Rapportere sikkerhetssårbarheter
TikToks oppgave er å inspirere til kreativitet og skape glede. Sikkerheten og tilstanden til plattformen vår er nært knyttet til denne oppgaven. Hvis ting ikke fungerer som de skal på TikTok, er det dedikerte sikkerhetsteamet vårt klart til å reagere og løse de problemene. I tillegg til teamet vårt med erfarne sikkerhetseksperter og bransjeledende sikkerhetsteknologier, er vi avhengige av, og setter pris på, eksterne innspill som flagger tekniske sikkerhetsfeil på plattformen vår. Med det i tankene har vi definert et sett med retningslinjer som skal veilede de eksterne partnerne våre slik at de rapporterer sårbarheter på riktig måte. Vi setter pris på innspill fra deg, og vi verdsetter det du gjør for å beskytte TikTok.
Retningslinjer for rapportering av sårbarhet
• Hvis du har spørsmål, bekymringer eller problemer med profilen din, klikker du her.
• Hvis du har spørsmål, bekymringer eller problemer med TikToks retningslinjer for personvern eller svindel, klikker du her.
• Hvis noen misbruker varemerket ditt, kan du kontakte oss.
Hvis du mener du har oppdaget en sikkerhetsfeil eller sårbarhet i TikTok-appen eller på nettsiden vår, kan du sende inn en rapport her. Du blir omadressert til nettsiden til HackerOne, som er vår pålitelige partner for løsing av sikkerhetsfeil. HackerOne kan formidle mer informasjon om retningslinjer for innsending, og vil gi deg tillatelse til å sende inn en rapport.
TikTok følger retningslinjer for koordinert avsløring. Se Retningslinjer for avsløring og konfidensialitet i Retningslinjer for TikTok HackerOne for mer informasjon.
Retningslinjer
Gå til delen Programregler og retningslinjer i Retningslinjer for TikTok HackerOne for mer informasjon.
Vanlige spørsmål (FAQ)
Hvilken type problemer blir vurdert som sikkerhetssårbarheter og bør dermed rapporteres?
Problemer om tekniske sikkerhetsfeil som påvirker TikTok, må rapporteres her. Problemer inkluderer, men er ikke begrenset til, følgende:
• XSS, CSRF, SSRF , SQL Injection, ROP, JOP osv.
• Lekket eller hardkodet, sensitiv legitimasjon
• Utnyttbare og skadelige API-er.
• Øktkapringer av kontrollflyt
• Lekkasje av brukerdata
• Problemer som er oppført i OWASP Top Ten for nettapper
• Problemer som er oppført i OWASP Top Ten for mobile apper
• Sårbarheter i forbindelse med godkjenning eller autorisasjon
• Tilgang til interne TikTok-ressurser, for eksempel kildekode for serverdel, database osv.
• Åpen omadressering – hvis en ekstra sikkerhetspåvirkning kan dokumenteres
• Omgåelse av sikkerhet for anti-automatisering eller mangel på hastighetsbegrensning for godkjente endepunkter
• Bruke TikTok-appen til privilegieeskalering for å angripe det mobile operativsystemet
• Kjøring av vilkårlig kode på TikToks servere/klienter
Finnes det en belønning, premie eller CVE for bekreftede sårbarheter?
Gå til delen Belønninger og Ikke kvalifisert for belønning i Retningslinjer for TikTok HackerOne for mer informasjon om premier.
Hvor mye tid kreves før jeg kan publisere resultatene mine?
Vi anmoder om at sikkerhetsforskere følger Retningslinjer for avsløring og konfidensialitet som er definert i Retningslinjer for TikTok HackerOne.
Hvilke nettdomener er innenfor TikToks omfang?
Gå til delen I omfang i Retningslinjer for TikTok HackerOne for mer informasjon.
Hvordan kan jeg bli informert om at et sikkerhetsproblem jeg har rapportert, blir undersøkt?
De rapporterte sikkerhetsproblemene blir evaluert basert på alvorsgrad og forretningsprioriteter, og blir sluset gjennom vårt undersøkelsesforløp basert på denne rangeringen. Vi skal holde deg informert om fremdriften i saken etter beste evne.