Anzeige
FINTECH27. Dezember 2016

N26 will gehackt werden! FinTech kooperiert mit White-Hat-Hacker-Talenten und startet Bug Bounty Programm

dean drobot/bigstock.com
dean drobot/bigstock.com

Vincent Haupert von der Uni Erlangen-Nürnberg ist der Schreck etlicher Banken: Vor einem Jahr zeigte er, wie man die Sparkassen-App (unter speziellen Bedingungen) austrickst und im September knackte er das Online-Banking des FinTechs N26, meldete die Lücken und half bei der Behebung (mehr auf Gründerszene). Zum Glück ist Vincent Haupert ein White-Hat. Nun geht N26 in die Offensive und will sich gezielt hacken lassen, um die Sicherheit zu verbessern: per Bug Bounty Programm – mit Belohnungen zwischen 100 und 1000 Euro pro gemeldeter Lücke.

N26 will mehr für seine IT-Sicherheit tun und startet heute sein eigenes Bug Bounty Programm: Diese Initiative lädt Hacker-Talente auf der ganzen Welt ein, praktische und theoretische Sicherheitslücken unter rechtlichen Rahmenbedingungen und ohne Kunden zu
schaden herauszufinden und an N26 zu melden. Das Ziel ist es , das Mobile Banking sicher zu machen, aber nicht auf Funktionalität der N26-App zu verzichten. Bug Bounty Programme gelten bei vielen Technologieunternehmen als eine Methode, um im Wettlauf zwischen Crackern und Programmierern die Nase vorne zu haben. Sie setzen neben internen Sicherheitschecks und -standards auch auf externe IT-Expertise.

n26-number26-2016-516N26 hat ein internes IT-Sicherheitsteam und führt regelmäßig Penetrationstests durch. Jedoch ist Softwareentwicklung komplex, und unzählige Beispiele zeigen, dass es keine Möglichkeit gibt, Fehler komplett auszuschließen. Das gilt für Startups wie für etablierte Unternehmen genauso wie für Open Source Projekte. Bug Bounty Programme erhöhen den IT-Schutz. Während besonders Unternehmen aus den USA auf externe IT-Spezialisten setzen, sind Bug Bounty Programme in Deutschland noch nicht weit verbreitet.

Zwischen 100€ und 1000€ je Bug

Im Detail geht es N26 um Schwachstellen, die in den Bereichen Cross Site Request Forgery, Cross Site Scripting und Remote Code Execution aufkommen, und mögliche Umgehungen der Authentifizierung oder Erlangen von höheren Rechten. Eingereichte Bugs prüft N26, und bei Erfüllung der festgelegten Kriterien werden diese entsprechend belohnt. Das Bug Bounty Programm bezieht sich auf Fehler, die in der aktuellen iOS- oder Android-App, auf *.n26.com, *.number26.de oder *.tech26.de gefunden werden. Die Belohnungen werden basierend auf der Schwere der Sicherheitslücken ausgegeben und rangieren zwischen 100€ und 1000€ je gemeldetem Bug. Mehr Informationen zum N26 Bug Bounty Programm gibt es hier.

n26
n26

Vor kurzem hat uns ein externer IT-Sicher­heits­forscher [Vincent Haupert von der Uni Erlangen-Nürnberg, Anm. d. Red.] auf mögliche Schwachstellen in unserem System aufmerksam gemacht. Diese konnten wir umgehend schließen, ohne dass Kunden zu Schaden kamen. Aus dieser Erfahrung haben wir gelernt und möchten die Kooperation mit White-Hat-Hackern fest in unser Sicherheitskonzept integrieren.”

Valentin Stalf, Gründer und CEO von N26


N26 wird insbesondere die Plattform HackerOne verwenden, um IT-Spezialisten aus der ganzen Welt zu erreichen. Führende Sicherheitsexperten von Facebook, Microsoft und Google gründeten die renommierte Plattform, die Unternehmen mit Forschern der IT-Sicherheit zusammenbringt, um Kundendaten zu schützen.

Zwei mal 5.000 Euro für Doktoranten der IT-Sicherheit

Das Berliner Unternehmen geht noch einen weiteren Schritt und wird ab dem Sommersemester 2017 zwei Doktoranden im Bereich IT-Sicherheit mit einem Stipendium von jeweils 5.000 Euro unterstützen. Weitere Details dazu und zum Bewerbungsprozess werden Ende Januar auf der Sicherheitsseite des Unternehmens veröffentlicht.

Vincent Haupert über das N26-Sicherheitsproblem auf dem 33c3 (Ende Dezember 2016)

Golem hat den Beitrag hier treffend zusammengefasst. aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert