sikkerhetsjournal

Sikkerhetsjournal.

Vi publiserer funn etter at de er rettet og verifisert — et kort sammendrag, aldri en oppskrift på en utnyttelse. Rettetidene står ved siden av hver oppføring.

oppføringer

Hva som har skjedd.

15. juli 2026

Intern gjennomgang før programlanseringen

Den 15. juli 2026 startet vi en intern sikkerhetsgjennomgang av CreateYourVPN. Rettelsene vi har fullført og reverifisert, publiseres nedenfor; flere følger etter hvert som de rulles ut og bekreftes.

CreateYourVPN-teamet
15. juli 2026

Lagt til vern mot usikker cross-origin-konfigurasjon

Den nåværende production-konfigurasjonen tillot ikke vilkårlige origins, men koden tillot en farlig kombinasjon av parametere dersom en operatør konfigurerte den feil. Den kombinasjonen avvises nå ved oppstart og dekkes av en automatisert test.

CreateYourVPN-teamet
15. juli 2026

Redusert den offentlige flaten til production-API-et

Interaktiv teknisk API-dokumentasjon var tilgjengelig uten autentisering. Den ga ingen tilgang til beskyttede data, men gjorde det lettere å studere API-ets interne struktur. I production er dokumentasjonen nå deaktivert, mens den forblir tilgjengelig i et isolert miljø for utvikling.

CreateYourVPN-teamet
15. juli 2026

Plattformens kryptografiske nøkler atskilt etter formål

En intern gjennomgang fant at én enkelt hemmelighet ble brukt til to ulike kryptografiske oppgaver. Dette skapte ingen direkte omgåelse, men utvidet konsekvensene av en nøkkelkompromittering. De to formålene er atskilt, og hvert av dem roteres nå uavhengig.

CreateYourVPN-teamet
15. juli 2026

Garantert sletting av administrasjonsnøkkelen etter sletting av server

Slettingen av den krypterte administrasjonsnøkkelen kjørte etter nettverksoperasjoner i bakgrunnen og kunne unnlate å gjenta seg dersom disse operasjonene mislyktes. Vi koblet nøkkelslettingen fra nettverkskaskaden og la til et garantert nytt forsøk. Scenarioene med utilgjengelig server og avbrutt prosess dekkes av tester.

CreateYourVPN-teamet
15. juli 2026

Fjernet en ubrukt autorisasjonssti i partner-API-et

API-et støttet en ekstra cookie-basert autorisasjonssti som den nåværende server-side-arkitekturen ikke trengte. Det ble ikke funnet noe cross-site-angrep i production, men den ekstra stien utvidet flaten for fremtidige feil. API-et bruker nå én enkelt, eksplisitt definert autorisasjonsmetode, dekket av negative tester.

CreateYourVPN-teamet
slik leser du journalen

Hva som havner her.

vi publiserer

Sammendrag og tidslinjer

Kjernen i et funn, sårbarhetsklassen, rapportdatoen og rettedatoen. Hvis et funn gjendrev en SR-påstand — en offentlig rettelse av rapporten.

vi publiserer ikke

Oppskrifter på utnyttelser

Trinnvise instruksjoner, PoC-kode og detaljer som ville hjelpe til med å angripe andre servere før alle har oppdatert.

Funnet noe?

Skriv til oss med et reproduserbart proof of concept. Vi svarer innen 72 timer og gjør triage internt.

security@createyourvpn.com/.well-known/security.txt · 90 dagers taushet · trygg havn