Tietoturvapäiväkirja.
Julkaisemme löydökset sen jälkeen, kun ne on korjattu ja todennettu — lyhyt yhteenveto, ei koskaan hyväksikäytön ohjetta. Korjausajat ovat kunkin merkinnän vieressä.
Mitä on tapahtunut.
Sisäinen tarkastus ennen ohjelman julkaisua
Aloitimme 15. heinäkuuta 2026 CreateYourVPN:n sisäisen tietoturva-arvioinnin. Korjaukset, jotka olemme saaneet valmiiksi ja tarkistaneet uudelleen, on julkaistu alla; lisää tulee sitä mukaa kuin niitä otetaan käyttöön ja vahvistetaan.
— CreateYourVPN-tiimiLisätty suojaus turvatonta cross-origin-määritystä vastaan
Nykyinen production-määritys ei sallinut mielivaltaisia origineja, mutta koodi salli vaarallisen parametriyhdistelmän, jos ylläpitäjä määritti sen väärin. Tämä yhdistelmä hylätään nyt käynnistyksessä ja on katettu automaattisella testillä.
— CreateYourVPN-tiimiPienennetty production-API:n julkista pintaa
Interaktiivinen API:n tekninen dokumentaatio oli saavutettavissa ilman todennusta. Se ei antanut pääsyä suojattuun tietoon, mutta helpotti API:n sisäisen rakenteen tutkimista. Production-ympäristössä dokumentaatio on nyt poistettu käytöstä, mutta se on edelleen saatavilla eristetyssä kehitysympäristössä.
— CreateYourVPN-tiimiAlustan salausavaimet eroteltu käyttötarkoituksen mukaan
Sisäisessä arvioinnissa havaittiin, että yhtä salaisuutta käytettiin kahteen eri salaustehtävään. Tämä ei luonut suoraa ohitusta, mutta laajensi avaimen vaarantumisen vaikutuksia. Käyttötarkoitukset on eroteltu, ja kumpikin kiertää nyt itsenäisesti.
— CreateYourVPN-tiimiTaattu hallinta-avaimen tyhjennys palvelimen poistamisen jälkeen
Salatun hallinta-avaimen tyhjennys suoritettiin taustalla tapahtuvien verkkotoimintojen jälkeen, eikä se välttämättä toistunut, jos nuo toiminnot epäonnistuivat. Erotimme avaimen tyhjennyksen verkkokaskadista ja lisäsimme taatun uudelleenyrityksen. Palvelimen tavoittamattomuuden ja keskeytyneen prosessin skenaariot on katettu testeillä.
— CreateYourVPN-tiimiPoistettu käyttämätön kumppani-API:n valtuutuspolku
API tuki ylimääräistä cookie-pohjaista valtuutuspolkua, jota nykyinen server-side-arkkitehtuuri ei tarvinnut. Production-ympäristössä ei havaittu sivustojen välistä hyökkäystä, mutta ylimääräinen polku laajensi tulevien virheiden pintaa. API käyttää nyt yhtä, nimenomaisesti määriteltyä valtuutustapaa, joka on katettu negatiivisilla testeillä.
— CreateYourVPN-tiimiMitä tänne tulee.
Yhteenvedot ja aikajanat
Löydöksen ydin, haavoittuvuusluokka, raportointipäivä ja korjauspäivä. Jos löydös kumosi SR-väitteen — julkinen korjaus raporttiin.
Hyväksikäytön ohjeet
Vaihe vaiheelta -ohjeet, PoC-koodi ja yksityiskohdat, jotka auttaisivat hyökkäämään muihin palvelimiin ennen kuin kaikki päivittävät.
Löysitkö jotain?
Kirjoita meille ja liitä mukaan toistettava proof of concept. Vastaamme 72 tunnin kuluessa ja hoidamme triagen itse.