Comment signaler une émission de sécurité à Bybit?

Signalez les vulnérabilités de sécurité sur Bybit via Hackerone pour garantir la divulgation responsable, protéger les actifs des utilisateurs et potentiellement gagner des récompenses jusqu'à 50 000 $.

Aug 11, 2025 at 01:22 pm

Comprendre les rapports de vulnérabilité de sécurité sur le recours

Lorsque les utilisateurs identifient les vulnérabilités de sécurité potentielles sur la plate-forme de Bybit, il est essentiel de les signaler via les canaux corrects pour garantir l'action rapide et la protection des actifs des utilisateurs. Bybit prend la sécurité au sérieux et encourage les chercheurs, les développeurs et les utilisateurs de White Hat à divulguer les défauts découverts de manière responsable. Ce processus aide à parcourir les faiblesses du patch avant de pouvoir être exploitées avec malveillance. La méthode officielle de signalement de tels problèmes est le programme BUG Bounty de Bybit hébergé sur une plate-forme de sécurité dédiée.

Le fondement de la divulgation responsable est d'éviter l'exposition publique de la vulnérabilité. Le partage publique des détails avant un correctif est déployé peut mettre en danger les fonds d'utilisateurs et les données. Bybit prend en charge la divulgation coordonnée de la vulnérabilité, ce qui signifie qu'ils travaillent avec les journalistes pour valider, reproduire et résoudre le problème de manière sécurisée.

Accéder au programme officiel de primes de bogues

Bybit s'associe à Hackerone , une plate-forme bien connue pour les programmes de primes de bogues, pour gérer les rapports de vulnérabilité. Pour commencer le processus de rapport:

• Accédez à la page de recours officielle sur Hackerone : https://hackerone.com/bybit
• Inscrivez-vous ou connectez-vous à votre compte Hackerone
• Cliquez sur le bouton «Soumettre un rapport» situé sur la page du programme Bybit
• Lisez soigneusement la portée et les règles du programme avant de continuer

Le programme définit clairement quels actifs sont dans la portée, y compris des domaines spécifiques comme api.bybit.com , www.bybit.com et wss.bybit.com . Il décrit également des éléments hors score tels que l'ingénierie sociale, les attaques DDOS et les campagnes de phishing, qui ne sont pas éligibles à des récompenses.

Assurez-vous que vos tests restent dans les limites des méthodes autorisées. L'accès non autorisé aux données des utilisateurs, aux tests de déni de service ou à la numérisation automatisée sans autorisation est strictement interdit et peut entraîner une disqualification.

Préparer un rapport de vulnérabilité détaillé

Un rapport de haute qualité augmente la probabilité de validation rapide et d'admissibilité à la récompense. Lors de la soumission d'un rapport, incluez les composants suivants:

• Titre clair résumant la vulnérabilité (par exemple, «STORODED XSS dans la section du profil utilisateur»)
• Description détaillée expliquant la nature du défaut
• Instructions de reproduction étape par étape afin que l'équipe de sécurité puisse reproduire le problème
• Des preuves à l'appui telles que des captures d'écran, des enregistrements vidéo ou des journaux réseau
• Évaluation des risques décrivant l'impact potentiel (par exemple, prise de contrôle du compte, fuite de données)
• Association suggérée si elle est connue

Par exemple, si vous découvrez un point de terminaison API non sécurisé qui divulgue les informations de l'utilisateur, votre rapport doit inclure l'URL du point de terminaison exact, la méthode HTTP utilisée, la demande et les échantillons de réponse (avec des données sensibles expurgées) et les conditions dans lesquelles la fuite se produit.

Utilisez toujours HTTPS lors de la capture du trafic et évitez d'inclure des informations d'identification utilisateur réelles ou des clés privées dans votre rapport. Des outils comme Burp Suite , Postman ou Browser Developer Tools peuvent aider à recueillir les détails techniques en toute sécurité.

Soumettre et suivre votre rapport

Après avoir préparé votre rapport, soumettez-le via le portail Hackerone:

• Sélectionnez le niveau de gravité approprié en fonction de l'impact
• Joindre tous les fichiers supportés
• Soumettez le rapport et attendez une réponse

Une fois soumis, l'équipe de sécurité de Bybit accusera le reçu dans un délai défini, généralement dans les cinq jours ouvrables . Vous pouvez surveiller l'état de votre rapport directement dans votre tableau de bord Hackerone. Les statuts peuvent inclure «triaté», «en cours», «résolu» ou «dupliquer».

Engagez professionnellement si l'équipe demande des informations supplémentaires. Les réponses rapides aident à accélérer le processus de résolution. Évitez de faire des demandes de suivi plus d'une fois toutes les 72 heures à moins que des mises à jour critiques ne soient attendues.

Si votre rapport est valide et auparavant inconnu, il peut être admissible à une récompense monétaire dans le programme BUG Bounty de Bybit. Les récompenses varient en fonction de la gravité, allant de 500 $ à 50 000 $ ou plus pour les vulnérabilités critiques telles que l'exécution du code distant ou les contournements d'authentification majeurs.

Confidentialité et divulgation responsable

En soumettant un rapport, vous acceptez de garder les détails de la vulnérabilité Confidentiel jusqu'à ce que le borbit en ait pleinement abordé. Cela comprend s'abstenir de:

• Discuter publiquement de la question des forums, des médias sociaux ou des blogs
• Démontrer l'exploit à des tiers
• Exploiter la vulnérabilité au-delà de ce qui est nécessaire pour la preuve de concept

Bybit se réserve le droit de déterminer quand une vulnérabilité est suffisamment atténuée et quand une divulgation peut se produire. Dans certains cas, ils peuvent créditer le journaliste dans leurs conseils de sécurité publique, à condition que le chercheur consente.

La violation de la confidentialité peut entraîner la disqualification du programme de primes et une action en justice potentielle, en particulier si une utilisation malveillante ou une exfiltration de données est détectée. La conduite éthique est une principale exigence de participation.

Méthodes de rapport alternatives pour les non-chercheurs

Si vous n'êtes pas un chercheur en sécurité, mais croyez que vous avez rencontré un problème de sécurité - comme une activité de connexion suspecte, des tentatives de phishing ou un accès compromis à des comptes - utilisez plutôt les canaux de support client de Bybit.

• Connectez-vous à votre compte de recours
• Visitez le centre d'aide à https://www.bybit.com/support/
• Ouvrez un billet dans la catégorie «Sécurité»
• Fournir des détails pertinents tels que les horodatages, les adresses IP et les ID de transaction

Pour les cas urgents, contactez directement Security@bybit.com . Cet e-mail est surveillé par l'équipe de sécurité interne et ne doit être utilisé que pour les incidents de sécurité vérifiés. Incluez le «problème de sécurité» dans la ligne d'objet et évitez d'envoyer des données sensibles comme des mots de passe ou des codes 2FA par e-mail.

Joignez tous les journaux ou captures d'écran pertinents pour aider à l'enquête. Les menaces liées aux comptes telles que les retraits non autorisés ou les tentatives de connexion seront immédiatement dégénés.

Questions fréquemment posées

Puis-je signaler une vulnérabilité sans compte Hackerone?

Non. Tous les rapports de vulnérabilité formels doivent être soumis via la plate-forme Hackerone où le programme BUG Bounty de Bybit est hébergé. La création d'un compte gratuit est nécessaire pour soumettre et suivre les rapports.

Quels types de vulnérabilités sont admissibles à des récompenses?

Les problèmes éligibles incluent le contournement d'authentification , les références d'objets directs insécurisés (IDOR) , les scripts croisés (XSS) , le contrefaçon de demande côté serveur (SSRF) et les implémentations API insécurisées . La gravité et l'impact déterminent le montant de récompense.

Les tests sont-ils autorisés sur tous les domaines de recours?

Non. Seuls les domaines répertoriés dans la section dans le scope du programme Hackerone sont autorisés pour les tests. Les tests sur des services tiers ou des domaines hors scope peuvent conduire à l'exclusion du programme.

Vais-je recevoir une reconnaissance pour mon rapport?

Bybit peut reconnaître publiquement votre contribution à leurs avis de sécurité si vous vous admirez pendant la soumission. La reconnaissance comprend généralement votre nom d'utilisateur Hackerone et le titre de vulnérabilité, sans détails personnels divulgués.