Jurnal de securitate.
Publicăm descoperirile după ce sunt corectate și verificate — un scurt rezumat, niciodată o rețetă de exploit. Timpii de remediere stau lângă fiecare intrare.
Ce s-a întâmplat.
Revizuire internă înainte de lansarea programului
Pe 15 iulie 2026 am început o revizuire internă de securitate a CreateYourVPN. Corecțiile pe care le-am finalizat și reverificat sunt publicate mai jos; vor urma și altele, pe măsură ce sunt implementate și confirmate.
— Echipa CreateYourVPNAdăugată o protecție împotriva unei configurări cross-origin nesigure
Configurarea production actuală nu permitea origini arbitrare, însă codul permitea o combinație periculoasă de parametri dacă un operator o configura greșit. Această combinație este acum respinsă la pornire și acoperită de un test automatizat.
— Echipa CreateYourVPNRedusă suprafața publică a API-ului production
Documentația tehnică interactivă a API-ului era accesibilă fără autentificare. Nu oferea acces la date protejate, dar facilita studierea structurii interne a API-ului. În production documentația este acum dezactivată, rămânând disponibilă într-un mediu izolat pentru dezvoltare.
— Echipa CreateYourVPNCheile criptografice ale platformei separate în funcție de scop
O revizuire internă a constatat că un singur secret era folosit pentru două sarcini criptografice diferite. Aceasta nu crea o eludare directă, dar lărgea consecințele unei compromiteri a cheii. Cele două scopuri au fost separate și fiecare este acum rotit independent.
— Echipa CreateYourVPNGarantată ștergerea cheii de administrare după eliminarea serverului
Ștergerea cheii de administrare criptate se executa după operațiuni de rețea în fundal și putea să nu se repete dacă acele operațiuni eșuau. Am decuplat ștergerea cheii de cascada de rețea și am adăugat o reîncercare garantată. Scenariile de server inaccesibil și de proces întrerupt sunt acoperite de teste.
— Echipa CreateYourVPNEliminată o cale de autorizare neutilizată a API-ului pentru parteneri
API-ul accepta o cale de autorizare suplimentară bazată pe cookie de care arhitectura server-side actuală nu avea nevoie. Nu a fost găsit niciun atac cross-site în production, dar calea suplimentară lărgea suprafața pentru erori viitoare. API-ul folosește acum o singură metodă de autorizare definită explicit, acoperită de teste negative.
— Echipa CreateYourVPNCe ajunge aici.
Rezumate și cronologii
Esența unei descoperiri, clasa de vulnerabilitate, data raportării și data corectării. Dacă o descoperire a infirmat o afirmație SR — o corectare publică a raportului.
Rețete de exploit
Instrucțiuni pas cu pas, cod PoC și detalii care ar ajuta la atacarea altor servere înainte ca toată lumea să actualizeze.
Ai găsit ceva?
Scrie-ne cu un proof of concept reproductibil. Răspundem în 72 de ore și gestionăm trierea intern.