In Bit2Me amiamo la cultura hacker. Ci sentiamo molto identificati con questa corrente che fa parte del DNA della nostra azienda. Tanto che, alcuni di noi partecipano a hackathon e giornate di CTF (Capture-The-Flag). Da Bit2Me siamo sempre disposti a collaborare e organizzare eventi allineati con questo pensiero.
Con l'obiettivo che la società si muova verso un mondo dove le criptovalute come Bitcoin abbiano maggiore accettazione, lavoriamo per costruire la migliore piattaforma al mondo per le criptovalute.
Questo ci aiuterà a rendere il mondo molto più giusto e democratico, senza il monopolio del denaro, come attualmente avviene con il denaro delle banche centrali, dove pochi schiavizzano il resto dell'umanità per il modo in cui funziona.
Siamo consapevoli del ritmo frenetico che una startup come la nostra può avere (aggiornamenti, nuovi prodotti, ...). Come esseri umani, siamo anche consapevoli di non essere perfetti e di poter dimenticare qualcosa.
Per questo, comunità hacker, questo documento è un appello a voi. Mettiamo a vostra disposizione il miglior bug bounty che abbiamo potuto creare, tenendo conto delle dimensioni attuali della nostra azienda. Man mano che cresceremo, lo aggiorneremo.
Cosa devi sapere?
- Regole del programma
- Vulnerabilità già segnalate
- Come lo faremo? Criptografia al potere!
- Cosa significa?
- Ambito di azione (scope)
- Vulnerabilità che NON saranno accettate
- Come segnalare un bug?
- Politica di risposta
- Ricompense
- Esempi di vulnerabilità che cerchiamo:
- Hall of Fame
Regole del programma
- Devi aggiungere l'header "X-BUGBOUNTY-HACKER: <il_tuo_nome_da_hacker>" quando effettui i test, in modo che possiamo identificare le tue richieste.
- Saranno accettate solo le segnalazioni di vulnerabilità non precedentemente segnalate. In caso di duplicati, verrà sempre ricompensato il primo segnalatore (a condizione che abbia rispettato le regole qui esposte; in caso contrario, si seguirà l'ordine di segnalazione dal più antico al più recente).
- Fornire prove e informazioni sufficienti affinché il nostro team di ingegneri possa riprodurre e risolvere la vulnerabilità.
- Non mostrare alcun tipo di condotta illegale al momento di rivelare la vulnerabilità a Bit2me, come minacce, richieste o altri tipi di tattiche coercitive.
- Non sfruttare la vulnerabilità in modo tale da poter esfiltrare pubblicamente informazioni sensibili, né ottenere beneficio dallo sfruttamento della vulnerabilità prima di ricevere la ricompensa da parte di Bit2me.
- Non perpetrare la distruzione di dati o l'interruzione di alcun servizio di Bit2me durante il processo.
- Segnalare una sola vulnerabilità per richiesta, a meno che non sia necessario concatenare le vulnerabilità per massimizzare l'impatto su un tipo di vulnerabilità.
- Non segnalare una vulnerabilità causata da un problema sottostante che sia lo stesso problema per il quale è stata già pagata una ricompensa nell'ambito di questo Programma.
- Diverse vulnerabilità causate da un problema sottostante riceveranno un'unica ricompensa.
- Una stessa vulnerabilità riproducibile in più di 1 servizio o sottodominio sarà trattata come un'unica vulnerabilità.
- Non è consentita la pubblicazione su qualsiasi mezzo di Internet di qualsiasi sfruttamento riuscito durante la partecipazione al programma Bug Bounty. In caso di violazione di questa norma, le future richieste a tale membro verranno negate e i pagamenti delle ricompense in sospeso verranno sospesi.
Vulnerabilità già segnalate
Una domanda normale che puoi farti, e a ragione, è: come posso essere sicuro/a che Bit2Me sarà sincero nel rifiutare la vulnerabilità giustificando che la vulnerabilità è già stata segnalata?
Come recita uno dei famosi motti del mondo delle criptovalute: “Don’t trust, Verify!"
Come sapete, amiamo innovare e amiamo la tecnologia delle criptovalute. Con questo in mente, e per dare l'esempio con i valori e i vantaggi che la tecnologia Blockchain offre, ogni vulnerabilità segnalata e accettata sarà pubblicata sulla Blockchain.
Come lo faremo? Criptografia al potere!
Una volta segnalata e accettata una vulnerabilità, ancor prima che venga risolta dal nostro team, faremo quanto segue:
Prenderemo tutte le informazioni sulla vulnerabilità e creeremo un rapporto in formato PDF.
Dal rapporto PDF appena creato genereremo un'impronta digitale (hash checksum).
Emetteremo una transazione sulla blockchain di Ethereum includendo in essa l'hash generato del documento.
Questa transazione rimarrà trasparente e immutabile sulla rete per sempre, essendo totalmente impossibile da alterare, e riflettendo il momento esatto in cui è stata creata.
Cosa significa?
Se quell'hash esisteva in quel momento, significa che anche il documento, e con esso le informazioni che lo compongono, esistevano.
Se, successivamente, qualcuno ci segnala una vulnerabilità simile, gli forniremo il rapporto PDF e la transazione.
Con il rapporto potrà generare l'impronta digitale da sé e verificare che quell'hash era già stato registrato in passato, grazie alla transazione Ethereum fornita, dove potrà vedere la data esatta della stessa.
Per l'hash / checksum del rapporto useremo l'algoritmo SHA-512.
Ambito di azione (scope)
Abbiamo limitato l'area di azione per la ricerca di vulnerabilità ai seguenti domini / sottodomini:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Applicazioni Bit2me per Android e iOS
Vulnerabilità che NON saranno accettate
- Qualsiasi asset al di fuori dello scope indicato.
- Sebbene siano consentite le vulnerabilità che possono causare una denegazione di servizio (DoS), sia per incongruenze di codice, per servizi non aggiornati sulla piattaforma o per librerie che generano cicli ciclomatici eccessivi, sono esclusi dall'ambito le denegazioni di servizio distribuite (DDoS), come attacchi tramite botnet o con strumenti di flooding.
- Enumerazione di account/email.
- Attacchi di forza bruta.
- Content spoofing e text injection senza la capacità di modificare HTML/CSS.
- Auto-sfruttamento (come ad esempio XSS riuscito solo se eseguito in locale, scripting nella console, riutilizzo di token ...).
- Header CORS permissivi.
- Clickjacking con azioni di minimo impatto.
- Tab-nabbing.
- Vulnerabilità legate all'autocompletamento dei moduli.
- Mancanza di header o flag (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, attributi di link “noopener noreferrer”, ecc.) che non possano portare a uno sfruttamento diretto.
- Mancanza di buone pratiche nella configurazione SSL/TLS.
- Supporto per metodi HTTP come OPTIONS.
- Attacchi CSRF senza compromettere l'autenticazione o operazioni critiche (aggiungere ai preferiti, logout, ecc.).
- Esposizione di versioni di software o servizi obsoleti.
- Esposizione di directory o file pubblici (come ad esempio robots.txt) di minimo impatto.
- Bug in browser non comuni o in browser non supportati da Bit2Me.
- Attacchi MITM che richiedono accesso fisico al dispositivo di un utente.
- Qualsiasi attacco fisico contro le proprietà di Bit2me o i suoi data center.
- Pannelli di login accessibili pubblicamente.
- Problemi di UX o di usabilità che non implicano fallimenti di sicurezza.
- Problemi che non hanno impatto sulla sicurezza (ad esempio errore nel caricamento di una pagina).
- Ingegneria sociale, phishing, vishing, smishing contro dipendenti, fornitori, clienti o utenti di Bit2Me.
- Vulnerabilità già note a noi o già segnalate da qualcuno (la ricompensa andrà al primo segnalatore).
- Altro…
Come segnalare un bug?
Invia il tuo rapporto all'indirizzo email: security@bit2me.com.
Includi il maggior numero possibile di prove: titolo della vulnerabilità sfruttata, descrizione di ogni passaggio nello sfruttamento, strumenti utilizzati nello sfruttamento, versione del browser, allega screenshot (o anche video), ecc.
Includi la PoC (prova di concetto), se l'hai realizzata. Sarà obbligatorio includere una spiegazione su come correggere la vulnerabilità segnalata
Attendi fino a 10 giorni lavorativi affinché il nostro team esamini la tua richiesta e ricevi una risposta sull'accettazione della stessa. In caso di accettazione, la ricompensa ti verrà accreditata entro i termini stabiliti nella Politica di risposta (*vedi politica di risposta).
Politica di risposta
Bit2Me farà, sempre, tutto il possibile per seguire la seguente politica di risposta alle richieste inviate dagli hacker che partecipano al nostro programma:
Il nostro tempo massimo per le risposte sull'accettazione della vulnerabilità (dal ricevimento del rapporto) è di: 10 giorni lavorativi
Il pagamento della ricompensa verrà effettuato una volta risolta la vulnerabilità. Questo periodo può richiedere giorni, o anche settimane.
I pagamenti possono essere effettuati come segue:
Criptovalute: Amiamo le criptovalute e, se anche a te piacciono, sarà un piacere pagarti la ricompensa in criptovalute come Bitcoin, Ethereum, Monero o altre.
Ricompense
Le ricompense offerte da Bit2Me vanno da 50€ per vulnerabilità di bassa gravità fino a 5.000€ per quelle altamente critiche.
Le ricompense normali saranno gestite in base al nostro criterio di criticità della vulnerabilità:

Per le vulnerabilità che, dal team interno di cybersecurity dell'azienda, consideriamo MOLTO critiche, Bit2Me prevede una ricompensa speciale di 5.000€.
Nota: Se il rapporto non include una PoC (proof of concept) valida, la valutazione della ricompensa sarà decisa in base alla riproducibilità e alla gravità della vulnerabilità, e l'importo della ricompensa potrà essere ridotto significativamente |
Esempi di vulnerabilità che cerchiamo:
- XSS (escluso self-XSS).
- CSRF (escluso CSRF che coinvolgono azioni senza impatto).
- Remote Code Execution.
- Authentication Bypass.
- SQL Injection.
- Fuga di informazioni sensibili.
- LFI/RFI.
- Privilege Escalation.
- Vulnerabilità che possono causare la perdita di fondi o beni dell'utente.
- Vulnerabilità che possono causare la fuga di dati aziendali riservati da remoto.
Hall of Fame
Tutte le persone, o entità, che segnaleranno vulnerabilità ricompensate saranno pubblicate, se lo desiderano.
Questi sono i membri che, fino ad oggi, hanno segnalato una vulnerabilità accettata:
- Ch Chakradhar
- White Coast Security Private Limited
- Abhishek Pal
- Javier Andreu
- Pratik Yadav
- Sachin Pandey
- Shashank Jyoti
- Moein Abas
- Yash Ahmed Quashim
- Volodymyr "Bob" Diachenko
- Fahim Ali
- Felipe Martinez
- Taniya & Rohan
- Shubham Kushwaha
- Pawan Rawat
- Akash Hamal
- Mehedi Hasan
- Anchal Vij
- Soumen Jana
- Rohan
- Mayank Sahu
- Kartik Singh
- Niket Popat
Questa risposta ti è stata utile?
Fantastico!
Grazie per il tuo feedback
Siamo spiacenti di non poterti essere di aiuto
Grazie per il tuo feedback
Feedback inviato
Apprezziamo il tuo sforzo e cercheremo di correggere l’articolo