Diario di sicurezza.
Pubblichiamo le scoperte dopo che sono state corrette e verificate — un breve riepilogo, mai una ricetta per l'exploit. I tempi di correzione stanno accanto a ogni voce.
Cosa è successo.
Revisione interna prima del lancio del programma
Il 15 luglio 2026 abbiamo avviato una revisione di sicurezza interna di CreateYourVPN. Le correzioni che abbiamo completato e riverificato sono pubblicate qui sotto; altre seguiranno man mano che verranno distribuite e confermate.
— Team CreateYourVPNAggiunta una protezione contro una configurazione cross-origin non sicura
La configurazione production attuale non consentiva origini arbitrarie, ma il codice permetteva una combinazione pericolosa di parametri se un operatore la configurava in modo errato. Quella combinazione ora viene rifiutata all'avvio ed è coperta da un test automatizzato.
— Team CreateYourVPNRidotta la superficie pubblica dell'API di production
La documentazione tecnica interattiva dell'API era raggiungibile senza autenticazione. Non dava accesso a dati protetti, ma rendeva più facile studiare la struttura interna dell'API. In production la documentazione ora è disattivata, pur rimanendo disponibile in un ambiente isolato per lo sviluppo.
— Team CreateYourVPNChiavi crittografiche della piattaforma separate per scopo
Una revisione interna ha rilevato che un unico segreto veniva usato per due compiti crittografici diversi. Questo non creava alcun bypass diretto, ma ampliava la portata di una compromissione della chiave. I due scopi sono stati separati e ciascuno ora ruota in modo indipendente.
— Team CreateYourVPNGarantita la cancellazione della chiave di gestione dopo l'eliminazione del server
La cancellazione della chiave di gestione cifrata avveniva dopo operazioni di rete in background e poteva non ripetersi se tali operazioni fallivano. Abbiamo disaccoppiato la cancellazione della chiave dalla cascata di rete e aggiunto un nuovo tentativo garantito. Gli scenari di server irraggiungibile e di processo interrotto sono coperti da test.
— Team CreateYourVPNRimosso un percorso di autorizzazione dell'API partner inutilizzato
L'API supportava un percorso di autorizzazione aggiuntivo basato su cookie di cui l'architettura server-side attuale non aveva bisogno. In production non è stato riscontrato alcun attacco cross-site, ma il percorso in più ampliava la superficie per errori futuri. L'API ora usa un unico metodo di autorizzazione definito esplicitamente, coperto da test negativi.
— Team CreateYourVPNCosa finisce qui.
Riepiloghi e tempistiche
Il succo di una scoperta, la classe di vulnerabilità, la data di segnalazione e la data di correzione. Se una scoperta ha confutato un'affermazione SR — una correzione pubblica al report.
Ricette per l'exploit
Istruzioni passo passo, codice PoC e dettagli che aiuterebbero ad attaccare altri server prima che tutti aggiornino.
Hai trovato qualcosa?
Scrivici con un proof of concept riproducibile. Rispondiamo entro 72 ore e gestiamo il triage internamente.