TikTokSignaler des vulnérabilités de sécurité
La mission de TikTok est d'inspirer la créativité et d'apporter de la joie. La sécurité et la santé de notre plateforme sont étroitement liées à cette mission. Si quelque chose ne fonctionne pas correctement sur TikTok, notre équipe de sécurité dédiée est prête à répondre et à résoudre le problème. En plus de notre équipe de professionnels de la sécurité expérimentés et des technologies de sécurité de pointe, nous comptons sur, et apprécions, les signalements externes des bogues de sécurité sur notre plateforme. Dans cette optique, nous avons défini un ensemble de politiques pour guider nos partenaires externes sur la manière de signaler correctement les vulnérabilités. Nous te remercions de ta contribution et apprécions tes efforts pour préserver TikTok.
Politique de signalement des vulnérabilités
• Pour toute question, préoccupation ou problème concernant ton profil, merci de cliquer ici.
• Pour toute question, préoccupation ou problème concernant la politique de confidentialité de TikTok ou la fraude, merci de cliquer ici.
• Si quelqu'un n'utilise pas correctement ta marque, contacte-nous à l'adresse suivante.
Si tu penses avoir découvert un bogue ou une faille de sécurité sur l'application ou le site web de TikTok, merci d'envoyer ton signalement ici. Tu seras redirigé(e) vers le site de HackerOne, , notre partenaire de confiance en matière de primes pour les bogues de sécuritéTu y trouveras plus d'informations sur les consignes d'envoi et tu pourras envoyer un signalement.
TikTok suit une politique de divulgation coordonnée. Merci de consulter la Politique de divulgation et de confidentialité (Disclosure and Confidentiality Policy) définie dans la Politique HackerOne de
TikTok (TikTok HackerOne Policy) pour obtenir plus d'informations.
Consignes
Merci de consulter la section Règles et consignes du programme (Program Rules and Guideline) dans la Politique HackerOne de
TikTok (TikTok HackerOne Policy) pour obtenir plus d'informations.
Foire aux questions (FAQ)
Quels types de problèmes sont considérés comme des vulnérabilités de sécurité et doivent être signalés ?
Les problèmes concernant des bogues de sécurité affectant TikTok doivent être signalés ici. Les problèmes sont notamment, mais pas exclusivement, les suivants :
• XSS, CSRF, SSRF, les injections SQL, ROP, JOP, etc.
• Les informations d'identification sensibles codées ou non codées
• Des API exploitables et dangereuses.
• Les attaques de détournement de flux
• Les fuites de données des utilisateurs
• Les problèmes figurant dans le Top 10 de l'OWASP pour les applications web
• Les problèmes figurant dans le Top 10 de l'OWASP pour les applications mobiles
• Les vulnérabilités d'authentification ou d’autorisation
• L'accès aux ressources internes de TikTok comme le code source du backend, la base de données, etc.
• Une redirection ouverte - si un impact supplémentaire sur la sécurité peut être démontré
• Les contournements de sécurité anti-automatisation ou l'absence de limitation de débit sur les points terminaux authentifiés
• L’utilisation de l'application TikTok pour l'escalade des privilèges afin d'attaquer le système d'exploitation mobile
• L'exécution de code arbitraire sur les serveurs/clients de TikTok
Une récompense, une prime ou un CVE sont prévus pour les vulnérabilités confirmées ?
Merci de visiter les sections Récompenses et Non éligible aux récompenses (Rewards & Not Eligible for Reward) dans la Politique HackerOne de TikTok (TikTok HackerOne Policy) pour obtenir plus d'informations sur les primes.
Combien de temps dois-je attendre avant de pouvoir publier mes recherches ?
Nous demandons aux chercheurs en sécurité de suivre la Politique de divulgation et de confidentialité (Disclosure and Confidential Policy) définie dans la Politique HackerOne de TikTok (TikTok HackerOne Policy).
Quels sont les domaines web de TikTok ?
Merci de consulter la section Domaines (In Scope) dans la Politique HackerOne de TikTok (TikTok HackerOne Policy) pour obtenir plus d'informations.
Comment puis-je être prévenu(e) qu'un problème de sécurité que j'ai signalé est en cours d'analyse ?
Les problèmes de sécurité signalés seront évalués en fonction de leur criticité et de la priorité commerciale et passeront par notre filière de triage des enquêtes en conséquence. Nous te tiendrons informé(e) de l'évolution de l'affaire au mieux de nos possibilités.