Jurnal keamanan.
Kami mempublikasikan temuan setelah diperbaiki dan diverifikasi — ringkasan singkat, tidak pernah resep eksploitasi. Waktu perbaikan tercantum di samping setiap entri.
Apa yang telah terjadi.
Tinjauan internal sebelum peluncuran program
Pada 15 Juli 2026 kami memulai tinjauan keamanan internal CreateYourVPN. Perbaikan yang telah kami selesaikan dan verifikasi ulang dipublikasikan di bawah; lainnya akan menyusul seiring diterapkan dan dikonfirmasi.
— Tim CreateYourVPNDitambahkan pengaman terhadap konfigurasi cross-origin yang tidak aman
Konfigurasi production saat ini tidak mengizinkan origin sembarangan, tetapi kode memungkinkan kombinasi parameter yang berbahaya jika seorang operator salah mengonfigurasinya. Kombinasi itu kini ditolak saat startup dan tercakup oleh uji otomatis.
— Tim CreateYourVPNMengurangi permukaan publik dari production API
Dokumentasi teknis interaktif API dapat diakses tanpa autentikasi. Itu tidak memberi akses ke data terlindung, tetapi mempermudah mempelajari struktur internal API. Di production dokumentasi kini dinonaktifkan, sementara tetap tersedia di lingkungan terisolasi untuk pengembangan.
— Tim CreateYourVPNKunci kriptografis platform dipisahkan menurut tujuan
Sebuah tinjauan internal menemukan bahwa satu rahasia dipakai untuk dua tugas kriptografis yang berbeda. Ini tidak menciptakan pengelakan langsung, tetapi memperluas dampak jika kunci disusupi. Kedua tujuan telah dipisahkan dan masing-masing kini dirotasi secara independen.
— Tim CreateYourVPNTerjamin pembersihan kunci pengelolaan setelah penghapusan server
Pembersihan kunci pengelolaan terenkripsi berjalan setelah operasi jaringan di latar belakang dan bisa gagal terulang jika operasi itu gagal. Kami memisahkan pembersihan kunci dari kaskade jaringan dan menambahkan pengulangan yang terjamin. Skenario server tak terjangkau dan proses terputus tercakup oleh pengujian.
— Tim CreateYourVPNMenghapus jalur otorisasi API mitra yang tidak terpakai
API mendukung jalur otorisasi tambahan berbasis cookie yang tidak dibutuhkan oleh arsitektur server-side saat ini. Tidak ditemukan serangan lintas situs di production, tetapi jalur tambahan itu memperluas permukaan bagi kesalahan di masa depan. API kini menggunakan satu metode otorisasi yang didefinisikan secara eksplisit, tercakup oleh uji negatif.
— Tim CreateYourVPNApa yang masuk ke sini.
Ringkasan dan lini masa
Inti sebuah temuan, kelas kerentanannya, tanggal laporan dan tanggal perbaikan. Jika sebuah temuan membantah klaim SR — koreksi publik atas laporan.
Resep eksploitasi
Instruksi langkah demi langkah, kode PoC, dan detail yang akan membantu menyerang server lain sebelum semua orang memperbarui.
Menemukan sesuatu?
Tulislah kepada kami dengan bukti konsep yang dapat direproduksi. Kami membalas dalam 72 jam dan menangani triase secara internal.