Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Bug bounty de Bit2Me

            Modifié le  Mar, 14 Oct. à 1:05 H

            Chez Bit2Me, nous adorons la culture hacker. Nous nous identifions beaucoup à ce courant qui fait partie de l'ADN de notre entreprise. À tel point que certains d'entre nous participent à des hackathons et à des journées de CTF (Capture-The-Flag). Chez Bit2Me, nous sommes toujours prêts à collaborer et à organiser des événements alignés sur cette pensée.

            Dans le but que la société évolue vers un monde où les cryptomonnaies comme le Bitcoin sont plus largement acceptées, nous travaillons à construire la meilleure plateforme de cryptomonnaies au monde.

            Cela nous aidera à créer un monde beaucoup plus juste et démocratique, sans monopole de l'argent, comme c'est le cas actuellement avec l'argent des banques centrales. Un monde où quelques-uns asservissent le reste de l'humanité par leur manière de fonctionner.

            Nous sommes conscients du rythme effréné qu'une startup comme la nôtre peut avoir (mises à jour, nouveaux produits, ...). En tant qu'êtres humains, nous sommes également conscients que nous ne sommes pas parfaits et que nous pouvons oublier quelque chose.

            C'est pourquoi, communauté de hackers, ce document est un appel pour vous. Nous mettons à votre disposition le meilleur bug bounty que nous ayons pu créer, en tenant compte de la taille actuelle de notre entreprise. Nous le mettrons à jour au fur et à mesure de notre croissance.

            Que devez-vous savoir ?

            Règles du programme

            • Vous devez ajouter l'en-tête "X-BUGBOUNTY-HACKER: <votre_nom_de_hacker>" lorsque vous effectuez les tests afin que nous puissions identifier vos requêtes.
            • Seuls les rapports de vulnérabilités non signalées auparavant seront acceptés. En cas de doublons, le premier rapporteur sera toujours récompensé (à condition qu'il ait respecté les règles énoncées ici, sinon l'ordre de rapport du plus ancien au plus récent sera suivi).
            • Fournir des preuves et des informations suffisantes pour que notre équipe d'ingénieurs puisse reproduire et corriger la vulnérabilité.
            • Ne pas adopter de conduite illégale lors de la divulgation de la vulnérabilité à Bit2Me, comme des menaces, des poursuites ou d'autres tactiques coercitives.
            • Ne pas exploiter la vulnérabilité de manière à pouvoir exfiltrer publiquement des informations sensibles, ni tirer profit de l'exploitation de la vulnérabilité avant d'avoir obtenu la récompense de Bit2Me.
            • Ne pas détruire de données ni interrompre un service de Bit2Me au cours du processus.
            • Signaler une seule vulnérabilité par demande, à moins qu'il ne soit nécessaire d'enchaîner les vulnérabilités pour maximiser l'impact sur un type de vulnérabilité.
            • Ne pas signaler une vulnérabilité causée par un problème sous-jacent qui est le même qu'un problème pour lequel une récompense a déjà été versée dans le cadre de ce programme.
            • Plusieurs vulnérabilités causées par un problème sous-jacent recevront une seule récompense.
            • Une même vulnérabilité reproductible sur plus d'un service ou sous-domaine sera traitée comme une seule vulnérabilité.
            • La publication sur tout support Internet de toute exploitation réussie lors de la participation au programme Bug Bounty n'est pas autorisée. En cas de violation de cette règle, les futures demandes de ce membre seront refusées et ses paiements de récompense en attente seront suspendus.


            Vulnérabilités déjà signalées

            Une question normale que vous pourriez vous poser, et à juste titre, est : Comment puis-je être sûr(e) que Bit2Me sera honnête en rejetant la vulnérabilité en justifiant qu'elle a déjà été signalée ?

            Comme le dit l'un des célèbres slogans du monde des cryptomonnaies : "Don't trust, Verify!"

            Comme vous le savez, nous aimons innover et nous aimons la technologie des cryptomonnaies. Dans cet esprit, et pour donner l'exemple avec les valeurs et les avantages qu'apporte la technologie Blockchain, toute vulnérabilité signalée et acceptée sera publiée sur la Blockchain.


            Comment procéderons-nous ? La cryptographie au pouvoir !

            Une fois qu'une vulnérabilité est signalée et acceptée, avant même d'être corrigée par notre équipe, nous ferons ce qui suit : 

            1. Nous prendrons toutes les informations sur la vulnérabilité et créerons un rapport au format PDF.

            2. À partir du rapport PDF nouvellement créé, nous générerons une empreinte numérique (hash checksum).

            3. Nous émettrons une transaction sur la blockchain Ethereum en y incluant le hash généré à partir du document.

            Cette transaction restera transparente et immuable sur le réseau pour toujours, étant totalement impossible à altérer, et reflétant le moment exact où elle a été créée.


            Qu'est-ce que cela signifie ?

            Si ce hash existait à ce moment-là, cela signifie que le document, et donc les informations qu'il contient, existaient également.

            Si, par la suite, quelqu'un nous signale une vulnérabilité similaire, nous lui fournirons le rapport PDF et la transaction. 

            Avec le rapport, il pourra générer lui-même l'empreinte numérique et vérifier que ce hash a déjà été enregistré dans le passé, grâce à la transaction Ethereum fournie, où il pourra voir la date exacte de celle-ci.

            Pour le hash / checksum du rapport, nous utiliserons l'algorithme SHA-512.


            Champ d'application (scope)

            Nous avons limité la zone d'action pour la recherche de vulnérabilités aux domaines / sous-domaines suivants :

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Applications Bit2Me pour Android et iOS

            Vulnérabilités qui ne seront PAS acceptées

            • Tout actif en dehors du champ d'application indiqué.
            • Bien que les vulnérabilités pouvant entraîner un déni de service (DoS) soient autorisées, que ce soit en raison d'incohérences de code, de services obsolètes sur la plateforme ou de bibliothèques générant des boucles cyclomatiques excessives, les dénis de service distribués (DDoS), tels que les attaques via des botnets ou avec des outils de flooding, sont hors du champ d'application.
            • Énumération de comptes/e-mails.
            • Attaques par force brute.
            • Content spoofing et text injection sans capacité de modifier le HTML/CSS.
            • Auto-exploitation (comme par exemple un XSS réussi uniquement en local, le scripting en console, la réutilisation de jeton...).
            • En-têtes CORS permissifs.
            • Clickjacking avec des actions à impact minimal.
            • Tab-nabbing.
            • Vulnérabilités liées à l'autocomplétion de formulaires.
            • Absence d'en-têtes ou de flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flag HTTPOnly, attributs de lien "noopener noreferrer", etc.) ne pouvant pas conduire à une exploitation directe.
            • Absence de bonnes pratiques dans la configuration SSL/TLS.
            • Prise en charge de méthodes HTTP comme OPTIONS.
            • Attaques CSRF sans compromettre l'authentification ou des opérations critiques (ajout aux favoris, déconnexion, etc.).
            • Exposition de versions de logiciels ou de services obsolètes.
            • Exposition de répertoires ou de fichiers publics (comme robots.txt) à impact minimal.
            • Bugs dans des navigateurs peu courants ou non pris en charge par Bit2Me.
            • Attaques MITM nécessitant un accès physique à l'appareil d'un utilisateur.
            • Toute attaque physique contre les propriétés de Bit2Me ou ses centres de données.
            • Panneaux de connexion accessibles au public.
            • Problèmes d'UX ou d'utilisabilité n'impliquant pas de failles de sécurité.
            • Problèmes n'ayant aucun impact sur la sécurité (par exemple, échec du chargement d'une page).
            • Ingénierie sociale, phishing, vishing, smishing contre les employés, fournisseurs, clients ou utilisateurs de Bit2Me.
            • Vulnérabilités déjà connues de nous ou déjà signalées par quelqu'un d'autre (la récompense ira au premier rapporteur).
            • Autres…


            Comment signaler un bug ?

            Envoyez votre rapport à l'adresse e-mail : security@bit2me.com.

            Incluez autant de preuves que possible : titre de la vulnérabilité exploitée, description étape par étape de l'exploitation, outils utilisés, version du navigateur, joignez des captures d'écran (ou même une vidéo), etc.

            Incluez la PoC (Preuve de Concept), si vous l'avez réalisée. Il sera obligatoire d'inclure une explication sur la manière de corriger la vulnérabilité signalée.

            Attendez jusqu'à 10 jours ouvrables pour que notre équipe étudie votre demande et reçoive une réponse sur l'acceptation de votre soumission. Si elle est acceptée, la récompense sera versée dans le délai stipulé dans la Politique de réponse (*voir politique de réponse).


            Politique de réponse

            Bit2Me fera toujours de son mieux pour suivre la politique de réponse suivante pour les demandes envoyées par les hackers participant à notre programme :

            Notre délai de réponse maximum pour l'acceptation de la vulnérabilité (à compter de la réception du rapport) est de : 10 jours ouvrables.

            Le paiement de la récompense sera effectué une fois la vulnérabilité corrigée. Cette période peut prendre des jours, voire des semaines.

            Les paiements peuvent être effectués de la manière suivante :

            • Cryptomonnaies : Nous adorons les cryptomonnaies et, si vous les aimez aussi, nous serons ravis de vous payer la récompense en cryptomonnaies comme Bitcoin, Ethereum, Monero ou autres.


            Récompenses

            Les récompenses accordées par Bit2Me varient de 50 € pour les vulnérabilités faibles à 5 000 € pour les plus critiques.

            Les récompenses normales seront administrées en fonction de nos critères de criticité de la vulnérabilité :

            Pour les vulnérabilités que notre équipe interne de cybersécurité considère comme TRÈS critiques, Bit2Me dispose d'une récompense spéciale de 5 000 €.


            Note : Si le rapport n'inclut pas de PoC (Preuve de Concept) valide, la notation de la récompense sera décidée en fonction de la reproductibilité et de la gravité de la vulnérabilité, et le montant de la récompense pourra être considérablement réduit.


            Exemples de vulnérabilités que nous recherchons :

            • XSS (à l'exclusion du self-XSS).
            • CSRF (à l'exclusion du CSRF impliquant des actions sans impact).
            • Exécution de code à distance.
            • Contournement de l'authentification.
            • Injection SQL.
            • Fuite d'informations sensibles.
            • LFI/RFI.
            • Élévation de privilèges.
            • Vulnérabilités pouvant entraîner la perte de fonds ou de biens de l'utilisateur.
            • Vulnérabilités pouvant entraîner la fuite à distance de données confidentielles de l'entreprise.


            Hall of Fame

            Toutes les personnes, ou entités, qui signalent des vulnérabilités récompensées seront publiées, si elles le souhaitent.

            Voici les membres qui, à ce jour, ont signalé une vulnérabilité acceptée :

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0