Bug Bounty Program di N26—Una caccia al tesoro per gli hacker

Il Bug Bounty Program di N26 offre premi in denaro per incoraggiare i ricercatori attivi nel settore della sicurezza a tenerci informati su bug e vulnerabilità, per permetterci di prevenire con largo anticipo potenziali danni.

Ambiente di lavoro - team N26

Come segnalare un bug della sicurezza

Per segnalare un bug della sicurezza:

  • Per poter beneficiare del nostro Bug Bounty Program hai bisogno di un account su HackerOne.

  • Richiedi un invito al nostro programma a premi per la segnalazione di bug della sicurezza su HackerOne inviando un’e-mail con il tuo nome utente HackerOne a [bugbounty@n26.com](mailto: bugbounty@n26.com).

  • I premi vengono assegnatii a nostra discrezione. Non inviare segnalazioni a questo indirizzo.

  • I test devono essere eseguiti sul proprio conto N26 attivo.

Agisci secondo le regole

Prima di compiere qualsiasi azione, fare segnalazioni di un bug della sicurezza o aderire al nostro programma, ricorda che eseguire dei test sul nostro ambiente può essere considerato un atto criminale dalle autorità competenti, se violi la legge tedesca o qualsiasi altra legge. Le nostre regole non sostituiscono alcuna legge applicabile. Tuttavia, se rispetterai le regole non ti segnaleremo alle autorità, a meno ciò non ci venga imposto per legge.

Perché N26 ha un programma a premi per la segnalazione di bug della sicurezza

La sicurezza ha la massima priorità in N26 e lavoriamo costantemente per offrire prodotti sicuri. Seguiamo gli standard internazionali definiti dalle principali società tecnologiche e dalle comunità per la sicurezza.

Tuttavia, nessuna tecnologia è perfetta e N26 ritiene che collaborare con esperti ricercatori attivi nel settore della sicurezza in tutto il mondo sia fondamentale per individuare i punti deboli di qualsiasi tecnologia.

Qualora dovessi riscontrare un bug della sicurezza nell’ambito del nostro programma, ti saremmo molto grati se ce lo segnalassi. In tal modo, potremo migliorare ulteriormente la sicurezza e l'affidabilità di N26.

Elenco degli endpoint

api.tech26.de

Cosa fa: Questo endpoint è il punto di ingresso della nostra API. Che voglia eseguire un pagamento, accedere al tuo conto o modificare il tuo indirizzo, verrà effettuata una chiamata a questo endpoint. Se cerchi su Google “API di N26”, potresti trovare dei wrapper non ufficiali per la nostra API con esempi di chiamate utilizzate. Puoi visualizzare le eventuali richieste fatte ad api.tech26.de anche collegandoti a my.n26.com

Cosa cercare: In generale, siamo interessati a bug di logica dell’applicazione, privilege escalation e RCE.

Eseguibilità: La nostra API è scritta in Java.

my.n26.com

Cosa fa: Questo sottodominio consente di accedere a un'interfaccia lato client che chiama l'API (api.tech26.de). Fornisce molti dei servizi offerti tramite l’app per dispositivi mobili, ma non tutti.

Cosa cercare: In generale, siamo interessati a iniezione di XSS, esposizione dei dati sensibili, privilege escalation.

Eseguibilità: La nostra app web è scritta in linguaggio Javascript.

App per iOS e Android

Cosa fa: N26 ha due app per dispositivi mobili: iOS e Android. Queste sono le nostre app principali per il frontend e contengono tutte le funzionalità per gli utenti N26.

Cosa cercare: In generale, siamo interessati a errori di configurazione della sicurezza o all'utilizzo di librerie obsolete/non sicure.

Eseguibilità: Le nostre app per dispositivi mobili sono implementate in Android/Java e Swift.

Segnalazioni dirette

L'iscrizione a HackerOne è gratuita. Incoraggiamo tutti i ricercatori a partecipare al programma. Se, per motivi di sicurezza o legali, non puoi utilizzare HackerOne, sono gradite anche le segnalazioni dirette. Queste segnalazioni non sono idonee a ricevere i premi del Bug Bounty. Se è questo il tuo caso, puoi inviare un’e-mail all’indirizzo security@n26.com. Usa la crittografia corretta. La nostra chiave PGP può essere trovata here.