TikTokBáo cáo Lỗ hổng Bảo mật
Sứ mệnh của TikTok là truyền cảm hứng sáng tạo và mang lại niềm vui. Sự bảo mật và lành mạnh của nền tảng có liên kết chặt chẽ với sứ mệnh này. Nếu có vấn đề xảy ra trên TikTok, nhóm chuyên trách về bảo mật của chúng tôi luôn sẵn sàng phản ứng và giải quyết chúng. Ngoài nhóm gồm các chuyên gia giàu kinh nghiệm về bảo mật và các công nghệ bảo mật hàng đầu trong ngành, chúng tôi tin tưởng và trân trọng nguồn thông tin từ bên ngoài chỉ ra các lỗi bảo mật kỹ thuật trên nền tảng của mình. Với quan niệm đó, chúng tôi đã đưa ra một bộ chính sách để hướng dẫn các đối tác bên ngoài báo cáo lỗ hổng bảo mật đúng cách. Chúng tôi hoan nghênh thông tin bạn cung cấp và đánh giá cáo nỗ lực của bạn nhằm bảo vệ TikTok.
Chính sách Báo cáo Lỗ hổng Bảo mật
• Nếu bạn có câu hỏi, mối quan ngại hoặc vấn đề với hồ sơ của mình, vui lòng nhấp vào đây.
• Nếu bạn có câu hỏi, mối quan ngại hoặc vấn đề với chính sách quyền riêng tư của TikTok hoặc hành vi gian lận, vui lòng nhấp vào
đây
• Nếu có người lạm dụng thương hiệu của bạn, hãy liên với chúng tôi tại.
Nếu bạn tin rằng mình đã phát hiện thấy lỗi hoặc lỗ hổng bảo mật trên ứng dụng hoặc trang web của TikTok, vui lòng gửi báo cáo của bạn tại đây. Bạn sẽ được chuyển hướng đến trang web của HackerOne, đối tác trao thưởng cho người phát hiện lỗi bảo mật đáng tin cậy của chúng tôiTại đó, bạn sẽ được cung cấp thêm thông tin về hướng dẫn gửi và có thể gửi báo cáo.
TikTok tuân thủ Chính sách Tiết lộ Phối hợp. Vui lòng tham khảo Chính sách về Tiết lộ và Bảo mật (Disclosure and Confidentiality Policy) được chỉ định trong Chính sách TikTok HackerOne (TikTok HackerOne Policy) để biết chi tiết.
Hướng dẫn
Vui lòng truy cập mục Quy tắc và Hướng dẫn dành cho Chương trình (Program Rules and Guidelines) trong Chính sách TikTok HackerOne (TikTok HackerOne Policy) để biết chi tiết.
Các câu hỏi thường gặp (FAQ)
Loại sự cố nào được coi là lỗ hổng bảo mật và cần được báo cáo?
Những vấn đề liên quan đến lỗi bảo mật về kỹ thuật ảnh hưởng đến TikTok cần được báo cáo tại đây. Các sự cố bao gồm, nhưng không hạn chế ở:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP, v.v.
• Thông tin đăng nhập nhạy cảm bị rò rỉ hoặc mã hóa cố định
• API có thể khai thác và nguy hiểm.
• Tấn công chiếm đoạt dòng điều khiển
• Rò rỉ dữ liệu người dùng
• Các sự cố được liệt kê trong OWASP Top 10 dành cho Ứng dụng Web
• Các sự cố được liệt kê trong OWASP Top 10 dành cho Ứng dụng Di động
• Lỗ hổng bảo mật xác thực hoặc ủy quyền
• Truy cập vào các tài nguyên nội bộ của TikTok như mã nguồn phụ trợ, cơ sở dữ liệu, v.v.
• Mở chuyển hướng - nếu có thể chứng minh có thêm ảnh hưởng về bảo mật
• Vượt qua phương thức bảo mật chống tự động hóa hoặc thiếu giới hạn tốc độ đối với điểm cuối được xác thực
• Sử dụng ứng dụng TikTok để nâng đặc quyền nhằm tấn công hệ điều hành di động
• Thực thi mã tùy ý trên các máy chủ/máy khách của TikTok
Có phần thưởng, tiền thưởng hay CVE dành cho các lỗ hổng bảo mật đã được xác nhận không?
Vui lòng truy cập các mục Phần thưởng (Rewards) & Không đủ điều kiện nhận thưởng (Not Eligible for Reward) trong Chính sách TikTok HackerOne (TikTok HackerOne Policy) để biết thêm chi tiết về phần thưởng.
Cần bao nhiêu thời gian trước khi tôi có thể công bố phát hiện của mình?
Chúng tôi yêu cầu người nghiên cứu bảo mật tuân thủ Chính sách về Tiết lộ và Bảo mật (Disclosure and Confidentiality Policy) được chỉ định trong Chính sách TikTok HackerOne (TikTok HackerOne Policy).
Tên miền web nào nằm trong phạm vi dành cho TikTok?
Vui lòng truy cập mục Nằm trong phạm vi (In Scope) trong Chính sách TikTok
HackerOne (TikTok HackerOne Policy) để biết chi tiết.
Làm cách nào để tôi nhận được thông báo cho biết sự cố bảo mật mà tôi đã báo cáo đang được điều tra?
Các sự cố bảo mật đã báo cáo sẽ được đánh giá dựa trên mức độ nghiêm trọng và ưu tiên cho công việc kinh doanh và trải qua quy trình điều tra để phân cấp độ nghiêm trọng của chúng tôi một cách phù hợp. Chúng tôi sẽ cố gắng hết sức để liên tục thông báo cho bạn về tiến độ của trường hợp.