À propos de Clonable

Clonable - votre outil de clonage et de localisation pour les sites web et les boutiques en ligne.

E-mail
info[@]clonable.net
Numéro de téléphone
+31 492 77 52 69
Adresse

Centre d'affaires Gemert
Scheiweg 26
5421 XL Gemert

apps

Sécurité

Lignes directrices pour une divulgation responsable

Version anglaise : https://www.clonable.fr/.well-known/responsible-disclosure.txt

À Clonable, nous accordons une grande importance à la sécurité de nos systèmes. Malgré le soin que nous apportons à la sécurité de nos systèmes, il peut arriver qu'il y ait un point faible.

Si vous avez trouvé une faiblesse dans l'un de nos systèmes, nous aimerions en être informés afin de pouvoir prendre des mesures le plus rapidement possible. Nous aimerions travailler avec vous pour mieux protéger nos clients et nos systèmes.

Nous vous demandons :

  • Veuillez envoyer vos conclusions par courriel à security@clonable.net,
  • Ne pas signaler les bonnes pratiques manquantes (par exemple, pas de hsts, en-têtes de sécurité manquants), sauf si elles présentent un risque réel, démontrable et significatif,
  • Ne pas exploiter le problème, par exemple en téléchargeant plus de données que nécessaire pour prouver la fuite ou en accédant, supprimant ou modifiant des données de tiers.
  • Ne partagez pas le problème avec d'autres personnes avant qu'il ne soit résolu et supprimez toutes les données confidentielles obtenues par la fuite immédiatement après sa résolution,
  • Ne pas utiliser d'attaques de sécurité physique, d'ingénierie sociale, de déni de service distribué, de pourriels ou d'applications de tiers ; et
  • Fournissez des informations suffisantes pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. Habituellement, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité sont suffisantes, mais pour les vulnérabilités plus complexes, davantage peut être requis.

Ce que nous promettons :

  • Nous répondrons à votre rapport dans un délai de 5 jours ouvrables en vous indiquant notre évaluation du rapport et une date prévue pour la résolution du problème,
  • Si vous avez respecté les conditions susmentionnées, nous n'engagerons aucune action en justice à votre encontre concernant le rapport,
  • Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale. Il est possible de faire un rapport sous un pseudonyme,
  • Nous vous tiendrons informé de l'avancement de la résolution du problème,
  • En signalant le problème signalé, nous inclurons, si vous le souhaitez, votre nom en tant que découvreur ; et
  • Pour vous remercier de votre aide, nous offrons une entrée dans notre "hall of fame" pour chaque rapport sur un problème de sécurité qui ne nous est pas encore connu. En fonction de l'ampleur du problème et de la qualité du rapport, votre nom peut contenir un lien de votre choix.

Temple de la renommée

2020

Akshay Parse

Il a été découvert que les en-têtes HTTP empêchant le clickjacking avaient été abandonnés lors du dépannage d'un problème signalé précédemment.

Akshay Parse

Il a été découvert que les en-têtes de cache n'étaient pas définis correctement, ce qui permettait potentiellement à un attaquant ayant un accès physique à l'ordinateur de la victime d'obtenir des informations.

Akshay Parse

Il a été découvert que les sessions existantes n'étaient pas fermées lorsqu'un utilisateur changeait son mot de passe. Cela rendait l'utilisateur impuissant en cas de prise de contrôle du compte.