Sikkerhedsjournal.
Vi offentliggør fund, efter at de er rettet og verificeret — et kort resumé, aldrig en opskrift på en exploit. Rettelsestiderne står ved siden af hver post.
Hvad der er sket.
Intern gennemgang før programmets lancering
Den 15. juli 2026 påbegyndte vi en intern sikkerhedsgennemgang af CreateYourVPN. De rettelser, vi har afsluttet og genverificeret, offentliggøres nedenfor; flere følger, efterhånden som de udrulles og bekræftes.
— CreateYourVPN-teametTilføjet værn mod usikker cross-origin-konfiguration
Den nuværende production-konfiguration tillod ikke vilkårlige origins, men koden tillod en farlig kombination af parametre, hvis en operatør konfigurerede den forkert. Den kombination afvises nu ved opstart og er dækket af en automatiseret test.
— CreateYourVPN-teametReduceret den offentlige overflade af production-API'et
Interaktiv teknisk API-dokumentation kunne tilgås uden autentificering. Den gav ikke adgang til beskyttede data, men gjorde det lettere at studere API'ets interne struktur. I production er dokumentationen nu deaktiveret, mens den fortsat er tilgængelig i et isoleret miljø til udvikling.
— CreateYourVPN-teametPlatformens kryptografiske nøgler adskilt efter formål
En intern gennemgang fandt, at en enkelt hemmelighed blev brugt til to forskellige kryptografiske opgaver. Det skabte ingen direkte omgåelse, men det udvidede konsekvenserne af en nøglekompromittering. De to formål er blevet adskilt, og hver roteres nu uafhængigt.
— CreateYourVPN-teametGaranteret rydning af administrationsnøglen efter sletning af server
Rydningen af den krypterede administrationsnøgle kørte efter netværksoperationer i baggrunden og kunne undlade at gentage sig, hvis disse operationer fejlede. Vi afkoblede nøglerydningen fra netværkskaskaden og tilføjede et garanteret nyt forsøg. Scenarierne med utilgængelig server og afbrudt proces er dækket af tests.
— CreateYourVPN-teametFjernet en ubrugt autorisationssti i partner-API'et
API'et understøttede en ekstra cookie-baseret autorisationssti, som den nuværende server-side-arkitektur ikke havde brug for. Der blev ikke fundet noget cross-site-angreb i production, men den ekstra sti udvidede fladen for fremtidige fejl. API'et bruger nu en enkelt, eksplicit defineret autorisationsmetode, dækket af negative tests.
— CreateYourVPN-teametHvad der hører til her.
Resuméer og tidslinjer
Kernen i et fund, sårbarhedsklassen, rapportdatoen og rettelsesdatoen. Hvis et fund modbeviste en SR-påstand — en offentlig rettelse af rapporten.
Opskrifter på exploits
Trin-for-trin-instruktioner, PoC-kode og detaljer, der ville hjælpe med at angribe andre servere, før alle har opdateret.
Fandt du noget?
Skriv til os med en reproducerbar proof of concept. Vi svarer inden for 72 timer og håndterer triage internt.