Ziņošana par drošības ievainojamībām
TikTok misija ir iedvesmot radošumu un radīt prieku. Mūsu platformas drošība un veselīga vide ir cieši saistīta ar šo misiju. Ja lietotnē TikTok kaut kas nenotiek pareizi, mūsu īpašā drošības komanda ir gatava atbildēt un risināt šīs problēmas. Papildus mūsu pieredzējušo drošības speciālistu komandai un nozares vadošajām drošības tehnoloģijām mēs paļaujamies uz citiem ārpus uzņēmuma, kas ziņo par tehniskām drošības kļūdām mūsu platformā, un novērtējam šādu iniciatīvu. Paturot to prātā, mēs definējam politiku kopu, kas ietver norādes mūsu ārējiem partneriem par to, kā atbilstoši ziņot par ievainojamībām. Lūdzam piedalīties un cienām ikviena pūles TikTok aizsargāšanā!
Politika ziņošanai par ievainojamībām
• Ja ir jautājumi, šaubas par profilu vai problēmas ar to, noklikšķini šeit.
• Ja ir jautājumi, šaubas par TikTok privātuma politiku vai krāpšanu vai problēmas ar tām, noklikšķini šeit.
• Ja kāds ļaunprātīgi izmanto tavu zīmolu, sazinies ar mums.
Ja uzskati, ka esi atklājis drošības problēmu vai ievainojamību lietotnē vai vietnē TikTok, iesniedzi ziņojumu šeit. Tiksi novirzīts uz HackerOne vietni, kas ir mūsu uzticamais drošības problēmu atbalsta partneris. HackerOne sniedz vairāk informācijas par iesniegšanas vadlīnijām un ļauj iesniegt ziņojumu. TikTok ievēro Koordinēto informācijas atklāšanas politiku. Lai uzzinātu vairāk, skati Informācijas atklāšanas un konfidencialitātes politiku, kas definēta TikTok HackerOne politikā.
Vadlīnijas
Detalizētu informāciju skati TikTok HackerOne politikas sadaļā Programmu noteikumi un vadlīnijas.
Bieži uzdotie jautājumi (BUJ)
Kādas problēmas tiek uzskatītas par drošības ievainojamībām, par kurām jāziņo?
Šajā gadījumā ir jāziņo par tehniskām drošības kļūdām, kas ietekmē TikTok. Problēmas var būt tālāk norādītās (bet tās nav visas).
• XSS, CSRF, SSRF , SQL Injection, ROP, JOP utt.
• Nopludināti vai spēcīgi kodēti sensitīvie akreditācijas dati
• Lietojamas vai bīstamas lietojumprogrammu saskarnes (API)
• Kontrolētas plūsmas nolaupīšanas uzbrukumi
• Lietotāju datu noplūde
• Problēmas, kas norādītas šeit: OWASP desmit populārākas problēmas tīmekļa lietotnēm
• Problēmas, kas norādītas šeit: OWASP desmit populārākas problēmas mobilām lietotnēm
• Autentifikācijas vai autorizācijas ievainojamības
• Piekļuve iekšējiem TikTok resursiem, piemēram, aizmugursistēmas avota kodam, datubāzei utt.
• Atklāta novirzīšana — ja var uzrādīt papildu ietekmi uz drošību
• Drošības apiešana, kas nav automātiska, vai nespēja novērtēt autentificēto galapunktu ierobežojumu
• Lietotnes TikTok izmantošana privilēģiju eskalācijai uzbrukt mobilajai operētājsistēmai
• Brīva koda izpilde TikTok serveros/klientos
Vai par apstiprinātam ievainojamībām piešķir atlīdzību, balvu vai CVE?
Plašāku informāciju par balvu skati TikTok HackerOne politikas sadaļas Atlīdzības un Nekvalificējas atlīdzībai.
Cik ilgam laikam jāpaiet, lai varētu publicēt atklājumus?
Mēs lūdzam drošības pētniekiem ievērot TikTok HackerOne politikā definēto Informācijas atklāšanas un konfidencialitātes politiku.
Kuri tīmekļa domēni ir TikTok tvērumā?
Informāciju skati TikTok HackerOne politikas sadaļā Tvērumā.
Kā tikšu informēts par to, ka drošības problēmu, par kuru ziņoju, tiek izmeklēta?
Drošības problēmas, par kurām tiek ziņots, tiks novērtētas, ņemot vērā to kritiskumu un uzņēmuma prioritāti, un tā tiks attiecīgi izmeklēta atbilstoši prioritātēm. Mēs informēs tevi par gadījuma norisi pēc vislabākajām iespējām.