TikTokДокладване на уязвимости в защитата
Мисията на TikTok е да вдъхновява креативността и да носи радост. Защитата и състоянието на нашата платформа са тясно свързани с тази мисия. Ако нещата в TikTok не работят добре, нашият специален екип по защитата е готов да отговори и разреши тези проблеми. Освен на нашия екип от опитни специалисти по защитата и водещите за бранша технологии за защита ние разчитаме на и ценим външната обратна връзка, която да отбелязва грешките в техническата защита на нашата платформа. Като имаме това предвид, ние определихме набор от политики, които да ръководят нашите външни партньори при правилното докладване на уязвимости. Ние приветстваме вашето мнение и ценим усилията ви да пазите TikTok.
Политика за докладване на уязвимости
• За въпроси, притеснения или проблеми с вашия профил щракнете тук.
• За въпроси, притеснения или проблеми с политиката за поверителност на TikTok или за измами щракнете тук.
• Ако някой злоупотребява с бранда ви, се свържете с нас.
Ако смятате, че сте открили грешка или уязвимост в защитата на приложението или уеб сайта на TikTok, подайте сигнал тук. Ще бъдете пренасочени към уеб сайта на HackerOne, нашият доверен експертен партньор по защитата. HackerOne предоставя повече информация за насоките за подаване и ще ви позволи да подадете сигнал.
TikTok спазва Политика за координирано изнасяне на информация. Вижте Политика за конфиденциалност и изнасяне на информация, посочена в Политика на TikTok HackerOne за повече подробности.
Насоки
Посетете раздела Програмни правила и насоки в Политика на TikTok HackerOne за подробности.
Често задавани въпроси (ЧЗВ)
Какъв тип проблеми се считат за уязвимости на защитата и трябва да бъдат докладвани?
Тук трябва да се докладват проблеми, свързани с техническите грешки в защитата, които засягат TikTok. Проблемите включват, без ограничение, следното:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP и др.
• Изтекли или твърдо кодирани чувствителни идентификационни данни
• Полезни и опасни API.
• Атаки за отвличане на потока на управление
• Изтичания на потребителски данни
• Проблеми, изброени в Топ 10 на OWASP за уеб приложения
• Проблеми, изброени в Топ 10 на OWASP за мобилни приложения
• Уязвимости, свързани с удостоверяването или упълномощаването
• Достъп до вътрешни TikTok ресурси, като първичен код на сървъра, база данни и др.
• Отворено пренасочване – ако може да се покаже допълнително въздействие върху защитата
• Заобикаляния на защитата срещу автоматизация или липса на ограничаване на скоростта върху идентифицирани крайни точки
• Използване на приложението TikTok за повишаване на привилегиите за атакуване на мобилната операционна система
• Изпълнение на произволен код на сървъри/клиенти на TikTok
Има ли награда, бонус или CVE за потвърдени уязвимости?
Посетете разделите Награди и Не отговарящи на условията за награди в Политиката на TikTok HackerOne за повече подробности относно бонуса.
Колко време е необходимо, преди да мога да публикувам заключенията си?
Изискваме аналитиците в областта на защитата да следват Политиката за конфиденциалност и изнасяне на информация, определена в Политика на TikTok HackerOne.
Кои интернет домейни влизат в обхвата на TikTok?
Посетете раздела В обхвата в Политика на TikTok HackerOne за подробности.
Как мога да бъда известен/а, че проблем със защитата, който съм докладвал/а, се разследва?
Докладваните проблеми със защитата ще бъдат оценени на база критичност и бизнес приоритет и ще преминат по съответния канал за сортиране на разследвания. Ще ви държим информирани за напредъка по случая, доколкото можем.