Hunterspay Hunterspay Daily Intel
Programa Novo

eToro abre MBB no Bugcrowd: até $15k em fintech social trading

eToro, plataforma de social trading com mais de 35M de usuários, abre Managed Bug Bounty no Bugcrowd pagando de $100 a $15.000 — fintech regulada em múltiplas jurisdições é superfície rica pra IDOR, auth bypass e lógica de trading.

O programa é open access e cobre uma das maiores plataformas de copy trading do mundo, com fluxos de ordem, carteiras de crypto, KYC e features sociais como CopyTrader. Teto de $15k é modesto pra escala da empresa, mas MBB no Bugcrowd significa triagem rápida e pagamento confiável. Hunter que entende fluxos de investimento social tem vantagem clara aqui.

Payload · grep · PoCGET /api/v1/positions/§FUZZ§ — IDOR test com Intruder em IDs sequenciais

Contexto

eToro foi fundada em 2007 e hoje opera em mais de 140 países, regulada pela FCA (UK), CySEC (EU) e ASIC (AU). A plataforma combina corretora tradicional (ações, ETFs, crypto) com features de rede social — CopyTrader, CopyPortfolios — o que cria superfícies de ataque únicas em lógica de negócio. Programas de fintech com regulação multi-jurisdição tendem a ter APIs legadas e integrações de terceiros mal auditadas.

Mecânica técnica

Superfícies prioritárias: (1) endpoints de ordem e posição — testar IDOR entre accounts via IDs numéricos sequenciais em GET /api/v1/positions/{id}; (2) CopyTrader — manipulação de relação copier/copied sem autorização explícita; (3) fluxo de withdrawal de crypto — race condition clássico entre validação de saldo e execução; (4) OAuth social login (Facebook/Google) — account takeover via misconfigured redirect_uri; (5) WebSocket de feed de preços — injeção ou replay de ticks pra trigger de ordens a preços incorretos. O stack inclui web app React, mobile nativo (iOS/Android) e API REST documentada parcialmente em /api/v1/.

Análise Hunterspay

O que a gente tira disso

Programa MBB com teto $15k em fintech dessa escala sugere scope restrito ou exclusão explícita de bugs de alto impacto financeiro direto — leia o policy antes de investir tempo em price manipulation. A vantagem está em bugs de lógica social (CopyTrader abuse, portfolio visibility leak) que hunters genéricos ignoram por não entender o modelo de negócio. IDOR em contas de investimento com dados regulados (MiFID II / FCA) pode ter impacto de compliance que eleva severity além do CVSS técnico.

Como replicar em outros alvos

  • Burp Suite: interceptar fluxo de CopyTrader e testar IDOR trocando copied_user_id por IDs de outras contas
  • Arjun em /api/v1/ pra descobrir parâmetros não documentados nos endpoints de ordem
  • Testar race condition em /withdrawal/crypto com 10 requests paralelos após validação de saldo
  • Revisar mobile app (Android APK via jadx) pra endpoints hardcoded e tokens de API expostos em SharedPreferences
  • Shodan: `ssl.cert.subject.cn:etoro.com` pra mapear subdomínios e serviços legados fora do scope principal

Leitura extra

Bounty
$15,000
Stack
react · rest-api · websocket · ios · android · oauth2 · crypto-wallets
Ler fonte original →
Aprenda com quem ensina

Quer virar hunter de verdade? Curso do Ofjaaah.

Metodologia de quem já reportou 3 dígitos de vulnerabilidades em HackerOne, Bugcrowd e Intigriti. Do recon ao report pago — sem teoria inútil.

Ver curso →
WhatsApp Telegram LinkedIn X