diário de segurança

Diário de segurança.

Publicamos as descobertas depois de serem corrigidas e verificadas — um breve resumo, nunca uma receita de exploit. Os tempos de correção ficam ao lado de cada entrada.

entradas

O que aconteceu.

15 de julho de 2026

Revisão interna antes do lançamento do programa

Em 15 de julho de 2026 iniciámos uma revisão de segurança interna do CreateYourVPN. As correções que concluímos e voltámos a verificar são publicadas abaixo; seguir-se-ão outras à medida que forem implementadas e confirmadas.

equipa CreateYourVPN
15 de julho de 2026

Adicionada uma salvaguarda contra uma configuração cross-origin insegura

A configuração de production atual não permitia origens arbitrárias, mas o código permitia uma combinação perigosa de parâmetros caso um operador a configurasse incorretamente. Essa combinação é agora rejeitada no arranque e coberta por um teste automatizado.

equipa CreateYourVPN
15 de julho de 2026

Reduzida a superfície pública da API de production

A documentação técnica interativa da API estava acessível sem autenticação. Não dava acesso a dados protegidos, mas facilitava o estudo da estrutura interna da API. Em production a documentação está agora desativada, mantendo-se disponível num ambiente isolado para desenvolvimento.

equipa CreateYourVPN
15 de julho de 2026

Chaves criptográficas da plataforma separadas por finalidade

Uma revisão interna constatou que um único segredo era usado para duas tarefas criptográficas diferentes. Isto não criava qualquer contorno direto, mas ampliava o alcance de um comprometimento da chave. As duas finalidades foram separadas e cada uma passa agora por rotação independente.

equipa CreateYourVPN
15 de julho de 2026

Garantida a limpeza da chave de gestão após a eliminação do servidor

A limpeza da chave de gestão cifrada corria depois de operações de rede em segundo plano e podia não se repetir se essas operações falhassem. Separámos a limpeza da chave da cascata de rede e adicionámos uma nova tentativa garantida. Os cenários de servidor inacessível e de processo interrompido estão cobertos por testes.

equipa CreateYourVPN
15 de julho de 2026

Removido um caminho de autorização não utilizado da API de parceiros

A API suportava um caminho de autorização adicional baseado em cookie de que a arquitetura server-side atual não precisava. Não foi encontrado nenhum ataque entre sítios em production, mas o caminho adicional ampliava a superfície para erros futuros. A API usa agora um único método de autorização definido explicitamente, coberto por testes negativos.

equipa CreateYourVPN
como ler o diário

O que entra aqui.

publicamos

Resumos e cronologias

A essência de uma descoberta, a classe de vulnerabilidade, a data do relatório e a data da correção. Se uma descoberta refutou uma afirmação SR — uma correção pública do relatório.

não publicamos

Receitas de exploits

Instruções passo a passo, código PoC e detalhes que ajudariam a atacar outros servidores antes de todos atualizarem.

Encontrou algo?

Escreva-nos com uma prova de conceito reproduzível. Respondemos no prazo de 72 horas e fazemos a triagem internamente.

security@createyourvpn.com/.well-known/security.txt · 90 dias de silêncio · porto seguro