Informar de vulnerabilidades de seguridad

La misión de TikTok consiste en potenciar la creatividad y hacer disfrutar a la gente. La seguridad y la buena condición en la que se encuentra nuestra plataforma están estrechamente relacionadas con esta misión. Cuando las cosas no funcionan correctamente en TikTok, nuestro equipo de seguridad siempre está dispuesto a responder y resolver esos problemas. Además de contar con un equipo experimentado de profesionales en seguridad y las tecnologías de seguridad más avanzadas del sector, confiamos y valoramos la información externa que señala los errores de seguridad técnica en nuestra plataforma. Con eso en mente, hemos definido un conjunto de políticas para guiar a nuestros socios externos para que nos informen de manera adecuada sobre las vulnerabilidades detectadas. Agradecemos cualquier comentario que nos puedas enviar y apreciamos tus esfuerzos para salvaguardar TikTok.

Política de envío de informes sobre vulnerabilidades

•  En caso de dudas, preocupaciones o problemas con el perfil, dirígete a.
•  En caso de dudas, preocupaciones o problemas relacionados con la Política de privacidad de TikTok o fraude, dirígete a.
•  Si alguien está haciendo un mal uso de tu marca, contáctanos en.

Si crees que has encontrado una brecha de seguridad o vulnerabilidad en la aplicación o sitio web de TikTok, puedes informarnos a través de este enlace. Se te redirigirá al sitio web de HackerOne, nuestro socio de confianza de recompensas por detectar erroresAhí se te proporcionará más información sobre las pautas de envío de informes y podrás enviarnos el tuyo.

TikTok se adhiere a la Política de divulgación coordinada. Para obtener más detalles, consulta la Política de divulgación y confidencialidad (Disclosure and Confidentiality Policy) definida en la Política de HackerOne de TikTok (TikTok HackerOne Policy) .

Normas

Para obtener más detalles, consulta la sección de Normas y pautas del programa (Program Rules and Guidelines) de la Política de HackerOne de TikTok (TikTok HackerOne Policy).

Preguntas frecuentes (FAQ)

¿Qué tipo de problemas se consideran vulnerabilidades de seguridad y se deben denunciar?

Los problemas relacionados con errores de seguridad técnica que afectan a TikTok deben denunciarse aquí. Estos problemas incluyen, entre otras cosas, lo siguiente:
•  XSS, CSRF, SSRF, SQL Injection, ROP, JOP, etc.
•  Credenciales confidenciales filtradas o codificadas
•  API explotables y peligrosas
•  Ataques de secuestro del flujo de control
•  Fugas de datos de usuario
•  Problemas enumerados en el Top Ten de OWASP para aplicaciones web
•  Problemas enumerados en el Top Ten de OWASP para aplicaciones móviles
•  Vulnerabilidades de autenticación o autorización
•  Acceso a recursos internos de TikTok como código fuente de backend, base de datos, etc.
•  Redireccionamientos abiertos, si se puede demostrar un impacto adicional en la seguridad
•  Omisión de seguridad de antiautomatización o falta de limitación de velocidad en los puntos finales autenticados
•  Uso de la aplicación TikTok para el escalamiento de privilegios para atacar el sistema operativo móvil
•  Ejecución de código arbitrario en servidores/clientes de TikTok

¿Existe una recompensa, bonificación o CVE por las vulnerabilidades confirmadas?

Para obtener más información sobre recompensas, consulta las secciones Recompensas e Incumplimiento de los requisitos para la recompensa (Rewards & Not Eligible for Reward) en la Política de HackerOne de TikTok (TikTok HackerOne Policy).

¿Cuánto tiempo debe transcurrir antes de que pueda publicar los problemas detectados?

Solicitamos que los investigadores de la seguridad sigan la Política de divulgación y confidencialidad (Disclosure and Confidentiality Policy) definida en laPolítica de TikTok HackerOne (TikTok HackerOne Policy).

¿Qué dominios web están dentro del alcance de TikTok?

Para obtener más detalles, consulta la sección de Alcance (In Scope) de la Política de HackerOne de TikTok (TikTok HackerOne Policy).

¿Cómo se me notificará de que se está investigando un problema de seguridad del que he informado yo?

Los problemas de seguridad comunicados se evaluarán en función de la importancia y prioridad para el negocio y, en consecuencia, pasarán por nuestro proceso de clasificación para la investigación. Haremos todo lo posible para mantenerte al tanto del progreso del caso.