segnalazione vulnerabilità di sicurezza

Segnalazione vulnerabilità di sicurezza


La missione di TikTok è ispirare creatività e portare buonumore. La sicurezza e la salute sulla nostra piattaforma sono strettamente collegate a questa missione. Quando qualcosa non funziona come dovrebbe su TikTok, il nostro apposito team di sicurezza è pronto a rispondere e a risolvere tempestivamente i problemi. Oltre a contare sul nostro team di esperti professionisti addetti alla sicurezza e alle nostre tecnologie all'avanguardia nel settore, ci affidiamo anche alle preziose segnalazioni esterne che mettono in evidenza i problemi tecnici di sicurezza della nostra piattaforma. Sulla base di queste premesse, abbiamo definito un insieme di informative, che offrono ai nostri partner esterni delle linee guida su come segnalare eventuali vulnerabilità. Incoraggiamo le vostre segnalazioni e apprezziamo i vostri sforzi di contribuire alla sicurezza di TikTok.



Informativa sulla segnalazione di vulnerabilità


       •  Per domande, dubbi o segnalazione di problemi relativi al proprio profilo, clicca qui.
       •  Per domande, dubbi o segnalazioni di tentativi di frode e problemi relativi all'informativa sulla privacy di TikTok, clicca qui.
       •  Se qualcuno sta utilizzando in modo inappropriato il tuo marchio, contattaci su.

Se ritieni di aver individuato un problema o una vulnerabilità di sicurezza nell'app o sul sito web di TikTok, invia una segnalazione qui. Verrai reindirizzato al sito di HackerOne, il nostro partner fidato sui bug di sicurezzaLì troverai maggiori informazioni sulle linee guida per le segnalazioni e potrai inoltrare una segnalazione.


TikTok applica una politica di divulgazione coordinata. Per ulteriori informazioni, è possibile consultare l'Informativa sulla divulgazione e la riservatezza (Disclosure and Confidentiality Policy) contenuta nell'Informativa di TikTok HackerOne (TikTok HackerOne Policy).



Linee guida


Per ulteriori dettagli, consultare la sezione Regole e linee guida del programma (Program Rules and Guidelines) nell'Informativa di TikTok HackerOne (TikTok HackerOne Policy).



Domande frequenti (FAQ)


Quali problemi possono essere considerati vulnerabilità di sicurezza e quindi dovrebbero essere segnalati?

I problemi riguardanti bug di sicurezza di TikTok devono essere segnalati qui. I problemi che possono essere segnalati comprendono, tra gli altri, i seguenti:
       •  XSS, CSRF, SSRF, SQL Injection, ROP, JOP e altri.
       •  Furto di credenziali sensibili o il loro hard coding
       •  API vulnerabili o pericolose.
       •  Attacchi di dirottamento del flusso di controllo
       •  Furti di dati utente
       •  Problemi elencati nella Top Ten OWASP per le App web
       •  Problemi elencati nella Top Ten OWASP per le App mobili
       •  Vulnerabilità di autenticazione e autorizzazione
       •  Accesso a risorse interne di TikTok quali codice sorgente di backend, database, ecc.
       •  Reindirizzamenti aperti, se si possono dimostrare problemi di sicurezza conseguenti
       •  Violazioni di sicurezza anti-automation o mancanza di limiti di velocità sugli endpoint autenticati
       •  Utilizzo dell'applicazione TikTok per aggirare i privilegi e attaccare il sistema operativo del cellulare
       •  Esecuzione di codici arbitrari su server/client TikTok


Sono previsti premi, ricompense o CVE per le segnalazioni di vulnerabilità accertate?

Per ulteriori informazioni su eventuali ricompense, consultare le sezioni Premi (Rewards) e Idoneità per i premi (Not Eligible for Reward) nell'Informativa di TikTok HackerOne (TikTok HackerOne Policy) per ulteriori dettagli sulle segnalazioni.

Quanto tempo è necessario prima che possa pubblicare le mie scoperte?

Gli utenti che svolgono ricerche sulle questioni di sicurezza devono attenersi all'Informativa sulla divulgazione e la riservatezza (Disclosure and Confidentiality Policy) definita nell'Informativa di TikTok HackerOne (TikTok HackerOne Policy).

Quali sono i domini web di TikTok?

Per ulteriori dettagli, consultare la sezione Ambito (In Scope) nell'Informativa di TikTok HackerOne (TikTok HackerOne Policy).

Come sarò informato del fatto che un problema da me segnalato è oggetto di investigazione?

I problemi di sicurezza segnalati saranno valutati in base alla loro criticità e priorità rispetto alle attività interessate e saranno sottoposti conseguentemente al flusso del nostro processo di investigazione. Terremo gli autori delle segnalazioni informati sugli sviluppi del caso al meglio delle nostre possibilità.

Ti è stato utile?