Sicherheitsjournal.
Wir veröffentlichen Funde, nachdem sie behoben und verifiziert sind — eine kurze Zusammenfassung, niemals ein Exploit-Rezept. Die Behebungszeiten stehen neben jedem Eintrag.
Was passiert ist.
Interne Überprüfung vor dem Programmstart
Am 15. Juli 2026 haben wir eine interne Sicherheitsüberprüfung von CreateYourVPN begonnen. Die Korrekturen, die wir abgeschlossen und erneut verifiziert haben, sind nachstehend veröffentlicht; weitere folgen, sobald sie ausgerollt und bestätigt sind.
— CreateYourVPN-TeamSchutz gegen unsichere Cross-Origin-Konfiguration hinzugefügt
Die aktuelle production-Konfiguration ließ keine beliebigen Origins zu, doch der Code erlaubte eine gefährliche Kombination von Parametern, falls ein Betreiber sie falsch konfigurierte. Diese Kombination wird nun beim Start abgelehnt und durch einen automatisierten Test abgedeckt.
— CreateYourVPN-TeamÖffentliche Angriffsfläche der production-API verringert
Die interaktive technische API-Dokumentation war ohne Authentifizierung erreichbar. Sie gewährte keinen Zugriff auf geschützte Daten, erleichterte aber das Studium der internen Struktur der API. In production ist die Dokumentation nun deaktiviert und bleibt zugleich in einer isolierten Umgebung für die Entwicklung verfügbar.
— CreateYourVPN-TeamKryptografische Schlüssel der Plattform nach Zweck getrennt
Eine interne Überprüfung ergab, dass ein einziges Geheimnis für zwei verschiedene kryptografische Aufgaben verwendet wurde. Das schuf keine direkte Umgehung, vergrößerte aber die Auswirkungen einer Schlüsselkompromittierung. Die beiden Zwecke wurden getrennt, und jeder wird nun unabhängig rotiert.
— CreateYourVPN-TeamGarantierte Löschung des Verwaltungsschlüssels nach Serverlöschung
Die Löschung des verschlüsselten Verwaltungsschlüssels lief nach Netzwerkoperationen im Hintergrund und wurde bei deren Fehlschlagen möglicherweise nicht wiederholt. Wir haben die Schlüssellöschung von der Netzwerkkaskade entkoppelt und einen garantierten erneuten Versuch hinzugefügt. Die Szenarien nicht erreichbarer Server und unterbrochener Prozess sind durch Tests abgedeckt.
— CreateYourVPN-TeamUngenutzten Autorisierungspfad der Partner-API entfernt
Die API unterstützte einen zusätzlichen cookie-basierten Autorisierungspfad, den die aktuelle server-side-Architektur nicht benötigte. In production wurde kein Cross-Site-Angriff festgestellt, doch der zusätzliche Pfad vergrößerte die Angriffsfläche für künftige Fehler. Die API verwendet nun eine einzige, explizit definierte Autorisierungsmethode, die durch negative Tests abgedeckt ist.
— CreateYourVPN-TeamWas hier hineinkommt.
Zusammenfassungen und Zeitverläufe
Der Kern eines Fundes, die Schwachstellenklasse, das Melde- und das Behebungsdatum. Hat ein Fund eine SR-Aussage widerlegt — eine öffentliche Korrektur des Berichts.
Exploit-Rezepte
Schritt-für-Schritt-Anleitungen, PoC-Code und Details, die helfen würden, andere Server anzugreifen, bevor alle aktualisiert haben.
Etwas gefunden?
Schreib uns mit einem reproduzierbaren Proof of Concept. Wir antworten innerhalb von 72 Stunden und übernehmen die Triage intern.