jurnal keamanan

Jurnal keamanan.

Kami mempublikasikan temuan setelah diperbaiki dan diverifikasi — ringkasan singkat, tidak pernah resep eksploitasi. Waktu perbaikan tercantum di samping setiap entri.

entri

Apa yang telah terjadi.

15 Juli 2026

Tinjauan internal sebelum peluncuran program

Pada 15 Juli 2026 kami memulai tinjauan keamanan internal CreateYourVPN. Perbaikan yang telah kami selesaikan dan verifikasi ulang dipublikasikan di bawah; lainnya akan menyusul seiring diterapkan dan dikonfirmasi.

Tim CreateYourVPN
15 Juli 2026

Ditambahkan pengaman terhadap konfigurasi cross-origin yang tidak aman

Konfigurasi production saat ini tidak mengizinkan origin sembarangan, tetapi kode memungkinkan kombinasi parameter yang berbahaya jika seorang operator salah mengonfigurasinya. Kombinasi itu kini ditolak saat startup dan tercakup oleh uji otomatis.

Tim CreateYourVPN
15 Juli 2026

Mengurangi permukaan publik dari production API

Dokumentasi teknis interaktif API dapat diakses tanpa autentikasi. Itu tidak memberi akses ke data terlindung, tetapi mempermudah mempelajari struktur internal API. Di production dokumentasi kini dinonaktifkan, sementara tetap tersedia di lingkungan terisolasi untuk pengembangan.

Tim CreateYourVPN
15 Juli 2026

Kunci kriptografis platform dipisahkan menurut tujuan

Sebuah tinjauan internal menemukan bahwa satu rahasia dipakai untuk dua tugas kriptografis yang berbeda. Ini tidak menciptakan pengelakan langsung, tetapi memperluas dampak jika kunci disusupi. Kedua tujuan telah dipisahkan dan masing-masing kini dirotasi secara independen.

Tim CreateYourVPN
15 Juli 2026

Terjamin pembersihan kunci pengelolaan setelah penghapusan server

Pembersihan kunci pengelolaan terenkripsi berjalan setelah operasi jaringan di latar belakang dan bisa gagal terulang jika operasi itu gagal. Kami memisahkan pembersihan kunci dari kaskade jaringan dan menambahkan pengulangan yang terjamin. Skenario server tak terjangkau dan proses terputus tercakup oleh pengujian.

Tim CreateYourVPN
15 Juli 2026

Menghapus jalur otorisasi API mitra yang tidak terpakai

API mendukung jalur otorisasi tambahan berbasis cookie yang tidak dibutuhkan oleh arsitektur server-side saat ini. Tidak ditemukan serangan lintas situs di production, tetapi jalur tambahan itu memperluas permukaan bagi kesalahan di masa depan. API kini menggunakan satu metode otorisasi yang didefinisikan secara eksplisit, tercakup oleh uji negatif.

Tim CreateYourVPN
cara membaca jurnal

Apa yang masuk ke sini.

yang kami publikasikan

Ringkasan dan lini masa

Inti sebuah temuan, kelas kerentanannya, tanggal laporan dan tanggal perbaikan. Jika sebuah temuan membantah klaim SR — koreksi publik atas laporan.

yang tidak kami publikasikan

Resep eksploitasi

Instruksi langkah demi langkah, kode PoC, dan detail yang akan membantu menyerang server lain sebelum semua orang memperbarui.

Menemukan sesuatu?

Tulislah kepada kami dengan bukti konsep yang dapat direproduksi. Kami membalas dalam 72 jam dan menangani triase secara internal.

security@createyourvpn.com/.well-known/security.txt · 90 hari kerahasiaan · safe harbor