dziennik bezpieczeństwa

Dziennik bezpieczeństwa.

Publikujemy znaleziska po ich naprawieniu i zweryfikowaniu — krótkie podsumowanie, nigdy przepis na exploit. Czasy naprawy są podane obok każdego wpisu.

wpisy

Co się wydarzyło.

15 lipca 2026

Wewnętrzny przegląd przed startem programu

15 lipca 2026 roku rozpoczęliśmy wewnętrzny przegląd bezpieczeństwa CreateYourVPN. Poprawki, które ukończyliśmy i ponownie zweryfikowaliśmy, publikujemy poniżej; kolejne będą się pojawiać w miarę ich wdrażania i potwierdzania.

Zespół CreateYourVPN
15 lipca 2026

Dodano zabezpieczenie przed niebezpieczną konfiguracją cross-origin

Obecna konfiguracja production nie zezwalała na dowolne origins, jednak kod dopuszczał niebezpieczną kombinację parametrów, gdyby operator błędnie ją skonfigurował. Taka kombinacja jest teraz odrzucana przy starcie i objęta zautomatyzowanym testem.

Zespół CreateYourVPN
15 lipca 2026

Zmniejszono publiczną powierzchnię production API

Interaktywna dokumentacja techniczna API była dostępna bez uwierzytelniania. Nie dawała dostępu do chronionych danych, ale ułatwiała badanie wewnętrznej struktury API. W production dokumentacja jest teraz wyłączona, pozostając dostępna w izolowanym środowisku na potrzeby programowania.

Zespół CreateYourVPN
15 lipca 2026

Rozdzielono klucze kryptograficzne platformy według przeznaczenia

Wewnętrzny przegląd wykazał, że jeden sekret był używany do dwóch różnych zadań kryptograficznych. Nie tworzyło to bezpośredniego obejścia, ale poszerzało skutki kompromitacji klucza. Oba przeznaczenia zostały rozdzielone i każde jest teraz rotowane niezależnie.

Zespół CreateYourVPN
15 lipca 2026

Zagwarantowano czyszczenie klucza zarządzającego po usunięciu serwera

Czyszczenie zaszyfrowanego klucza zarządzającego uruchamiało się po operacjach sieciowych w tle i mogło się nie powtórzyć, jeśli operacje te zawiodły. Oddzieliliśmy czyszczenie klucza od kaskady sieciowej i dodaliśmy gwarantowane ponowienie. Scenariusze niedostępnego serwera i przerwanego procesu są objęte testami.

Zespół CreateYourVPN
15 lipca 2026

Usunięto nieużywaną ścieżkę autoryzacji partnerskiego API

API obsługiwało dodatkową ścieżkę autoryzacji opartą na cookie, której obecna architektura server-side nie potrzebowała. W production nie stwierdzono ataku międzywitrynowego, ale dodatkowa ścieżka poszerzała powierzchnię przyszłych błędów. API korzysta teraz z jednej, jawnie zdefiniowanej metody autoryzacji, objętej testami negatywnymi.

Zespół CreateYourVPN
jak czytać dziennik

Co tu trafia.

publikujemy

Podsumowania i terminy

Sedno znaleziska, klasa podatności, data zgłoszenia i data naprawy. Jeśli znalezisko obaliło twierdzenie SR — publiczne sprostowanie raportu.

nie publikujemy

Przepisy na exploity

Instrukcje krok po kroku, kod PoC i szczegóły, które pomogłyby zaatakować inne serwery, zanim wszyscy się zaktualizują.

Coś znalazłeś?

Napisz do nas z odtwarzalnym proof of concept. Odpowiadamy w ciągu 72 godzin, triage prowadzimy wewnętrznie.

security@createyourvpn.com/.well-known/security.txt · 90 dni ciszy · bezpieczna przystań