セキュリティの問題をバイビットに報告する方法は？

Bybitに関するセキュリティの脆弱性報告を理解する

ユーザーがBYBITのプラットフォームで潜在的なセキュリティの脆弱性を特定する場合、ユーザー資産の迅速なアクションと保護を確保するために、正しいチャネルを通じてそれらを報告することが不可欠です。 Bybitはセキュリティを真剣に受け止め、ホワイトハットの研究者、開発者、ユーザーに、発見された欠陥を責任を持って開示するよう奨励します。このプロセスは、悪意を持って悪用される前に、パッチの弱点をバイビットするのに役立ちます。このような問題を報告する公式の方法は、専用のセキュリティプラットフォームでホストされているBYBitのバグバウンティプログラムを使用することです。

責任ある開示の基礎は、脆弱性の公共の暴露を避けることです。修正が展開される前に詳細を公開すると、ユーザーの資金とデータが危険にさらされる可能性があります。バイビットは、調整された脆弱性の開示をサポートしています。つまり、記者と協力して、安全な方法で問題を検証、再現、解決します。

公式のバグバウンティプログラムへのアクセス

BIBITは、脆弱性レポートを管理するために、バグバウンティプログラムの有名なプラットフォームであるHackeroneと提携しています。レポートプロセスを開始するには：

• ハッケロンの公式バイビットページに移動する： https：//hackerone.com/bybit
• サインアップまたはハッケロンアカウントにログインします
• Bybitプログラムページにある[レポートを送信]ボタンをクリックします
• 先に進む前に、プログラムの範囲とルールを慎重に読んでください

このプログラムは、 API.bybit.com 、 www.bybit.com 、 wss.bybit.comなどの特定のドメインを含む、どの資産が範囲内にあるかを明確に定義しています。また、ソーシャルエンジニアリング、DDOS攻撃、フィッシングキャンペーンなどのスコープ外のアイテムの概要も概説していますが、これらは報酬の資格がありません。

テストが許可された方法の境界内に残っていることを確認してください。ユーザーデータへの不正アクセス、サービス拒否テスト、または許可なしに自動化されたスキャンは厳密に禁止されており、失格をもたらす可能性があります。

詳細な脆弱性レポートの準備

高品質のレポートは、迅速な検証と報酬の適格性の可能性を高めます。レポートを送信するときは、次のコンポーネントを含めます。

• 脆弱性を要約するクリアタイトル（例：「ユーザープロファイルセクションに保存されたXSS」）
• 欠陥の性質を説明する詳細な説明
• セキュリティチームが問題を再現できるように、段階的な複製手順
• スクリーンショット、ビデオ録画、ネットワークログなどの証拠をサポートする
• 潜在的な影響の概要を示すリスク評価（例、アカウントの買収、データの漏れ）
• 知られている場合は、修復を提案しました

たとえば、ユーザー情報をリークする安全でないAPIエンドポイントを発見した場合、レポートには正確なエンドポイントURL、使用されたHTTPメソッド、要求および応答サンプル（機密データ編集）、およびリークが発生する条件を含める必要があります。

トラフィックをキャプチャするときは常にHTTPを使用し、レポートに実際のユーザー資格情報やプライベートキーを含めることを避けてください。 Burp Suite 、 Postman 、Browser開発者ツールなどのツールは、技術的な詳細を安全に収集するのに役立ちます。

レポートの提出と追跡

レポートを準備した後、ハッケロンポータルから送信してください。

• 衝撃に基づいて適切な重大度レベルを選択します
• すべてのサポートファイルを添付します
• レポートを提出し、応答を待ちます

提出すると、Bybitのセキュリティチームは、通常5営業日以内に定義された時間枠内で領収書を認めます。レポートのステータスをハッケロンダッシュボードで直接監視できます。ステータスには、「トリアージ」、「進行中」、「解決」、または「複製」が含まれる場合があります。

チームが追加情報を要求した場合、専門的に関与します。迅速な応答は、解決プロセスを加速するのに役立ちます。重要な更新が予想されない限り、72時間ごとに1回以上フォローアップの問い合わせを行わないようにしてください。

レポートが有効で以前は不明である場合、BYBitのバグバウンティプログラムの下で金銭的な報酬の対象となる場合があります。リモートコードの実行や主要な認証バイパスなどの重要な脆弱性については、重大度に基づいて500ドルから50,000ドル以上の範囲で異なります。

機密性と責任ある開示

レポートを提出することにより、Bybitが完全に対処するまで、脆弱性の詳細を秘密にすることに同意します。これには、以下を控えることが含まれます。

• フォーラム、ソーシャルメディア、またはブログで問題を公に議論する
• 第三者へのエクスプロイトを実証する
• 概念実証に必要なものを超えて脆弱性を活用します

バイビットは、脆弱性が十分に緩和され、いつ開示が発生するかを決定する権利を留保します。場合によっては、研究者が同意した場合、彼らは公的安全保障勧告で記者を称賛することがあります。

機密性に違反すると、特に悪意のある使用またはデータ除去が検出された場合、賞金プログラムからの失格と潜在的な法的措置が発生する可能性があります。倫理的行動は、参加の中心的な要件です。

非研究者向けの代替報告方法

あなたがセキュリティ研究者ではありませんが、疑わしいログインアクティビティ、フィッシングの試み、アカウントへの侵害など、セキュリティの懸念に遭遇したと考えている場合、代わりにBYBITのカスタマーサポートチャネルを使用します。

• Bibitアカウントにログインします
• https://www.bybit.com/support/のヘルプセンターをご覧ください
• 「セキュリティ」カテゴリでチケットを開きます
• タイムスタンプ、IPアドレス、トランザクションIDなどの関連する詳細を提供する

緊急の場合は、 security@bybit.comに直接お問い合わせください。このメールは内部セキュリティチームによって監視されており、検証されたセキュリティインシデントにのみ使用する必要があります。件名に「セキュリティの問題」を含め、電子メールでパスワードや2FAコードなどの機密データの送信を避けてください。

関連するログまたはスクリーンショットを添付して、調査を支援します。許可されていない引き出しやログインの試みなどのアカウント関連の脅威は、すぐにエスカレートされます。

よくある質問

ハッケロンアカウントなしで脆弱性を報告できますか？いいえ。すべての正式な脆弱性レポートは、Bybitのバグバウンティプログラムがホストされているハッケロンプラットフォームを介して提出する必要があります。レポートを送信および追跡するには、無料のアカウントを作成する必要があります。

どのような種類の脆弱性が報酬の対象となりますか？適格な問題には、認証バイパス、安全でないダイレクトオブジェクト参照（IDOR） 、クロスサイトスクリプト（XSS） 、サーバー側のリクエストフォーファリー（SSRF） 、および安全なAPI実装が含まれます。重大度と衝撃により、報酬額が決まります。

すべてのバイビットドメインでテストが許可されていますか？いいえ。ハッケロンプログラムのスコープ内セクションにリストされているドメインのみがテストに許可されています。サードパーティのサービスまたはスコープ外のドメインでのテストは、プログラムからの除外につながる可能性があります。

レポートに対して認識を受け取りますか？バイビットは、提出中にオプトインした場合、セキュリティアドバイザリへの貢献を公に認めることができます。認識には通常、ハッケロンのユーザー名と脆弱性のタイトルが含まれており、個人情報は明らかにされていません。