Σχετικά με το Clonable

Clonable - το εργαλείο κλωνοποίησης και εντοπισμού για ιστότοπους και καταστήματα ιστοσελίδων.

E-mail
info[@]clonable.net
Αριθμός τηλεφώνου
+31 492 77 52 69
Διεύθυνση

Επιχειρηματικό κέντρο Gemert
Scheiweg 26
5421 XL Gemert

Ασφάλεια

Κατευθυντήριες γραμμές υπεύθυνης δημοσιοποίησης

Αγγλική έκδοση: https://www.clonable.gr/.well-known/responsible-disclosure.txt

Στο Clonable, θεωρούμε την ασφάλεια των συστημάτων μας πολύ σημαντική. Παρά τη φροντίδα μας για την ασφάλεια των συστημάτων μας, μπορεί να υπάρξει κάποιο αδύναμο σημείο.

Εάν έχετε εντοπίσει αδυναμία σε κάποιο από τα συστήματά μας, θα θέλαμε να το μάθουμε, ώστε να λάβουμε μέτρα το συντομότερο δυνατό. Θα θέλαμε να συνεργαστούμε μαζί σας για την καλύτερη προστασία των πελατών μας και των συστημάτων μας.

Σας ρωτάμε:

  • Παρακαλούμε στείλτε τα ευρήματά σας στο security@clonable.net,
  • Να μην αναφέρετε τις ελλείπουσες βέλτιστες πρακτικές (π.χ. δεν υπάρχουν hsts, λείπουν κεφαλίδες ασφαλείας), εκτός εάν αποτελούν πραγματικό, αποδεδειγμένο και σημαντικό κίνδυνο,
  • Να μην εκμεταλλευτείτε το πρόβλημα, για παράδειγμα, κατεβάζοντας περισσότερα δεδομένα από όσα είναι απαραίτητα για την απόδειξη της διαρροής ή αποκτώντας πρόσβαση, διαγράφοντας ή τροποποιώντας δεδομένα τρίτων.
  • Μην μοιραστείτε το πρόβλημα με άλλους μέχρι να επιλυθεί και διαγράψτε όλα τα εμπιστευτικά δεδομένα που αποκτήθηκαν μέσω της διαρροής αμέσως μετά την επίλυσή του,
  • Δεν χρησιμοποιούν επιθέσεις φυσικής ασφάλειας, κοινωνική μηχανική, κατανεμημένη άρνηση παροχής υπηρεσιών, ανεπιθύμητη αλληλογραφία ή εφαρμογές τρίτων, και
  • Παρέχετε επαρκείς πληροφορίες για την αναπαραγωγή του προβλήματος, ώστε να μπορέσουμε να το διορθώσουμε το συντομότερο δυνατό. Συνήθως αρκεί η διεύθυνση IP ή η διεύθυνση URL του συστήματος που έχει πληγεί και μια περιγραφή της ευπάθειας, αλλά για πιο σύνθετες ευπάθειες μπορεί να απαιτούνται περισσότερα.

Τι υποσχόμαστε:

  • Θα απαντήσουμε στην αναφορά σας εντός 5 εργάσιμων ημερών με την αξιολόγησή μας για την αναφορά και την αναμενόμενη ημερομηνία επίλυσης,
  • Εάν έχετε συμμορφωθεί με τους παραπάνω όρους, δεν θα προβούμε σε καμία νομική ενέργεια εναντίον σας σχετικά με την αναφορά,
  • Θα χειριστούμε την αναφορά σας εμπιστευτικά και δεν θα μοιραστούμε τα προσωπικά σας δεδομένα με τρίτους χωρίς τη συγκατάθεσή σας, εκτός εάν αυτό είναι απαραίτητο για τη συμμόρφωση με μια νομική υποχρέωση. Είναι δυνατή η αναφορά με ψευδώνυμο,
  • Θα σας ενημερώνουμε για την πρόοδο της επίλυσης του προβλήματος,
  • Κατά την αναφορά του αναφερόμενου προβλήματος, θα συμπεριλάβουμε, εάν το επιθυμείτε, το όνομά σας ως τον ανακαλυπτή και
  • Ως ευχαριστώ για τη βοήθειά σας, προσφέρουμε μια εγγραφή στο "hall of fame" μας για κάθε αναφορά προβλήματος ασφαλείας που δεν μας έχει γίνει ακόμη γνωστό. Ανάλογα με το μέγεθος του προβλήματος και την ποιότητα της αναφοράς, το όνομά σας μπορεί να περιέχει έναν σύνδεσμο της επιλογής σας.

Hall of Fame

2020

Akshay Parse

Ανακαλύψαμε ότι οι επικεφαλίδες HTTP που αποτρέπουν το clickjacking είχαν παραλειφθεί κατά την αντιμετώπιση ενός προβλήματος που είχε αναφερθεί προηγουμένως.

Akshay Parse

Ανακαλύφθηκε ότι οι επικεφαλίδες cache δεν είχαν οριστεί σωστά, επιτρέποντας ενδεχομένως σε έναν εισβολέα με φυσική πρόσβαση στον υπολογιστή του θύματος να αποκτήσει πληροφορίες.

Akshay Parse

Ανακαλύφθηκε ότι οι υπάρχουσες συνεδρίες δεν έκλειναν όταν ένας χρήστης άλλαζε τον κωδικό πρόσβασής του. Αυτό καθιστούσε τον χρήστη ανίσχυρο σε περίπτωση εξαγοράς λογαριασμού.