Diari de seguretat.
Publiquem les troballes després que s’hagin corregit i verificat —un breu resum, mai una recepta d’exploit. Els temps de correcció apareixen al costat de cada entrada.
Què ha passat.
Revisió interna abans del llançament del programa
El 15 de juliol de 2026 vam iniciar una revisió de seguretat interna de CreateYourVPN. Les correccions que hem completat i tornat a verificar es publiquen a continuació; en seguiran més a mesura que es desplegui i es confirmi.
— Equip de CreateYourVPNAfegida una protecció contra una configuració cross-origin insegura
La configuració de production actual no permetia orígens arbitraris, però el codi permetia una combinació perillosa de paràmetres si un operador la configurava malament. Aquesta combinació ara es rebutja a l'inici i està coberta per una prova automatitzada.
— Equip de CreateYourVPNReduïda la superfície pública de l'API de production
La documentació tècnica interactiva de l'API era accessible sense autenticació. No donava accés a dades protegides, però facilitava l'estudi de l'estructura interna de l'API. A production la documentació ara està desactivada, tot mantenint-se disponible en un entorn aïllat per al desenvolupament.
— Equip de CreateYourVPNClaus criptogràfiques de la plataforma separades per finalitat
Una revisió interna va detectar que un únic secret s'utilitzava per a dues tasques criptogràfiques diferents. Això no creava cap evasió directa, però ampliava l'abast d'una compromissió de la clau. Les dues finalitats s'han separat i ara cadascuna es rota de manera independent.
— Equip de CreateYourVPNGarantida la neteja de la clau de gestió després d'eliminar un servidor
La neteja de la clau de gestió xifrada s'executava després d'operacions de xarxa en segon pla i podia no repetir-se si aquelles operacions fallaven. Hem desacoblat la neteja de la clau de la cascada de xarxa i hi hem afegit un reintent garantit. Els escenaris de servidor inaccessible i de procés interromput estan coberts per proves.
— Equip de CreateYourVPNEliminat un camí d'autorització de l'API de partners que no s'utilitzava
L'API admetia un camí d'autorització addicional basat en cookie que l'arquitectura server-side actual no necessitava. No es va trobar cap atac entre llocs a production, però el camí addicional ampliava la superfície per a errors futurs. Ara l'API utilitza un únic mètode d'autorització definit explícitament, cobert per proves negatives.
— Equip de CreateYourVPNQuè hi entra.
Resums i cronologies
L’essència d’una troballa, la classe de vulnerabilitat, la data de l’informe i la data de la correcció. Si una troballa ha refutat una afirmació SR — una correcció pública de l’informe.
Receptes d’exploits
Instruccions pas a pas, codi PoC i detalls que ajudarien a atacar altres servidors abans que tothom s’actualitzi.
Has trobat alguna cosa?
Escriu-nos amb una prova de concepte reproduïble. Responem en 72 hores i fem el triatge internament.