raport bezpieczeństwa · wersja 2 · 15 lipca 2026

Sprawdzalne twierdzenia.

To nie marketingowa strona „jesteśmy bezpieczni”, lecz zestaw sprawdzalnych twierdzeń (SR-N), z których każde możesz podważyć w naszym programie bug bounty za nagrodę.

01 · Dostęp do twojego serwera

Dostęp do twojego serwera

SR-1Hasło root jest używane raz i nie jest u nas przechowywane.zweryfikowane+

Hasło jest potrzebne tylko do otwarcia pierwszego połączenia SSH i zainstalowania użytkownika serwisowego. Przekazywane jest jako uwierzytelnienie SSH naszego połączenia — nie jako argument ani zmienna środowiskowa skryptu. W naszej bazie nie ma na nie pola; nie trafia do środowisk uruchomień skryptów i nie jest zapisywane w logach (błędy połączenia zawierają tylko adres i port, nigdy hasło). W pamięci jest wymazywane (best-effort) po użyciu — to obrona w głąb, nie gwarancja: Go może trzymać kopie wartości na stercie do czasu odśmiecania pamięci.

Uczciwe zastrzeżenie: pozostaje to hasłem root na twoim serwerze. Po instalacji wyłączamy logowanie hasłem i logowanie root przez SSH, ale samego hasła nie zmieniamy — zmień je sam, jeśli chcesz. „Nie przechowujemy go” to prawda; „przestało być sekretem” — nie.

SR-2Po instalacji logowanie hasłem i logowanie root przez SSH są wyłączone.zweryfikowane+

PasswordAuthentication no, PermitRootLogin no, SSH przeniesiony na niestandardowy port (domyślnie 12011), włączony fail2ban (godzinna blokada po 5 nieudanych próbach), logowanie tylko kluczem. Klucz publiczny jest ściśle walidowany przed użyciem: odrzucane są znaki nowej linii (ochrona przed przemyceniem dodatkowych kluczy do authorized_keys) oraz klucze niepoprawne składniowo.

Ochrona przed zablokowaniem dostępu: port 22 nie jest zamykany, dopóki jądro nie potwierdzi (przez ss), że nowy port SSH faktycznie nasłuchuje; konfiguracja jest sprawdzana przez sshd -t, a reguła sudo przez visudo -cf, obie wycofywane przy błędzie.

SR-3Klucz zarządzania jest przechowywany wyłącznie w postaci zaszyfrowanej.zweryfikowane+

Panel działa nie na twoim haśle, lecz na osobnym kluczu (ed25519), który sam generuje. Część prywatna leży w bazie zaszyfrowana AES-256-GCM. Klucz szyfrujący (KEK) jest przechowywany oddzielnie od bazy — w zmiennej środowiskowej serwera — a na produkcji jest obowiązkowy (nie ma niebezpiecznej wartości domyślnej: bez KEK podsystem kryptograficzny po prostu się nie uruchamia). To samo szyfrowanie chroni ciężkie sekrety w bazie — hasło/token/JWT admina Marzban, klucze Reality, klucze dostawców płatności, cache poświadczeń proxy, konfigurację kopii zapasowych.

Szyfrowanie nie tylko ukrywa, ale i uwierzytelnia dane (tag uwierzytelniający GCM): manipulacja zaszyfrowanym polem jest wykrywana przy odszyfrowaniu i odrzucana. Każde pole jest szyfrowane świeżym losowym nonce; wartość KEK nigdy nie trafia do logów — tylko jej krótki id.

O tokenach uprawnień: token subskrypcji /sub to sekret typu bearer. Do wyszukiwania przechowujemy tylko jego SHA-256, a kopię potrzebną do ponownego wyświetlenia już wydanego linku trzymamy jako szyfrogram AES-GCM. Starsze rekordy w postaci jawnej są migrowane do nowego formatu, fail-closed, przed startem serwera HTTP. Identyfikator URL webhooka płatności jest przechowywany jawnie, ale sam w sobie nie uwierzytelnia zdarzenia: autentyczność jest weryfikowana osobno podpisem HMAC.

SR-4Klucz prywatny nigdy nie trafia do przeglądarki.zweryfikowane+

Klucz jest odszyfrowywany tylko na serwerze, w pamięci; zwykłe API nigdy go nie zwracają. Jedynym sposobem na jego uzyskanie jest celowa funkcja eksportu („zabierz swój klucz”), chroniona logowaniem plus jednorazowym kodem na email (kod jest przechowywany tylko jako hash HMAC, porównywany w stałym czasie, TTL 10 minut, 5 prób). Klucz można więc pobrać świadomie, ale nie „wyciec” go zwykłym żądaniem.

SR-5Przy usuwaniu serwera klucz jest synchronicznie czyszczony z jego rekordu.zweryfikowane+

Przed zmianą stanu serwera i przed jakimikolwiek operacjami sieciowymi w tle pola z kluczem zarządzania są synchronicznie zerowane. Jeśli baza nie potwierdzi wyczyszczenia, operacja zwraca błąd i można ją ponowić. Usunięcie pozostaje „miękkie”: wiersz i niesekretne dane serwisowe są zachowywane. Nie oznacza to fizycznego skasowania już utworzonych kopii zapasowych — ich cykl życia reguluje polityka retencji kopii.

SR-16Zaudytowane API partnera ograniczają dostęp do właściciela zasobu.zweryfikowane+

Zaudytowane trasy partnera autoryzują po partner_id, które serwer wyprowadza z podpisanego tokenu logowania — a nie z tego, co klient przysłał w ścieżce lub treści żądania. Zanim cokolwiek zwróci lub zmieni, system ponownie sprawdza, że żądany serwer, klaster, inbound, trasa, użytkownik VPN lub płatność należą do twojego konta; odpowiednie zapytania do bazy są ograniczone twoim partner_id, a schemat (złożone klucze unikalne oraz złożone klucze obce) odrzuca niepoprawne powiązania międzypartnerskie. Izolacja jest warstwowa: aplikacja, ponowna weryfikacja w usecase, filtr partner_id oraz schemat.

Uczciwe zastrzeżenie: jest to zweryfikowane audytem kodu na całej ścieżce żądania, a nie publicznym testem penetracyjnym — więc SR-16, jak i reszta, jest otwarte na obalenie w bug bounty.

Uczciwie o dostępie panelu — to pełny admin, a nie „ograniczony”.uczciwa uwaga+

Aby wszystko konfigurować automatycznie (instalować Xray+Reality, stosować konfigurację, czytać metryki), panel ma na serwerze pełny dostęp administracyjny (odpowiednik root, przez użytkownika serwisowego z sudo bez hasła). Jest to niezbędne do zarządzania i NIE nazywamy tego „ograniczonym”.

Co zmniejsza ryzyko: sekrety są przekazywane na serwer wyłącznie przez stdin procesu (nie jako argumenty polecenia — nie są widoczne na liście procesów); po pierwszej instalacji każde połączenie zarządzające weryfikuje przypięty klucz hosta serwera — podmiana serwera „w środku” jest odrzucana. Co ty kontrolujesz: dostęp opiera się na kluczu, który w każdej chwili możesz odwołać — usuwając serwer (klucz zostaje wyzerowany) albo po prostu usuwając VPS u swojego dostawcy (wtedy znika wszystko).

02 · Twoje dane i prywatność

Twoje dane i prywatność

SR-6Użytkownicy VPN żyją na twoim serwerze; my trzymamy minimum metadanych serwisowych.zweryfikowane+

Same konta VPN (VLESS/Reality) są tworzone i żyją w Marzban na twoim serwerze master. Centralnie przechowujemy tylko to, co jest niezbędne do wydania linku subskrypcyjnego: losowy token subskrypcji i zaszyfrowaną migawkę poświadczeń proxy (cache; źródłem prawdy jest twój Marzban). Nie mamy ruchu, IP ani historii odwiedzin użytkowników.

Oto uczciwa lista miejsc, w których e-mail użytkownika końcowego rzeczywiście przechodzi przez naszą centralną bazę danych: wiadomość z kodem logowania wysyłamy my, więc adres przechodzi przez naszą kolejkę wysyłkową (dla każdego logowania do sklepu, w tym bezpłatnego); przy płatności e-mail kupującego trafia do webhooka płatności i wchodzi do dziennika płatności; przy łączeniu Telegrama e-mail jest zapisywany w profilu. To jedyne punkty styku — służbowe i z konieczności; nie dotyczą ruchu ani zachowania użytkowników.

Te dane serwisowe przechowujemy tylko tak długo, jak to konieczne, i czyścimy je automatycznie: e-mail jest usuwany z kolejki wysyłkowej zaraz po wysłaniu, treść zdarzenia płatności po przetworzeniu, a zdarzenia oczekujące na ponowną próbę w ramach 90-dniowego okna. Swoje konto wraz z powiązanymi danymi możesz usunąć, kontaktując się ze wsparciem (szczegóły w ryzyku 7). Ujawniamy to otwarcie, zamiast ukrywać za ogólnikowymi sformułowaniami.

SR-7Nie zbieramy logów twojego ruchu ani odwiedzin, a serwery nie prowadzą dziennika odwiedzin.zweryfikowane+

Platforma CreateYourVPN nie otrzymuje ani nie przechowuje informacji o tym, jakie strony odwiedzasz ty lub twoi użytkownicy. Schemat przyjmowania metryk jest zamknięty: fizycznie nie ma w nim pól na IP, domeny czy odwiedziny — tylko agregaty (liczba unikalnych online, łączne bajty, CPU/RAM/obciążenie). Każdy węzeł uwierzytelnia się tokenem HMAC powiązanym z własnym id i może zapisywać metryki tylko za siebie. Balanser na węźle (HAProxy) działa jako router TCP po SNI i nie odszyfrowuje ruchu. Na samym serwerze dzienniki systemowe są przechowywane nie dłużej niż około godzinę i nie są przekazywane do syslog.

Poza poziomem platformy również serwery nie prowadzą dziennika odwiedzin: logowanie dostępu Xray jest wymuszenie wyłączane przy każdym wypchnięciu konfiguracji (platforma ustawia log.access na none), więc serwer brzegowy nie rejestruje, z jakimi adresami łączą się użytkownicy. Jest to egzekwowane w kodzie i wdrożone na całą flotę.

SR-8Analityka webowa to Google Analytics; nie ma innych trackerów.zweryfikowane+

Aby rozumieć, jak używane są strona i panel, stosujemy Google Analytics (o zbieraniu cookie i statystyk ostrzega baner cookie; szczegóły w Polityce prywatności). Nie ma innych zewnętrznych trackerów: ani Sentry, ani PostHog, ani Mixpanel, ani pikseli reklamowych (zweryfikowane przez przeszukanie obu frontendów). Backend nie ma żadnej zewnętrznej telemetrii. Witryna dla użytkowników końcowych nie jest w ogóle objęta analityką — bez GA, bez trackerów (sprawdzalne w jej źródłach).

Zastrzeżenie: GA otrzymuje twój IP (po stronie Google) oraz adresy oglądanych stron panelu; adresy URL panelu zawierają tylko identyfikator klastra, nie email.

SR-9Płatności są zewnętrzne — nie otrzymujemy pełnego numeru karty.zweryfikowane+

Płatność i wszystkie dane karty są obsługiwane po stronie dostawcy (Tribute / Lemon Squeezy). Do nas trafia tylko podpisany webhook (HMAC-SHA256, porównanie w stałym czasie, weryfikowany przed parsowaniem treści i przed jakimkolwiek zapisem do bazy: bez znajomości sekretu zdarzenie nie przechodzi weryfikacji). Nie otrzymujemy pełnego numeru karty (PAN) ani CVV. Ponowne dostarczenie tego samego webhooka (ponowienia dostawcy) nie powoduje podwójnego przyznania — zdarzenia są deduplikowane.

Zastrzeżenie: dostawca może zawrzeć w treści webhooka metadane karty (marka i ostatnie 4 cyfry) oraz imię i email płatnika. Oryginalna treść jest potrzebna workerowi do zakończenia przetwarzania; po pomyślnym przetworzeniu jest usuwana wraz z podpowiedzią email. Zdarzenia oczekujące na ponowienie lub ręczny przegląd zachowują oryginalną treść tylko do końca okna retencji (90 dni bez aktywności), po czym metadane karty i email płatnika są automatycznie usuwane. „Nie ma pełnego numeru karty” to prawda, ale to właściwość dostawców (sami nie filtrujemy treści); „w ogóle niczego nie widzimy o karcie” — nie.

Co przechowujemy o tobie (partnerze), uczciwie.uczciwa uwaga+

Email (potrzebny do logowania), czas ostatniego logowania, tryb interfejsu; do rozliczeń — saldo i Telegram (do doładowań). IP partnera nie jest przechowywane w bazie, a historii kliknięć czy działań w panelu nie prowadzimy (poza krótkim logiem dostępu przy błędach).

03 · Utwardzanie serwera

Utwardzanie serwera

SR-10Zapora odrzuca wszystko poza tym, co potrzebne.zweryfikowane+

Zapora domyślnie odrzuca ruch przychodzący. Na zewnątrz otwarte: 443 (VPN, Xray+Reality), SSH na niestandardowym porcie (domyślnie 12011) oraz — na serwerze master — port panelu admina Marzban, tylko dla IP control-plane. Port 80 jest otwierany osobno tylko w trybie Let's Encrypt dla HTTP-01. Port 22 jest zamykany po przeniesieniu SSH.

Porty zarządzające węzła są otwarte tylko dla IP serwera master, a nie na zewnątrz (niepowodzenie tego powiązania przerywa instalację). Jeśli zapora nie stanie się aktywna, instalacja kończy się błędem. ICMP echo jest ograniczone tylko dla IPv4; nie obiecujemy, że serwer jest „niewidzialny”, a ICMP IPv6 jest zachowane, by IPv6 działało poprawnie.

SR-11Automatyczne aktualizacje bezpieczeństwa.zweryfikowane+

Unattended upgrades instaluje aktualizacje bezpieczeństwa pakietów automatycznie. Zastrzeżenie: automatyczny restart jest celowo wyłączony (aby niezweryfikowane jądro nie uruchomiło się ponownie samo) — co oznacza, że poprawki wymagające restartu (jądro, czasem OpenSSH) są stosowane dopiero po ręcznym lub zaplanowanym restarcie. „Auto-patchowanie” to prawda dla przestrzeni użytkownika, nie dla tego, co wymaga restartu.

Uczciwie o „niewidzialności” — nie twierdzimy tego.uczciwa uwaga+

NIE twierdzimy, że serwer jest „niewidzialny” ani „nie da się go zeskanować”. Port 443 jest otwarty i odpowiada na połączenie TCP jak każdy serwer WWW. Właściwość „przy niepoprawnym połączeniu wygląda jak zwykła, niepowiązana strona” zapewnia protokół Reality wewnątrz Xray — osobny komponent, którego nie podnosimy do absolutu.

04 · Platforma (panel sterowania)

Platforma (panel sterowania)

SR-12Logowanie do konta CreateYourVPN bez hasła.zweryfikowane+

Logowanie partnera odbywa się jednorazowym 6-cyfrowym kodem wysyłanym na email. Nie ma hasła do konta. Nie dotyczy to wewnętrznych poświadczeń zarządzanych komponentów, takich jak wygenerowane hasło admina Marzban. Kody są generowane przez generator kryptograficzny; przechowywany jest tylko ich hash HMAC, a porównanie odbywa się w stałym czasie. Kod jest jednorazowy: po sukcesie jest natychmiast usuwany (brak powtórzenia); po 5 błędnych próbach jest wygaszany wcześniej. Limit częstości wydawania liczony jest per email, nie per IP — nie da się go obejść zmianą adresu.

SR-13Sesja jest chroniona.zweryfikowane+

Token sesji siedzi w ciasteczku HttpOnly i Secure (JS go nie odczyta), weryfikowanym na backendzie (nie tylko na brzegu). Limit bezczynności i automatyczne wylogowanie po bezczynności są zaimplementowane po stronie klienta, nie serwera. Token jest podpisany HS256; przy weryfikacji stanowczo odrzucamy każdy inny algorytm (w tym „none”) — klasyczny atak podmiany algorytmu nie przechodzi. Token witryny i token panelu partnera są rozdzielone przez audience: token użytkownika końcowego technicznie nie może sięgnąć do API partnera (i odwrotnie). Usunięty partner jest odrzucany nawet z żywym tokenem.

Zastrzeżenie: unieważnianie jest zrealizowane przez sprawdzanie istnienia partnera przy każdym żądaniu, a nie przez unieważnienie samego tokenu; wylogowanie usuwa ciasteczko, ale wydany token pozostaje kryptograficznie ważny do wygaśnięcia (do godziny). Nie ma jeszcze scentralizowanej listy unieważnień (świadome uproszczenie MVP).

SR-14Tokeny i sekrety nie wyciekają do przeglądarki.zweryfikowane+

W lokalnym magazynie przeglądarki nie ma tokenów (tylko ustawienia UI); sekrety ani adres API nie trafiają do bundla klienckiego. Token do ciasteczka HttpOnly wkłada tylko serwer (Next.js). Przeglądarka rozmawia z rdzeniem wyłącznie przez serwer (Server Actions): frontend nie woła API bezpośrednio z przeglądarki, a CORS nie pozwala na przeglądarkowe odczyty odpowiedzi API z innych origin.

Doprecyzowanie zamiast dawnego absolutu: sama domena API to publiczny host — technicznie można ją otworzyć z przeglądarki, ale bez sesji nie zwraca żadnych autoryzowanych danych.

SR-15Publiczne domeny platformy używają HTTPS ze ścisłymi nagłówkami bezpieczeństwa.zweryfikowane+

Publiczne domeny CreateYourVPN są serwowane przez HTTPS z HSTS (max-age dwa lata, includeSubDomains). Zarówno frontend webowy, jak i domena API wysyłają ścisły zestaw nagłówków bezpieczeństwa: restrykcyjną Content-Security-Policy, X-Content-Type-Options: nosniff, X-Frame-Options oraz zablokowaną Referrer-Policy (no-referrer na API; strict-origin-when-cross-origin na frontendzie, który wysyła też restrykcyjną Permissions-Policy).

Działa to na produkcji na obu domenach i można to niezależnie sprawdzić — dowolnym inspektorem nagłówków HTTP lub usługą taką jak SSL Labs.

Uczciwie o ryzykach (czego NIE obiecujemy)

Uczciwie o ryzykach (czego NIE obiecujemy)

Raport bez tej sekcji to marketing. Oto prawdziwe ograniczenia:

01Scentralizowane przechowywanie kluczy — pod wielowarstwową ochroną.

Panel sterowania przechowuje zaszyfrowane klucze dostępu do całej floty serwerów. Jest to, rzecz jasna, najbardziej wrażliwy komponent systemu — i odpowiednio do tego go chronimy.

Co go chroni: ciężkie sekrety znajdują się w bazie danych wyłącznie jako szyfrogram; klucz szyfrujący (KEK) przechowywany jest oddzielnie od bazy danych; klucze nigdy nie trafiają do przeglądarki; a przy usunięciu serwera są zerowane. Tokeny subskrypcji mają dodatkową warstwę — wyszukiwanie po skrócie (hash lookup) plus AES-GCM — dzięki czemu nawet zrzut bazy danych bez KEK nie zawiera żadnych działających odnośników /sub.

Uczciwy pułap: szyfrowanie niezawodnie chroni przed kradzieżą samej bazy danych — kopii zapasowej, repliki czy zrzutu. Nie usuwa jednak ryzyka pełnej kompromitacji samego hosta panelu, na którym KEK i baza danych są dostępne dla pojedynczego procesu. Dlatego głównym punktem naszej obrony jest niedopuszczenie właśnie do przejęcia hosta: izolacja, automatyczne aktualizacje bezpieczeństwa i minimalna powierzchnia narażona na atak.

Dedykowany KMS/HSM pojawi się w jednym z najbliższych wydań bezpieczeństwa.

02Ryzyko ataku Man-in-the-Middle (MITM) przy pierwszym połączeniu jest praktycznie sprowadzone do zera.

Gdy dodajesz serwer, łączymy się z nim dokładnie jeden raz — przy użyciu tymczasowego hasła, które wpisujesz. To właśnie podczas tego pierwszego połączenia atak Man-in-the-Middle (MITM) jest teoretycznie możliwy. Neutralizujemy go za pomocą kilku niezależnych środków, dzięki czemu praktyczne ryzyko jest sprowadzone do zera.

Hasło jest jednorazowe: służy dokładnie do jednego połączenia, nigdzie po naszej stronie nie jest przechowywane i nigdy nie jest używane ponownie. Klucz prywatny nigdy nie jest przesyłany przez sieć — dalsze uwierzytelnianie opiera się na parze kluczy (uwierzytelnianie kluczem publicznym, pubkey), a nie na haśle.

Bezpośrednio po instalacji na serwerze wyłączane są uwierzytelnianie hasłem i logowanie na konto root, zmieniany jest port SSH, a dostęp przełączany jest wyłącznie na klucze. Od tej chwili nawet przechwycone hasło niczego już nie otwiera.

Każde kolejne połączenie zarządzające weryfikuje przypięty odcisk serwera (host-key pinning) — serwer podstawiony „po drodze” zostaje odrzucony.

W rezultacie przechwycenie byłoby możliwe wyłącznie dla atakującego fizycznie obecnego na trasie sieciowej między nami a serwerem w ciągu tych kilku sekund pierwotnej instalacji — a nawet w tym skrajnym przypadku przechwycone dane natychmiast tracą ważność.

03Fizyczny dostęp do serwera jest po stronie twojego dostawcy VPS.

To właściwość każdego wynajętego serwera, nie tylko naszego: migawki (snapshots), tryb ratunkowy (rescue) i tym podobne są dostępne dla dostawcy, a żadne oprogramowanie przed tym nie chroni. Za to wybór wiarygodnego dostawcy jest pod twoją kontrolą, a serwer w całości należy do ciebie — dostawcę możesz zmienić, a maszynę usunąć w dowolnej chwili.

04Nieznane podatności (0-day) istnieją zawsze.

Nikt nie może obiecać absolutnej ochrony — nowe podatności pojawiają się w każdym oprogramowaniu. Co robimy my: aktualizacje bezpieczeństwa instalują się automatycznie, a poprawki wymagające restartu (jądro, czasem OpenSSH) są stosowane po restarcie — ręcznym lub zaplanowanym (zob. SR-11).

05E-mail jest przechowywany — minimalnie i ze względów funkcjonalnych.

Twój e-mail do logowania oraz e-mail użytkowników końcowych w kilku przypadkach służbowych (zob. SR-6). Przechowywany jest tylko tak długo, jak to konieczne, i czyszczony automatycznie (zob. ryzyko 9).

06Logowanie odbywa się kodem e-mail — osobnego 2FA jeszcze nie ma.

Ponieważ logowanie opiera się na jednorazowym kodzie z e-maila, twoja skrzynka pocztowa jest w praktyce kluczem do konta — warto ją dobrze chronić. Drugiego składnika jeszcze nie ma: rozsądne na tym etapie, ale warto o tym wiedzieć.

07Dane są przechowywane przez ograniczony czas i czyszczone automatycznie.

Dane osobowe przechowujemy tylko tak długo, jak wymaga tego dana operacja, a następnie automatycznie je usuwamy. Adres e-mail jest usuwany z kolejki, gdy tylko wiadomość zostanie wysłana, a surowa treść udanego zdarzenia płatności — gdy tylko zostanie przetworzona.

Tylko jedno trwa dłużej: zdarzenia płatności oczekujące na ponowną próbę lub ręczną weryfikację. Ich pierwotna treść jest przechowywana nie w nieskończoność, lecz do końca 90-dniowego okna bez aktywności, po którym dane osobowe są automatycznie zerowane.

Samoobsługowa opcja «usuń moje dane» w interfejsie jeszcze nie istnieje — jest w planach. W międzyczasie możesz usunąć swoje konto wraz z powiązanymi danymi, kontaktując się ze wsparciem.

08Tokeny subskrypcji nie wygasają.

Link /sub to trwały token bearer aż do ręcznego unieważnienia lub usunięcia użytkownika; nie ma automatycznego wygasania ani rotacji (wyciekły link pozostaje żywy).

09Kopie zapasowe użytkowników wynoszą dane poza twój serwer.

Jeśli włączysz eksport kopii zapasowych na Google Drive lub S3, dane użytkowników opuszczają twój serwer, a ich ochrona zależy odtąd od twojej chmury — ten raport nie obejmuje jej osobno. To twój świadomy wybór: tę funkcję włączasz samodzielnie.

nie wierz na słowo

Jak to sprawdzić.

Każde twierdzenie powyżej to publiczny zakład. Zapraszamy do znalezienia, gdzie się pomyliliśmy lub upiększyliśmy:

ścieżka A

Ścieżka A — klasyczne podatności (RCE, obejście autoryzacji, IDOR, wycieki itd.).

ścieżka B

Ścieżka B — obalenie tego raportu: udowodnij, że dowolne SR-N jest fałszywe, zdobądź nagrodę, a my publicznie opublikujemy sprostowanie.

Coś znalazłeś?

Napisz do nas z odtwarzalnym proof of concept. Odpowiadamy w ciągu 72 godzin, triage prowadzimy wewnętrznie.

security@createyourvpn.com/.well-known/security.txt · 90 dni ciszy · bezpieczna przystań