TikTok lance son programme de bug bounty (prime aux bogues)

TikTok a amélioré sa politique de divulgation des vulnérabilités pour inclure un programme mondial de bug-bounty grâce à un partenariat avec la plate-forme de piratage éthique HackerOne. Le lancement du programme bug-bounty signale une nouvelle direction pour l’application de partage de vidéos appartenant à des Chinois et qui a été très décriée pour ses pratiques de sécurité douteuses.

Les pirates informatiques qui découvrent des vulnérabilités critiques dans la plate-forme de TikTok peuvent recevoir entre $6900 et $14800 selon le programme, ce qui marque la première fois que TikTok invite la communauté de la sécurité à analyser sa plate-forme à la recherche de vulnérabilités.

«Ce partenariat nous aidera à obtenir des informations auprès des meilleurs chercheurs mondiaux en sécurité, universitaires et experts indépendants afin de mieux découvrir les menaces potentielles et renforcer encore plus les défenses et la sécurité de TikTok», a déclaré Luna Wu de l’équipe de sécurité mondiale de TikTok dans un article publié récemment.

tiktok

Le programme invite les pirates éthiques à soumettre un large éventail de vulnérabilités dans l’application, y compris celles liées à: XSS, CSRF, SSRF, Injection SQL, ROP ou JOP; plantages reproductibles avec traces de pile; informations d’identification sensibles fuitées ou codées en dur; API exploitables et dangereuses; contrôler les attaques de détournement de flux; les fuites de données des utilisateurs; les vulnérabilités d’authentification ou d’autorisation; ou l’accès aux ressources TikTok internes.

Une liste complète des vulnérabilités couvertes par le programme est disponible sur la page de destination de TikTok. Pour soumettre des bogues à évaluer dans le cadre du programme, les chercheurs peuvent utiliser un formulaire en ligne, a déclaré Wu.

Les récompenses du programme sont basées sur la gravité selon le Common Vulnerability Scoring Standard (CVSS), qui est utilisé universellement pour évaluer le risque des vulnérabilités de sécurité. En plus des primes les plus élevées pour les bogues qui obtiennent des notes critiques, les pirates peuvent gagner entre 1 700$ et 6 900$ pour des vulnérabilités jugées «élevées»; 200 à 1 700 $ pour les bogues jugés «moyens»; et 50 $ à 200 $ pour les bogues jugés comme ayant un risque «faible».

TikTok, propriété de la société chinoise ByteDance, a été interdit dans certains pays et était sur le point de connaître le même sort aux États-Unis, principalement en raison de ses pratiques de sécurité liées à la prétendue relation chaleureuse de ByteDance avec le gouvernement communiste chinois, les experts pensent que cette relation a mis les données de 100 millions d’utilisateurs américains à risque. L’application a utilisé diverses tactiques pour collecter des données à partir d’appareils Android et iPhone à l’insu des utilisateurs, ainsi que d’autres pratiques louches.

À la veille d’une interdiction américaine, le propriétaire de TikTok, ByteDance, a conclu un accord pour vendre des parts importantes à Oracle et Walmart, un accord actuellement en cours d’examen. Oracle a accepté de prendre 12,5% dans la société chinoise, tandis que Walmart prendra une part de 7,5%. Ensemble, les entreprises paieront 12 milliards de dollars pour une part de 20% destinée à couvrir les opérations américaines de TikTok.

On ne sait pas si cet accord est ce qui encourage les dépositaires de TikTok à être plus transparents sur la sécurité des applications, mais le programme de primes de bogues améliorera probablement sa sécurité globale et donc sa position auprès du monde de la sécurité technologique dans son ensemble, ont déclaré les observateurs. Parallèlement au partenariat HackerOne, TikTok déploie également une série de vidéos dans lesquelles les employés encouragent les utilisateurs à pratiquer une bonne “cyber-hygiène”.

tiktok

Ces programmes peuvent attirer un mélange diversifié de chercheurs talentueux capables d’examiner des applications avec des perspectives et des expériences uniques qui ne sont pas nécessairement disponibles dans les équipes de sécurité interne.

TikTok suit la tendance

Cette décision de TikTok survient juste après que Apple ait aussi ouvert son ancien programme de primes de bogues privé au domaine public, ce qui a déjà donné lieu à un certain nombre de divulgations de vulnérabilités clés pour le géant de la technologie.

Étant donné que TikTok est très populaire auprès des adolescents – qui ne réfléchissent probablement pas beaucoup à la façon dont les applications qu’ils utilisent pourraient les espionner – le programme peut également «contribuer grandement à améliorer la sécurité globale de la façon dont ils interagissent avec les applications et gérer les données qu’ils ont créées », a ajouté Mackey.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x