TikTokNahlašování bezpečnostních mezer
Posláním TikToku je podněcovat kreativitu a přinášet radost. S tím je úzce spjato zabezpečení a stav naší platformy. Pokud něco na TikToku nefunguje tak, jak má, náš specializovaný bezpečnostní tým je připraven reagovat a řešit problémy. Kromě našeho týmu zkušených bezpečnostních expertů a předních technologií zabezpečení v oboru spoléháme na externí podněty upozorňující na technické chyby v zabezpečení naší platformy a ceníme si jich. Kvůli tomu jsme definovali soubor zásad, které mají pomoct našim externím partnerům správně oznamovat bezpečnostní mezery. Vítáme vaše podněty a ceníme si vaší snahy chránit TikTok.
Zásady nahlašování bezpečnostních mezer
• Máš-li dotazy, obavy nebo problémy, klikni sem.
• Máš-li dotazy, obavy nebo problémy týkající se zásad ochrany osobních údajů společnosti TikTok nebo podvodů, klikni sem.
• Pokud někdo zneužívá tvou značku, kontaktuj nás.
Pokud se domníváš, že jsi objevil(a) chybu v zabezpečení či bezpečnostní mezeru v aplikaci nebo na webových stránkách TikTok, nahlas to tady. Přesměrujeme tě na webové stránky společnosti HackerOne, našeho důvěryhodného partnera, který poskytuje odměny za nalezené chyby v zabezpečení. Společnost HackerOne ti sdělí pravidla pro oznamování a umožní ti oznamovat chyby.
TikTok dodržuje zásady koordinovaného oznamování bezpečnostních mezer. Další podrobnosti najdeš v zásadách oznamování a zachování důvěrnosti, které jsou součástí zásad používání služby HackerOne společnosti TikTok.
Pokyny
Další informace najdeš v části Pravidla a pokyny programu zásad používání služby HackerOne společnosti TikTok.
Nejčastější dotazy
Jaký typ problémů je považován za bezpečnostní mezery a je třeba je nahlásit?
Zde je třeba nahlašovat problémy v podobě technických chyb v zabezpečení, které mají vliv na TikTok. Mezi tyto problémy patří mimo jiné:
• Útoky typu XSS, CSRF, SSRF, SQL injection, ROP, JOP atd.
• Únik citlivých přihlašovacích údajů nebo jejich pevné zakódování.
• Využitelná a nebezpečná rozhraní API.
• Útoky využívající únos toku provádění programu.
• Úniky údajů uživatelů.
• Problémy uvedené na seznamu OWASP Top Ten pro webové aplikace.
• Problémy uvedené na seznamu OWASP Top Ten pro mobilní aplikace.
• Mezery v ověřování nebo autorizaci.
• Přístup k interním zdrojům TikTok, jako je backendový zdrojový kód, databáze atd.
• Otevřené přesměrování – pokud lze prokázat další dopad na zabezpečení.
• Bypassy vyřazující z provozu automatizované zabezpečení nebo nedostatek omezování rychlosti v ověřených koncových bodech.
• Používání aplikace TikTok k elevaci oprávnění z důvodu útoku na operační systém mobilního zařízení.
• Svévolné provádění kódu na serverech / v klientech TikTok.
Je nějaká odměna nebo ocenění za potvrzené bezpečnostní mezery?
Další podrobnosti o odměnách najdeš v části Odměny a Bez nároku na odměnu zásad používání služby HackerOne společnosti TikTok.
Kolik času je potřeba, než zveřejním své poznatky?
Požadujeme, aby odborníci na odhalování bezpečnostních mezer dodržovali zásady oznamování a zachování důvěrnosti definované v zásadách používání služby HackerOne TikTok.
Které webové domény spadají do působnosti TikToku?
Další podrobnosti najdeš v části Působnost zásad používání služby HackerOne TikTok.
Jak zjistím, že se někdo zabývá bezpečnostní mezerou, kterou jsem nahlásil(a)?
Nahlášené bezpečnostní mezery budou posouzeny na základě závažnosti a obchodní priority a projdou odpovídajícím tříděním stanovujícím plán vyšetřování. Budeme se snažit tě co nejvíce informovat o průběhu případu.