יומן אבטחה.
אנחנו מפרסמים ממצאים לאחר שתוקנו ואומתו — סיכום קצר, לעולם לא מתכון לניצול. זמני התיקון מופיעים לצד כל רשומה.
מה קרה.
סקירה פנימית לפני השקת התוכנית
ב־15 ביולי 2026 התחלנו סקירת אבטחה פנימית של CreateYourVPN. התיקונים שהשלמנו ואימתנו מחדש מתפרסמים למטה; נוספים יבואו ככל שיופצו ויאוששו.
— צוות CreateYourVPNנוסף מנגנון הגנה מפני תצורת cross-origin לא בטוחה
תצורת ה־production הנוכחית לא איפשרה מקורות שרירותיים, אך הקוד איפשר צירוף מסוכן של פרמטרים אם מפעיל היה מגדיר אותם בטעות. צירוף זה נדחה כעת בעת ההפעלה ומכוסה בבדיקה אוטומטית.
— צוות CreateYourVPNצומצם המשטח הציבורי של production API
התיעוד הטכני האינטראקטיבי של ה־API היה נגיש ללא אימות. הוא לא איפשר גישה לנתונים מוגנים, אך הקל על לימוד המבנה הפנימי של ה־API. ב־production התיעוד כעת מושבת, ועם זאת נשאר זמין בסביבה מבודדת לצורכי פיתוח.
— צוות CreateYourVPNמפתחות ההצפנה של הפלטפורמה הופרדו לפי ייעוד
סקירה פנימית מצאה כי סוד יחיד שימש לשתי משימות הצפנה שונות. הדבר לא יצר עקיפה ישירה, אך הרחיב את היקף הנזק במקרה של פריצת מפתח. שני הייעודים הופרדו, וכל אחד מהם עובר כעת רוטציה באופן עצמאי.
— צוות CreateYourVPNהובטח ניקוי מפתח הניהול לאחר מחיקת שרת
ניקוי מפתח הניהול המוצפן רץ לאחר פעולות רשת ברקע, ועלול היה שלא לחזור על עצמו אם אותן פעולות נכשלו. ניתקנו את ניקוי המפתח ממפל פעולות הרשת והוספנו ניסיון חוזר מובטח. תרחישי השרת שאינו זמין והתהליך שנקטע מכוסים בבדיקות.
— צוות CreateYourVPNהוסר נתיב הרשאה שאינו בשימוש ב־API של השותפים
ה־API תמך בנתיב הרשאה נוסף מבוסס cookie שהארכיטקטורה הנוכחית של server-side לא נזקקה לו. לא נמצאה מתקפת cross-site ב־production, אך הנתיב הנוסף הרחיב את המשטח לטעויות עתידיות. כעת ה־API משתמש בשיטת הרשאה אחת ומוגדרת במפורש, המכוסה בבדיקות שליליות.
— צוות CreateYourVPNמה נכנס לכאן.
סיכומים וצירי-זמן
עיקרו של ממצא, מחלקת הפגיעות, תאריך הדיווח ותאריך התיקון. אם ממצא הפריך טענת SR — תיקון פומבי לדוח.
מתכוני ניצול
הוראות שלב-אחר-שלב, קוד PoC ופרטים שיסייעו לתקוף שרתים אחרים לפני שכולם יעדכנו.
מצאתם משהו?
כתבו לנו עם הוכחת היתכנות ניתנת-לשחזור. אנחנו מגיבים תוך 72 שעות וממיינים באופן פנימי.