Atualizado em Wed, 3 Jan, 2024 em 11:37 AM
Na Bit2Me adoramos a cultura hacker. Sentimo-nos muito identificados com esta corrente que faz parte do DNA da nossa empresa. Tanto que alguns de nós participam em hackathons e CTFs (Capture-The-Flag). Na Bit2Me estamos sempre dispostos a colaborar e organizar eventos alinhados com este pensamento.
A fim de mover a sociedade para um mundo onde as criptomoedas como Bitcoin são mais amplamente aceites, estamos a trabalhar para construir a melhor plataforma do mundo para as criptomoedas.
Isto nos ajudará a fazer um mundo muito mais justo e democrático, sem o monopólio do dinheiro, como é actualmente o caso do dinheiro dos bancos centrais. Em que alguns escravizam o resto da humanidade por causa da forma como funcionam.
Estamos conscientes do ritmo frenético que uma startup como a nossa pode ter (actualizações, novos produtos, ...) Como seres humanos, também estamos conscientes de que não somos perfeitos e podemos esquecer algo.
Portanto, comunidade hacker, este documento é um apelo para si. Colocamos à sua disposição a melhor recompensa de bug bounty que conseguimos criar, tendo em conta a dimensão actual da nossa empresa. À medida que crescemos, iremos actualizando.
Uma pergunta normal que pode fazer a si próprio, e com razão, é: Como posso ter a certeza de que a Bit2Me será sincera na rejeição da vulnerabilidade, justificando que a vulnerabilidade já foi denunciada?
Como diz um dos famosos lemas do mundo das criptomoedas: “Don’t trust, Verify!"
Como sabem, adoramos inovar, e adoramos a tecnologia da criptomoeda. Com isto em mente, e para dar o exemplo com os valores e vantagens que a tecnologia Blockchain traz, todas as vulnerabilidades relatadas e aceites serão publicadas em Blockchain.
Assim que uma vulnerabilidade for denunciada e aceite, mesmo antes de ser corrigida pela nossa equipa, faremos o seguinte:
Juntaremos toda a informação sobre vulnerabilidade e criaremos um relatório em formato PDF.
A partir do relatório PDF recentemente criado, vamos gerar uma impressão digital ( hash checksum).
Emitiremos uma transacção para a blockchain Ethereum, incluindo nela o hash gerado do documento.
Esta transacção permanecerá transparente e imutável na rede para sempre, sendo totalmente impossível de alterar, e sendo reflectida no momento em que foi criada.
Se esse hash existia nessa altura, significa que o documento, e com ele a informação que o compõe, também existia.
Se alguém nos denunciar posteriormente uma vulnerabilidade semelhante, forneceremos o relatório PDF, e a transacção.
Com o relatório ele poderá gerar a impressão digital sozinho e verificar se já foi registado o hash no passado, graças à transacção de Ethereum fornecida, onde ele poderá ver a data exacta da transacção.
Para o hash / checksum do relatório, utilizaremos o algoritmo SHA-512.
Limitamos a zona de ação para o varrimento de vulnerabilidades aos seguintes domínios / subdomínios:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Aplicaciones Bit2me de Android e iOS
Envia tu informe al correo electrónico:
Terá de utilizar a seguinte chave pública PGP para encriptar o e-mail: https://bit2me.com/bugbounty-pgp.txt
Incluir o máximo de provas possíveis: título da vulnerabilidade explorada, descrição de cada etapa da exploração, ferramentas utilizadas na exploração, versão do navegador, anexar screenshots (ou inclusive vídeo), etc.
Incluir o CdP (prova de conceito), se o tiver realizado. Será obrigatório incluir uma explicação sobre como corrigir a vulnerabilidade denunciada.
Por favor, aguarde até 10 dias úteis para que a nossa equipa reveja a sua candidatura e receba uma resposta sobre se aceitamos a sua candidatura. Se aceite, a sua recompensa será creditada dentro do prazo estipulado na Política de Resposta (*ver política de resposta).
Bit2Me fará, a todo o momento, todos os esforços para seguir a seguinte política na resposta aos pedidos submetidos pelos hackers que participam no nosso programa:
O nosso tempo máximo de resposta sobre a aceitação da vulnerabilidade (a partir da recepção do relatório) é de: 10 dias úteis.
A recompensa será paga quando a vulnerabilidade for corrigida. Este período pode demorar dias ou mesmo semanas.
Os pagamentos podem ser efectuados da seguinte forma:
Criptomoedas: Adoramos criptomoedas e se você também as adora, teremos todo o prazer em pagar-lhe a recompensa em moedas criptográficas como Bitcoin, Ethereum, Monero ou outras.
As recompensas atribuídas pela Bit2Me vão desde 50€ para vulnerabilidades baixas até 5.000€ para as altamente críticas.
As recompensas normais serão administradas com base nos nossos critérios de criticidade de vulnerabilidade:
Para vulnerabilidades que, a equipa interna de cibersegurança da empresa considere MUITO críticas, a Bit2Me tem uma recompensa especial de 5.000 euros.
Nota: Se o relatório não incluir um PdC válido (prova de conceito), a classificação da recompensa será decidida de acordo com a reprodutibilidade e a gravidade da vulnerabilidade, e o montante da recompensa pode ser significativamente reduzido.
Todas as pessoas, ou entidades, que reportarem vulnerabilidades que sejam recompensadas serão publicadas, se assim o desejarem.
Estes são os membros que, a partir de hoje, denunciaram uma vulnerabilidade aceite:
Esta resposta foi útil? Yes No
Send feedback