jurnal de securitate

Jurnal de securitate.

Publicăm descoperirile după ce sunt corectate și verificate — un scurt rezumat, niciodată o rețetă de exploit. Timpii de remediere stau lângă fiecare intrare.

intrări

Ce s-a întâmplat.

15 iulie 2026

Revizuire internă înainte de lansarea programului

Pe 15 iulie 2026 am început o revizuire internă de securitate a CreateYourVPN. Corecțiile pe care le-am finalizat și reverificat sunt publicate mai jos; vor urma și altele, pe măsură ce sunt implementate și confirmate.

Echipa CreateYourVPN
15 iulie 2026

Adăugată o protecție împotriva unei configurări cross-origin nesigure

Configurarea production actuală nu permitea origini arbitrare, însă codul permitea o combinație periculoasă de parametri dacă un operator o configura greșit. Această combinație este acum respinsă la pornire și acoperită de un test automatizat.

Echipa CreateYourVPN
15 iulie 2026

Redusă suprafața publică a API-ului production

Documentația tehnică interactivă a API-ului era accesibilă fără autentificare. Nu oferea acces la date protejate, dar facilita studierea structurii interne a API-ului. În production documentația este acum dezactivată, rămânând disponibilă într-un mediu izolat pentru dezvoltare.

Echipa CreateYourVPN
15 iulie 2026

Cheile criptografice ale platformei separate în funcție de scop

O revizuire internă a constatat că un singur secret era folosit pentru două sarcini criptografice diferite. Aceasta nu crea o eludare directă, dar lărgea consecințele unei compromiteri a cheii. Cele două scopuri au fost separate și fiecare este acum rotit independent.

Echipa CreateYourVPN
15 iulie 2026

Garantată ștergerea cheii de administrare după eliminarea serverului

Ștergerea cheii de administrare criptate se executa după operațiuni de rețea în fundal și putea să nu se repete dacă acele operațiuni eșuau. Am decuplat ștergerea cheii de cascada de rețea și am adăugat o reîncercare garantată. Scenariile de server inaccesibil și de proces întrerupt sunt acoperite de teste.

Echipa CreateYourVPN
15 iulie 2026

Eliminată o cale de autorizare neutilizată a API-ului pentru parteneri

API-ul accepta o cale de autorizare suplimentară bazată pe cookie de care arhitectura server-side actuală nu avea nevoie. Nu a fost găsit niciun atac cross-site în production, dar calea suplimentară lărgea suprafața pentru erori viitoare. API-ul folosește acum o singură metodă de autorizare definită explicit, acoperită de teste negative.

Echipa CreateYourVPN
cum să citești jurnalul

Ce ajunge aici.

publicăm

Rezumate și cronologii

Esența unei descoperiri, clasa de vulnerabilitate, data raportării și data corectării. Dacă o descoperire a infirmat o afirmație SR — o corectare publică a raportului.

nu publicăm

Rețete de exploit

Instrucțiuni pas cu pas, cod PoC și detalii care ar ajuta la atacarea altor servere înainte ca toată lumea să actualizeze.

Ai găsit ceva?

Scrie-ne cu un proof of concept reproductibil. Răspundem în 72 de ore și gestionăm trierea intern.

security@createyourvpn.com/.well-known/security.txt · 90 de zile de tăcere · safe harbor