Bezpečnostní deník.
Nálezy zveřejňujeme až po jejich opravě a ověření — stručné shrnutí, nikdy návod na exploit. Časy opravy stojí vedle každého záznamu.
Co se stalo.
Interní přezkum před spuštěním programu
Dne 15. července 2026 jsme zahájili interní bezpečnostní kontrolu CreateYourVPN. Opravy, které jsme dokončili a znovu ověřili, jsou zveřejněny níže; další budou přibývat, jak budou nasazovány a potvrzovány.
— Tým CreateYourVPNPřidána pojistka proti nebezpečné cross-origin konfiguraci
Současná production konfigurace nepovolovala libovolné origins, kód však umožňoval nebezpečnou kombinaci parametrů, pokud ji operátor chybně nastavil. Tato kombinace je nyní při startu odmítnuta a pokryta automatickým testem.
— Tým CreateYourVPNZmenšena veřejná plocha production API
Interaktivní technická dokumentace API byla dostupná bez autentizace. Nedávala přístup k chráněným datům, ale usnadňovala studium vnitřní struktury API. V production je dokumentace nyní vypnuta, přičemž zůstává dostupná v izolovaném prostředí pro vývoj.
— Tým CreateYourVPNKryptografické klíče platformy odděleny podle účelu
Interní kontrola zjistila, že jeden tajný klíč se používal pro dvě různé kryptografické úlohy. To sice nevytvářelo přímé obejití ochrany, ale rozšiřovalo dopad kompromitace klíče. Oba účely byly odděleny a každý se nyní rotuje nezávisle.
— Tým CreateYourVPNZaručeno vymazání správcovského klíče po odstranění serveru
Vymazání šifrovaného správcovského klíče probíhalo po síťových operacích na pozadí a při jejich selhání se nemuselo zopakovat. Vymazání klíče jsme oddělili od síťové kaskády a přidali zaručené opakování. Scénáře nedostupného serveru a přerušeného procesu jsou pokryty testy.
— Tým CreateYourVPNOdstraněna nepoužívaná cesta autorizace partnerského API
API podporovalo doplňkovou cestu autorizace založenou na cookie, kterou současná server-side architektura nepotřebovala. V production nebyl zjištěn žádný cross-site útok, ale cesta navíc rozšiřovala plochu pro budoucí chyby. API nyní používá jedinou, explicitně definovanou metodu autorizace, pokrytou negativními testy.
— Tým CreateYourVPNCo sem patří.
Shrnutí a časové osy
Podstata nálezu, třída zranitelnosti, datum hlášení a datum opravy. Pokud nález vyvrátil tvrzení SR — veřejná oprava zprávy.
Návody na exploity
Podrobné návody krok za krokem, PoC kód a detaily, které by pomohly zaútočit na jiné servery, než se všichni zaktualizují.
Něco jsi našel?
Napiš nám s reprodukovatelným proof of concept. Odpovídáme do 72 hodin, triáž provádíme interně.