias posibles: título de la vulnerabilidad explotada, descripción de cada paso en la explotación, herramientas utilizadas en la explotación, versión de navegador, adjunta capturas de pantalla (o incluso video), etc.
Incluye la PoC (prueba de concepto), si la realizaste. Será obligatorio incluir una explicación sobre como corregir la vulnerabilidad reportada
Espera hasta 10 días laborales para que nuestro equipo estudie tu solicitud y recibir una respuesta sobre si hemos aceptado tu solicitud. En caso de ser aceptada, se te abonará la recompensa en el plazo estipulado en la Política de respuestas (*ver política de respuestas).
Bit2Me hará, siempre, todo lo posible para seguir la siguiente política de respuesta ante las solicitudes enviadas por los hackers que participen en nuestro programa:
Nuestro tiempo máximo para respuestas sobre la aceptación de la vulnerabilidad (desde el recibimiento del informe) es de: 10 días laborales
El pago de la recompensa se efectuará cuando se solvente la vulnerabilidad. Este periodo puede demorarse días, o incluso semanas.
Los pagos pueden ser realizados de la siguiente forma:
Criptomonedas: Nos encantan las criptomonedas y, si a ti también te gustan, será un placer pagarte la recompensa en criptomonedas como Bitcoin, Ethereum, Monero u otras.
Las recompensas otorgadas por Bit2Me oscilan entre 50€ para vulnerabilidades bajas hasta 5.000€ para las altamente críticas.
Las recompensas normales serán administradas en base a nuestro criterio de criticidad de la vulnerabilidad:
Para vulnerabilidades que, desde el equipo interno de ciberseguridad de la compañía, consideremos MUY críticas, Bit2Me cuenta con una recompensa especial de 5.000€.
Nota: Si el informe no incluye una PoC (prueba de concepto) válida, la calificación de recompensa será decidida acorde a la reproducibilidad y severidad de la vulnerabilidad, y la cantidad de la recompensa podrá reducirse significativamente.
Todas aquellas personas, o entidades, que notifiquen vulnerabilidades que sean recompensadas serán publicadas, si así lo desean.
Estos son los miembros que, hasta el día de hoy, han reportado alguna vulnerabilidad aceptada:
¿Ha sido útil esta respuesta? Sí No
Enviar comentario