beveiligingsjournaal

Beveiligingsjournaal.

We publiceren bevindingen nadat ze zijn opgelost en geverifieerd — een korte samenvatting, nooit een recept voor een exploit. De hersteltijden staan naast elke vermelding.

vermeldingen

Wat er is gebeurd.

15 juli 2026

Interne beoordeling vóór de lancering van het programma

Op 15 juli 2026 zijn we begonnen met een interne beveiligingsbeoordeling van CreateYourVPN. De correcties die we hebben afgerond en opnieuw geverifieerd, zijn hieronder gepubliceerd; er volgen er meer naarmate ze worden uitgerold en bevestigd.

CreateYourVPN-team
15 juli 2026

Beveiliging toegevoegd tegen een onveilige cross-origin-configuratie

De huidige production-configuratie stond geen willekeurige origins toe, maar de code liet een gevaarlijke combinatie van parameters toe als een beheerder die verkeerd configureerde. Die combinatie wordt nu bij het opstarten geweigerd en is gedekt door een geautomatiseerde test.

CreateYourVPN-team
15 juli 2026

Publiek oppervlak van de production-API verkleind

Interactieve technische API-documentatie was zonder authenticatie bereikbaar. Ze gaf geen toegang tot beschermde gegevens, maar maakte het bestuderen van de interne structuur van de API eenvoudiger. In production is de documentatie nu uitgeschakeld, terwijl ze beschikbaar blijft in een geïsoleerde omgeving voor ontwikkeling.

CreateYourVPN-team
15 juli 2026

Cryptografische sleutels van het platform gescheiden op basis van doel

Een interne beoordeling wees uit dat één geheim voor twee verschillende cryptografische taken werd gebruikt. Dit leverde geen directe omzeiling op, maar vergrootte de impact van een sleutelcompromittering. De twee doelen zijn gescheiden en elk wordt nu onafhankelijk geroteerd.

CreateYourVPN-team
15 juli 2026

Gegarandeerd wissen van de beheersleutel na verwijdering van een server

Het wissen van de versleutelde beheersleutel liep na netwerkbewerkingen op de achtergrond en werd mogelijk niet herhaald als die bewerkingen mislukten. We hebben het wissen van de sleutel losgekoppeld van de netwerkcascade en een gegarandeerde nieuwe poging toegevoegd. De scenario's van een onbereikbare server en een onderbroken proces zijn gedekt door tests.

CreateYourVPN-team
15 juli 2026

Een ongebruikt autorisatiepad van de partner-API verwijderd

De API ondersteunde een extra op cookie gebaseerd autorisatiepad dat de huidige server-side-architectuur niet nodig had. In production is geen cross-site-aanval aangetroffen, maar het extra pad vergrootte het oppervlak voor toekomstige fouten. De API gebruikt nu één expliciet gedefinieerde autorisatiemethode, gedekt door negatieve tests.

CreateYourVPN-team
hoe je het journaal leest

Wat hier in komt.

we publiceren

Samenvattingen en tijdlijnen

De kern van een bevinding, de kwetsbaarheidsklasse, de melddatum en de hersteldatum. Als een bevinding een SR-bewering weerlegde — een openbare correctie op het rapport.

we publiceren niet

Recepten voor exploits

Stapsgewijze instructies, PoC-code en details die zouden helpen om andere servers aan te vallen voordat iedereen heeft geüpdatet.

Iets gevonden?

Schrijf ons met een reproduceerbare proof of concept. We reageren binnen 72 uur en doen de triage in eigen huis.

security@createyourvpn.com/.well-known/security.txt · 90 dagen stilte · safe harbor