Das N26 Bug Bounty Program — Eine Schatzsuche für Hacker

Das N26 Bug Bounty Program stellt Geldprämien in Aussicht, um Hacking-Experten zu motivieren, uns auf Bugs oder Schwachstellen im System hinzuweisen, sodass wir diese noch vor Entstehung eines Schadens beheben können.

Sicherheitslücke melden - so geht‘s

So meldest du eine Sicherheitslücke:

Erstelle ein Konto bei HackerOne, um zu unserem Bug Bounty Program zugelassen zu werden.
Beantrage über HackerOne eine Einladung zu unserem Bug Bounty Program, indem du eine E-Mail mit deinem Benutzernamen und deiner E-Mail-Adresse bei HackerOne an bugbounty@n26.com schickst.
Die Vergabe von Prämien liegt in unserem Ermessen. Bitte schicke keine Berichte an diese Adresse.
Tests sollten mit deinem aktiven N26 Konto erfolgen.

Halte dich an unsere Regeln

Bevor du versuchst, eine Sicherheitslücke zu melden oder dich für unser Programm anzumelden, solltest du beachten, dass Tests unserer Softwareumgebung möglicherweise von den zuständigen Behörden als Straftat betrachtet werden, sofern du dabei gegen deutsches oder anderes Recht verstößt. Bitte beachte, dass die von uns aufgestellten Regelungen keinesfalls über den geltenden Gesetzen stehen. Wir werden dich jedoch nicht den Behörden melden, solange du dich an unsere Regeln hältst - zumindest, sofern wir dazu nicht per Gesetz verpflichtet sind.

Warum hat N26 ein Bug Bounty Program?

Sicherheit genießt bei N26 höchste Priorität und wir arbeiten kontinuierlich daran, sichere Produkte anzubieten. Wir befolgen internationale Standards, die von führenden Technologiekonzernen und Anbietern von Sicherheitslösungen vorgegeben werden. Dennoch ist keine Technologie perfekt. N26 ist daher davon überzeugt, dass die Zusammenarbeit mit talentierten Hacking-Experten rund um den Globus von zentraler Bedeutung ist, um technische Schwachstellen zu identifizieren. Wenn du im Rahmen unseres Bug Bounty Program eine Sicherheitslücke entdeckst, würden wir uns sehr freuen, wenn du uns diese meldest. So können wir die Sicherheit und Zuverlässigkeit der Services von N26 weiter verbessern.

Liste von Endpunkten

api.tech26.de

So funktioniert‘s: Dieser Endpunkt dient als Einsprungpunkt in unsere API. Unabhängig davon, ob du eine Zahlung erstellen, dich in dein Konto einloggen oder deine Adresse ändern willst, wird dieser Endpunkt aufgerufen. Wenn du die Begriffe „N26 API“ per Google suchst, wirst du ein paar inoffizielle Wrapper für unsere API sowie Beispiele für die verschiedenen genutzten Calls finden. Du kannst jegliche Anfragen an api.tech26.de auch durch eine Verbindung zu my.n26.com einsehen. Wonach suchen: Wir sind insbesondere an Bugs in der Anwendungslogik, Privilege Escalations und RCEs interessiert. Welches System: Unsere API wurde mit Java geschrieben.

app.n26.com

So funktioniert‘s: Diese Subdomain ermöglicht dir den Zugriff auf die clientseitige Schnittstelle, welche die API aufruft (api.tech26.de). Sie bietet zahlreiche Dienste (jedoch nicht alle), die auch durch die Mobilanwendung bereitgestellt werden. Wonach suchen: Wir sind insbesondere an XSS Injection, Gefährdungen sensibler Daten und Privilege Escalations interessiert. Welches System: Unsere Web App wurde mit Javascript geschrieben.

iOS & Android Apps

So funktioniert‘s: N26 bietet zwei Mobilanwendungen: iOS & Android. Hier findest du die wichtigsten Frontend-Anwendungen, die wir haben. Sie enthalten alle Funktionen für Nutzer von N26. Wonach suchen: Wir sind allgemein an fehlerhaften Sicherheitskonfigurationen oder veralteten/nicht sicheren Bibliotheken interessiert. Welches System: Unsere Mobilanwendungen sind in Android/Java und Swift implementiert.

Direkte Meldungen

Die Anmeldung bei HackerOne ist kostenfrei. Wir rufen alle Hacking-Experten auf, sich dort für unser Programm anzumelden. Wir freuen uns auch über einen direkten Bericht, wenn du aus sicherheitsbedingten oder rechtlichen Gründen HackerOne nicht nutzen kannst. Für diese Berichte kann jedoch keine Bug Bounty Prämie gewährt werden. Schicke uns in diesen Fällen einfach eine E-Mail an security@n26.com.

Privat

Business

Standard

Smart

You

Metal

Business Standard

Business Smart

Business You

Business Metal

Highlights

Weitere Features

Mehr

Gemeinschaftskonto

Kredit

Dispokredit

Ratenzahlung

Digitale Karte

Kontowechselservice

Sofortüberweisung

Bargeld

Geld einzahlen

Apple Pay

Google Pay

Mastercard

Bankbegriffe

Banking Glossar

Konto eröffnen

Handyversicherung

Banking Basics

Unsere Empfehlungen

Die Herausforderungen grenzüberschreitender Zahlungen

Was ist eine Deflation?

So gehst du mit Fremdwährungsgebühren im Ausland um

Highlights

Weitere Features

Mehr

Tagesgeldkonto

Spaces–Unterkonten

Geld sparen

Shared Spaces

Rechnungen teilen

Cashback

Kreditzinssatz- & Zinsleitfaden

Artikel zum Sparen

Unsere Empfehlungen

So kannst du in 10 einfachen Schritten für deine Traumreise sparen

Auszeit gewünscht? So finanzierst du dein Sabbatical

Was ist Festgeld und wie funktioniert es?

Highlights

Weitere Features

Mehr

Aktien und ETFs

Krypto

Aktien kaufen

ETFs kaufen

Geld anlegen

Leitfaden zu Kryptowährungen

Krypto-Artikel

Artikel zum Investieren

Krypto-Begriffe

Unsere Empfehlungen

Positionstrading – Vor- und Nachteile der Anlagestrategie

Wie du mit ETFs ein ausgewogenes Portfolio aufbaust

Investieren für Anfänger: Das musst du wissen

Leben als Expat

Reisen

Arbeit

Studium

Finanztools

Mehr

Gebühren für Fremdwährungstransaktionen‌

Auslandsüberweisungen

Einwanderung nach Deutschland

Umzug nach Frankreich

Umzug nach Italien

Einwanderung nach Spanien

Expat-Artikel

Währungsumtausch

Reiseversicherung