Om Clonable

Clonable - ditt verktyg för kloning och lokalisering av webbplatser och webbutiker.

E-mail
info[@]clonable.net
Telefonnummer
+31 492 77 52 69
Adress

Business Center Gemert
Scheiweg 26
5421 XL Gemert

Säkerhet

Riktlinjer för ansvarsfullt offentliggörande

Engelsk version: https://www.clonable.se/.well-known/responsible-disclosure.txt

På Clonable anser vi att säkerheten i våra system är mycket viktig. Trots att vi är måna om att våra system är säkra kan det hända att det finns en svag punkt.

Om du har hittat en svaghet i något av våra system vill vi gärna höra om det så att vi kan vidta åtgärder så snabbt som möjligt. Vi vill gärna samarbeta med dig för att bättre skydda våra kunder och våra system.

Vi frågar dig:

  • Skicka dina resultat till security@clonable.net,
  • Att inte rapportera om bristande bästa praxis (t.ex. inga hsts, bristande säkerhetshuvud) om de inte utgör en verklig, påvisbar och betydande risk,
  • Att inte utnyttja problemet genom att t.ex. ladda ner fler uppgifter än nödvändigt för att bevisa läckan eller genom att få tillgång till, radera eller ändra uppgifter från tredje part.
  • Dela inte problemet med andra förrän det är löst och radera alla konfidentiella uppgifter som du fått fram genom läckan omedelbart efter att det har lösts,
  • inte använda fysiska säkerhetsattacker, social ingenjörskonst, distribuerad överbelastning, skräppost eller tredjepartsapplikationer, och
  • Ge tillräcklig information för att reproducera problemet så att vi kan åtgärda det så snart som möjligt. Vanligtvis räcker det med IP-adressen eller URL-adressen för det drabbade systemet och en beskrivning av sårbarheten, men för mer komplexa sårbarheter kan det krävas mer.

Vad vi lovar:

  • Vi kommer att svara på din anmälan inom 5 arbetsdagar med vår bedömning av anmälan och ett förväntat datum för lösning,
  • Om du har uppfyllt ovanstående villkor kommer vi inte att vidta några rättsliga åtgärder mot dig med anledning av rapporten,
  • Vi kommer att behandla din rapport konfidentiellt och kommer inte att dela dina personuppgifter med tredje part utan ditt samtycke om det inte är nödvändigt för att uppfylla en rättslig skyldighet. Det är möjligt att rapportera under en pseudonym,
  • Vi kommer att hålla dig informerad om hur vi löser problemet,
  • När vi rapporterar det rapporterade problemet kommer vi, om du vill, att inkludera ditt namn som upptäckare, och
  • Som tack för din hjälp erbjuder vi en plats i vår "Hall of fame" för varje rapport om ett säkerhetsproblem som vi ännu inte känner till. Beroende på problemets storlek och rapportens kvalitet kan ditt namn innehålla en valfri länk.

Hall of Fame

2020

Akshay Parse

Upptäckte att HTTP-huvuden som förhindrade clickjacking hade tappats bort när vi felsökte ett tidigare rapporterat problem.

Akshay Parse

Upptäckte att cache-rubriker inte var korrekt inställda, vilket kunde göra det möjligt för en angripare med fysisk tillgång till offrets dator att få tillgång till information.

Akshay Parse

Upptäckte att befintliga sessioner inte stängdes när en användare ändrade sitt lösenord. Detta gjorde en användare maktlös i händelse av att kontot togs över.