O Clonable

Clonable - Twoje narzędzie do klonowania i lokalizacji dla stron i sklepów internetowych.

E-mail
info[@]clonable.net
Numer telefonu
+31 492 77 52 69
Adres

Centrum Biznesowe Gemert
Scheiweg 26
5421 XL Gemert

Bezpieczeństwo

Wytyczne dotyczące odpowiedzialnego ujawniania informacji

Wersja angielska: https://www.clonable.pl/.well-known/responsible-disclosure.txt

Na stronie Clonable bezpieczeństwo naszych systemów jest dla nas bardzo ważne. Pomimo naszej dbałości o bezpieczeństwo naszych systemów, może się zdarzyć, że znajdzie się w nich słaby punkt.

Jeśli znalazłeś słabość w jednym z naszych systemów, chcielibyśmy się o tym dowiedzieć, abyśmy mogli jak najszybciej podjąć odpowiednie działania. Chcielibyśmy współpracować z Państwem, aby lepiej chronić naszych klientów i nasze systemy.

Pytamy:

  • Swoje spostrzeżenia prosimy przesyłać na adres security@clonable.net,
  • Nie zgłaszać brakujących najlepszych praktyk (np. brak hsts, brak nagłówków bezpieczeństwa), chyba że stanowią one rzeczywiste, możliwe do wykazania i znaczące ryzyko,
  • Niewykorzystywanie problemu poprzez, na przykład, pobieranie większej ilości danych niż jest to konieczne do udowodnienia przecieku lub poprzez dostęp, usuwanie lub modyfikowanie danych osób trzecich
  • Nie udostępniaj problemu innym osobom do czasu jego rozwiązania i usuń wszystkie poufne dane uzyskane w wyniku wycieku natychmiast po jego rozwiązaniu,
  • Nie stosować fizycznych ataków bezpieczeństwa, inżynierii społecznej, rozproszonej odmowy usługi, spamu ani aplikacji stron trzecich; oraz
  • Podaj informacje wystarczające do odtworzenia problemu, abyśmy mogli go jak najszybciej usunąć. Zazwyczaj wystarczy adres IP lub URL zaatakowanego systemu oraz opis luki, ale w przypadku bardziej złożonych błędów może być wymagane więcej.

Co obiecujemy:

  • Odpowiemy na Twoje zgłoszenie w ciągu 5 dni roboczych, przedstawiając naszą ocenę zgłoszenia i przewidywany termin rozwiązania problemu,
  • Jeśli spełniłeś powyższe warunki, nie będziemy podejmować żadnych kroków prawnych przeciwko Tobie w związku z raportem,
  • Twoje zgłoszenie będzie traktowane poufnie i nie będziemy udostępniać Twoich danych osobowych osobom trzecim bez Twojej zgody, chyba że będzie to konieczne do wypełnienia obowiązku prawnego. Istnieje możliwość zgłoszenia się pod pseudonimem,
  • Będziemy Cię informować o postępach w rozwiązywaniu problemu,
  • Zgłaszając problem, na życzenie użytkownika podamy jego imię i nazwisko jako odkrywcy; oraz
  • W podziękowaniu za pomoc, oferujemy wpis do naszej "galerii sław" za każde zgłoszenie problemu bezpieczeństwa, który nie jest nam jeszcze znany. W zależności od wielkości problemu i jakości raportu, Twoje nazwisko może zawierać wybrany przez Ciebie link.

Galeria Sław

2020

Akshay Parse

Podczas rozwiązywania wcześniej zgłoszonego problemu odkryto, że nagłówki HTTP zapobiegające clickjackingowi zostały usunięte.

Akshay Parse

Odkryto, że nagłówki cache nie były ustawione prawidłowo, co potencjalnie pozwalało napastnikowi z fizycznym dostępem do komputera ofiary na uzyskanie informacji.

Akshay Parse

Odkryto, że istniejące sesje nie były zamykane po zmianie hasła przez użytkownika. To powodowało, że użytkownik był bezsilny w przypadku przejęcia konta.