TikTokTilkynna öryggisveikleika
Hlutverk TikTok er að hvetja til sköpunar og færa gleði. Öryggi og heilbrigði verkvangsins okkar eru nátengd þessu hlutverki. Ef hlutirnir virka ekki sem skyldi á TikTok þá er sérstakt öryggisteymi okkar tilbúið til að bregðast við og leysa þau mál. Til viðbótar við teymi okkar af reyndum öryggissérfræðingum og leiðandi öryggistækni í iðnaðinum treystum við á og metum utanaðkomandi tillögur sem tilkynna tæknilegar öryggisvillur á verkvangnum okkar. Með það í huga höfum við skilgreint sett af stefnum til að leiðbeina ytri samstarfsaðilum okkar um hvernig þeir geta tilkynnt veikleika á réttan hátt. Við fögnum framlagi þínu og þökkum viðleitnina til að vernda TikTok.
Stefna um tilkynningu veikleika
• Ef þú hefur spurningar, áhyggjur eða lendir í vandræðum með prófílinn þinn skaltu smella hér.
• Ef þú hefur spurningar, áhyggjur eða vilt koma einhverju á framfæri varðandi persónuverndarstefnu TikTok eða svik skaltu smella hér.
• Ef einhver er að misnota vörumerkið þitt skaltu hafa samband við okkur. Ef þú telur að þú hafir uppgötvað öryggisvillu eða veikleika í TikTok appinu eða vefsvæðinu skaltu senda tilkynninguna þína hér. Þér verður vísað áfram á vefsvæði HackerOne, trausts öryggisvillufélaga okkar. HackerOne veitir frekari upplýsingar varðandi leiðbeiningar um innsendingar og gerir þér kleift að senda tilkynningu.
TikTok fylgir samræmdri stefnu um upplýsingagjöf. Skoðaðu stefnu um trúnað og upplýsingagjöf sem skilgreind er í TikTok HackerOne stefnu til að fá frekari upplýsingar.
Leiðbeiningar
Farðu í kaflann Reglur og leiðbeiningar um þjónustuna í TikTok HackerOne stefnu til að fá nánari upplýsingar.
Algengar spurningar
Hvers konar vandamál eru talin öryggisveikleiki og ætti að tilkynna?
Hér ætti að tilkynna vandamál varðandi tæknilegar öryggisvillur sem hafa áhrif á TikTok. Vandamál eru, meðal annars, en eru ekki takmörkuð við, eftirfarandi:
• XSS, CSRF, SSRF , SQL Injection, ROP, JOP, o.s.frv.
• Leki eða harðkóðuð viðkvæm skilríki
• Nýtanleg og hættuleg forritaskil.
• Inningarleiðarránárásir
• Notendagagnaleki
• Vandamál sem eru skráð í OWASP Top Ten fyrir veföpp
• Vandamál sem skráð eru í OWASP Top Ten fyrir snjallöpp
• Auðkenningar- eða heimildarveikleikar
• Aðgangur að innri TikTok úrræðum eins og frumkóða í bakenda, gagnagrunni o.s.frv.
• Opin tilvísun - ef hægt að sýna fram á auka öryggisáhrif
• Öryggissniðganga tengd andsjálfvirkni eða skortur á hraðatakmörkunum á auðkenndum endapunktum
• Notkun TikTok forritsins til að auka heimildir til að ráðast á farsímastýrikerfið
• Geðþóttakeyrsla á kóða á TikTok netþjónum/biðlurum
Eru verðlaun, vinningur eða CVE fyrir staðfesta veikleika ?
Farðu á Verðlaun og Ekki gjaldgengt fyrir verðlaun kaflana í TikTok HackerOne stefnunni til að fá frekari upplýsingar um fjárhæðir.
Hversu langur tími þarf að líða áður en ég get birt niðurstöður mínar?
Við óskum eftir því að öryggisrannsakendur fylgi stefnu um trúnað og upplýsingagjöf sem er skilgreind í TikTok HackerOne stefnunni.
Hvaða veflén eru innan gildissviðs TikTok?
Farðu í kaflann Innan gildissviðs í TikTok HackerOne stefnunni fyrir til að fá frekari upplýsingar.
Hvernig get ég fengið tilkynningu um að verið sé að rannsaka öryggisvandamál sem ég hef tilkynnt?
Öryggisvandamálin sem tilkynnt er um verða metin út frá vástigi og fyrirtækjaforgangsröðun og fara í gegnum forgangsröðun okkar í samræmi við það. Við munum upplýsa þig um framvindu málsins eftir bestu getu.