Ilmoita turvallisuushaavoittuvuuksista
TikTokin missiona on inspiroida luovuuteen ja tuoda iloa. Alustamme turvallisuus ja tietosuoja liittyvät läheisesti tähän missioon. Jos asiat eivät toimi kunnolla TikTokissa, oma turvallisuustiimimme on valmis reagoimaan ja ratkaisemaan ongelmat. Kokeneiden tietoturva-asiantuntijoiden tiimimme ja alan johtavien tietoturvatekniikoiden lisäksi luotamme ulkopuolisten apuun alustamme teknisien tietoturvavirheiden tunnistamisessa – ja arvostamme ulkopuolisten apua. Tämän vuoksi olemme määritelleet käytännöt, jotka ohjaavat ulkoisia kumppaneitamme ilmoittamaan haavoittuvuuksista asianmukaisesti. Otamme mielellämme vastaan palautetta ja arvostamme ponnistelujasi TikTokin tietoturvan takaamiseksi.
Turvallisuushaavoittuvuuksien ilmoituskäytäntö
• Jos sinulla on kysyttävää, huolenaiheita tai ongelmia profiiliisi liittyen, napsauta tätä.
• Jos sinulla on kysyttävää, huolenaiheita tai ongelmia TikTokin tietosuojakäytäntöön tai huijauksiin liittyen, napsauta tätä.
• Jos joku väärinkäyttää brändiäsi, ota meihin yhteyttä.
Jos uskot löytäneesi tietoturvabugin tai haavoittuvuuden TikTok-sovelluksesta tai -verkkosivustosta, lähetä ilmoitus siitä täällä. Sinut siirretään HackerOne-verkkosivustoon: Hacker on luotettu tietoturvabugiasioiden kumppanimme. HackerOnelta saat lisätietoja ilmoitusohjeista ja sen avulla voit lähettää ilmoituksen.
TikTok noudattaa koordinoitua tietojenluovutuskäytäntöä. Saat lisätietoa julkaisu- ja luottamuksellisuuskäytännöstä, joka on määritetty TikTokin HackerOne-käytännössä.
Ohjeet
Saat lisätietoja ohjelman sääntöjen ja ohjeiden osiosta TikTokin HackerOne-käytännöstä.
Usein kysyttyä
Millaiset ongelmat katsotaan tietoturvahaavoittuvuuksiksi, jotka olisi syytä ilmoittaa?
TikTokiin vaikuttavat tekniset tietoturvabugit tulisi ilmoittaa täällä. Tällaisia ongelmia ovat esimerkiksi seuraavat (tämä ei ole kaiken kattava luettelo):
• XSS, CSRF, SSRF , SQL-injektio, ROP, JOP jne.
• vuodetut tai koodatut luottamukselliset tunnistetiedot
• hyökkääjien hyödynnettävissä olevat vaaralliset ohjelmointirajapinnat
• hallintatyönkulun kaappaushyökkäykset
• käyttäjätietovuodot
• ongelmat OWASP Top Ten for Web Apps -listalta
• ongelmat OWASP Top Ten for Mobile Apps -listalta
• todennus- tai valtuutushaavoittuvuudet
• TikTokin sisäisten resurssien koodi, esimerkiksi taustan lähdekoodi, tietokanta jne.
• avoin uudelleenohjaus (jos lisävaikutus tietoturvaan voidaan osoittaa)
• Anti-Automation-suojauksen ohitukset tai todennettujen päätepisteiden rajoitusten puutteet
• oikeuksien laajentaminen TikTok-sovelluksella mobiilikäyttöjärjestelmään hyökkäämiseksi
• satunnaisen koodin suorittaminen TikTokin palvelimissa tai asiakkaissa.
Onko vahvistetuille haavoittuvuuksille tarjolla palkkio tai CVE?
Saat lisätietoja palkkiosta palkkioiden ja palkkioon oikeuttamattomien kohdista TikTokin HackerOne-käytännöstä.
Kuinka paljon aikaa tarvitaan, ennen kuin julkaista löydökseni?
Toivomme, että tietoturvatutkijat noudattavat julkaisu- ja luottamuksellisuuskäytäntöä, joka on määritetty TikTokin HackerOne-käytännössä.
Mitkä verkkotunnukset kuuluvat TikTokille?
Saat lisätietoa kattavuuden piiriin kuuluvien osiosta TikTokin HackerOne-käytännöstä.
Miten voin saada ilmoituksen siitä, että ilmoittamaani tietoturvaongelmaa tutkitaan?
Ilmoitetut tietoturvaongelmat arvioidaan kriittisyyden ja liiketoiminnallisuuden prioriteetin perusteella, minkä jälkeen ne käsitellään tutkimusten luokitteluprosessin mukaisesti. Pidämme sinut ajan tasalla tapauksen edistymisestä parhaan kykymme mukaan.