Bug Bounty Program de N26: la caza del tesoro de los hackers

El programa de recompensas por errores (Bug Bounty Program) de N26 ofrece recompensas en efectivo para animar a los investigadores en seguridad a que nos informen de errores o vulnerabilidades. Nuestro objetivo: poder repararlos mucho antes de que causen cualquier daño.

Ambiente de trabajo - Equipo N26

Cómo informar sobre un error de seguridad

Para informar sobre un error de seguridad:

  • Necesitas una cuenta en HackerOne para poder participar en nuestro programa de recompensas por errores (Bug Bounty Program).

  • Solicita una invitación para el Bug Bounty Program en HackerOne enviando un mensaje con tu nombre de usuario de HackerOne y tu correo electrónico a bugbounty@n26.com.

  • Las recompensas se conceden a nuestra discreción. No envíes informes a esta dirección.

  • Las pruebas deben llevarse a cabo en tu propia cuenta de N26.

Juega limpio

Antes de intentar nada, de informar sobre un fallo de seguridad o de adherirte a nuestro programa, ten en cuenta que testar nuestro entorno puede ser considerado un delito por la autoridad pertinente si incumples la legislación alemana o cualquier otra. Ten en mente que nuestras reglas están supeditadas a toda legislación aplicable. No obstante, no te denunciaremos a las autoridades si te ciñes al reglamento proporcionado, siempre que la legislación vigente no requiera que lo hagamos.

Por qué N26 tiene un programa de recompensas por errores

En N26 la seguridad es nuestra máxima prioridad, por lo que trabajamos continuamente para ofrecer productos seguros. Seguimos la normativa internacional tal y como la definen las principales compañías tecnológicas y las comunidades de seguridad.

No obstante, la tecnología perfecta no existe y N26 cree que colaborar con investigadores competentes en materia de seguridad es crucial para identificar puntos débiles en cualquier tecnología.

Si encuentras un fallo de seguridad en el marco de nuestro programa de recompensas (Bug Bounty Program), quedaremos muy agradecidos si nos informas de ello. De este modo, podemos seguir mejorando la seguridad y fiabilidad de N26.

Lista de puntos de conexión

api.tech26.de

Qué hace: este punto de conexión es el punto de entrada a nuestra API. Tanto si quieres crear un pago, iniciar sesión en tu cuenta o cambiar tu dirección, se hará una llamada a este punto de conexión. Si buscas N26 API en Google puede que encuentres algunos envoltorios extraoficiales de nuestra API con ejemplos de las llamadas usadas. También puedes mirar cualquier solicitud que hagas a api.tech26.de al conectarte a my.n26.com

Qué buscar: por lo general, estamos interesados en errores lógicos de aplicación, usurpación de privilegios y ejecución remota de código.

Dónde se ejecuta: nuestra API se escribe en Java.

app.n26.com

Qué hace: este subdominio te permite acceder a una interfaz de cliente que invoca la API (api.tech26.de). Ofrece muchos de los servicios prestados mediante la aplicación móvil, pero no todos.

Qué buscar: por lo general estamos interesados en inyección XSS, exposición de datos sensibles, usurpación de privilegios.

Dónde se ejecuta: _nuestra app web se escribe en Javascript.

Aplicaciones iOS y Android

Qué hace: N26 tiene dos aplicaciones móviles: iOS y Android. Estas son las principales aplicaciones de terminal frontal que tenemos y contienen todas las características para los usuarios de N26.

Qué buscar: por lo general nos interesan los errores de configuración de seguridad o el uso de bibliotecas desactualizadas/inseguras.

Dónde se ejecuta: nuestras apps móviles se implementan en Android/Java y Swift.

Informes directos

El registro en HackerOne es gratuito. Animamos a todos los investigadores a adherirse al programa allí. Si, por razones legales o de seguridad, no puedes usar HackerOne, también apreciamos los informes directos, pero estos informes no pueden optar a las recompensas del programa. Si este fuese tu caso, puedes enviarnos un mensaje a nuestro correo electrónico de seguridad: security@n26.com. Utiliza, por favor, el cifrado adecuado. Puedes encontrar nuestra clave PGP aquí.