О сайте Clonable

Clonable - ваш инструмент клонирования и локализации для веб-сайтов и интернет-магазинов.

E-mail
info[@]clonable.net
Номер телефона
+31 492 77 52 69
Адрес

Бизнес-центр Гемерт
Шайвег 26
5421 XL Гемерт

Безопасность

Руководство по ответственному раскрытию информации

Английская версия: https://www.clonable.ru/.well-known/responsible-disclosure.txt

На сайте Clonable мы считаем безопасность наших систем очень важной. Несмотря на нашу заботу о безопасности наших систем, может случиться так, что найдется слабое место.

Если вы обнаружили слабое место в одной из наших систем, мы хотели бы узнать об этом, чтобы как можно быстрее принять меры. Мы хотели бы сотрудничать с вами, чтобы лучше защитить наших клиентов и наши системы.

Мы просим вас:

  • Пожалуйста, отправьте свои результаты по электронной почте на адрес security@clonable.net,
  • Не сообщать об отсутствии лучших практик (например, отсутствие hsts, отсутствие заголовков безопасности), если они не представляют реального, очевидного и значительного риска,
  • Не использовать проблему в своих целях, например, загружая больше данных, чем необходимо для доказательства утечки, или получая доступ, удаляя или изменяя данные третьих лиц
  • Не сообщайте другим о проблеме до ее решения и удалите все конфиденциальные данные, полученные в результате утечки, сразу после ее устранения,
  • Не использовать атаки на физическую безопасность, социальную инженерию, распределенный отказ в обслуживании, спам или приложения третьих лиц; и
  • Предоставьте достаточную информацию для воспроизведения проблемы, чтобы мы могли устранить ее как можно скорее. Обычно достаточно указать IP-адрес или URL-адрес затронутой системы и описание уязвимости, но для более сложных уязвимостей может потребоваться больше.

Что мы обещаем:

  • Мы ответим на ваше сообщение в течение 5 рабочих дней с нашей оценкой сообщения и предполагаемой датой решения,
  • Если вы выполнили вышеуказанные условия, мы не будем предпринимать против вас никаких юридических действий в отношении отчета,
  • Мы будем относиться к вашему сообщению конфиденциально и не будем передавать ваши личные данные третьим лицам без вашего согласия, за исключением случаев, когда это необходимо для выполнения юридического обязательства. Можно подать заявление под псевдонимом,
  • Мы будем информировать вас о ходе решения проблемы,
  • В сообщении о проблеме мы, по вашему желанию, укажем ваше имя как первооткрывателя; и
  • В качестве благодарности за вашу помощь мы предлагаем запись в нашем "зале славы" за каждое сообщение о еще не известной нам проблеме безопасности. В зависимости от масштаба проблемы и качества отчета, ваше имя может содержать ссылку по вашему выбору.

Зал славы

2020

Акшай Разбор

Обнаружено, что HTTP-заголовки, предотвращающие кликджекинг, были удалены во время устранения проблемы, о которой сообщалось ранее.

Акшай Разбор

Обнаружено, что заголовки кэша были установлены неправильно, что потенциально позволяло злоумышленнику с физическим доступом к компьютеру жертвы получить информацию.

Акшай Разбор

Обнаружено, что существующие сеансы не закрывались, когда пользователь менял свой пароль. Это делало пользователя бессильным в случае захвата аккаунта.