TikTokRaportarea vulnerabilităților de securitate
Misiunea TikTok este să inspire creativitate și să aducă bucurie. Securitatea și sănătatea platformei noastre sunt strâns legate de această misiune. Dacă lucrurile nu funcționează corect pe TikTok, echipa noastră de securitate dedicată este gata să răspundă și să rezolve aceste probleme. Pe lângă echipa noastră experimentată de profesioniști în securitate și tehnologiile de securitate de vârf din industrie, ne bazăm și prețuim contribuțiile externe care semnalează erorile tehnice de securitate de pe platforma noastră. Având în vedere acest lucru, am definit un set de politici pentru a ne îndruma partenerii externi cu privire la raportarea corectă a vulnerabilităților. Salutăm contribuția ta și apreciem eforturile tale de a proteja TikTok.
Politica de raportare a vulnerabilităților
• Pentru întrebări, nelămuriri sau probleme legate de profilul tău, fă clic aici.
• Pentru întrebări, nelămuriri sau probleme legate de politica de confidențialitate sau fraudă TikTok, fă clic aici.
• Dacă cineva utilizează greșit brandul tău, contactează-ne.
În cazul în care crezi că ai descoperit o eroare sau o vulnerabilitate de securitate în aplicația sau website-ul TikTok, trimite raportarea ta aici. Vei fi redirecționat către website-ul HackerOne, partenerul nostru de încredere de recompense pentru erori de securitate. HackerOne oferă mai multe informații despre ghidurile de depunere și îți va permite să trimiți o raportare.
TikTok respectă o politică coordonată de divulgare. Consultă Politica de divulgare și confidențialitate definită în Politica HackerOne pentru TikTok, pentru mai multe detalii.
Îndrumări
Pentru detalii, vizitează secțiunea Regulile și îndrumările programului din Politica HackerOne pentru TikTok.
Întrebări frecvente
Ce tipuri de probleme sunt considerate vulnerabilități de securitate și ar trebui raportate?
Problemele legate de erorile tehnice de securitate care afectează TikTok ar trebui raportate aici. Problemele includ, dar nu se limitează la următoarele:
• XSS, CSRF, SSRF , Injecție SQL, ROP, JOP etc.
• Acreditări confidențiale scurse sau codificate fix
• API-uri exploatabile și periculoase.
• Control al atacurilor de deturnare a fluxurilor
• Scurgeri de date ale utilizatorilor
• Problemele enumerate în OWASP Top Ten pentru aplicații web
• Problemele enumerate în OWASP Top Ten pentru aplicații mobile
• Vulnerabilități de autentificare sau autorizare
• Acces la resurse interne TikTok, cum ar fi codul sursă backend, baza de date etc.
• Redirecționare deschisă - dacă se poate demonstra un impact suplimentar asupra securității
• Evitări ale securității antiautomatizare sau lipsa limitării vitezei în punctele finale autentificate
• Utilizarea aplicației TikTok pentru escaladarea privilegiilor, pentru a ataca sistemul de operare mobil
• Executarea de cod arbitrar pe serverele/clienții TikTok
Există o recompensă, un premiu sau CVE pentru vulnerabilitățile confirmate?
Vizitează secțiunile Recompense și Neeligibile pentru recompensă din Politica HackerOne pentru TikTok, pentru mai multe detalii despre premiu.
De cât timp este nevoie înainte de a-mi putea publica constatările?
Solicităm ca cercetătorii din domeniul securității să respecte Politica de divulgare și confidențialitate definită în Politica HackerOne pentru TikTok.
Ce domenii web sunt în aria de acoperire pentru TikTok?
Vizitează secțiunea În aria de acoperire din Politica HackerOne pentru TikTok, pentru detalii.
Cum pot fi anunțat că o problemă de securitate pe care am raportat-o este investigată?
Problemele de securitate raportate vor fi evaluate pe baza gravității și priorității pentru activitate și, în consecință, vor trece prin canalul nostru de triaj al investigațiilor. Te vom ține la curent cu evoluția cazului, în măsura posibilităților.