sikkerhedsjournal

Sikkerhedsjournal.

Vi offentliggør fund, efter at de er rettet og verificeret — et kort resumé, aldrig en opskrift på en exploit. Rettelsestiderne står ved siden af hver post.

poster

Hvad der er sket.

15. juli 2026

Intern gennemgang før programmets lancering

Den 15. juli 2026 påbegyndte vi en intern sikkerhedsgennemgang af CreateYourVPN. De rettelser, vi har afsluttet og genverificeret, offentliggøres nedenfor; flere følger, efterhånden som de udrulles og bekræftes.

CreateYourVPN-teamet
15. juli 2026

Tilføjet værn mod usikker cross-origin-konfiguration

Den nuværende production-konfiguration tillod ikke vilkårlige origins, men koden tillod en farlig kombination af parametre, hvis en operatør konfigurerede den forkert. Den kombination afvises nu ved opstart og er dækket af en automatiseret test.

CreateYourVPN-teamet
15. juli 2026

Reduceret den offentlige overflade af production-API'et

Interaktiv teknisk API-dokumentation kunne tilgås uden autentificering. Den gav ikke adgang til beskyttede data, men gjorde det lettere at studere API'ets interne struktur. I production er dokumentationen nu deaktiveret, mens den fortsat er tilgængelig i et isoleret miljø til udvikling.

CreateYourVPN-teamet
15. juli 2026

Platformens kryptografiske nøgler adskilt efter formål

En intern gennemgang fandt, at en enkelt hemmelighed blev brugt til to forskellige kryptografiske opgaver. Det skabte ingen direkte omgåelse, men det udvidede konsekvenserne af en nøglekompromittering. De to formål er blevet adskilt, og hver roteres nu uafhængigt.

CreateYourVPN-teamet
15. juli 2026

Garanteret rydning af administrationsnøglen efter sletning af server

Rydningen af den krypterede administrationsnøgle kørte efter netværksoperationer i baggrunden og kunne undlade at gentage sig, hvis disse operationer fejlede. Vi afkoblede nøglerydningen fra netværkskaskaden og tilføjede et garanteret nyt forsøg. Scenarierne med utilgængelig server og afbrudt proces er dækket af tests.

CreateYourVPN-teamet
15. juli 2026

Fjernet en ubrugt autorisationssti i partner-API'et

API'et understøttede en ekstra cookie-baseret autorisationssti, som den nuværende server-side-arkitektur ikke havde brug for. Der blev ikke fundet noget cross-site-angreb i production, men den ekstra sti udvidede fladen for fremtidige fejl. API'et bruger nu en enkelt, eksplicit defineret autorisationsmetode, dækket af negative tests.

CreateYourVPN-teamet
sådan læser du journalen

Hvad der hører til her.

vi offentliggør

Resuméer og tidslinjer

Kernen i et fund, sårbarhedsklassen, rapportdatoen og rettelsesdatoen. Hvis et fund modbeviste en SR-påstand — en offentlig rettelse af rapporten.

vi offentliggør ikke

Opskrifter på exploits

Trin-for-trin-instruktioner, PoC-kode og detaljer, der ville hjælpe med at angribe andre servere, før alle har opdateret.

Fandt du noget?

Skriv til os med en reproducerbar proof of concept. Vi svarer inden for 72 timer og håndterer triage internt.

security@createyourvpn.com/.well-known/security.txt · 90 dages tavshed · safe harbor