TikTokNahlasovanie slabých miest zabezpečenia
Poslaním platformy TikTok je povzbudzovať tvorivosť a prinášať radosť. S tým úzko súvisí zabezpečenie a stav našej platformy. Pokiaľ niečo na TikToku nefunguje tak, ako má, náš špecializovaný bezpečnostný tím je pripravený reagovať a riešiť problémy. Okrem nášho tímu skúsených bezpečnostných expertov a popredných technológií zabezpečenia v odbore sa spoliehame na externé podnety upozorňujúce na technické chyby v zabezpečení našej platformy a ceníme si ich. Preto sme definovali súbor zásad, ktoré majú pomôcť našim externým partnerom správne oznamovať slabé miesta zabezpečenia. Vítame tvoje podnety a ceníme si tvoju snahu chrániť TikTok.
Zásady nahlasovania slabých miest zabezpečenia
• Ak máš otázky, obavy alebo problémy, klikni sem.
• Ak máš otázky, obavy alebo problémy týkajúce sa zásad ochrany súkromia spoločnosti TikTok alebo podvodov, klikni sem.
• Ak niekto zneužíva tvoju značku, kontaktuj nás.
Ak sa domnievaš, že si objavil(a) chybu v zabezpečení či slabé miesto zabezpečenia v aplikácii alebo na webových stránkach TikTok, nahlás to tu. Presmerujeme ťa na webové stránky spoločnosti HackerOne, nášho dôveryhodného partnera, ktorý poskytuje odmeny za nájdené chyby v zabezpečení. Spoločnosť HackerOne ti oznámi pravidlá oznamovania a umožní ti oznamovať chyby.
TikTok dodržiava zásady koordinovaného oznamovania slabých miest zabezpečenia. Ďalšie informácie nájdeš v zásadách oznamovania a zachovania dôvernosti, ktoré sú súčasťou zásad používania služby HackerOne spoločnosti TikTok.
Pravidlá
Ďalšie informácie nájdeš v časti Pravidlá a pokyny programu zásad používania služby HackerOne spoločnosti TikTok.
Časté otázky (FAQ)
Aký typ problémov sa považuje za slabé miesta zabezpečenia a treba ich nahlásiť?
Potrebné je nahlasovať problémy v podobe technických chýb v zabezpečení, ktoré majú vplyv na TikTok. Medzi tieto problémy patria okrem iného:
• Útoky typu XSS, CSRF, SSRF, SQL injection, ROP, JOP atď.
• Únik citlivých prihlasovacích údajov alebo ich pevné zakódovanie
• Využiteľné a nebezpečné rozhrania API.
• Útoky využívajúce únos toku vykonávania programu
• Úniky údajov používateľov
• Problémy uvedené v zozname OWASP Top Ten pre webové aplikácie
• Problémy uvedené v zozname OWASP Top Ten pre mobilné aplikácie
• Medzery v overovaní alebo autorizácii
• Prístup k interným prostriedkom TikTok, ako je backendový zdrojový kód, databáza atď.
• Otvorené presmerovanie – ak je možné preukázať ďalší vplyv na bezpečnosť
• Bypassy vyraďujúce z prevádzky automatizované zabezpečenie alebo nedostatok obmedzovania rýchlosti v overených koncových bodoch
• Používanie aplikácie TikTok na eleváciu oprávnení z dôvodu útoku na operačný systém mobilného zariadenia
• Svojvoľné vykonávanie kódu na serveroch/v klientoch TikTok
Existuje nejaká odmena alebo ocenenie za potvrdené slabé miesta zabezpečenia?
Ďalšie informácie o odmenách nájdeš v časti Odmeny a Bez nároku na odmenu v zásadách používania služby HackerOne spoločnosti TikTok.
Aké časové obdobie sa vyžaduje do zverejnenia mojich zistení?
Požadujeme, aby odborníci na odhaľovanie slabých miest zabezpečenia dodržiavali zásady oznamovania a zachovania dôvernosti definované v zásadách používania služby HackerOne TikTok.
Ktoré webové domény spadajú do pôsobnosti TikToku?
Ďalšie informácie nájdeš v časti Pôsobnosť v rámci zásad používania služby HackerOne TikTok.
Ako zistím, že sa niekto zaoberá mnou nahláseným slabým miestom zabezpečenia?
Nahlásené slabé miesta zabezpečenia budú posúdené na základe závažnosti a obchodnej priority a prejdú zodpovedajúcim triedením stanovujúcim plán riešenia. Budeme sa usilovať ťa čo najviac informovať o priebehu prípadu.