Güvenlik Açıklarını Bildirin
Yaratıcılığa ilham vermek ve neşe sağlamak TikTok'un misyonudur. Platformumuzun güvenliği ve sağlığı bu misyonla yakından bağlantılıdır. TikTok'ta işler düzgün gitmiyorsa, özel güvenlik ekibimiz bu sorunları yanıtlamaya ve çözmeye hazırdır. Deneyimli güvenlik uzmanlarından ve sektör lideri güvenlik teknolojilerinden oluşan ekibimizin yanı sıra platformumuzdaki teknik güvenlik hatalarını işaretleyen harici girdilere güveniyor ve değer veriyoruz. Bunu göz önünde bulundurarak, harici ortaklarımıza güvenlik açıklarını doğru şekilde bildirme konusunda rehberlik edecek bir dizi politika tanımladık. Katkılarınızı memnuniyetle karşılıyor ve TikTok'u koruma çabalarınızı takdir ediyoruz.
Güvenlik Açığı Raporlama Politikası
• Profilinizle ilgili sorular, endişeler veya sorunlar için lütfen lütfen buraya tıklayın.
• TikTok'un gizlilik politikası veya dolandırıcılık ile ilgili sorular, endişeler veya sorunlar için lütfen buraya tıklayın.
• Eğer, biri sizin markasını istismar ediyorsa, şu adresten bizimle tamasa geçin.
TikTok uygulamasında veya web sitesinde bir güvenlik hatası veya güvenlik açığı keşfettiğinizi düşünüyorsanız, lütfen raporunuzu buraya gönderin. Güvenilir güvenlik açığı bağışçı partnerimiz olan HackerOne web sitesine yönlendirileceksinizBurada, gönderim ilkeleri hakkında daha fazla bilgi bulacak ve bir rapor iletebileceksiniz.
TikTok, Koordineli İfşa Politikası izler. Ayrıntılar için lütfen [İfşa ve Gizlilik Politikasına (Disclosure and Confidentiality Policy)] bakın; bu metin [TikTok HackerOne Politikası (TikTok HackerOne Policy)] içerisinde tanımlanmaktadır.
İlkeler
Lütfen, ayrıntılar için [TikTok HackerOne Politikası (TikTok
HackerOne Policy)] içerisindeki [Program Kuralları ve Yönergeleri (Program Rules and Guidelines)] bölümünü ziyaret edin.
Sıkça Sorulan Sorular (SSS)
Ne tür sorunlar güvenlik açığı olarak kabul edilmeli ve raporlanmalıdır?
TikTok'u etkileyen teknik güvenlik hatalarıyla ilgili sorunlar burada bildirilmelidir. Sorunlar aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP, vb.
• Sızan veya sabit kodlu hassas kimlik bilgileri
• Kötüye kullanılabilir ve tehlikeli API'ler.
• Akış ele geçirme saldırılarını kontrol edin
• Kullanıcı veri sızıntıları
• OWASP Web Uygulamaları için İlk On içerisinde sıralanan sorunlar
• OWASP Mobil Uygulamalar için İlk On içerisinde sıralanan sorunlar
• Kimlik doğrulama veya yetkilendirme güvenlik açıkları
• Arka uç kaynak kodu, veritabanı vb. gibi dahili TikTok kaynaklarına erişim.
• Açık yönlendirme - ek bir güvenlik etkisi gösterilebilirse
• Anti otomasyon güvenlik baypasları veya kimliği doğrulanmış uç noktalarda hız sınırlamasının olmaması
• Mobil işletim sistemine saldırmak amacıyla ayrıcalık artırma için TikTok uygulamasını kullanma
• TikTok sunucularında/istemcilerinde rastgele kod yürütme
Onaylanan açıklar için bir ödül, hediye veya CVE var mı?
Hediyeler hakkında daha fazla ayrrıntı için, lütfen [TikTok HackerOne Politikası (TikTok
HackerOne Policy) ] içerisindeki [Ödüller ve Ödüle Uygun Olmayanlar] bölümlerini ziyaret edin.
Bulgularımı yayınlamam için ne kadar zamana ihtiyacım var?
Güvenlik konusunda araştırma yapanların [TikTok HackerOne Politikası (TikTok
HackerOne Policy) ] içerisinde tanımlanan [İfşa ve Gizlilikt Politikasını (Disclosure and Confidentiality Policy)] izlemelerini rica ederiz .
Hangi web alanları TikTok için kapsam dahilindedir?
Ayrıntılar için, lütfen [TikTok HackerOne Politikası (TikTok
HackerOne Policy)] içindeki [Kapsam İçi] bölümünü ziyaret edin.
Rapor ettiğim bir güvenlik sorununun incelenmekte olduğu konrusunda nasıl bildirim alabilirim?
Bildirilen güvenlik sorunları kritiklik ve iş önceliğine göre değerlendirilecek ve buna göre araştırma önceliklendirme hattımızdan geçilecektir. Durumun ilerleyişi hakkında elimizden geldiğince sizi bilgilendireceğiz.