Sicherheitsschwachstellen melden

Sicherheitsschwachstellen melden


TikToks Mission besteht darin, zur Kreativität zu inspirieren und Freude zu bringen. Die Sicherheit und der einwandfreie Zustand unserer Plattform sind eng mit dieser Mission verbunden. Wenn die Dinge bei TikTok nicht gut laufen, wird unser Sicherheitsteam eingreifen und die Probleme beheben. Zusätzlich zu unserem Team von erfahrenen Sicherheitsexpert*innen und branchenführenden Sicherheitstechnologien sind wir auf externe Angaben angewiesen, die auf technische Sicherheitsfehler auf unserer Plattform hinweisen und schätzen diese Hilfe. Vor diesem Hintergrund haben wir eine Reihe von Richtlinien definiert, die unsere externen Partner bei der ordnungsgemäßen Meldung von Schwachstellen unterstützen. Wir freuen uns über deine Angaben und bedanken uns für deine Bemühungen, TikTok zu einem sicheren Ort zu machen.



Richtlinie zur Meldung von Schwachstellen


       •  Bei Fragen, Bedenken oder Problemen in Bezug auf dein Profil klicke bitte hier.
       •  Bei Fragen, Bedenken oder Problemen in Bezug auf die Datenschutzerklärung von TikTok oder Betrug klicke bitte hier.
       •  Wenn jemand deine Marke missbraucht, kontaktiere uns.

Wenn du glaubst, eine Sicherheitslücke oder eine Schwachstelle in der App oder auf der Website von TikTok gefunden zu haben, bitte sende uns deine Meldung hier, um deine Meldung zu senden. Du wirst auf die Website von HackerOne weitergeleitet, unserem vertrauenswürdigen Partnerunternehmen für Sicherheitsschwachstellen.Dort findest du weitere Informationen über die Richtlinien zum Melden und kannst eine Meldung einreichen.


TikTok folgt einer koordinierten Offenlegungsrichtlinie. Weitere Informationen findest du unter Offenlegungs- und Vertraulichkeitsrichtlinie (Disclosure and Confidentiality Policy), wie definiert in der TikTok HackerOne-Richtlinie (TikTok HackerOne Policy).



Richtlinien


Bitte besuche den Abschnitt Regeln und Richtlinien für das Programm (Program Rules and Guidelines) in der TikTok HackerOne-Richtlinie (TikTok HackerOne Policy) für weitere Einzelheiten.



Häufig gestellte Fragen (FAQ)


Welche Arten von Problemen gelten als Sicherheitsschwachstellen und sollen gemeldet werden?

Probleme mit technischen Sicherheitslücken, die TikTok betreffen, sollten hier gemeldet werden. Zu den Problemen gehören unter anderem:
       •  XSS, CSRF, SSRF, SQL-Injection, ROP, JOP etc.
       •  Geleakte oder hartcodierte vertrauliche Anmeldeinformationen
       •  Ausnutzbare, gefährliche APIs
       •  Kontrollfluss-Hacking-Angriffe
       •  
Datenlecks von Nutzer*innen
       •  In den OWASP Top Ten für Webanwendungen aufgelistete Probleme
       •  In den OWASP Top Ten für mobile Apps aufgelistete Probleme
       •  Schwachstellen bei Authentifizierung oder Autorisierung
       •  Zugriff auf interne TikTok-Ressourcen wie Backend-Quellcodes, Datenbank etc.
       •  Offene Weiterleitungen – wenn eine zusätzliche Sicherheitsbeeinflussung demonstriert werden kann
       •  Anti-Automation-Sicherheitsumgehungen oder Fehlen von Durchsatzratenbegrenzung für authentifizierte Endpunkte
       •  Verwenden der TikTok-App zur Rechteausweitung, um das mobile Betriebssystem anzugreifen
       •  Ausführung von beliebigem Code auf TikTok-Servern/-Clients


Gibt es eine Belohnung, eine Prämie oder CVE für bestätigte Schwachstellen?

Besuche bitte die Abschnitte Belohnungen & Nicht berechtigt für eine Belohnung (Rewards & Not Eligible for Reward) in der TikTok HackerOne-Richtlinie (TikTok HackerOne Policy) für weitere Informationen über Prämien.

Wie viel Zeit muss vergehen, bevor ich meine Erkenntnisse veröffentlichen kann?

Wir fordern Sicherheitsanalytiker dazu auf, die Offenlegungs- und Vertraulichkeitsrichtlinie (Disclosure and Confidential Policy), wie definiert in der TikTok HackerOne-Richtlinie (TikTok HackerOne Policy), zu befolgen.

Welche Webdomains fallen in den Geltungsbereich von TikTok?

Bitte besuche den Abschnitt Geltungsbereich (In Scope) in der TikTok HackerOne-Richtlinie (TikTok HackerOne Policy) für weitere Einzelheiten.

Wie kann ich darüber benachrichtigt werden, dass ein von mir gemeldetes Sicherheitsproblem untersucht wird?

Die gemeldeten Sicherheitsprobleme werden auf Grundlage von Kritikalität und Unternehmensprioritäten evaluiert und durchlaufen die entsprechenden Untersuchungsprozesse. Wir halten dich so gut wie möglich über die Fortschritte des Falls auf dem Laufenden.

War das hilfreich?