diario di sicurezza

Diario di sicurezza.

Pubblichiamo le scoperte dopo che sono state corrette e verificate — un breve riepilogo, mai una ricetta per l'exploit. I tempi di correzione stanno accanto a ogni voce.

voci

Cosa è successo.

15 luglio 2026

Revisione interna prima del lancio del programma

Il 15 luglio 2026 abbiamo avviato una revisione di sicurezza interna di CreateYourVPN. Le correzioni che abbiamo completato e riverificato sono pubblicate qui sotto; altre seguiranno man mano che verranno distribuite e confermate.

Team CreateYourVPN
15 luglio 2026

Aggiunta una protezione contro una configurazione cross-origin non sicura

La configurazione production attuale non consentiva origini arbitrarie, ma il codice permetteva una combinazione pericolosa di parametri se un operatore la configurava in modo errato. Quella combinazione ora viene rifiutata all'avvio ed è coperta da un test automatizzato.

Team CreateYourVPN
15 luglio 2026

Ridotta la superficie pubblica dell'API di production

La documentazione tecnica interattiva dell'API era raggiungibile senza autenticazione. Non dava accesso a dati protetti, ma rendeva più facile studiare la struttura interna dell'API. In production la documentazione ora è disattivata, pur rimanendo disponibile in un ambiente isolato per lo sviluppo.

Team CreateYourVPN
15 luglio 2026

Chiavi crittografiche della piattaforma separate per scopo

Una revisione interna ha rilevato che un unico segreto veniva usato per due compiti crittografici diversi. Questo non creava alcun bypass diretto, ma ampliava la portata di una compromissione della chiave. I due scopi sono stati separati e ciascuno ora ruota in modo indipendente.

Team CreateYourVPN
15 luglio 2026

Garantita la cancellazione della chiave di gestione dopo l'eliminazione del server

La cancellazione della chiave di gestione cifrata avveniva dopo operazioni di rete in background e poteva non ripetersi se tali operazioni fallivano. Abbiamo disaccoppiato la cancellazione della chiave dalla cascata di rete e aggiunto un nuovo tentativo garantito. Gli scenari di server irraggiungibile e di processo interrotto sono coperti da test.

Team CreateYourVPN
15 luglio 2026

Rimosso un percorso di autorizzazione dell'API partner inutilizzato

L'API supportava un percorso di autorizzazione aggiuntivo basato su cookie di cui l'architettura server-side attuale non aveva bisogno. In production non è stato riscontrato alcun attacco cross-site, ma il percorso in più ampliava la superficie per errori futuri. L'API ora usa un unico metodo di autorizzazione definito esplicitamente, coperto da test negativi.

Team CreateYourVPN
come leggere il diario

Cosa finisce qui.

pubblichiamo

Riepiloghi e tempistiche

Il succo di una scoperta, la classe di vulnerabilità, la data di segnalazione e la data di correzione. Se una scoperta ha confutato un'affermazione SR — una correzione pubblica al report.

non pubblichiamo

Ricette per l'exploit

Istruzioni passo passo, codice PoC e dettagli che aiuterebbero ad attaccare altri server prima che tutti aggiornino.

Hai trovato qualcosa?

Scrivici con un proof of concept riproducibile. Rispondiamo entro 72 ore e gestiamo il triage internamente.

security@createyourvpn.com/.well-known/security.txt · 90 giorni di silenzio · safe harbor