דוח אבטחה · גרסה 2 · 15 ביולי 2026

טענות הניתנות לאימות.

זהו אינו עמוד שיווקי בנוסח 'אנחנו מאובטחים' אלא אוסף של טענות הניתנות לאימות (SR-N), שכל אחת מהן ניתן לערער עליה בתוכנית באג באונטי שלנו תמורת תגמול.

01 · גישה לשרת שלכם

גישה לשרת שלכם

SR-1סיסמת ה-root משמשת פעם אחת ואינה מאוחסנת בצד שלנו.מאומת+

הסיסמה נחוצה רק כדי לפתוח את חיבור ה-SSH הראשון ולהתקין משתמש שירות. היא מועברת כאימות SSH עבור החיבור שלנו — לא כארגומנט של סקריפט או כמשתנה סביבה. במסד הנתונים שלנו אין שדה עבורה; היא אינה נכנסת לסביבות הרצת הסקריפטים ואינה נכתבת ליומנים (שגיאות חיבור מכילות רק את הכתובת והפורט, לעולם לא את הסיסמה). בזיכרון היא נמחקת (במאמץ מיטבי) לאחר השימוש — זו הגנה לעומק, לא ערובה: ייתכן ש-Go ישמור עותקים של הערך בערימה (heap) עד לאיסוף האשפה.

הסתייגות כנה: זו נותרת סיסמת ה-root על השרת שלכם. לאחר ההתקנה אנחנו משביתים כניסה באמצעות סיסמה וכניסת root דרך SSH, אך איננו משנים את הסיסמה עצמה — שנו אותה בעצמכם אם תרצו. 'איננו מאחסנים אותה' — נכון; 'היא חדלה להיות סוד' — לא.

SR-2לאחר ההתקנה, כניסה באמצעות סיסמה וכניסת root דרך SSH מושבתות.מאומת+

PasswordAuthentication no, PermitRootLogin no, SSH הועבר לפורט לא-סטנדרטי (12011 כברירת מחדל), fail2ban מופעל (חסימה של שעה לאחר 5 כישלונות), כניסה באמצעות מפתח בלבד. המפתח הציבורי עובר אימות קפדני לפני השימוש: תווי מעבר-שורה (הגנה מפני הכנסת מפתחות נוספים ל-authorized_keys) ומפתחות שגויים תחבירית — נדחים.

הגנה מפני נעילה עצמית: פורט 22 אינו נסגר עד שהקרנל מאשר (דרך ss) שהפורט החדש של SSH אכן מאזין; התצורה נבדקת באמצעות sshd -t וכלל ה-sudo באמצעות visudo -cf, ושניהם מוחזרים לאחור במקרה של שגיאה.

SR-3מפתח הניהול מאוחסן רק בצורה מוצפנת.מאומת+

הלוח עובד לא עם הסיסמה שלכם אלא עם מפתח נפרד (ed25519) שהוא מייצר בעצמו. החלק הפרטי שמור במסד הנתונים מוצפן ב-AES-256-GCM. מפתח ההצפנה (KEK) מאוחסן בנפרד ממסד הנתונים — במשתנה סביבה בשרת — ובסביבת הייצור הוא הכרחי (אין ברירת מחדל לא-מאובטחת: ללא KEK תת-מערכת ההצפנה פשוט לא תעלה). אותה הצפנה מגנה על הסודות הכבדים במסד הנתונים — סיסמת/אסימון/JWT המנהל של Marzban, מפתחות Reality, מפתחות ספק התשלומים, מטמון פרטי הזיהוי של הפרוקסי, תצורת הגיבוי.

ההצפנה לא רק מסתירה אלא גם מאמתת את הנתונים (תג האימות של GCM): שינוי זדוני של שדה מוצפן מזוהה בעת הפענוח ונדחה. כל שדה מוצפן עם nonce אקראי חדש; ערך ה-KEK לעולם אינו מגיע ליומנים — רק המזהה הקצר שלו.

לגבי אסימוני יכולת (capability tokens): אסימון המנוי /sub הוא סוד נושא (bearer). לצורך חיפוש אנחנו שומרים רק את ה-SHA-256 שלו, בעוד שהעותק הנחוץ להצגה חוזרת של קישור שכבר הונפק נשמר כטקסט מוצפן ב-AES-GCM. רשומות ישנות בטקסט גלוי עוברות מיגרציה לפורמט החדש, במצב fail-closed, לפני עליית שרת ה-HTTP. מזהה כתובת ה-URL של ה-webhook של התשלום מאוחסן בטקסט גלוי אך אינו מאמת בעצמו אירוע: האותנטיות מאומתת בנפרד באמצעות חתימת HMAC.

SR-4המפתח הפרטי לעולם אינו מגיע לדפדפן.מאומת+

המפתח מפוענח רק בשרת, בזיכרון; ממשקי API רגילים לעולם אינם מחזירים אותו. הדרך היחידה להשיג אותו היא פונקציית ייצוא מכוונת ('קחו את המפתח שלכם'), המוגנת בהתחברות ובנוסף קוד חד-פעמי באימייל (הקוד נשמר רק כגיבוב HMAC, מושווה בזמן קבוע, TTL של 10 דקות, 5 ניסיונות). כך שאת המפתח ניתן לאחזר בכוונה, אך לא 'להדליף' דרך בקשה רגילה.

SR-5כאשר שרת נמחק, המפתח מנוקה מהרשומה שלו באופן סינכרוני.מאומת+

לפני שמצב השרת משתנה ולפני כל פעולת רשת ברקע, השדות המכילים את מפתח הניהול מאופסים באופן סינכרוני. אם מסד הנתונים אינו מאשר את הניקוי, הפעולה מחזירה שגיאה וניתן לנסות אותה שוב. המחיקה נותרת 'רכה': השורה והנתונים השירותיים הלא-סודיים נשמרים. אין פירוש הדבר מחיקה פיזית של גיבויים שכבר נוצרו — מחזור החיים שלהם נשלט על ידי מדיניות שמירת הגיבויים.

SR-16ממשקי ה-API של השותפים שנבדקו מגבילים את הגישה לבעלים של המשאב.מאומת+

מסלולי השותף שנבדקו מבצעים הרשאה לפי partner_id, שאותו השרת גוזר מאסימון ההתחברות החתום — לא ממה שהלקוח שלח בנתיב או בגוף הבקשה. לפני החזרה או שינוי של דבר, המערכת בודקת מחדש שהשרת, האשכול, ה-inbound, המסלול, משתמש ה-VPN או התשלום המבוקש שייכים לחשבון שלכם; שאילתות מסד הנתונים המתאימות מוגבלות לפי ה-partner_id שלכם, והסכמה (מפתחות ייחודיים מורכבים בתוספת מפתחות זרים מורכבים) דוחה קישורים חוצי-שותפים לא-תקינים. הבידוד רב-שכבתי: אפליקציה, בדיקה חוזרת ברמת ה-usecase, מסנן partner_id, והסכמה.

הסתייגות כנה: הדבר אומת באמצעות ביקורת קוד לאורך נתיב הבקשה, לא באמצעות מבחן חדירה פומבי — כך ש-SR-16, כמו השאר, פתוח להפרכה בתוכנית באג באונטי.

בכנות על הגישה של הלוח — היא גישת מנהל מלאה, לא 'מוגבלת'.הערה כנה+

כדי להגדיר הכול באופן אוטומטי (התקנת Xray+Reality, החלת תצורה, קריאת מדדים) הלוח מחזיק בגישה ניהולית מלאה על השרת (שקולת-root, דרך משתמש שירות עם sudo ללא סיסמה). הדבר הכרחי לניהול, ואיננו מכנים זאת 'מוגבלת'.

מה שמפחית את הסיכון: סודות מועברים לשרת רק דרך ה-stdin של התהליך (לא כארגומנטים של פקודה — הם אינם נראים ברשימת התהליכים); לאחר ההתקנה הראשונית, כל חיבור ניהול מאמת את מפתח המארח המוצמד (pinned host key) של השרת — החלפת שרת 'באמצע' נדחית. מה שבשליטתכם: הגישה נשענת על מפתח שתוכלו לבטל בכל עת — על ידי מחיקת השרת (המפתח מאופס) או פשוט מחיקת ה-VPS אצל ספק האירוח שלכם (ואז הכול נעלם).

02 · הנתונים והפרטיות שלכם

הנתונים והפרטיות שלכם

SR-6משתמשי ה-VPN נמצאים על השרת שלכם; אנחנו מחזיקים במינימום של מטא-נתונים שירותיים.מאומת+

חשבונות ה-VPN עצמם (VLESS/Reality) נוצרים ונמצאים ב-Marzban על שרת המאסטר שלכם. באופן מרכזי אנחנו שומרים רק את מה שנדרש כדי להנפיק קישור מנוי: אסימון מנוי אקראי ותמונת מצב מוצפנת של פרטי הזיהוי של הפרוקסי (מטמון; מקור האמת הוא ה-Marzban שלכם). אין לנו היסטוריית תעבורה, IP, או ביקורי משתמשים.

הנה רשימה כנה של המקומות שבהם האימייל של המשתמש הסופי אכן עובר דרך מסד הנתונים המרכזי שלנו: את ההודעה עם קוד ההתחברות אנחנו שולחים, ולכן הכתובת עוברת דרך תור השליחה (עבור כל התחברות לחנות, כולל החינמית); בעת תשלום, האימייל של הרוכש מגיע ב־webhook התשלום ונכנס ליומן התשלומים; בעת קישור Telegram, האימייל נשמר בפרופיל. אלה נקודות המגע היחידות — שירותיות ומתוך הכרח; הן אינן נוגעות לתעבורה או להתנהגות המשתמשים.

נתוני שירות אלה אנו שומרים רק לפרק הזמן הנדרש ומנקים אותם אוטומטית: האימייל מוסר מתור השליחה מיד לאחר השליחה, תוכן אירוע תשלום לאחר עיבודו, ואירועים הממתינים לניסיון חוזר עד לחלון של 90 יום. ניתן למחוק את החשבון שלך יחד עם הנתונים המשויכים אליו על ידי פנייה לתמיכה (לפרטים ראו סיכון 7). אנו חושפים זאת בגלוי במקום להסתיר זאת מאחורי ניסוחים מעורפלים.

SR-7איננו אוספים יומנים של התעבורה או הביקורים שלכם, והשרתים אינם מנהלים יומן ביקורים.מאומת+

פלטפורמת CreateYourVPN אינה מקבלת או מאחסנת מידע על אילו אתרים אתם או המשתמשים שלכם מבקרים בהם. סכמת קליטת המדדים סגורה: פיזית אין בה שדות עבור כתובות IP, דומיינים, או ביקורים — רק צברים (מספר מחוברים ייחודיים, סך בתים, CPU/RAM/עומס). כל צומת מאמת את עצמו באמצעות אסימון HMAC הקשור למזהה שלו עצמו ויכול לכתוב מדדים רק עבור עצמו. המאזן שעל הצומת (HAProxy) עובד כנתב TCP לפי SNI ואינו מפענח תעבורה. על השרת עצמו, יומני המערכת נשמרים ללא יותר מכשעה בקירוב ואינם מועברים ל-syslog.

מעבר לרמת הפלטפורמה, גם השרתים אינם מנהלים יומן ביקורים: רישום הגישה של Xray מושבת בכפייה בכל דחיפת תצורה (הפלטפורמה מגדירה את log.access ל-none), כך שפרוקסי הקצה אינו מתעד לאילו כתובות המשתמשים מתחברים. הדבר נאכף בקוד ומופץ לכל צי השרתים.

SR-8ניתוח נתוני הרשת הוא Google Analytics; אין עוקבים אחרים.מאומת+

כדי להבין כיצד נעשה שימוש באתר ובלוח אנחנו משתמשים ב-Google Analytics (באנר העוגיות מזהיר על איסוף עוגיות וסטטיסטיקה; הפרטים במדיניות הפרטיות). אין עוקבים אחרים של צד שלישי: אין Sentry, PostHog, Mixpanel, או פיקסלים פרסומיים (אומת באמצעות חיפוש בשני יישומי החזית). ל-backend אין טלמטריה של צד שלישי כלל. חנות משתמש הקצה אינה מכוסה כלל בניתוח נתונים — אין GA, אין עוקבים (ניתן לאמת ממקורות הקוד שלה).

הסתייגות: GA מקבל את כתובת ה-IP שלכם (בצד של Google) ואת כתובות עמודי הלוח שנצפו; כתובות ה-URL של הלוח מכילות רק מזהה אשכול, לא אימייל.

SR-9התשלומים חיצוניים — איננו מקבלים את מספר הכרטיס המלא.מאומת+

התשלום וכל נתוני הכרטיס מטופלים בצד של הספק (Tribute / Lemon Squeezy). אנחנו מקבלים רק webhook חתום (HMAC-SHA256, השוואה בזמן קבוע, מאומת לפני ניתוח הגוף ולפני כל כתיבה למסד הנתונים: ללא ידיעת הסוד, אירוע נכשל באימות). איננו מקבלים את מספר הכרטיס המלא (PAN) או CVV. משלוח חוזר של אותו webhook (ניסיונות חוזרים של הספק) אינו גורם להענקה כפולה — האירועים עוברים ניכוי כפילויות.

הסתייגות: הספק עשוי לכלול מטא-נתונים של הכרטיס (המותג ו-4 הספרות האחרונות) ואת שם ואימייל המשלם בגוף ה-webhook. הגוף המקורי נחוץ ל-worker עד להשלמת העיבוד; לאחר עיבוד מוצלח הוא נמחק יחד עם רמז האימייל. אירועים הממתינים לניסיון חוזר או לבדיקה ידנית שומרים את הגוף המקורי רק עד תום חלון השמירה (90 יום ללא פעילות), ולאחר מכן מטא-נתוני הכרטיס ואימייל המשלם נמחקים אוטומטית. 'אין מספר כרטיס מלא' — נכון, אך זו תכונה של הספקים (איננו מסננים את הגוף בעצמנו); 'איננו רואים דבר על הכרטיס כלל' — לא.

מה אנחנו שומרים עליכם (השותף), בכנות.הערה כנה+

אימייל (נחוץ להתחברות), זמן ההתחברות האחרון, מצב הממשק; עבור חיוב — יתרה ו-Telegram (לצורך טעינות). כתובת ה-IP של השותף אינה מאוחסנת במסד הנתונים, ואיננו שומרים היסטוריית קליקים או פעולות בלוח (מלבד יומן גישה קצר במקרה של שגיאות).

03 · הקשחת השרת

הקשחת השרת

SR-10חומת האש חוסמת הכול מלבד מה שנדרש.מאומת+

חומת האש חוסמת תעבורה נכנסת כברירת מחדל. פתוח כלפי חוץ: 443 (VPN, Xray+Reality), SSH על פורט לא-סטנדרטי (12011 כברירת מחדל), ו — בשרת המאסטר — הפורט של לוח הניהול של Marzban, רק עבור כתובות IP של מישור הבקרה. פורט 80 נפתח בנפרד רק במצב Let's Encrypt עבור HTTP-01. פורט 22 נסגר לאחר העברת SSH.

פורטי הניהול של הצומת פתוחים רק לכתובת ה-IP של שרת המאסטר, לא כלפי חוץ (כישלון של קישור זה מבטל את ההתקנה). אם חומת האש אינה נעשית פעילה, ההתקנה נכשלת. ICMP echo מוגבל רק עבור IPv4; איננו מבטיחים שהשרת 'בלתי נראה', ו-ICMP של IPv6 נשמר כדי ש-IPv6 יעבוד כראוי.

SR-11עדכוני אבטחה אוטומטיים.מאומת+

עדכונים ללא-השגחה (unattended upgrades) מתקינים עדכוני חבילות אבטחה באופן אוטומטי. הסתייגות: אתחול אוטומטי מושבת בכוונה (כדי שקרנל לא-מאומת לא יאתחל מעצמו) — משמע תיקונים המחייבים אתחול (קרנל, לעיתים OpenSSH) חלים רק לאחר אתחול ידני או מתוזמן. 'טלאים אוטומטיים' נכון עבור מרחב המשתמש (userland), לא עבור מה שמחייב אתחול.

בכנות על 'בלתי-נראוּת' — איננו טוענים לה.הערה כנה+

איננו טוענים שהשרת 'בלתי נראה' או 'לא ניתן לסריקה'. פורט 443 פתוח ומשיב לחיבור TCP כמו כל שרת רשת. התכונה 'בחיבור שגוי הוא נראה כאתר רגיל ולא-קשור' מסופקת על ידי פרוטוקול Reality בתוך Xray — רכיב נפרד שאיננו הופכים למוחלט.

04 · הפלטפורמה (לוח הבקרה)

הפלטפורמה (לוח הבקרה)

SR-12התחברות לחשבון CreateYourVPN שלכם ללא סיסמה.מאומת+

התחברות השותף היא באמצעות קוד חד-פעמי בן 6 ספרות הנשלח לאימייל. אין סיסמת חשבון. הדבר אינו חל על פרטי זיהוי פנימיים של רכיבים מנוהלים, כגון סיסמת המנהל של Marzban שנוצרה. הקודים נוצרים על ידי מחולל קריפטוגרפי; רק גיבוב ה-HMAC שלהם נשמר, וההשוואה היא בזמן קבוע. הקוד הוא חד-פעמי: בהצלחה הוא נמחק מיד (ללא replay); לאחר 5 ניסיונות שגויים הוא מנוטרל מוקדם. מגבלת קצב ההנפקה נספרת לפי אימייל, לא לפי IP — לא ניתן לעקוף אותה על ידי החלפת כתובות.

SR-13הסשן מוגן.מאומת+

אסימון הסשן שמור בעוגייה מסוג HttpOnly ו-Secure (JS אינו יכול לקרוא אותה), ומאומת ב-backend (לא רק בקצה). פסק-זמן של חוסר-פעילות והתנתקות אוטומטית בעת חוסר-פעילות ממומשים בצד הלקוח, לא בשרת. האסימון חתום ב-HS256; באימות אנחנו דוחים בקפדנות כל אלגוריתם אחר (כולל 'none') — התקפת החלפת-האלגוריתם הקלאסית אינה עוברת. אסימון החנות ואסימון לוח השותף מופרדים לפי קהל היעד (audience): אסימון של משתמש קצה טכנית אינו יכול להגיע ל-API של השותף (ולהפך). שותף שנמחק נדחה גם עם אסימון תקף.

הסתייגות: הביטול ממומש באמצעות בדיקה שהשותף קיים בכל בקשה, לא באמצעות פסילת האסימון עצמו; התנתקות מוחקת את העוגייה, אך אסימון שהונפק נשאר תקף קריפטוגרפית עד לפקיעתו (עד שעה). עדיין אין רשימת ביטול מרכזית (פישוט מודע של MVP).

SR-14אסימונים וסודות אינם דולפים לדפדפן.מאומת+

אין אסימונים באחסון המקומי של הדפדפן (רק הגדרות ממשק); סודות או כתובת ה-API אינם מגיעים לחבילת הלקוח. רק השרת (Next.js) מציב את האסימון בעוגיית HttpOnly. הדפדפן מדבר עם הליבה רק דרך השרת (Server Actions): החזית אינה קוראת ל-API ישירות מהדפדפן, ו-CORS אינו מאפשר לדפדפן לקרוא תגובות API ממקורות אחרים.

הבהרה במקום מוחלט קודם: דומיין ה-API עצמו הוא מארח פומבי — טכנית ניתן לפתוח אותו מדפדפן, אך ללא סשן הוא אינו מחזיר נתונים מורשים.

SR-15הדומיינים הציבוריים של הפלטפורמה משתמשים ב־HTTPS עם כותרות אבטחה מחמירות.מאומת+

הדומיינים הציבוריים של CreateYourVPN מוגשים על גבי HTTPS עם HSTS (max-age של שנתיים, includeSubDomains). גם ה־frontend של האתר וגם דומיין ה־API שולחים מערך מחמיר של כותרות אבטחה: Content-Security-Policy מגבילה, X-Content-Type-Options: nosniff, X-Frame-Options ו־Referrer-Policy נעולה (no-referrer ב־API; strict-origin-when-cross-origin ב־frontend, ששולח גם Permissions-Policy מגבילה).

זה פועל בסביבת הפרודקשן בשני הדומיינים וניתן לבדיקה עצמאית — בעזרת כל כלי לבדיקת כותרות HTTP או שירות כמו SSL Labs.

בכנות על הסיכונים (מה שאיננו מבטיחים)

בכנות על הסיכונים (מה שאיננו מבטיחים)

דוח ללא חלק זה הוא שיווק. הנה המגבלות האמיתיות:

01אחסון מרוכז של מפתחות — תחת הגנה רב־שכבתית.

לוח הבקרה שומר את מפתחות הגישה המוצפנים לכלל מערך השרתים. זהו, מטבע הדברים, הרכיב הרגיש ביותר במערכת — ואנו מגנים עליו בהתאם.

מה מגן עליו: סודות כבדים נמצאים במסד הנתונים רק כטקסט מוצפן; מפתח ההצפנה (KEK) נשמר בנפרד ממסד הנתונים; המפתחות לעולם אינם מגיעים לדפדפן; והם מאופסים בעת מחיקת שרת. אסימוני המנוי מוגנים בשכבה נוספת — חיפוש לפי גיבוב (hash lookup) בתוספת AES-GCM — כך שאפילו העתק (dump) של מסד הנתונים ללא ה־KEK אינו מכיל קישורי /sub פעילים.

התקרה ההוגנת: ההצפנה מגנה באופן אמין מפני גניבת מסד הנתונים עצמו — גיבוי, עותק (replica) או dump. היא אינה מבטלת את הסיכון של פריצה מלאה למארח (host) של הלוח עצמו, שבו ה־KEK ומסד הנתונים זמינים לתהליך יחיד. משום כך המוקד המרכזי של ההגנה שלנו הוא למנוע דווקא השתלטות על המארח: בידוד, עדכוני אבטחה אוטומטיים ומשטח חשוף מינימלי.

מערכת KMS/HSM ייעודית תתווסף באחת ממהדורות האבטחה הקרובות.

02הסיכון להתקפת Man-in-the-Middle (MITM) בחיבור הראשון מצומצם כמעט לאפס.

בעת הוספת שרת, אנו מתחברים אליו פעם אחת בלבד — באמצעות סיסמה זמנית שאתם מזינים. דווקא בחיבור ראשון זה מתאפשרת תיאורטית התקפת Man-in-the-Middle (MITM). אנו מנטרלים אותה באמצעות כמה אמצעים בלתי תלויים, כך שהסיכון המעשי מצומצם לאפס.

הסיסמה היא לשימוש חד־פעמי: היא משמשת לחיבור אחד בלבד, אינה נשמרת בשום מקום אצלנו ואינה נעשה בה שימוש חוזר לעולם. המפתח הפרטי לעולם אינו נשלח ברשת — האימות שלאחר מכן מתבסס על זוג מפתחות (אימות מפתח ציבורי, pubkey) ולא על הסיסמה.

מיד לאחר ההתקנה מושבתים בשרת האימות באמצעות סיסמה והכניסה כ־root, פורט ה־SSH מוחלף, והגישה מועברת למפתחות בלבד. מאותו רגע, גם סיסמה שיורטה אינה פותחת דבר.

כל חיבור ניהול נוסף מאמת את טביעת האצבע המקובעת של השרת (host-key pinning) — שרת שהוחלף «באמצע» נדחה.

כתוצאה מכך, יירוט יתאפשר רק לתוקף הנמצא פיזית על נתיב הרשת בינינו לבין השרת במהלך אותן שניות ספורות של ההתקנה הראשונית — וגם במקרה קיצוני זה הנתונים שיורטו הופכים מיד לחסרי תועלת.

03הגישה הפיזית לשרת נמצאת בידי ספק ה־VPS שלך.

זו תכונה של כל שרת מושכר, לא רק שלנו: תמונות מצב (snapshots), מצב חילוץ (rescue) וכדומה זמינים לספק, ואף תוכנה אינה מגינה מפני כך. מנגד, בחירת ספק אמין נמצאת בידיך, והשרת כולו שלך — אפשר להחליף ספק או למחוק את המכונה בכל רגע.

04פגיעויות לא ידועות (0-day) קיימות תמיד.

אף אחד אינו מבטיח הגנה מוחלטת — פגיעויות חדשות מופיעות בכל תוכנה. מה שאנחנו עושים: עדכוני אבטחה מותקנים אוטומטית, ותיקונים המחייבים הפעלה מחדש (הליבה, לעיתים OpenSSH) חלים לאחר הפעלה מחדש — ידנית או מתוזמנת (ראו SR-11).

05האימייל נשמר — במידה מזערית ולצורך תפקודי.

האימייל שלך לצורך התחברות, והאימייל של המשתמשים הסופיים במספר מקרים שירותיים (ראו SR-6). הוא נשמר רק כל עוד יש בכך צורך ומתנקה אוטומטית (ראו סיכון 9).

06ההתחברות מתבצעת בקוד באימייל — עדיין אין 2FA נפרד.

מכיוון שההתחברות מתבססת על קוד חד־פעמי באימייל, תיבת הדואר שלך היא הלכה למעשה המפתח לחשבון — כדאי להגן עליה היטב. גורם שני עדיין אינו קיים: סביר לשלב הזה, אך כדאי לדעת.

07הנתונים נשמרים למשך זמן מוגבל ומתנקים אוטומטית.

אנו שומרים נתונים אישיים רק כל עוד פעולה זקוקה להם, ולאחר מכן מנקים אותם אוטומטית. כתובת האימייל מוסרת מהתור מיד עם שליחת ההודעה, והתוכן הגולמי של אירוע תשלום מוצלח מיד עם עיבודו.

רק דבר אחד נשמר לאורך זמן רב יותר: אירועי תשלום הממתינים לניסיון חוזר או לבדיקה ידנית. התוכן המקורי שלהם נשמר לא ללא הגבלה, אלא עד תום חלון של 90 יום ללא פעילות, ולאחריו הנתונים האישיים מאופסים אוטומטית.

כפתור בשירות עצמי «מחק את הנתונים שלי» בממשק עדיין אינו קיים — הוא מתוכנן. בינתיים, ניתן למחוק את החשבון שלך, יחד עם הנתונים המשויכים אליו, על ידי פנייה לתמיכה.

08אסימוני מנוי אינם פוקעים.

קישור /sub הוא אסימון נושא (bearer) קבוע עד לביטול ידני או מחיקת משתמש; אין פקיעה אוטומטית או רוטציה (קישור שדלף נשאר פעיל).

09גיבויי המשתמשים מוציאים נתונים אל מחוץ לשרת שלך.

אם תפעיל ייצוא גיבויים אל Google Drive או S3, נתוני המשתמשים עוזבים את השרת שלך, וההגנה עליהם תלויה מעתה בענן שלך — דוח זה אינו מכסה אותה בנפרד. זו בחירה מודעת שלך: את התכונה אתה מפעיל בעצמך.

אל תסתמכו על המילה שלנו

כיצד לבדוק זאת.

כל טענה למעלה היא הימור פומבי. אנחנו מזמינים אתכם למצוא היכן טעינו או ייפינו את המציאות:

מסלול A

מסלול A — פגיעויות קלאסיות (RCE, עקיפת הרשאה, IDOR, דליפות וכן הלאה).

מסלול B

מסלול B — הפרכת דוח זה: הוכיחו שכל SR-N שהוא שגוי, קבלו תגמול, ואנחנו נפרסם את התיקון בפומבי.

מצאתם משהו?

כתבו לנו עם הוכחת היתכנות ניתנת-לשחזור. אנחנו מגיבים תוך 72 שעות וממיינים באופן פנימי.

security@createyourvpn.com/.well-known/security.txt · 90 ימי שתיקה · נמל מבטחים