Sikkerhetsjournal.
Vi publiserer funn etter at de er rettet og verifisert — et kort sammendrag, aldri en oppskrift på en utnyttelse. Rettetidene står ved siden av hver oppføring.
Hva som har skjedd.
Intern gjennomgang før programlanseringen
Den 15. juli 2026 startet vi en intern sikkerhetsgjennomgang av CreateYourVPN. Rettelsene vi har fullført og reverifisert, publiseres nedenfor; flere følger etter hvert som de rulles ut og bekreftes.
— CreateYourVPN-teametLagt til vern mot usikker cross-origin-konfigurasjon
Den nåværende production-konfigurasjonen tillot ikke vilkårlige origins, men koden tillot en farlig kombinasjon av parametere dersom en operatør konfigurerte den feil. Den kombinasjonen avvises nå ved oppstart og dekkes av en automatisert test.
— CreateYourVPN-teametRedusert den offentlige flaten til production-API-et
Interaktiv teknisk API-dokumentasjon var tilgjengelig uten autentisering. Den ga ingen tilgang til beskyttede data, men gjorde det lettere å studere API-ets interne struktur. I production er dokumentasjonen nå deaktivert, mens den forblir tilgjengelig i et isolert miljø for utvikling.
— CreateYourVPN-teametPlattformens kryptografiske nøkler atskilt etter formål
En intern gjennomgang fant at én enkelt hemmelighet ble brukt til to ulike kryptografiske oppgaver. Dette skapte ingen direkte omgåelse, men utvidet konsekvensene av en nøkkelkompromittering. De to formålene er atskilt, og hvert av dem roteres nå uavhengig.
— CreateYourVPN-teametGarantert sletting av administrasjonsnøkkelen etter sletting av server
Slettingen av den krypterte administrasjonsnøkkelen kjørte etter nettverksoperasjoner i bakgrunnen og kunne unnlate å gjenta seg dersom disse operasjonene mislyktes. Vi koblet nøkkelslettingen fra nettverkskaskaden og la til et garantert nytt forsøk. Scenarioene med utilgjengelig server og avbrutt prosess dekkes av tester.
— CreateYourVPN-teametFjernet en ubrukt autorisasjonssti i partner-API-et
API-et støttet en ekstra cookie-basert autorisasjonssti som den nåværende server-side-arkitekturen ikke trengte. Det ble ikke funnet noe cross-site-angrep i production, men den ekstra stien utvidet flaten for fremtidige feil. API-et bruker nå én enkelt, eksplisitt definert autorisasjonsmetode, dekket av negative tester.
— CreateYourVPN-teametHva som havner her.
Sammendrag og tidslinjer
Kjernen i et funn, sårbarhetsklassen, rapportdatoen og rettedatoen. Hvis et funn gjendrev en SR-påstand — en offentlig rettelse av rapporten.
Oppskrifter på utnyttelser
Trinnvise instruksjoner, PoC-kode og detaljer som ville hjelpe til med å angripe andre servere før alle har oppdatert.
Funnet noe?
Skriv til oss med et reproduserbart proof of concept. Vi svarer innen 72 timer og gjør triage internt.