Diário de segurança.
Publicamos as descobertas depois de serem corrigidas e verificadas — um breve resumo, nunca uma receita de exploit. Os tempos de correção ficam ao lado de cada entrada.
O que aconteceu.
Revisão interna antes do lançamento do programa
Em 15 de julho de 2026 iniciámos uma revisão de segurança interna do CreateYourVPN. As correções que concluímos e voltámos a verificar são publicadas abaixo; seguir-se-ão outras à medida que forem implementadas e confirmadas.
— equipa CreateYourVPNAdicionada uma salvaguarda contra uma configuração cross-origin insegura
A configuração de production atual não permitia origens arbitrárias, mas o código permitia uma combinação perigosa de parâmetros caso um operador a configurasse incorretamente. Essa combinação é agora rejeitada no arranque e coberta por um teste automatizado.
— equipa CreateYourVPNReduzida a superfície pública da API de production
A documentação técnica interativa da API estava acessível sem autenticação. Não dava acesso a dados protegidos, mas facilitava o estudo da estrutura interna da API. Em production a documentação está agora desativada, mantendo-se disponível num ambiente isolado para desenvolvimento.
— equipa CreateYourVPNChaves criptográficas da plataforma separadas por finalidade
Uma revisão interna constatou que um único segredo era usado para duas tarefas criptográficas diferentes. Isto não criava qualquer contorno direto, mas ampliava o alcance de um comprometimento da chave. As duas finalidades foram separadas e cada uma passa agora por rotação independente.
— equipa CreateYourVPNGarantida a limpeza da chave de gestão após a eliminação do servidor
A limpeza da chave de gestão cifrada corria depois de operações de rede em segundo plano e podia não se repetir se essas operações falhassem. Separámos a limpeza da chave da cascata de rede e adicionámos uma nova tentativa garantida. Os cenários de servidor inacessível e de processo interrompido estão cobertos por testes.
— equipa CreateYourVPNRemovido um caminho de autorização não utilizado da API de parceiros
A API suportava um caminho de autorização adicional baseado em cookie de que a arquitetura server-side atual não precisava. Não foi encontrado nenhum ataque entre sítios em production, mas o caminho adicional ampliava a superfície para erros futuros. A API usa agora um único método de autorização definido explicitamente, coberto por testes negativos.
— equipa CreateYourVPNO que entra aqui.
Resumos e cronologias
A essência de uma descoberta, a classe de vulnerabilidade, a data do relatório e a data da correção. Se uma descoberta refutou uma afirmação SR — uma correção pública do relatório.
Receitas de exploits
Instruções passo a passo, código PoC e detalhes que ajudariam a atacar outros servidores antes de todos atualizarem.
Encontrou algo?
Escreva-nos com uma prova de conceito reproduzível. Respondemos no prazo de 72 horas e fazemos a triagem internamente.