Ημερολόγιο ασφαλείας.
Δημοσιεύουμε τα ευρήματα αφού διορθωθούν και επαληθευτούν — μια σύντομη περίληψη, ποτέ μια συνταγή exploit. Οι χρόνοι διόρθωσης βρίσκονται δίπλα σε κάθε καταχώρηση.
Τι έχει συμβεί.
Εσωτερικός έλεγχος πριν από την έναρξη του προγράμματος
Στις 15 Ιουλίου 2026 ξεκινήσαμε μια εσωτερική επιθεώρηση ασφαλείας του CreateYourVPN. Οι διορθώσεις που έχουμε ολοκληρώσει και επαληθεύσει εκ νέου δημοσιεύονται παρακάτω· θα ακολουθήσουν κι άλλες καθώς αναπτύσσονται και επιβεβαιώνονται.
— Ομάδα CreateYourVPNΠροστέθηκε δικλείδα ασφαλείας έναντι μη ασφαλούς διαμόρφωσης cross-origin
Η τρέχουσα διαμόρφωση production δεν επέτρεπε αυθαίρετα origins, όμως ο κώδικας επέτρεπε έναν επικίνδυνο συνδυασμό παραμέτρων αν ένας διαχειριστής τον διαμόρφωνε λανθασμένα. Αυτός ο συνδυασμός πλέον απορρίπτεται κατά την εκκίνηση και καλύπτεται από αυτοματοποιημένο έλεγχο.
— Ομάδα CreateYourVPNΜειώθηκε η δημόσια επιφάνεια του production API
Η διαδραστική τεχνική τεκμηρίωση του API ήταν προσβάσιμη χωρίς αυθεντικοποίηση. Δεν έδινε πρόσβαση σε προστατευμένα δεδομένα, αλλά διευκόλυνε τη μελέτη της εσωτερικής δομής του API. Στο production η τεκμηρίωση είναι πλέον απενεργοποιημένη, ενώ παραμένει διαθέσιμη σε απομονωμένο περιβάλλον για την ανάπτυξη.
— Ομάδα CreateYourVPNΤα κρυπτογραφικά κλειδιά της πλατφόρμας διαχωρίστηκαν κατά σκοπό
Μια εσωτερική επιθεώρηση διαπίστωσε ότι ένα μόνο μυστικό χρησιμοποιούνταν για δύο διαφορετικές κρυπτογραφικές εργασίες. Αυτό δεν δημιουργούσε άμεση παράκαμψη, αλλά διεύρυνε τις συνέπειες μιας παραβίασης κλειδιού. Οι δύο σκοποί διαχωρίστηκαν και ο καθένας πλέον εναλλάσσεται ανεξάρτητα.
— Ομάδα CreateYourVPNΕγγυημένη εκκαθάριση του κλειδιού διαχείρισης μετά τη διαγραφή διακομιστή
Η εκκαθάριση του κρυπτογραφημένου κλειδιού διαχείρισης εκτελούνταν μετά από δικτυακές λειτουργίες στο παρασκήνιο και μπορούσε να μην επαναληφθεί αν εκείνες αποτύγχαναν. Αποσυνδέσαμε την εκκαθάριση του κλειδιού από την αλυσίδα δικτύου και προσθέσαμε εγγυημένη επανάληψη. Τα σενάρια μη προσβάσιμου διακομιστή και διακοπής διεργασίας καλύπτονται από ελέγχους.
— Ομάδα CreateYourVPNΑφαιρέθηκε μια αχρησιμοποίητη διαδρομή εξουσιοδότησης του API συνεργατών
Το API υποστήριζε μια επιπλέον διαδρομή εξουσιοδότησης βασισμένη σε cookie, την οποία η τρέχουσα αρχιτεκτονική server-side δεν χρειαζόταν. Δεν εντοπίστηκε καμία επίθεση cross-site στο production, όμως η επιπλέον διαδρομή διεύρυνε την επιφάνεια για μελλοντικά λάθη. Το API χρησιμοποιεί πλέον μία μόνο, ρητά ορισμένη μέθοδο εξουσιοδότησης, που καλύπτεται από αρνητικούς ελέγχους.
— Ομάδα CreateYourVPNΤι μπαίνει εδώ.
Περιλήψεις και χρονοδιαγράμματα
Η ουσία ενός ευρήματος, η κλάση της ευπάθειας, η ημερομηνία αναφοράς και η ημερομηνία διόρθωσης. Αν ένα εύρημα αντέκρουσε έναν ισχυρισμό SR — μια δημόσια διόρθωση στην αναφορά.
Συνταγές exploit
Οδηγίες βήμα προς βήμα, κώδικας PoC και λεπτομέρειες που θα βοηθούσαν στην επίθεση σε άλλους διακομιστές πριν ενημερωθούν όλοι.
Βρήκατε κάτι;
Γράψτε μας με μια αναπαραγώγιμη απόδειξη ιδέας. Απαντάμε εντός 72 ωρών και κάνουμε τη διαλογή εσωτερικά.