सुरक्षा जर्नल।
हम निष्कर्षों को ठीक किए जाने और सत्यापित किए जाने के बाद प्रकाशित करते हैं — एक संक्षिप्त सारांश, कभी कोई exploit नुस्खा नहीं। ठीक करने का समय हर प्रविष्टि के बगल में रहता है।
क्या-क्या हुआ है।
प्रोग्राम लॉन्च से पहले आंतरिक समीक्षा
15 जुलाई 2026 को हमने CreateYourVPN की आंतरिक सुरक्षा समीक्षा शुरू की। जो सुधार हमने पूरे किए और दोबारा सत्यापित किए, वे नीचे प्रकाशित हैं; जैसे-जैसे और सुधार तैनात और पुष्ट होते जाएँगे, वे आते रहेंगे।
— CreateYourVPN टीमअसुरक्षित cross-origin कॉन्फ़िगरेशन के विरुद्ध एक सुरक्षा-उपाय जोड़ा गया
मौजूदा production कॉन्फ़िगरेशन मनमाने origins की अनुमति नहीं देती थी, पर यदि कोई ऑपरेटर इसे गलत तरीके से सेट कर देता तो कोड पैरामीटर के एक ख़तरनाक संयोजन की अनुमति देता था। अब वह संयोजन स्टार्टअप पर अस्वीकार कर दिया जाता है और एक स्वचालित टेस्ट से कवर है।
— CreateYourVPN टीमproduction API की सार्वजनिक सतह घटाई गई
API का इंटरैक्टिव तकनीकी दस्तावेज़ बिना प्रमाणीकरण के पहुँच योग्य था। इससे संरक्षित डेटा तक पहुँच नहीं मिलती थी, पर API की आंतरिक संरचना का अध्ययन आसान हो जाता था। production में यह दस्तावेज़ अब बंद कर दिया गया है, जबकि विकास के लिए एक पृथक वातावरण में उपलब्ध रहता है।
— CreateYourVPN टीमप्लेटफ़ॉर्म की क्रिप्टोग्राफ़िक कुंजियाँ उद्देश्य के अनुसार अलग की गईं
एक आंतरिक समीक्षा में पाया गया कि एक ही सीक्रेट दो अलग-अलग क्रिप्टोग्राफ़िक कार्यों के लिए इस्तेमाल हो रहा था। इससे कोई सीधा बायपास नहीं बनता था, पर कुंजी के समझौते का प्रभाव-क्षेत्र बढ़ जाता था। दोनों उद्देश्य अलग कर दिए गए हैं और अब प्रत्येक स्वतंत्र रूप से रोटेट होता है।
— CreateYourVPN टीमसर्वर हटाने के बाद प्रबंधन कुंजी की सफ़ाई सुनिश्चित की गई
एन्क्रिप्टेड प्रबंधन कुंजी की सफ़ाई पृष्ठभूमि की नेटवर्क क्रियाओं के बाद चलती थी और उन क्रियाओं के विफल होने पर दोहरा नहीं पाती थी। हमने कुंजी की सफ़ाई को नेटवर्क कैस्केड से अलग कर दिया और एक सुनिश्चित पुनः-प्रयास जोड़ा। पहुँच से बाहर सर्वर और बाधित प्रक्रिया के परिदृश्य टेस्ट से कवर हैं।
— CreateYourVPN टीमपार्टनर API का एक अप्रयुक्त प्राधिकरण मार्ग हटाया गया
API एक अतिरिक्त cookie-आधारित प्राधिकरण मार्ग का समर्थन करता था, जिसकी मौजूदा server-side आर्किटेक्चर को आवश्यकता नहीं थी। production में कोई क्रॉस-साइट हमला नहीं मिला, पर अतिरिक्त मार्ग भविष्य की गलतियों की सतह बढ़ाता था। अब API एक एकल, स्पष्ट रूप से परिभाषित प्राधिकरण विधि का उपयोग करता है, जो नकारात्मक टेस्ट से कवर है।
— CreateYourVPN टीमइसमें क्या जाता है।
सारांश और समयरेखाएँ
किसी निष्कर्ष का सार, भेद्यता का वर्ग, रिपोर्ट की तारीख़ और फ़िक्स की तारीख़। यदि किसी निष्कर्ष ने किसी SR दावे का खंडन किया — तो रिपोर्ट में एक सार्वजनिक सुधार।
Exploit नुस्खे
चरण-दर-चरण निर्देश, PoC कोड और वे विवरण जो सबके अपडेट करने से पहले अन्य सर्वरों पर हमला करने में मदद करें।
कुछ मिला?
एक पुनरुत्पादनीय proof of concept के साथ हमें लिखें। हम 72 घंटों के भीतर जवाब देते हैं और triage अंदरूनी तौर पर करते हैं।