Denúncia de vulnerabilidades de segurança
A missão do TikTok é inspirar a criatividade e trazer alegria. A segurança e a integridade da nossa plataforma estão intimamente ligadas a esta missão. Se há algo de errado no TikTok, nossa equipe especial de segurança está pronta para reagir a esses problemas e resolvê-los. Além da nossa equipe de profissionais de segurança com experiência e tecnologias de segurança líderes do setor, também contamos com as informações externas que sinalizam bugs técnicos de segurança na plataforma. Sabendo disso, definimos um conjunto de políticas para orientar nossos parceiros externos sobre como denunciar vulnerabilidades da maneira correta. Recebemos suas informações com prazer e agradecemos seu esforço para proteger o TikTok.
Política de Denúncia de Vulnerabilidades
• Em caso de perguntas, dúvidas ou problemas com seu perfil, clique aqui.
• Em caso de perguntas, dúvidas ou problemas com a política de privacidade do TikTok ou fraude, clique aqui.
• Se alguém estiver usando sua marca de maneira indevida, entre em contato conosco.
Se você acredita ter descoberto um bug ou vulnerabilidade de segurança no aplicativo ou site do TikTok, Envie seu relatório aqui. Você será redirecionado para o site do HackerOne, nosso parceiro confiável de recompensas por bugs de segurançaLá, você receberá mais informações sobre as diretrizes de envio e poderá enviar uma denúncia.
O TikTok segue uma Política de Divulgação Coordenada. Consulte a [Política de Divulgação e Confidencialidade (Disclosure and Confidentiality Policy)] definida na [Política HackerOne do TikTok (TikTok
HackerOne Policy)] para obter informações.
Diretrizes
Consulte a seção [Diretrizes e Regras do Programa (Program Rules and Guidelines)] na [Política HackerOne do TikTok (TikTok HackerOne Policy)] para obter obter informações.
Perguntas frequentes (FAQ)
Quais problemas são considerados vulnerabilidades de segurança e devem ser denunciados?
Problemas relacionados a bugs de segurança técnica que afetam o TikTok devem ser relatados aqui. As vulnerabilidades incluem, entre outras:
• XSS, CSRF, SSRF, injeção de SQL, ROP, JOP etc.
• Credenciais sigilosas vazadas ou codificadas
• APIs exploráveis e perigosas.
• Atentados ao controle de fluxo
• Vazamento de dados dos usuários
• Problemas listados no OWASP Top Ten for Web Apps
• Problemas listados no OWASP Top Ten for Mobile Apps
• Vulnerabilidades de autorização ou autenticação
• Acesso a recursos internos do TikTok como código de back-end de origem, base de dados etc.
• Redirecionamento aberto: se um impacto adicional na segurança puder ser demonstrado
• Desvios de segurança antiautomação ou ausência de limite de taxa em pontos de extremidade autenticados
• Uso do aplicativo do TikTok para aumento de privilégio e ataque ao sistema operacional móvel
• Execução de código arbitrária em servidores servidores/clientes do TikTok
Existe algum prêmio, recompensa ou CVE para vulnerabilidades comprovadas?
Acesse as seções [Recompensas e Não elegível para recompensas (Rewards & Not Eligible for Reward)] na [Política HackerOne do TikTok (TikTok
HackerOne Policy)] para obter mais informações sobre recompensas.
Quanto tempo é necessário antes que eu possa publicar minhas constatações?
Exigimos que os investigadores de segurança sigam a [Política de Divulgação e Confidencialidade (Disclosure and Confidentiality Policy)] definida na [Política HackerOne do TikTok (TikTok
HackerOne Policy)].
Quais domínios da web estão dentro do escopo do TikTok?
Consulte a seção [Em escopo (In Scope)] na [Política HackerOne do TikTok (TikTok HackerOne Policy)] para obter informações.
Como sou notificado de que uma vulnerabilidade de segurança denunciada por mim está sendo investigada?
As vulnerabilidades de segurança denunciadas serão avaliadas com base na criticidade e prioridade de negócios, e passarão por nossa triagem para investigação da forma devida. Faremos o possível para manter você informado sobre o andamento do caso.