diari de seguretat

Diari de seguretat.

Publiquem les troballes després que s’hagin corregit i verificat —un breu resum, mai una recepta d’exploit. Els temps de correcció apareixen al costat de cada entrada.

entrades

Què ha passat.

15 de juliol del 2026

Revisió interna abans del llançament del programa

El 15 de juliol de 2026 vam iniciar una revisió de seguretat interna de CreateYourVPN. Les correccions que hem completat i tornat a verificar es publiquen a continuació; en seguiran més a mesura que es desplegui i es confirmi.

Equip de CreateYourVPN
15 de juliol del 2026

Afegida una protecció contra una configuració cross-origin insegura

La configuració de production actual no permetia orígens arbitraris, però el codi permetia una combinació perillosa de paràmetres si un operador la configurava malament. Aquesta combinació ara es rebutja a l'inici i està coberta per una prova automatitzada.

Equip de CreateYourVPN
15 de juliol del 2026

Reduïda la superfície pública de l'API de production

La documentació tècnica interactiva de l'API era accessible sense autenticació. No donava accés a dades protegides, però facilitava l'estudi de l'estructura interna de l'API. A production la documentació ara està desactivada, tot mantenint-se disponible en un entorn aïllat per al desenvolupament.

Equip de CreateYourVPN
15 de juliol del 2026

Claus criptogràfiques de la plataforma separades per finalitat

Una revisió interna va detectar que un únic secret s'utilitzava per a dues tasques criptogràfiques diferents. Això no creava cap evasió directa, però ampliava l'abast d'una compromissió de la clau. Les dues finalitats s'han separat i ara cadascuna es rota de manera independent.

Equip de CreateYourVPN
15 de juliol del 2026

Garantida la neteja de la clau de gestió després d'eliminar un servidor

La neteja de la clau de gestió xifrada s'executava després d'operacions de xarxa en segon pla i podia no repetir-se si aquelles operacions fallaven. Hem desacoblat la neteja de la clau de la cascada de xarxa i hi hem afegit un reintent garantit. Els escenaris de servidor inaccessible i de procés interromput estan coberts per proves.

Equip de CreateYourVPN
15 de juliol del 2026

Eliminat un camí d'autorització de l'API de partners que no s'utilitzava

L'API admetia un camí d'autorització addicional basat en cookie que l'arquitectura server-side actual no necessitava. No es va trobar cap atac entre llocs a production, però el camí addicional ampliava la superfície per a errors futurs. Ara l'API utilitza un únic mètode d'autorització definit explícitament, cobert per proves negatives.

Equip de CreateYourVPN
com llegir el diari

Què hi entra.

publiquem

Resums i cronologies

L’essència d’una troballa, la classe de vulnerabilitat, la data de l’informe i la data de la correcció. Si una troballa ha refutat una afirmació SR — una correcció pública de l’informe.

no publiquem

Receptes d’exploits

Instruccions pas a pas, codi PoC i detalls que ajudarien a atacar altres servidors abans que tothom s’actualitzi.

Has trobat alguna cosa?

Escriu-nos amb una prova de concepte reproduïble. Responem en 72 hores i fem el triatge internament.

security@createyourvpn.com/.well-known/security.txt · 90 dies de silenci · port segur