Sicherheitsjournal

Sicherheitsjournal.

Wir veröffentlichen Funde, nachdem sie behoben und verifiziert sind — eine kurze Zusammenfassung, niemals ein Exploit-Rezept. Die Behebungszeiten stehen neben jedem Eintrag.

Einträge

Was passiert ist.

15. Juli 2026

Interne Überprüfung vor dem Programmstart

Am 15. Juli 2026 haben wir eine interne Sicherheitsüberprüfung von CreateYourVPN begonnen. Die Korrekturen, die wir abgeschlossen und erneut verifiziert haben, sind nachstehend veröffentlicht; weitere folgen, sobald sie ausgerollt und bestätigt sind.

CreateYourVPN-Team
15. Juli 2026

Schutz gegen unsichere Cross-Origin-Konfiguration hinzugefügt

Die aktuelle production-Konfiguration ließ keine beliebigen Origins zu, doch der Code erlaubte eine gefährliche Kombination von Parametern, falls ein Betreiber sie falsch konfigurierte. Diese Kombination wird nun beim Start abgelehnt und durch einen automatisierten Test abgedeckt.

CreateYourVPN-Team
15. Juli 2026

Öffentliche Angriffsfläche der production-API verringert

Die interaktive technische API-Dokumentation war ohne Authentifizierung erreichbar. Sie gewährte keinen Zugriff auf geschützte Daten, erleichterte aber das Studium der internen Struktur der API. In production ist die Dokumentation nun deaktiviert und bleibt zugleich in einer isolierten Umgebung für die Entwicklung verfügbar.

CreateYourVPN-Team
15. Juli 2026

Kryptografische Schlüssel der Plattform nach Zweck getrennt

Eine interne Überprüfung ergab, dass ein einziges Geheimnis für zwei verschiedene kryptografische Aufgaben verwendet wurde. Das schuf keine direkte Umgehung, vergrößerte aber die Auswirkungen einer Schlüsselkompromittierung. Die beiden Zwecke wurden getrennt, und jeder wird nun unabhängig rotiert.

CreateYourVPN-Team
15. Juli 2026

Garantierte Löschung des Verwaltungsschlüssels nach Serverlöschung

Die Löschung des verschlüsselten Verwaltungsschlüssels lief nach Netzwerkoperationen im Hintergrund und wurde bei deren Fehlschlagen möglicherweise nicht wiederholt. Wir haben die Schlüssellöschung von der Netzwerkkaskade entkoppelt und einen garantierten erneuten Versuch hinzugefügt. Die Szenarien nicht erreichbarer Server und unterbrochener Prozess sind durch Tests abgedeckt.

CreateYourVPN-Team
15. Juli 2026

Ungenutzten Autorisierungspfad der Partner-API entfernt

Die API unterstützte einen zusätzlichen cookie-basierten Autorisierungspfad, den die aktuelle server-side-Architektur nicht benötigte. In production wurde kein Cross-Site-Angriff festgestellt, doch der zusätzliche Pfad vergrößerte die Angriffsfläche für künftige Fehler. Die API verwendet nun eine einzige, explizit definierte Autorisierungsmethode, die durch negative Tests abgedeckt ist.

CreateYourVPN-Team
wie man das Journal liest

Was hier hineinkommt.

wir veröffentlichen

Zusammenfassungen und Zeitverläufe

Der Kern eines Fundes, die Schwachstellenklasse, das Melde- und das Behebungsdatum. Hat ein Fund eine SR-Aussage widerlegt — eine öffentliche Korrektur des Berichts.

wir veröffentlichen nicht

Exploit-Rezepte

Schritt-für-Schritt-Anleitungen, PoC-Code und Details, die helfen würden, andere Server anzugreifen, bevor alle aktualisiert haben.

Etwas gefunden?

Schreib uns mit einem reproduzierbaren Proof of Concept. Wir antworten innerhalb von 72 Stunden und übernehmen die Triage intern.

security@createyourvpn.com/.well-known/security.txt · 90 Tage Stillschweigen · Safe Harbor