TikTokセキュリティ脆弱性の報告
TikTokのミッションは、創造性を刺激し、喜びをもたらすことです。 このミッションにはTikTokプラットフォームのセキュリティと健全性の管理が密接に関連しています。 TikTokの動作に問題が発見された場合、専門のセキュリティチームが対応し、問題を解決します。 また、経験豊富なセキュリティチームと業界最先端のセキュリティ技術の他、外部ソースからのバグ報告にも信頼をおいています。 この点を踏まえ、外部パートナーによる脆弱性の報告方法についてのガイドラインとなるポリシーをご用意しました。 TikTokの安全性保護に関するご報告がございましたら、ご協力をお願いいたします。
脆弱性の報告ポリシー
• あなたのプロフィールに関してご質問、ご不明な点がありましたらここをクリックしてください。
• TikTokのプライバシーポリシーまたは不正行為に関するご質問はここをクリックしてください。
• 誰かがあなたのブランドを不正利用している場合は、こちらからお問い合わせください。
TikTokアプリまたはウェブサイトのセキュリティのバグまたは脆弱性を発見した場合は、ここにレポートを提出してください。 こちらはTikTokが信頼を置くセキュリティのバグバウンティ提携サービスのHackerOneです。 HackerOneのウェブサイトから報告方法のガイドラインを確認し、問題を報告することができます。
TikTokはCoordinated Disclosure Policyを遵守しています。 詳細はTikTok HackerOne
Policyに定義されているDisclosure and Confidentiality Policyをご確認ください。
ガイドライン
TikTok HackerOne Policyに用意されているProgram Rules and Guidelinesセクションで詳細をご確認ください。
よくあるご質問(FAQ)
どのような種類の問題がセキュリティの脆弱性として考慮されますか?
TikTokに影響を及ぼす、技術的なセキュリティ上の不具合に関する問題を報告してください。 不具合の例は以下をご参照ください。
• XSS、CSRF、SSRF、SQL Injection、ROP、JOPなど
• センシティブな認証情報の漏洩またはハードコーディング
• 不正利用可能または危険なAPI
• 管理フローに対するハイジャック攻撃
• ユーザーデータの漏洩
• OWASP Top 10 for Web Appsにリストされている問題
• OWASP Top 10 for Mobile
Appsにリストされている問題
• 認証または承認に関する脆弱性
• バックエンドソースコードやデータベースなどのTikTok内部リソースへの不正アクセス
• オープンリダイレクト(セキュリティに影響を及ぼす場合)
• アンチ・オートメーションのセキュリティをバイパスする行為、または認証エンドポイントのレート制限の欠如
• TikTokアプリを通じて特権エスカレーションによるモバイルのオペレーションシステムを攻撃する行為
• TikTokのサーバーまたはクライアントに対する任意コードの実行
確認された脆弱性に対する報酬またはCVEはありますか?
TikTok HackerOne PolicyのRewards & Not Eligible for Rewardセクションで報酬に関する詳細情報をご確認ください。
発見した脆弱性を発表する前にどれくらいの期間を置けばいいですか?
セキュリティリサーチャーにはTikTok HackerOne Policyで定義されているDisclosure and Confidentiality Policyを遵守していただくことをお願いしています。
TikTokのどのウェブドメインがリサーチ範囲に含まれますか?
TikTok HackerOne PolicyのIn Scopeセクションで詳細をご確認ください。
報告された問題に対して調査が開始された場合、通知を受け取ることはできますか?
報告されたセキュリティ問題は重大性とビジネスにおけるプライオリティによって評価され、審査の優先順位が決定されます。 報告を受けた問題に対する進捗については可能な限りお知らせいたします。