Bug Bounty Program de N26 - Une chasse au trésor pour les hackers

Le Bug Bounty Program de N26 offre des récompenses monétaires aux chercheurs en sécurité afin de les encourager à nous remonter des bugs et vulnérabilités et de nous permettre ainsi de les réparer bien avant de subir des dommages.

Comment signaler un bug de sécurité ?

Pour remonter un bug de sécurité :

Vous devez avoir un compte sur HackerOne afin d'être éligible à notre programme Bug Bounty.
Demandez à être invité au Bug Bounty Program de N26 sur HackerOne en envoyant un e-mail indiquant votre nom d'utilisateur HackerOne et votre adresse électronique à l'adresse bugbounty@n26.com.
Les récompenses sont accordées à notre entière discrétion. Veuillez n'envoyer aucun signalement à cette adresse.
Les tests doivent être effectués sur votre propre compte courant N26.

Respectez les règles

Avant de tenter quoi que ce soit, de signaler un bug de sécurité ou de rejoindre notre programme, sachez que le fait de tester notre environnement peut être considéré comme un acte criminel par les autorités compétentes si vous violez la législation allemande ou toute autre législation. Sachez que nos règles ne se substituent à aucune législation en vigueur. Toutefois, nous ne vous signalerons pas aux autorités si vous respectez les règles indiquées — tant que nous ne sommes pas dans l'obligation de le faire conformément aux lois en vigueur.

Pourquoi N26 maintient un Bug Bounty Program ?

N26 accorde la plus haute priorité à la sécurité, et nous travaillons sans relâche afin de proposer des produits sécurisés. Nous appliquons les normes internationales définies par les principales entreprises technologiques et communautés de sécurité. Néanmoins, aucune technologie n'est parfaite, et N26 est convaincue qu'il est crucial de travailler avec des chercheurs en sécurité dans le monde entier afin d'identifier les faiblesses présentes dans n'importe quelle technologie. Si vous trouvez un bug de sécurité dans le cadre de notre programme Bug Bounty, nous vous serions très reconnaissants de nous le signaler. Ainsi, nous pourrons améliorer plus encore la sécurité et la fiabilité de N26.

Liste des points terminaux

api.tech26.de

Ce qu'il fait : Cet endpointest le point d'entrée de notre API. Que vous souhaitiez créer un paiement, vous connecter à votre compte ou modifier votre adresse, un appel sera passé à cet endpoint. Si vous tapez N26 API dans Google, vous trouverez peut-être certaines API non officiels avec des exemples d'appels utilisés. Vous pouvez aussi regarder toutes les requêtes que vous faites à api.tech26.de lorsque vous vous connectez à my.n26.com Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont les bugs de logique applicative, l'élévation des privilèges et l'exécution de code à distance (RCE). Ce qui le fait fonctionner : Notre API est écrite en Java.

app.n26.com

Ce qu'il fait : Ce sous-domaine vous permet d'accéder à une interface côté client qui appelle l'API (api.tech26.de). Il propose un grand nombre des services offerts par le biais de l'application mobile, mais pas la totalité de ces services. Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont des injections XSS (ou script cross-site), l'exposition de données sensibles, l'élévation de privilèges. Ce qui le fait fonctionner : Notre application Web est écrite en Javascript.

Applications iOS et Android

Ce qu'il fait : N26 a deux applications mobiles : iOS et Android. Ce sont les deux principales applications frontend que nous avons, et elles contiennent toutes les fonctionnalités pour les utilisateurs de N26. Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont les mauvaises configurations de sécurité ou l'utilisation de bibliothèques obsolètes/dangereuses. Ce qui le fait fonctionner : Nos applications mobiles sont implémentées en Android/Java et Swift.

Signalements directs

L'inscription à HackerOne est gratuite. Nous encourageons tous les chercheurs à rejoindre le programme à cet endroit. Si, pour des raisons légales ou de sécurité, vous ne pouvez pas utiliser HackerOne, nous vous serions reconnaissants d'effectuer des signalements directs. Ces signalements ne sont pas éligibles aux récompenses Bug Bounty. Si vous êtes dans ce cas, vous pouvez nous envoyer un e-mail à l'adresse security@n26.com.

Personnel

Business

Standard

Smart

You

Metal

Business Standard

Business Smart

Business You

Business Metal

En vedette

Autres fonctionnalités

Et aussi

Compte joint

Crédit

Carte bancaire virtuelle

Virements instantanés

Alimenter mon compte

Apple Pay

Google Pay

Mastercard

IBAN français

Vocabulaire de la banque

Lexique bancaire

Ouvrir un compte bancaire

Assurance mobile

Comprendre la banque

Notre sélection

Les défis des paiements transfrontaliers

Comprendre la déflation : définition, causes et risques

Frais bancaires à l’étranger : quels sont-ils et comment les éviter ?

En vedette

Autres fonctionnalités

Et aussi

Épargne Express

Espaces

Budgeting

Espaces partagés

Partage de frais

Guide des taux d'intérêt

Articles sur le budget

Notre sélection

Prix de rénovation de salle de bains : comment économiser ?

10 étapes faciles pour économiser pour voyager

Comment gagner de l’argent facilement ?

En vedette

Autres fonctionnalités

Et aussi

Actions et ETF

Crypto

Acheter des actions

Investir dans les ETF

Investir son argent

Guide des cryptomonnaies

Articles sur la crypto

Articles sur l'investissement

Glossaire de la crypto

Notre sélection

Trading : définition et conseils pratiques pour débuter

Investir pour atteindre ses objectifs de retraite

Comment utiliser les ETF pour maintenir un portefeuille de placements équilibré ?

Vie d’expat

Voyage

Vie pro

Vie étudiante

Gestion

Autres

Frais de virement international

Virements internationaux

Déménager en Allemagne

Déménager en France

Déménager en Espagne

Déménager en Italie

Articles sur les expatriés

Taux de change

Assurances voyage

Utiliser sa carte bancaire à l’étranger

Articles sur le voyage

Compte pour PME

Impôts en France