Apúntate al reto BUG BOUNTY

La Universidad Politécnica de Madrid (UPM) y Santander lanzan esta primera edición de retos Santander-UPM para la comunidad de la Universidad. Su propósito es premiar a los participantes que descubran y describan de forma clara, concisa y atractiva una o varias vulnerabilidades en las aplicaciones de Santander España seleccionadas.

23.03.21

Al concurso pueden participar 'equipos universitarios' compuestos por un máximo de 4 miembros estudiantes y/o profesorado de grado y máster de la Universidad Politécnica de Madrid de la Escuela Técnica Superior de Ingenieros Informáticos, Escuela Técnica Superior de Ingenieros de Telecomunicación, Escuela Técnica Superior de Ingeniería de Sistemas Informáticos y Escuela Técnica Superior de Ingeniería y Sistemas de Telecomunicación de la UPM.

Los objetivos del reto son por un lado analizar las aplicaciones seleccionadas con el fin de encontrar posibles vulnerabilidades en el software; desarrollar una prueba de concepto de cómo podría ser explotada la vulnerabilidad detectada y redactar un informe claro y preciso sobre el trabajo realizado y el detalle de la vulnerabilidad detectada.

Puedes inscribirte hasta el 13 de abril y el reto se desarrollará entre el 19 y 23 de abril. Tanto el desarrollo del reto como las charlas de bienvenida y cierre se celebrarán en modo online.

Reto

El reto

La aplicación objetivo de pruebas de esta convocatoria será APIs Open Business de Santander España. El alcance de las pruebas se limita a los productos descritos en la siguiente URL: https://developers-sandbox.bancosantander.es/product

Únicamente deben testearse las APIs descritas en el portal y no el portal en sí. Todas las pruebas deben realizarse desde la dirección IP indicada en el formulario de inscripción.

Las vulnerabilidades aceptadas dentro del alcance deberían encontrarse preferentemente en alguna de las siguientes tipologías:

• Divulgación de información confidencial o de identificación personal
• Ejecución de código remoto (RCE)
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Fallos de autenticación o autorización
• Vulnerabilidades de inyección, incluida la inyección de SQL y XML
• Errores de configuración de seguridad significativos que conllevan una vulnerabilidad verificable
• Credenciales expuestas que representan un riesgo válido para el activo dentro del alcance

Cualquier vulnerabilidad reportada se va a analizar y validar por el equipo de seguridad de Santander que tiene la potestad de rechazarla si se considera que no cumple con los criterios establecidos, por ejemplo, si se determina que la probabilidad de explotación es muy baja, requiere una interacción poco probable por parte del usuario, el ataque propuesto es demasiado teórico o el riesgo de explotación es insignificante.

Quedan excluidas del alcance las siguientes vulnerabilidades y tipos de ataques:
• Denegación de servicio y el uso de herramientas automáticas que generen excesivo tráfico de red o carga en los servidores
• Enumeración de usuarios mediante fuerza bruta
• Ataques “Man-in-the-middle”
• Vulnerabilidades en librerías de terceros sin mostrar un impacto específico en la aplicación de destino (por ejemplo, un CVE sin exploit)
• Cualquier ataque relacionado con la infraestructura (protocolo TLS, DNS, certificados, etc.)
• Ataques a centros físicos, robos de credenciales, intentos de fraude
• Vulnerabilidades que solo afectan a los usuarios de navegadores y plataformas obsoletos o sin parches
• Vulnerabilidades que para ser explotadas necesitan de Ingeniería Social (por ejemplo Self-XSS)
• Vulnerabilidades relacionadas con las cabeceras HTTP, cookies, trazas de mensajes de error y otras relacionadas con configuración de seguridad sin el demostrable riesgo de explotación

Premios

Santander decidirá los tres equipos ganadores en función del número de vulnerabilidades reportadas y la calidad y criticidad de las mismas, establecida según el estándar CVSS v3.0. En caso de duplicidad de vulnerabilidades reportadas se tendrá en cuenta el orden de llegada de los informes, es decir sólo recibe el premio el que primero la detecta.

• 1er. premio: una BECA de tres meses de duración en prácticas remuneradas y tuteladas en el Banco Santander para cada uno de los integrantes del equipo ganador. Las prácticas serán rotativas entre diferentes departamentos de la organización.

• 2º premio: una inscripción anual para cada uno de los integrantes del equipo a Coursera plus:
https://www.coursera.org/courseraplus

• 3er. premio: Un abono anual a la plataforma de contenidos online HBO para cada uno de los integrantes del equipo

Los participantes se comprometen mediante su participación en el reto a no divulgar por ningún medio las vulnerabilidades halladas en los sistemas propuestos. Quedan absolutamente prohibidos  los ataques maliciosos a los citados sistemas. El incumplimiento de reglas de programa llevará a la inmediata descalificación del participante.

Las inscripciones serán individuales. La composición de cada equipo deberá ser enviada por correo electrónico a la organización durante la primera jornada del reto, no pudiendo modificarse durante la celebración del mismo.

Las inscripciones se cumplimentarán online en la dirección http://eventos.upm.es/go/bugbounty

Santander y Universidad Politécnica de Madrid (UPM) colaboran, mediante la aplicación de un convenio, en las actividades de soporte científico y tecnológico con la finalidad de potenciar el ecosistema de innovación y emprendimiento de la UPM. Este convenio contempla como una de las vías de desarrollo la propuesta, por parte del Santander,  de retos tecnológicos  para que toda la comunidad UPM pueda proponer soluciones o alternativas de mejora.