Как сообщить об уязвимости системы
Миссия TikTok — радовать, удивлять и вдохновлять пользователей на творческие достижения. Главными ценностями в рамках этой миссии для нас являются безопасность и здоровая атмосфера в сообществе. Если на платформе TikTok что-то идет не так, наша команда по безопасности оперативно реагирует и решает проблемы. Мы очень ценим помощь извне, когда пользователи указывают нам на технические ошибки, которые могут привести к нарушениям безопасности. Это помогает нашим опытным сотрудникам быстрее закрывать бреши в защитных системах. Сторонним партнерам при сообщении об уязвимости необходимо придерживаться определенного набора соответствующих политик. Мы ценим ваш вклад и поддержку в деле обеспечения безопасности TikTok.
Политика сообщений об уязвимостях
• Если у вас есть вопросы, пожелания или возникли проблемы с профилем, нажмите здесь.
• В случае, если вы стали жертвой мошенничества, а также если у вас есть вопросы или возникли проблемы с политикой конфиденциальности TikTok, нажмите здесь.
• Если кто-то использует ваш бренд без разрешения, обратитесь к нам по адресу
Если вы считаете, что нашли проблему с системами безопасности или уязвимость в приложении или на сайте TikTok, oтправьте жалобу здесь. Вы будете перенаправлены на сайт HackerOne. Это наш проверенный партнер по сбору сведений об уязвимостях. Там вы найдете правила составления отчетов об уязвимостях и сможете отправить свой.
TikTok следует Политике скоординированного разглашения. Подробности см. в [Политике конфиденциальности и разглашения], которая является частью [Политики HackerOne касательно TikTok].
Правила
Подробности можно найти в разделе [«Правила программы»] [Политики HackerOne касательно TikTok].
Часто задаваемые вопросы (FAQ)
Какие проблемы считаются уязвимостями системы безопасности? О чем нужно сообщать?
Здесь вы можете сообщить о технических ошибках системы безопасности TikTok. К подобным проблемам относятся следующие виды ошибок:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP и т.д.
• Утечка данных для входа в аккаунт или появление подобной информации в коде
• Опасные API с известными уязвимостями.
• Попытки перехвата потока команд
• Утечки данных пользователей
• Ошибки, описанные в списке OWASP Top Ten для веб-приложений
• Ошибки, описанные в списке OWASP Top Ten для мобильных приложений
• Уязвимости, связанные с авторизацией или аутентификацией
• Доступ к внутренним ресурсам TikTok, например, исходному коду сервера, базам данных и т.д.
• Открытая переадресация, если она напрямую влияет на уровень безопасности
• Обход защиты от ботов или ограничений скорости передачи данных на верифицированные терминалы
• Использование приложения TikTok для перехвата привилегий и атаки на ОС мобильного устройства
• Выполнение вредоносного кода на серверах или в клиентах TikTok
Предусмотрено ли вознаграждение за поиск уязвимостей? Существует ли список подтвержденных уязвимостей?
Зайдите в разделы [«Награды» и «Награды не выдаются»] в [Политике HackerOne касательно TikTok], чтобы узнать больше о наградах.
Сколько времени нужно подождать перед публикацией обнаруженной проблемы?
Мы просим исследователей кибербезопасности соблюдать [Политику конфиденциальности и разглашения], входящую в состав [Политики HackerOne касательно TikTok].
Какие сетевые домены принадлежат TikTok?
Подробности можно найти в разделе [«Затрагиваемые ресурсы»] [Политики HackerOne касательно TikTok].
Как я узнаю, что обнаруженную мной проблему с системой безопасности начали решать?
Важность сообщений об ошибках и уязвимостях в системе безопасности оценивается на основе возможного ущерба и приоритетов компании в данный момент. Порядок обработки и решения проблем выстраивается в соответствии с этой оценкой. Мы будем сообщать вам о том, как продвигается процесс, так оперативно, как только сможем.