Beveiligingskwetsbaarheden melden

Beveiligingskwetsbaarheden melden


Het is de missie van TikTok om de creativiteit, kennis en momenten uit het dagelijks leven vast te leggen en te presenteren. De veiligheid en gezondheid van ons platform hangen nauw samen met deze missie. Als er dingen niet goed werken op TikTok, staat ons speciale beveiligingsteam klaar om te reageren en de problemen op te lossen. Naast ons team van ervaren beveiligingsprofessionals en toonaangevende beveiligingstechnologieën, vertrouwen we op en waarderen we externe input die technische beveiligingsfouten in ons platform signaleert. Met dat in gedachten hebben we een set beleidslijnen opgesteld om onze externe partners te begeleiden bij het juist melden van kwetsbaarheden. We verwelkomen je input en waarderen je inspanningen om TikTok te beschermen.



Beleid inzake melden van kwetsbaarheden


       •  Voor vragen, zorgen of problemen met je profiel, klik hier.
       •  Voor vragen, zorgen of problemen met het privacybeleid van TikTok of fraude, klik
hier.
       •  Als iemand je merk misbruikt,
neem dan contact met ons op.

Als je denkt dat je een beveiligingsfout of kwetsbaarheid in de TikTok-app of -website hebt gevonden, meld het dan
hier. Je wordt doorgestuurd naar de website van HackerOne, onze vertrouwde partner voor beveiligingsfouten. HackerOne geeft meer informatie over de indieningsrichtlijnen en stelt je in staat een melding in te dienen.

TikTok volgt een gecoördineerd bekendmakingsbeleid. Zie het
Bekendmakings- en vertrouwelijkheidsbeleid gedefinieerd in het TikTok HackerOne-beleid voor meer informatie.



Richtlijnen


Ga naar het onderdeel Programmaregels en richtlijnen in het TikTok HackerOne-beleid voor meer informatie.


Veelgestelde vragen (FAQ)


Welke soorten problemen worden als beveiligingsproblemen beschouwd en moeten worden gemeld?

Problemen betreffende technische beveiligingsfouten in TikTok moeten hier worden gemeld. Problemen zijn onder andere, maar niet beperkt tot, de volgende:
       •  XSS, CSRF, SSRF, SQL-injectie, ROP, JOP en dergelijke
       •  Gelekte of hardgecodeerde gevoelige inloggegevens
       •  Misbruikbare en gevaarlijke API's.
       •  Kaping van controleverloop
       •  Lekken van gebruikersgegevens
       •  Problemen vermeld in de OWASP top 10 voor webapps

       •  Problemen vermeld in de OWASP top 10 voor mobiele apps
       •  Authenticatie- of autorisatiekwetsbaarheden
       •  Toegang tot interne TikTok-bronnen zoals back-endbroncode, databases en dergelijke
       •  Open redirect - als een aanvullende beveiligingsimpact kan worden aangetoond
       •  Beveiligingsomzeilingen tegen automatisering of gebrek aan snelheidsbeperking op geauthenticeerde eindpunten
       •  Gebruik van de TikTok-app voor privilege-escalatie om het mobiele besturingssysteem aan te vallen
       •  Uitvoeren van arbitraire code op TikTok-servers/-clients

Is er een beloning, premie of CVE voor bevestigde kwetsbaarheden?

Ga naar de onderdelen Beloningen en Niet in aanmerking voor beloning in het TikTok HackerOne-beleid voor meer informatie over premies.

Hoeveel tijd is er nodig voordat ik mijn bevindingen kan publiceren?

We vragen beveiligingsonderzoekers het Bekendmakings- en vertrouwelijkheidsbeleid gedefinieerd in het TikTok HackerOne-beleid te volgen.

Welke webdomeinen zijn van toepassing voor TikTok?

Ga naar het onderdeel Toepassing in TikTok HackerOne Policy voor meer informatie.

Hoe kan ik een melding krijgen dat een door mij gemeld beveiligingsprobleem wordt onderzocht?

De gemelde beveiligingsproblemen worden beoordeeld op basis van kritiekheid en bedrijfsprioriteit en gaan door een onderzoekstriagepijplijn. We zullen je naar ons beste vermogen op de hoogte houden van het verloop van de kwestie.

Was dit nuttig?