Aggiornato il Mer, 3 Gen, 2024 alle 11:38 AM
In Bit2Me amiamo la cultura hacker. Ci sentiamo molto identificati con questa corrente che fa parte del DNA della nostra azienda. Tanto che alcuni di noi partecipano a hackathon e CTF (Capture-The-Flag). Da Bit2Me siamo sempre disposti a collaborare e organizzare eventi in linea con questa mentalità.
Con l'obiettivo che la società si incammini verso un mondo in cui le criptovalute come Bitcoin vengano maggiormente accettate, stiamo lavorando per costruire la migliore piattaforma al mondo per le criptovalute.
Questo ci aiuterà a creare un mondo molto più giusto e democratico, senza il monopolio del denaro, come avviene attualmente con il denaro delle banche centrali. In cui, a causa del modo in cui funziona, in pochi schiavizzano il resto dell'umanità.
Siamo consapevoli del ritmo frenetico che una startup come la nostra può avere (aggiornamenti, nuovi prodotti, ...) Come esseri umani, siamo anche consapevoli che non siamo perfetti e possiamo dimenticare qualcosa.
Per questo, comunità hacker, questo documento è un appello a voi. Mettiamo a vostra disposizione il miglior bug bounty che siamo stati in grado di creare, considerando le dimensioni attuali della nostra azienda. Man mano che cresciamo lo aggiorneremo.
Un quesito normale che ci si può porre, e giustamente, è: come posso essere sicuro/a che Bit2Me sarà sincero nel rifiutare la vulnerabilità dicendo che la vulnerabilità è già stata segnalata?
Come dice uno dei famosi slogan del mondo delle criptovalute, "Non fidarti, verifica!"
Come sapete noi amiamo innovare ed amiamo la tecnologia delle criptovalute. Tenendo a mente questo, e per dare un esempio dei valori e i vantaggi che apporta la tecnologia Blockchain, tutte le vulnerabilità segnalate ed accettate saranno pubblicate in Blockchain.
Una volta che una vulnerabilità è segnalata e accettata, anche prima che sia risolta dal nostro team, faremo quanto segue:
Prenderemo tutta l'informazione della vulnerabilità e creeremo un dossier in formato PDF.
Dal dossier PDF creato di recente generemo un'impronta digitale (hash checksum).
Emetteremo una transazione sulla blockchain di Ethereum includendo in essa l'hash generato del documento.
Questa transazione rimarrà trasparente ed immutabile nella rete per sempre, essendo totalmente impossibile da alterare e rimanendo riflessa nel sistema giusto nel momento in cui fu creata.
Se quell'hash esisteva in quel momento, significa che anche il documento, e con esso le informazioni che lo compongono, esistevano.
Se qualcuno successivamente ci segnala una vulnerabilità simile, vi forniremo il dossier PDF e la transazione.
Con il dossier sarai in grado di generare l'impronta digitale da solo e controllare se quell'hash fosse stato già registrato in passato, grazie alla transazione Ethereum fornita, dove potrai vedere la data esatta della transazione.
Per l' hash / checksum del dossier utilizzeremo l'algoritmo SHA-512.
Abbiamo limitato la zona d'azione di ricerca delle vulnerabilità per i seguenti domini/sottodomini:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
Applicazioni Bit2me di Android e iOS
Invia il tuo report all'indirizzo di posta elettronica:
Avrai bisogno di usare la seguente chiave pubblica PGP per crittografare l'email: https://bit2me.com/bugbounty-pgp.txt
Includi il maggior numero di prove possibili: titolo della vulnerabilità, descrizione di ogni passo della vulnerabilità esposta, strumenti utilizzati, versione del browser, allega degli screenshot (o anche un video), ecc.
Includi la PoC (prova del concetto), se la effettuaste. Sará obbligatorio includere una spiegazione su come correggere la vulnerabilità segnalata
Si prega di attendere fino a 10 giorni lavorativi per consentire al nostro team di esaminare la tua domanda e ricevere una risposta per sapere se abbiamo accettato la tua richiesta. Se accettata, la tua ricompensa sarà accreditata entro i tempi stabiliti nella Politica di risposta (*vedi politica di risposta).
Bit2Me, in ogni momento, farà tutto il possibile per seguire la seguente politica nel rispondere alle richieste presentate dagli hacker che partecipano al nostro programma:
Il nostro tempo massimo di risposta all'accettazione della vulnerabilità (dal ricevimento della segnalazione) è: 10 giorni lavorativi.
Il pagamento della ricompensa sarà effettuato quando la vulnerabilità sarà risolta. Questo periodo può durare giorni o addirittura settimane.
I pagamenti possono essere effettuati come segue:
Criptovalute: Amiamo le criptovalute e se anche tu le ami, saremo felici di pagare la tua ricompensa in criptovalute come Bitcoin, Ethereum, Monero o altre.
Le ricompense di Bit2Me vanno da 50 euro per le vulnerabilità basse a 5.000 euro per quelle altamente critiche.
Le ricompense normali saranno amministrate in base al nostro criterio di criticità della vulnerabilità:
Per le vulnerabilità che il team interno di cybersicurezza dell'azienda considera MOLTO critiche, Bit2Me ha una ricompensa speciale di 5.000 euro.
Nota: Se il report non include un PoC (proof of concept) valido, la valutazione della ricompensa sarà decisa in base alla riproducibilità e alla gravità della vulnerabilità, e l'importo della ricompensa potrebbe essere significativamente ridotto.
Tutte le persone, o entità, che segnalano vulnerabilità che vengono premiate saranno pubblicate, se lo desiderano.
Questi sono i membri che, ad oggi, hanno segnalato una vulnerabilità accettata:
Questa risposta ti è stata utile? Sì No
Invia feedback