tietoturvapäiväkirja

Tietoturvapäiväkirja.

Julkaisemme löydökset sen jälkeen, kun ne on korjattu ja todennettu — lyhyt yhteenveto, ei koskaan hyväksikäytön ohjetta. Korjausajat ovat kunkin merkinnän vieressä.

merkinnät

Mitä on tapahtunut.

15. heinäkuuta 2026

Sisäinen tarkastus ennen ohjelman julkaisua

Aloitimme 15. heinäkuuta 2026 CreateYourVPN:n sisäisen tietoturva-arvioinnin. Korjaukset, jotka olemme saaneet valmiiksi ja tarkistaneet uudelleen, on julkaistu alla; lisää tulee sitä mukaa kuin niitä otetaan käyttöön ja vahvistetaan.

CreateYourVPN-tiimi
15. heinäkuuta 2026

Lisätty suojaus turvatonta cross-origin-määritystä vastaan

Nykyinen production-määritys ei sallinut mielivaltaisia origineja, mutta koodi salli vaarallisen parametriyhdistelmän, jos ylläpitäjä määritti sen väärin. Tämä yhdistelmä hylätään nyt käynnistyksessä ja on katettu automaattisella testillä.

CreateYourVPN-tiimi
15. heinäkuuta 2026

Pienennetty production-API:n julkista pintaa

Interaktiivinen API:n tekninen dokumentaatio oli saavutettavissa ilman todennusta. Se ei antanut pääsyä suojattuun tietoon, mutta helpotti API:n sisäisen rakenteen tutkimista. Production-ympäristössä dokumentaatio on nyt poistettu käytöstä, mutta se on edelleen saatavilla eristetyssä kehitysympäristössä.

CreateYourVPN-tiimi
15. heinäkuuta 2026

Alustan salausavaimet eroteltu käyttötarkoituksen mukaan

Sisäisessä arvioinnissa havaittiin, että yhtä salaisuutta käytettiin kahteen eri salaustehtävään. Tämä ei luonut suoraa ohitusta, mutta laajensi avaimen vaarantumisen vaikutuksia. Käyttötarkoitukset on eroteltu, ja kumpikin kiertää nyt itsenäisesti.

CreateYourVPN-tiimi
15. heinäkuuta 2026

Taattu hallinta-avaimen tyhjennys palvelimen poistamisen jälkeen

Salatun hallinta-avaimen tyhjennys suoritettiin taustalla tapahtuvien verkkotoimintojen jälkeen, eikä se välttämättä toistunut, jos nuo toiminnot epäonnistuivat. Erotimme avaimen tyhjennyksen verkkokaskadista ja lisäsimme taatun uudelleenyrityksen. Palvelimen tavoittamattomuuden ja keskeytyneen prosessin skenaariot on katettu testeillä.

CreateYourVPN-tiimi
15. heinäkuuta 2026

Poistettu käyttämätön kumppani-API:n valtuutuspolku

API tuki ylimääräistä cookie-pohjaista valtuutuspolkua, jota nykyinen server-side-arkkitehtuuri ei tarvinnut. Production-ympäristössä ei havaittu sivustojen välistä hyökkäystä, mutta ylimääräinen polku laajensi tulevien virheiden pintaa. API käyttää nyt yhtä, nimenomaisesti määriteltyä valtuutustapaa, joka on katettu negatiivisilla testeillä.

CreateYourVPN-tiimi
miten päiväkirjaa luetaan

Mitä tänne tulee.

julkaisemme

Yhteenvedot ja aikajanat

Löydöksen ydin, haavoittuvuusluokka, raportointipäivä ja korjauspäivä. Jos löydös kumosi SR-väitteen — julkinen korjaus raporttiin.

emme julkaise

Hyväksikäytön ohjeet

Vaihe vaiheelta -ohjeet, PoC-koodi ja yksityiskohdat, jotka auttaisivat hyökkäämään muihin palvelimiin ennen kuin kaikki päivittävät.

Löysitkö jotain?

Kirjoita meille ja liitä mukaan toistettava proof of concept. Vastaamme 72 tunnin kuluessa ja hoidamme triagen itse.

security@createyourvpn.com/.well-known/security.txt · 90 päivää hiljaisuutta · safe harbor