TikTokBiztonsági rések bejelentése
A TikTok küldetése, hogy kreativitásra ösztönözze az embereket és örömöt szerezzen nekik. A platform biztonsága és megfelelő állapota szorosan összefügg ezzel a küldetéssel. Ha nem működnek megfelelően a dolgok a TikTokon, biztonsági csapatunk készen áll a szükséges intézkedések megtételére és a problémák megoldására. Tapasztalt biztonsági szakemberekből álló csapatunk és az iparágon belül élvonalbelinek számító biztonsági technológiáink mellett olyan külső bejelentésekre támaszkodunk, amelyek jelzik a platformunkon előforduló biztonsági hibákat. Az ilyen információkat rendkívül nagyra értékeljük. Ennek tükrében meghatároztunk néhány szabályt, hogy iránymutatással szolgáljunk külső partnereinknek a biztonsági rések megfelelő jelentéséhez. Szívesen fogadjuk az észrevételeidet, és nagyra értékeljük, hogy igyekszel megőrizni a TikTok biztonságát.
Biztonsági rések bejelentésére vonatkozó szabályzat
• Ha kérdésed, aggályod vagy problémád merült fel a profiloddal kapcsolatban, kattints ide.
• Ha kérdésed, aggályod vagy problémád merült fel a TikTok adatvédelmi szabályzatával vagy csalással kapcsolatban, kattints ide.
• Ha valaki visszaél a márkáddal, vedd fel velünk a kapcsolatot.
Ha úgy gondolod, hogy biztonsági hibát vagy rést fedeztél fel a TikTok alkalmazásban vagy a weboldalon, küldj róla bejelentést itt. A rendszer át fog irányítani megbízható partnerünk, a HackerOne weboldalára. Partnerünk jutalmazási programot indított a biztonsági hibákat bejelentők számára. A HackerOne további információkkal szolgál a beküldési útmutatóról, és lehetővé teszi, hogy bejelentést tegyél.
A TikTok összehangolt sebezhetőség-feltárási megközelítést alkalmaz. További részletekért tekintsd meg a bejelentésekre és az adatok bizalmas kezelésére vonatkozó szabályzatot, amelyet a TikTok HackerOne-szabályzatában találsz.
Iránymutatások
További részletekért tekintsd meg a Programra vonatkozó szabályok és iránymutatások című szakaszt a TikTok HackerOne-szabályzatában.
Gyakran ismételt kérdések (GYIK)
Milyen típusú problémák számítanak biztonsági résnek, és igényelnek bejelentést?
Itt jelentheted a TikTokot érintő technikai biztonsági hibákhoz kapcsolódó problémákat. A problémák közé tartozhatnak többek között a következők:
• XSS-, CSRF-, SSRF-, SQL-injektálás, ROP, JOP stb.
• Kiszivárgott vagy rögzítetten megadott, érzékeny hitelesítő adatok
• Kihasználható és veszélyes API-k.
• Vezérlésfolyam eltérítését célzó támadások
• Kiszivárgott felhasználói adatok
• Az OWASP webalkalmazásokat fenyegető tíz legfontosabb biztonsági veszélyt felsoroló listáján szereplő problémák
• Az OWASP mobilalkalmazásokat fenyegető tíz legfontosabb biztonsági veszélyt felsoroló listáján szereplő problémák|
• Hitelesítéssel vagy engedélyezéssel kapcsolatos biztonsági rések
• Hozzáférés a TikTok olyan belső erőforrásaihoz, mint a backend forráskód, az adatbázisok stb.
• Nyílt átirányítási (open redirect) támadások – ha további biztonsági hatás igazolható
• Az automatizálás elleni biztonsági intézkedések megkerülése vagy a sebességkorlátozás hiánya a hitelesített végpontoknál
• A TikTok alkalmazás felhasználása jogosultságemelésre a mobil operációs rendszer megtámadásához
• Önkényes kódfuttatás a TikTok kiszolgálóin/kliensein
Kapcsolódik-e jutalom vagy CVE-program a megerősített biztonsági résekhez?
Tekintsd meg a Jutalmak és Jutalomra nem jogosult című szakaszokat a TikTok HackerOne-szabályzatában a jutalmak további részleteiért.
Mennyi időnek kell eltelnie, mire közzétehetem a megállapításaimat?
Arra kérjük a biztonsági réseket kutató személyeket, hogy tartsák be a bejelentésekre és az adatok bizalmas kezelésére vonatkozó szabályzatot, amelyet a TikTok HackerOne-szabályzatában találnak.
Melyik webtartományok tartoznak a hatókörbe a TikTok esetében?
Tekintsd meg a Hatókörön belüli szakaszt a TikTok HackerOne-szabályzatában a további részletekért.
Hogyan értesülhetek arról, hogy kivizsgálnak egy általam jelentett biztonsági problémát?
A jelentett biztonsági problémákat az alapján vizsgáljuk ki, hogy mennyire számítanak kritikusnak, és mennyire élveznek üzleti prioritást. A bejelentések ennek megfelelően esnek át a kivizsgálási rangsorolási folyamatunkon. Igyekszünk majd tájékoztatni az eseteddel kapcsolatos fejleményekről.