TikToktwórca, program, warunki
Misją TikTok jest inspirowanie użytkowników do puszczenia wodzy kreatywności i dawanie radości. Bezpieczeństwo i stan naszej platformy są ściśle związane z tą misją. Jeśli coś nie działa poprawnie w TikTok, nasz oddany zespół ds. bezpieczeństwa jest gotowy zareagować i rozwiązać te problemy. Oprócz naszego zespołu doświadczonych specjalistów ds. bezpieczeństwa i wiodących w branży technologii z zakresu bezpieczeństwa, polegamy na danych zewnętrznych, które wskazują techniczne błędy bezpieczeństwa na naszej platformie oraz cenimy takie zgłoszenia. Mając to na uwadze, zdefiniowaliśmy zestaw zasad, według których nasi partnerzy zewnętrzni powinni prawidłowo zgłaszać luki w zabezpieczeniach. Czekamy na Twój wkład i doceniamy Twoje wysiłki na rzecz ochrony TikTok.
Zasady zgłaszania luk w zabezpieczeniach
• W przypadku pytań, wątpliwości lub problemów z profilem kliknij tutaj.
• W przypadku pytań, wątpliwości lub problemów z polityką prywatności TikTok lub oszustwami kliknij tutaj.
• Jeśli ktoś używa bez pozwolenia Twojej marki, skontaktuj się z nami.
Jeśli zobaczysz błąd bezpieczeństwa lub lukę w aplikacji albo na stronie internetowej TikTok, prześlij swoje zgłoszenie tutaj. Nastąpi przekierowanie na stronę internetową HackerOne, naszego zaufanego partnera zajmującego się przetwarzaniem nagród za zgłaszanie błędów z zakresu bezpieczeństwa. HackerOne dostarcza więcej informacji na temat wytycznych dotyczących zgłoszeń i umożliwia przesłanie raportu.
TikTok przestrzega zasad Polityki skoordynowanego ujawniania informacji. Należy zapoznać się z Polityką ujawniania i poufności określoną w Zasadach HackerOne TikTok, aby uzyskać więcej informacji.
Wytyczne
Należy odwiedzić sekcję Zasady programu i wytyczne w Zasadach HackerOne TikTok, aby uzyskać szczegóły.
Najczęściej zadawane pytania (FAQ)
Jakie rodzaje problemów są uważane za luki w zabezpieczeniach i należy je zgłaszać?
Problemy dotyczące technicznych błędów z zakresu bezpieczeństwa mające wpływ na TikTok należy zgłaszać tutaj. Problemy obejmują między innymi:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP itp.
• poufne dane uwierzytelniające, które wyciekły lub zostały zakodowane na stałe
• zdalne do wykorzystania i niebezpieczne interfejsy programistyczne
• ataki polegające na przejmowaniu kontroli nad przepływem
• wyciek danych użytkownika
• kwestie wymienione na liście Top 10 błędów aplikacji webowych OWASP
• kwestie wymienione na liście Top 10 błędów aplikacji mobilnych OWASP
• luki w zabezpieczeniach uwierzytelniania lub autoryzacji
• dostęp do wewnętrznych zasobów TikTok, takich jak kod źródłowy zaplecza, baza danych itp.
• otwarte przekierowanie — jeśli można wykazać dodatkowy wpływ na bezpieczeństwo
• obejścia zabezpieczeń przeciw automatyzacji lub brak ograniczenia maksymalnej liczby prób dokonywanych na jednym urządzeniu/koncie na uwierzytelnionych punktach końcowych • używanie aplikacji TikTok do eskalacji uprawnień w celu przeprowadzenia ataku na mobilny system operacyjny
• realizację dowolnego kodu na serwerach / w ramach klientów TikTok
Czy istnieje nagroda lub wpis w słowniku identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom (CVE) dla potwierdzonych luk w zabezpieczeniach?
Należy odwiedzić sekcje Nagrody i Nie kwalifikuje się do nagrody w Zasadach HackerOne TikTok, aby uzyskać więcej informacji na temat nagrody.
Ile czasu minie, zanim będzie można opublikować swoje odkrycia?
Prosimy, aby osoby, które wykryły zagrożenie bezpieczeństwa postępowały zgodnie z Polityką ujawniania i poufności w Zasadach HackerOne TikTok.
Które domeny internetowe są objęte zakresem TikTok?
Należy odwiedzić sekcję Zakres w Zasadach HackerOne TikTok, aby uzyskać więcej informacji.
W jaki sposób otrzymam powiadomienie, że zgłoszony przeze mnie problem dotyczący bezpieczeństwa jest badany?
Zgłoszone problemy z zakresu bezpieczeństwa zostaną ocenione na podstawie krytyczności i priorytetu biznesowego oraz odpowiednio przejdą przez nasz proces segregacji dochodzeń. W miarę naszych możliwości będziemy na bieżąco informować Cię o postępach w sprawie.