TikTokPranešimas apie saugumo spragas
„TikTok“ misija – įkvėpti kūrybiškumo ir suteikti džiaugsmo. Mūsų platformos sauga ir tinkamas veikimas glaudžiai susiję su šia misija. Jei platformoje „TikTok“ kas nors veikia netinkamai, mūsų speciali saugos komanda yra pasirengusi reaguoti ir išspręsti šias problemas. Be mūsų patyrusių saugos specialistų komandos ir pirmaujančių pramonės saugos technologijų, mes remiamės ir vertiname išorinį indėlį nustatant technines saugumo klaidas mūsų platformoje. Atsižvelgdami į tai, nustatėme politikos priemonių rinkinį, kad mūsų išorės partneriai galėtų tinkamai pranešti apie pažeidžiamumą. Džiaugiamės tavo indėliu ir vertiname tavo pastangas apsaugoti „TikTok“.
Pranešimo apie pažeidžiamumus politika
• Jei turi klausimų, susirūpinimų ar problemų, susijusių su savo profiliu, spustelėk čia.
• Jei turi klausimų, susirūpinimų ar problemų, susijusių su „TikTok“ privatumo politika ar sukčiavimu, spustelėk čia.
• Jei kas nors piktnaudžiauja tavo prekių ženklu, susisiek su mumis.
Jei manai, kad „TikTok“ programėlėje ar svetainėje aptikai saugos klaidą ar pažeidžiamumą, pateik pranešimą čia. Tave nukreips į „HackerOne“, mūsų patikimo atlyginimo už saugos klaidas partnerio, svetainę. „HackerOne“ suteikia daugiau informacijos apie pateikimo gaires ir leis tau pateikti pranešimą. „TikTok“ laikosi koordinuotos informacijos atskleidimo politikos. Daugiau informacijos rasi Informacijos atskleidimo ir konfidencialumo politikoje, apibrėžtoje „TikTok HackerOne“ politikoje.
Gairės
Jei reikia išsamios informacijos, apsilankyk skyriuje Programos taisyklės ir gairės, esančiame „TikTok HackerOne“ politikoje.
Dažnai užduodami klausimai (DUK)
Kokio tipo problemos yra laikomos saugos pažeidžiamumu ir apie kurias reikia pranešti?
Čia turėtų būti pranešta apie problemas, susijusias su techninėmis saugos klaidomis, turinčiomis įtakos „TikTok“. Tai gali būti, be kita ko, šios problemos:
• XSS, CSRF, SSRF, SQL įdėjimas, ROP, JOP ir t. t.;
• nutekinti arba įkoduoti neskelbtini kredencialai;
• išnaudojami ir pavojingi API;
• valdymo srauto užgrobimo atakos;
• naudotojo duomenų nutekinimas;
• problemos, išvardytos 10 populiariausių žiniatinklio programų OWASP;
• problemos, išvardytos 10 populiariausių mobiliųjų programų OWASP;
• autentifikavimo ar autorizavimo pažeidžiamumai;
• prieiga prie vidinių „TikTok“ išteklių, pvz., vidinio šaltinio kodo, duomenų bazės ir kt.;
• atvirasis peradresavimas – jei galima įrodyti papildomą poveikį saugai;
• apsaugos nuo automatizavimo apėjimas arba autentifikuotų galinių taškų kiekio neribojimas;
• „TikTok“ programos naudojimas privilegijų eskalavimui norint atakuoti mobiliąją operacinę sistemą;
• savavališkas kodo vykdymas „TikTok“ serveriuose / klientuose.
Ar yra atlygis ar CVE už patvirtintą pažeidžiamumą?
Apsilankyk Atlygiai & Netinkama atlygiui gauti skyriuose „TikTok HackerOne“ politikoje, kur rasi daugiau informacijos apie atlygį.
Kiek laiko reikia, kol galėsiu paskelbti savo išvadas?
Prašome, kad saugumo tyrėjai laikytųsi Informacijos atskleidimo ir konfidencialumo politikos, aprašytos „TikTok HackerOne“ politikoje.
Kurie žiniatinklio domenai patenka į „TikTok“?
Apsilankyk skyriuje Patenka į taikymo sritį „TikTok HackerOne“ politikoje, kad gautum išsamios informacijos.
Kaip man gali būti pranešta, kad saugos problema, apie kurią pranešiau, yra tiriama?
Saugos problemos, apie kurias pranešta, bus įvertintos atsižvelgiant į svarbą ir verslo prioritetą ir atitinkamai bus atlikta mūsų tyrimo procedūra. Stengsimės kuo geriau tave informuoti apie atvejo tyrimą.