Das N26 Bug Bounty Program — Eine Schatzsuche für Hacker

Das N26 Bug Bounty Program stellt Geldprämien in Aussicht, um Hacking-Experten zu motivieren, uns auf Bugs oder Schwachstellen im System hinzuweisen, sodass wir diese noch vor Entstehung eines Schadens beheben können.

Arbeitsumfeld - N26 Team

Sicherheitslücke melden - so geht‘s

So meldest du eine Sicherheitslücke:

  • Erstelle ein Konto bei HackerOne, um zu unserem Bug Bounty Program zugelassen zu werden.
  • Beantrage über HackerOne eine Einladung zu unserem Bug Bounty Program, indem du eine E-Mail mit deinem Benutzernamen und deiner E-Mail-Adresse bei HackerOne an bugbounty@n26.com schickst.
  • Die Vergabe von Prämien liegt in unserem Ermessen. Bitte schicke keine Berichte an diese Adresse.
  • Tests sollten mit deinem aktiven N26 Konto erfolgen.

Halte dich an unsere Regeln

Bevor du versuchst, eine Sicherheitslücke zu melden oder dich für unser Programm anzumelden, solltest du beachten, dass Tests unserer Softwareumgebung möglicherweise von den zuständigen Behörden als Straftat betrachtet werden, sofern du dabei gegen deutsches oder anderes Recht verstößt. Bitte beachte, dass die von uns aufgestellten Regelungen keinesfalls über den geltenden Gesetzen stehen. Wir werden dich jedoch nicht den Behörden melden, solange du dich an unsere Regeln hältst - zumindest, sofern wir dazu nicht per Gesetz verpflichtet sind.

Warum hat N26 ein Bug Bounty Program?

Sicherheit genießt bei N26 höchste Priorität und wir arbeiten kontinuierlich daran, sichere Produkte anzubieten. Wir befolgen internationale Standards, die von führenden Technologiekonzernen und Anbietern von Sicherheitslösungen vorgegeben werden.

Dennoch ist keine Technologie perfekt. N26 ist daher davon überzeugt, dass die Zusammenarbeit mit talentierten Hacking-Experten rund um den Globus von zentraler Bedeutung ist, um technische Schwachstellen zu identifizieren.

Wenn du im Rahmen unseres Bug Bounty Program eine Sicherheitslücke entdeckst, würden wir uns sehr freuen, wenn du uns diese meldest. So können wir die Sicherheit und Zuverlässigkeit der Services von N26 weiter verbessern.

Liste von Endpunkten

api.tech26.de

So funktioniert‘s: Dieser Endpunkt dient als Einsprungpunkt in unsere API. Unabhängig davon, ob du eine Zahlung erstellen, dich in dein Konto einloggen oder deine Adresse ändern willst, wird dieser Endpunkt aufgerufen. Wenn du die Begriffe „N26 API“ per Google suchst, wirst du ein paar inoffizielle Wrapper für unsere API sowie Beispiele für die verschiedenen genutzten Calls finden. Du kannst jegliche Anfragen an api.tech26.de auch durch eine Verbindung zu my.n26.com einsehen.

Wonach suchen: Wir sind insbesondere an Bugs in der Anwendungslogik, Privilege Escalations und RCEs interessiert.

Welches System: Unsere API wurde mit Java geschrieben.

app.n26.com

So funktioniert‘s: Diese Subdomain ermöglicht dir den Zugriff auf die clientseitige Schnittstelle, welche die API aufruft (api.tech26.de). Sie bietet zahlreiche Dienste (jedoch nicht alle), die auch durch die Mobilanwendung bereitgestellt werden.

Wonach suchen: Wir sind insbesondere an XSS Injection, Gefährdungen sensibler Daten und Privilege Escalations interessiert.

Welches System: Unsere Web App wurde mit Javascript geschrieben.

iOS & Android Apps

So funktioniert‘s: N26 bietet zwei Mobilanwendungen: iOS & Android. Hier findest du die wichtigsten Frontend-Anwendungen, die wir haben. Sie enthalten alle Funktionen für Nutzer von N26.

Wonach suchen: Wir sind allgemein an fehlerhaften Sicherheitskonfigurationen oder veralteten/nicht sicheren Bibliotheken interessiert.

Welches System: Unsere Mobilanwendungen sind in Android/Java und Swift implementiert.

Direkte Meldungen

Die Anmeldung bei HackerOne ist kostenfrei. Wir rufen alle Hacking-Experten auf, sich dort für unser Programm anzumelden. Wir freuen uns auch über einen direkten Bericht, wenn du aus sicherheitsbedingten oder rechtlichen Gründen HackerOne nicht nutzen kannst. Für diese Berichte kann jedoch keine Bug Bounty Prämie gewährt werden. Schicke uns in diesen Fällen einfach eine E-Mail an security@n26.com. Bitte stelle sicher, dass deine Nachricht ausreichend verschlüsselt ist. Unseren PGP-Key findest du hier.