Anmäla säkerhetsrisker

Anmäla säkerhetsrisker

TikToks målsättning är att inspirera till glädje och kreativitet. Säkerheten och integriteten hos vår plattform är avgörande för denna målsättning. Om saker och ting inte fungerar som de ska på TikTok står vårt säkerhetsteam redo att lösa problemen. Utöver vårt team med kunniga säkerhetsproffs och våra branschledande säkerhetstekniker litar vi på och värdesätter att externa aktörer flaggar tekniska säkerhetsfel på vår plattform. Vi har därför tagit fram ett antal policyer som hjälper våra externa partner att anmäla risker på rätt sätt. Vi välkomnar dina synpunkter och uppskattar dina ansträngningar för att skydda TikTok.

Policy för anmälan av risker

       •  Om du har frågor om eller problem med din profil kan du klicka här.
       •  Om du har frågor om eller problem med bedrägeri eller TikToks sekretesspolicy kan du klicka här.
       •  Om någon använder ditt varumärke på ett otillåtet sätt kan du kontakta oss.

Om du tror att du har påträffat ett säkerhetsfel eller en risk i TikToks app/på TikToks webbplats kan du skicka in en anmälan här. Du leds då till webbplatsen som tillhör HackerOne, vår betrodda säkerhetspartner. HackerOne kan även bistå med mer information om hur du gör en anmälan.

TikTok följer en policy för samordnat yppande. Se policyn för yppande och konfidentialitet i TikToks HackerOne-policy för mer information.

Riktlinjer

Besök avsnittet Programregler och riktlinjer i TikToks HackerOne-policy för mer information.

Vanliga frågor

Vilka typer av problem betraktas som säkerhetsrisker och bör anmälas?

Problem med tekniska säkerhetsfel som påverkar TikTok ska anmälas här. Exempel på sådana problem är
        •  XSS, CSRF, SSRF , SQL Injection, ROP, JOP osv.
       •  läckta eller hårdkodade känsliga användaruppgifter
       •  farliga API:er och API:er som är möjliga att exploatera
       •  kidnappning av kontrollflöden
       •  läckta användaruppgifter
       •  problem som finns förtecknade i OWASP Top Ten for Web Apps
       •  problem som finns förtecknade i OWASP Top Ten for Mobile Apps
       •  autentiserings- eller auktoriseringsrisker
       •  åtkomst till interna TikTok-resurser, som backend-källkod eller databaser
       •  öppen omdirigering, om ytterligare säkerhetsrisk kan påvisas
       •  åsidosättande av säkerhetsmekanismer för att förhindra automatisering eller avsaknad av frekvensbegränsning i autentiserade slutpunkter
       •  användning av TikTok-appen för eskalerad behörighet i syfte att angripa mobiloperativsystemet
       •  slumpmässig kodkörning på TikToks servrar/klienter.

Erbjuder ni belöning vid anmälningar av bekräftade risker?

Läs avsnitten Belöningar och Inte kvalificerad för belöning i TikToks HackerOne-policy för mer information om belöningar.

Hur lång tid tar det innan jag kan publicera mina rön?

Säkerhetstestare måste följa policyn för yppande och konfidentialitet i TikToks HackerOne-policy.

Vilka webbdomäner omfattas av TikToks policyer?

Läs avsnittet Omfattning i TikToks HackerOne-policy för mer information.

Hur får jag ett meddelande om att ett säkerhetsproblem som jag har anmält undergår utredning?

Anmälda säkerhetsproblemen utvärderas baserat på allvarlighetsgrad och verksamhetsprioritet och genomgår vår utredningsprocess enligt denna prioritering. Vi informerar dig fortlöpande om ärendet om det är möjligt.




Var det här användbart?