Bug Bounty Program de N26 - Une chasse au trésor pour les hackers

Le Bug Bounty Program de N26 offre des récompenses monétaires aux chercheurs en sécurité afin de les encourager à nous remonter des bugs et vulnérabilités et de nous permettre ainsi de les réparer bien avant de subir des dommages.

Environnement de travail - Équipe N26

Comment signaler un bug de sécurité ?

Pour remonter un bug de sécurité :

  • Vous devez avoir un compte sur HackerOne afin d'être éligible à notre programme Bug Bounty.

  • Demandez à être invité au Bug Bounty Program de N26 sur HackerOne en envoyant un e-mail indiquant votre nom d'utilisateur HackerOne et votre adresse électronique à l'adresse bugbounty@n26.com.

  • Les récompenses sont accordées à notre entière discrétion. Veuillez n'envoyer aucun signalement à cette adresse.

  • Les tests doivent être effectués sur votre propre compte courant N26.

Respectez les règles

Avant de tenter quoi que ce soit, de signaler un bug de sécurité ou de rejoindre notre programme, sachez que le fait de tester notre environnement peut être considéré comme un acte criminel par les autorités compétentes si vous violez la législation allemande ou toute autre législation. Sachez que nos règles ne se substituent à aucune législation en vigueur. Toutefois, nous ne vous signalerons pas aux autorités si vous respectez les règles indiquées — tant que nous ne sommes pas dans l'obligation de le faire conformément aux lois en vigueur.

Pourquoi N26 maintient un Bug Bounty Program ?

N26 accorde la plus haute priorité à la sécurité, et nous travaillons sans relâche afin de proposer des produits sécurisés. Nous appliquons les normes internationales définies par les principales entreprises technologiques et communautés de sécurité.

Néanmoins, aucune technologie n'est parfaite, et N26 est convaincue qu'il est crucial de travailler avec des chercheurs en sécurité dans le monde entier afin d'identifier les faiblesses présentes dans n'importe quelle technologie.

Si vous trouvez un bug de sécurité dans le cadre de notre programme Bug Bounty, nous vous serions très reconnaissants de nous le signaler. Ainsi, nous pourrons améliorer plus encore la sécurité et la fiabilité de N26.

Liste des points terminaux

api.tech26.de

Ce qu'il fait : Cet endpointest le point d'entrée de notre API. Que vous souhaitiez créer un paiement, vous connecter à votre compte ou modifier votre adresse, un appel sera passé à cet endpoint. Si vous tapez N26 API dans Google, vous trouverez peut-être certaines API non officiels avec des exemples d'appels utilisés. Vous pouvez aussi regarder toutes les requêtes que vous faites à api.tech26.de lorsque vous vous connectez à my.n26.com

Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont les bugs de logique applicative, l'élévation des privilèges et l'exécution de code à distance (RCE).

Ce qui le fait fonctionner : Notre API est écrite en Java.

my.n26.com

Ce qu'il fait : Ce sous-domaine vous permet d'accéder à une interface côté client qui appelle l'API (api.tech26.de). Il propose un grand nombre des services offerts par le biais de l'application mobile, mais pas la totalité de ces services.

Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont des injections XSS (ou script cross-site), l'exposition de données sensibles, l'élévation de privilèges.

Ce qui le fait fonctionner : Notre application Web est écrite en Javascript.

Applications iOS et Android

Ce qu'il fait : N26 a deux applications mobiles : iOS et Android. Ce sont les deux principales applications frontend que nous avons, et elles contiennent toutes les fonctionnalités pour les utilisateurs de N26.

Ce qu'il faut chercher : En général, ce qui nous intéresse, ce sont les mauvaises configurations de sécurité ou l'utilisation de bibliothèques obsolètes/dangereuses.

Ce qui le fait fonctionner : Nos applications mobiles sont implémentées en Android/Java et Swift.

Signalements directs

L'inscription à HackerOne est gratuite. Nous encourageons tous les chercheurs à rejoindre le programme à cet endroit. Si, pour des raisons légales ou de sécurité, vous ne pouvez pas utiliser HackerOne, nous vous serions reconnaissants d'effectuer des signalements directs. Ces signalements ne sont pas éligibles aux récompenses Bug Bounty. Si vous êtes dans ce cas, vous pouvez nous envoyer un e-mail à l'adresse security@n26.com. Veuillez utiliser un chiffrement approprié. Vous trouverez notre clé PGP ici.