bezpečnostní deník

Bezpečnostní deník.

Nálezy zveřejňujeme až po jejich opravě a ověření — stručné shrnutí, nikdy návod na exploit. Časy opravy stojí vedle každého záznamu.

záznamy

Co se stalo.

15. července 2026

Interní přezkum před spuštěním programu

Dne 15. července 2026 jsme zahájili interní bezpečnostní kontrolu CreateYourVPN. Opravy, které jsme dokončili a znovu ověřili, jsou zveřejněny níže; další budou přibývat, jak budou nasazovány a potvrzovány.

Tým CreateYourVPN
15. července 2026

Přidána pojistka proti nebezpečné cross-origin konfiguraci

Současná production konfigurace nepovolovala libovolné origins, kód však umožňoval nebezpečnou kombinaci parametrů, pokud ji operátor chybně nastavil. Tato kombinace je nyní při startu odmítnuta a pokryta automatickým testem.

Tým CreateYourVPN
15. července 2026

Zmenšena veřejná plocha production API

Interaktivní technická dokumentace API byla dostupná bez autentizace. Nedávala přístup k chráněným datům, ale usnadňovala studium vnitřní struktury API. V production je dokumentace nyní vypnuta, přičemž zůstává dostupná v izolovaném prostředí pro vývoj.

Tým CreateYourVPN
15. července 2026

Kryptografické klíče platformy odděleny podle účelu

Interní kontrola zjistila, že jeden tajný klíč se používal pro dvě různé kryptografické úlohy. To sice nevytvářelo přímé obejití ochrany, ale rozšiřovalo dopad kompromitace klíče. Oba účely byly odděleny a každý se nyní rotuje nezávisle.

Tým CreateYourVPN
15. července 2026

Zaručeno vymazání správcovského klíče po odstranění serveru

Vymazání šifrovaného správcovského klíče probíhalo po síťových operacích na pozadí a při jejich selhání se nemuselo zopakovat. Vymazání klíče jsme oddělili od síťové kaskády a přidali zaručené opakování. Scénáře nedostupného serveru a přerušeného procesu jsou pokryty testy.

Tým CreateYourVPN
15. července 2026

Odstraněna nepoužívaná cesta autorizace partnerského API

API podporovalo doplňkovou cestu autorizace založenou na cookie, kterou současná server-side architektura nepotřebovala. V production nebyl zjištěn žádný cross-site útok, ale cesta navíc rozšiřovala plochu pro budoucí chyby. API nyní používá jedinou, explicitně definovanou metodu autorizace, pokrytou negativními testy.

Tým CreateYourVPN
jak číst deník

Co sem patří.

zveřejňujeme

Shrnutí a časové osy

Podstata nálezu, třída zranitelnosti, datum hlášení a datum opravy. Pokud nález vyvrátil tvrzení SR — veřejná oprava zprávy.

nezveřejňujeme

Návody na exploity

Podrobné návody krok za krokem, PoC kód a detaily, které by pomohly zaútočit na jiné servery, než se všichni zaktualizují.

Něco jsi našel?

Napiš nám s reprodukovatelným proof of concept. Odpovídáme do 72 hodin, triáž provádíme interně.

security@createyourvpn.com/.well-known/security.txt · 90 dní ticha · bezpečný přístav