Dziennik bezpieczeństwa.
Publikujemy znaleziska po ich naprawieniu i zweryfikowaniu — krótkie podsumowanie, nigdy przepis na exploit. Czasy naprawy są podane obok każdego wpisu.
Co się wydarzyło.
Wewnętrzny przegląd przed startem programu
15 lipca 2026 roku rozpoczęliśmy wewnętrzny przegląd bezpieczeństwa CreateYourVPN. Poprawki, które ukończyliśmy i ponownie zweryfikowaliśmy, publikujemy poniżej; kolejne będą się pojawiać w miarę ich wdrażania i potwierdzania.
— Zespół CreateYourVPNDodano zabezpieczenie przed niebezpieczną konfiguracją cross-origin
Obecna konfiguracja production nie zezwalała na dowolne origins, jednak kod dopuszczał niebezpieczną kombinację parametrów, gdyby operator błędnie ją skonfigurował. Taka kombinacja jest teraz odrzucana przy starcie i objęta zautomatyzowanym testem.
— Zespół CreateYourVPNZmniejszono publiczną powierzchnię production API
Interaktywna dokumentacja techniczna API była dostępna bez uwierzytelniania. Nie dawała dostępu do chronionych danych, ale ułatwiała badanie wewnętrznej struktury API. W production dokumentacja jest teraz wyłączona, pozostając dostępna w izolowanym środowisku na potrzeby programowania.
— Zespół CreateYourVPNRozdzielono klucze kryptograficzne platformy według przeznaczenia
Wewnętrzny przegląd wykazał, że jeden sekret był używany do dwóch różnych zadań kryptograficznych. Nie tworzyło to bezpośredniego obejścia, ale poszerzało skutki kompromitacji klucza. Oba przeznaczenia zostały rozdzielone i każde jest teraz rotowane niezależnie.
— Zespół CreateYourVPNZagwarantowano czyszczenie klucza zarządzającego po usunięciu serwera
Czyszczenie zaszyfrowanego klucza zarządzającego uruchamiało się po operacjach sieciowych w tle i mogło się nie powtórzyć, jeśli operacje te zawiodły. Oddzieliliśmy czyszczenie klucza od kaskady sieciowej i dodaliśmy gwarantowane ponowienie. Scenariusze niedostępnego serwera i przerwanego procesu są objęte testami.
— Zespół CreateYourVPNUsunięto nieużywaną ścieżkę autoryzacji partnerskiego API
API obsługiwało dodatkową ścieżkę autoryzacji opartą na cookie, której obecna architektura server-side nie potrzebowała. W production nie stwierdzono ataku międzywitrynowego, ale dodatkowa ścieżka poszerzała powierzchnię przyszłych błędów. API korzysta teraz z jednej, jawnie zdefiniowanej metody autoryzacji, objętej testami negatywnymi.
— Zespół CreateYourVPNCo tu trafia.
Podsumowania i terminy
Sedno znaleziska, klasa podatności, data zgłoszenia i data naprawy. Jeśli znalezisko obaliło twierdzenie SR — publiczne sprostowanie raportu.
Przepisy na exploity
Instrukcje krok po kroku, kod PoC i szczegóły, które pomogłyby zaatakować inne serwery, zanim wszyscy się zaktualizują.
Coś znalazłeś?
Napisz do nas z odtwarzalnym proof of concept. Odpowiadamy w ciągu 72 godzin, triage prowadzimy wewnętrznie.