sigurnosni dnevnik

Sigurnosni dnevnik.

Nalaze objavljujemo nakon što su popravljeni i provjereni — kratak sažetak, nikada recept za exploit. Vremena popravka stoje uz svaki zapis.

zapisi

Što se dogodilo.

15. srpnja 2026.

Interna revizija prije pokretanja programa

Dana 15. srpnja 2026. započeli smo internu sigurnosnu provjeru CreateYourVPN-a. Ispravci koje smo dovršili i ponovno provjerili objavljeni su u nastavku; slijede i drugi, kako se budu uvodili i potvrđivali.

CreateYourVPN tim
15. srpnja 2026.

Dodana zaštita od nesigurne cross-origin konfiguracije

Trenutna production konfiguracija nije dopuštala proizvoljne origins, no kôd je dopuštao opasnu kombinaciju parametara ako bi je operater pogrešno postavio. Ta se kombinacija sada odbija pri pokretanju i pokrivena je automatiziranim testom.

CreateYourVPN tim
15. srpnja 2026.

Smanjena javna površina production API-ja

Interaktivna tehnička dokumentacija API-ja bila je dostupna bez autentifikacije. Nije davala pristup zaštićenim podacima, ali je olakšavala proučavanje interne strukture API-ja. U production dokumentacija je sada onemogućena, dok ostaje dostupna u izoliranom okruženju za razvoj.

CreateYourVPN tim
15. srpnja 2026.

Kriptografski ključevi platforme razdvojeni prema namjeni

Interna je provjera utvrdila da se jedna tajna koristila za dva različita kriptografska zadatka. To nije stvaralo izravno zaobilaženje, ali je proširivalo posljedice kompromitacije ključa. Dvije su namjene razdvojene i svaka se sada rotira neovisno.

CreateYourVPN tim
15. srpnja 2026.

Zajamčeno brisanje upravljačkog ključa nakon brisanja poslužitelja

Brisanje šifriranog upravljačkog ključa izvodilo se nakon mrežnih operacija u pozadini i moglo se ne ponoviti ako bi one zakazale. Odvojili smo brisanje ključa od mrežne kaskade i dodali zajamčeno ponavljanje. Scenariji nedostupnog poslužitelja i prekinutog procesa pokriveni su testovima.

CreateYourVPN tim
15. srpnja 2026.

Uklonjen neiskorišten put autorizacije partnerskog API-ja

API je podržavao dodatni put autorizacije zasnovan na cookie, koji trenutnoj server-side arhitekturi nije bio potreban. U production nije pronađen nijedan cross-site napad, no dodatni je put proširivao površinu za buduće pogreške. API sada koristi jedinstvenu, izrijekom definiranu metodu autorizacije, pokrivenu negativnim testovima.

CreateYourVPN tim
kako čitati dnevnik

Što ovdje spada.

objavljujemo

Sažeci i vremenski slijedovi

Bit nalaza, klasa ranjivosti, datum prijave i datum popravka. Ako je nalaz pobio SR tvrdnju — javni ispravak izvještaja.

ne objavljujemo

Recepti za exploit

Upute korak po korak, PoC kôd i detalji koji bi pomogli u napadu na druge servere prije nego što se svi ažuriraju.

Pronašli ste nešto?

Pišite nam s ponovljivim proof of conceptom. Odgovaramo u roku od 72 sata i trijažu obavljamo interno.

security@createyourvpn.com/.well-known/security.txt · 90 dana šutnje · sigurna luka