Über Clonable

Clonable - Ihr Klon- und Lokalisierungswerkzeug für Websites und Webshops.

E-Mail
info[@]clonable.net
Telefon-Nummer
+31 492 77 52 69
Adresse

Business Center Gemert
Scheiweg 26
5421 XL Gemert

Sicherheit

Richtlinien zur verantwortungsvollen Offenlegung

Englische Version: https://www.clonable.at/.well-known/responsible-disclosure.txt

Bei Clonable legen wir großen Wert auf die Sicherheit unserer Systeme. Trotz unserer Sorge um die Sicherheit unserer Systeme kann es passieren, dass es eine Schwachstelle gibt.

Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, würden wir gerne davon erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir würden gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.

Wir bitten Sie:

  • Bitte senden Sie Ihre Ergebnisse per E-Mail an security@clonable.net,
  • Fehlende Best Practices (z. B. keine hsts, fehlende Sicherheits-Header) nicht zu melden, es sei denn, sie stellen ein reales, nachweisbares und signifikantes Risiko dar,
  • Das Problem nicht auszunutzen, indem z. B. mehr Daten heruntergeladen werden, als zum Nachweis des Lecks notwendig sind, oder indem auf Daten Dritter zugegriffen, diese gelöscht oder verändert werden
  • Teilen Sie das Problem nicht mit anderen, bis es behoben ist, und löschen Sie alle vertraulichen Daten, die durch das Leck entstanden sind, sofort nach der Behebung des Problems,
  • Keine physischen Sicherheitsangriffe, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Drittanbietern verwenden; und
  • Stellen Sie ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. Normalerweise reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus, aber bei komplexeren Sicherheitslücken kann mehr erforderlich sein.

Was wir versprechen:

  • Wir werden auf Ihre Meldung innerhalb von 5 Arbeitstagen mit unserer Bewertung der Meldung und einem voraussichtlichen Termin für die Lösung antworten,
  • Wenn Sie die oben genannten Bedingungen erfüllt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht einleiten,
  • Wir werden Ihren Bericht vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Es ist möglich, unter einem Pseudonym zu melden,
  • Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten,
  • Bei der Meldung des gemeldeten Problems werden wir, wenn Sie dies wünschen, Ihren Namen als Entdecker angeben; und
  • Als Dankeschön für Ihre Hilfe bieten wir für jede Meldung eines uns noch nicht bekannten Sicherheitsproblems einen Eintrag in unsere "Hall of Fame". Abhängig von der Größe des Problems und der Qualität des Berichts kann Ihr Name einen Link Ihrer Wahl enthalten.

Ruhmeshalle

2020

Akshay Parse

Bei der Fehlerbehebung eines zuvor gemeldeten Problems wurde festgestellt, dass HTTP-Header, die Clickjacking verhindern, weggelassen wurden.

Akshay Parse

Es wurde festgestellt, dass Cache-Header nicht richtig gesetzt waren, wodurch ein Angreifer mit physischem Zugriff auf den Computer des Opfers möglicherweise Informationen erhalten konnte.

Akshay Parse

Es wurde festgestellt, dass bestehende Sitzungen nicht geschlossen werden, wenn ein Benutzer sein Passwort ändert. Dies machte einen Benutzer im Falle einer Kontoübernahme machtlos.