TikTok ha annunciato questa settimana di aver lanciato un programma pubblico di bug bounty in collaborazione con HackerOne.
Lo sviluppatore della popolare app per la condivisione di video e social network ha invitato gli hacker white hat a trovare le vulnerabilità nei suoi siti Web principali, inclusi diversi sottodomini e nelle sue applicazioni Android e iOS.
Un difetto di gravità elevata può far guadagnare ai ricercatori tra $ 1.700 e $ 6.900, mentre un problema critico può essere ricompensato con un massimo di $ 14.800. La gravità è determinata in base al punteggio CVSS di una vulnerabilità.
Non è raro che i ricercatori di sicurezza trovino vulnerabilità nell’app TikTok. La società afferma di aver già pagato più di $ 40.000 attraverso il suo programma di bug bounty, con premi massimi che raggiungono $ 8.000.
TikTok ha una politica di divulgazione delle vulnerabilità, ma ha premiato solo alcuni rapporti di vulnerabilità e non ha una struttura di pagamento chiara.
“Questa partnership ci aiuterà a ottenere informazioni dai migliori ricercatori di sicurezza del mondo, studiosi accademici ed esperti indipendenti per scoprire meglio le potenziali minacce e rendere le nostre difese di sicurezza ancora più forti”, ha affermato Luna Wu del Global Security Team di TikTok.
Il governo degli Stati Uniti ha cercato di vietare TikTok negli Stati Uniti, citando problemi di sicurezza nazionale e privacy. TikTok ha impugnato la decisione in tribunale e un giudice si è recentemente schierato con la compagnia cinese, bloccando temporaneamente il divieto.
Washington ha detto che accetterebbe di continuare a consentire a TikTok di operare nel paese se la sua società madre, Bytedance, acconsente a vendere le sue operazioni negli Stati Uniti a una società locale. Un accordo con Microsoft è fallito e TikTok sta ora cercando di chiudere un accordo con Oracle e Walmart.