BUG BOUNTY: 1er. RETO SANTANDER – UPM

La Universidad Politécnica de Madrid (UPM) y Santander lanzan esta primera edición de retos Santander-UPM para la comunidad de la Universidad. El objetivo principal del reto es premiar a los participantes que descubran y describan de forma clara, concisa y atractiva una o varias vulnerabilidades en las aplicaciones de Santander España seleccionadas.

 

OBJETIVOS:

  • Analizar las aplicaciones seleccionadas con el fin de encontrar posibles vulnerabilidades en el software
  • Desarrollar una prueba de concepto de cómo podría ser explotada la vulnerabilidad detectada
  • Redactar un informe claro y preciso sobre el trabajo realizado y el detalle de la vulnerabilidad detectada.

 

DIRIGIDO A:

El concurso está abierto a 'equipos universitarios' compuestos por un máximo de 4 miembros estudiantes y/o profesorado de grado y máster de la Universidad Politécnica de Madrid de las ETS de Ingenieros Informáticos, ETS de Ingenieros de Telecomunicación, ETS de Ingeniería de Sistemas Informáticos y ETS de Ingeniería y Sistemas de Telecomunicación.

 

CALENDARIO:

  • Inscripciones abiertas hasta el 13 de abril
  • Inicio: 19 de abril a las 10:00 (charla de presentación e instrucciones  de participación)
  • Fin: 23 de abril a las 14:00 (cierre)

 

MODALIDAD:

Tanto el desarrollo del reto como las charlas de bienvenida y cierre se celebrarán en modo online.

 

EL RETO:

Alcance

La aplicación objetivo de pruebas de esta convocatoria será APIs Open Business de Santander España. El alcance de las pruebas se limita a los productos descritos en la siguiente URL: https://developers-sandbox.bancosantander.es/product

Nota: Únicamente deben testearse las APIs descritas en el portal y no el portal en sí.

Un ejemplo de API a testear seria:

https://apis-sandbox.bancosantander.es/canales-digitales/sb/prestep-authorize?client_id={{ClientID}}%26redirect_uri={{RedirectURI}}%26response_type=code%26state={{ApplicationState}}

 

Todas las pruebas deben realizarse desde la dirección IP indicada en el formulario de inscripción.

 

Vulnerabilidades

Las vulnerabilidades aceptadas dentro del alcance deberían encontrarse preferentemente en alguna de las siguientes tipologías:

 

  • Divulgación de información confidencial o de identificación personal
  • Ejecución de código remoto (RCE)
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Fallos de autenticación o autorización
  • Vulnerabilidades de inyección, incluida la inyección de SQL y XML
  • Errores de configuración de seguridad significativos que conllevan una vulnerabilidad verificable
  • Credenciales expuestas que representan un riesgo válido para el activo dentro del alcance

 

Cualquier vulnerabilidad reportada se va a analizar y validar por el equipo de seguridad de Santander que tiene la potestad de rechazarla si se considera que no cumple con los criterios establecidos, por ejemplo, si se determina que la probabilidad de explotación es muy baja, requiere una interacción poco probable por parte del usuario, el ataque propuesto es demasiado teórico o el riesgo de explotación es insignificante.

 

Quedan excluidas del alcance las siguientes vulnerabilidades y tipos de ataques:

  • Denegación de servicio y el uso de herramientas automáticas que generen excesivo tráfico de red o carga en los servidores
  • Enumeración de usuarios mediante fuerza bruta
  • Ataques “Man-in-the-middle”
  • Vulnerabilidades en librerías de terceros sin mostrar un impacto específico en la aplicación de destino (por ejemplo, un CVE sin exploit)
  • Cualquier ataque relacionado con la infraestructura (protocolo TLS, DNS, certificados, etc.)
  • Ataques a centros físicos, robos de credenciales, intentos de fraude
  • Vulnerabilidades que solo afectan a los usuarios de navegadores y plataformas obsoletos o sin parches
  • Vulnerabilidades que para ser explotadas necesitan de Ingeniería Social (por ejemplo Self-XSS)
  • Vulnerabilidades relacionadas con las cabeceras HTTP, cookies, trazas de mensajes de error y otras relacionadas con configuración de seguridad sin el demostrable riesgo de explotación

 

LOS PREMIOS:

Santander decidirá los tres equipos ganadores en función del número de vulnerabilidades reportadas y la calidad y criticidad de las mismas, establecida según el estándar CVSS v3.0. En caso de duplicidad de vulnerabilidades reportadas se tendrá en cuenta el orden de llegada de los informes, es decir sólo recibe el premio el que primero la detecta.

Santander entregará los siguientes premios:

  • 1er. premio: una BECA de tres meses de duración en prácticas remuneradas y tuteladas en el Banco Santander para cada uno de los integrantes del equipo ganador. Las prácticas serán rotativas entre diferentes departamentos de la organización.

 

  • 2º premio: una inscripción anual para cada uno de los integrantes del equipo a Coursera plus:

https://www.coursera.org/courseraplus

 

  • 3er. premio: Un abono anual a la plataforma de contenidos online HBO para cada uno de los integrantes del equipo

 

REGLAS DEL RETO Y POLÍTICA DE CONDUCTA:

Los participantes se comprometen mediante su participación en el reto a no divulgar por ningún medio las vulnerabilidades halladas en los sistemas propuestos. Quedan absolutamente prohibidos  los ataques maliciosos a los citados sistemas. El incumplimiento de reglas de programa llevará a la inmediata descalificación del participante.

Las inscripciones serán individuales. La composición de cada equipo deberá ser enviada por correo electrónico a la organización durante la primera jornada del reto, no pudiendo modificarse durante la celebración del mismo.

Las inscripciones se cumplimentarán online en la dirección http://eventos.upm.es/go/bugbounty

 

¡¡¡¡¡¡Convocatoria abierta y aceptación de participantes hasta el 13 de abril de 2021!!!!!!