TikTokMelaporkan Kerentanan Keamanan
Misi TikTok adalah untuk menginspirasi kreativitas dan menghadirkan sukacita. Keamanan dan kesehatan platform kami terikat erat dengan misi ini. Jika ada yang tidak berfungsi dengan baik di TikTok, tim keamanan khusus kami siap merespons dan mengatasi masalah tersebut. Selain dari tim kami yang terdiri dari profesional keamanan berpengalaman dan teknologi keamanan terkemuka di industri ini, kami mengandalkan, dan menghargai, masukan eksternal yang menandai bug keamanan teknis di platform kami. Dengan pertimbangan tersebut, kami telah menentukan serangkaian kebijakan untuk memandu mitra eksternal kami mengenai cara melaporkan kerentanan dengan tepat. Kami menyambut baik masukan Anda dan menghargai upaya Anda untuk melindungi TikTok.
Kebijakan Pelaporan Kerentanan
• Untuk pertanyaan, kekhawatiran, atau masalah dengan profil Anda, klik di sini.
• Untuk pertanyaan, kekhawatiran, atau masalah dengan kebijakan privasi TikTok atau penipuan, klik di sini.
• Jika seseorang menyalahgunakan merek Anda, hubungi kami di.
Jika Anda yakin telah menemukan bug keamanan atau kerentanan di aplikasi atau situs web TikTok, kirim laporan Anda di sini. Anda akan diteruskan ke situs web HackerOne, mitra pemburu bug keamanan tepercaya kamiDi situs web tersebut, Anda akan diberi informasi selengkapnya mengenai panduan pengiriman dan dapat mengirimkan laporan.
TikTok mengikuti Kebijakan Pengungkapan Terkoordinasi. Lihat Kebijakan Pengungkapan dan Kerahasiaan (Disclosure and Confidentiality Policy) yang dijelaskan dalam Kebijakan TikTok
HackerOne (TikTok HackerOne Policy) untuk perinciannya.
Panduan
Kunjungi bagian Aturan dan Panduan Program (Program Rules and Guidelines) di Kebijakan TikTok
HackerOne (TikTok HackerOne Policy) untuk perinciannya.
Tanya Jawab Umum (TJU)
Apa jenis masalah yang dianggap sebagai kerentanan keamanan dan sebaiknya dilaporkan?
Masalah yang berkaitan dengan bug keamanan teknis yang memengaruhi TikTok sebaiknya dilaporkan di sini. Masalah termasuk, tetapi tidak terbatas untuk hal berikut:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP, dst.
• Kredensial sensitif yang bocor atau berkode keras
• API yang dapat dieksploitasi dan berbahaya.
• Serangan peretasan aliran kontrol
• Kebocoran data pengguna
• Masalah yang dicantumkan di Sepuluh Teratas OWASP untuk Aplikasi Web
• Masalah yang dicantumkan di Sepuluh Teratas OWASP untuk Aplikasi Seluler
• Kerentanan autentikasi atau otorisasi
• Akses ke sumber daya TikTok internal seperti kode sumber backend, basis data, dsb.
• Membuka pengalihan - jika dampak keamanan tambahan dapat didemonstrasikan
• Pemintasan keamanan Anti-Automasi atau kurangnya pembatasan laju pada titik akhir yang diautentikasi
• Menggunakan aplikasi TikTok untuk eskalasi hak istimewa untuk menyerang sistem operasi seluler
• Eksekusi kode dengan sewenang-wenang di server/klien TikTok
Apakah Anda hadiah, imbalan, atau CVE untuk kerentanan yang terkonfirmasi?
Kunjungi bagian Hadiah & Tidak Memenuhi Syarat untuk Hadiah (Rewards & Not Eligible for Reward) di Kebijakan TikTok HackerOne (TikTok HackerOne Policy) untuk perincian selengkapnya tentang imbalan.
Berapa lama yang diperlukan sebelum saya dapat memublikasikan temuan saya?
Kami meminta agar peneliti keamanan mengikuti Kebijakan Pengungkapan dan Kerahasiaan (Disclosure and Confidentiality Policy) yang dijelaskan di Kebijakan TikTok HackerOne (TikTok HackerOne Policy).
Apa saja domain web yang ada dalam ruang lingkup TikTok?
Kunjungi bagian In Scope (Dalam Cakupan) di Kebijakan TikTok
HackerOne (TikTok HackerOne Policy) untuk perinciannya.
Bagaimana cara agar saya mendapatkan pemberitahuan mengenai kelanjutan penyelidikan terkait laporan masalah keamanan saya?
Masalah keamanan yang dilaporkan akan dievaluasi berdasarkan tingkat kritis dan prioritas bisnis dan melalui pipeline triase investigasi kami yang sesuai. Kami akan tetap memberi tahu Anda mengenai kemajuan kasus tersebut sebaik mungkin.