журнал безопасности

Журнал безопасности.

Мы публикуем находки после того, как они исправлены и проверены — краткое резюме, никогда не рецепт эксплойта. Сроки исправления указаны рядом с каждой записью.

записи

Что произошло.

15 июля 2026 г.

Внутренняя проверка перед запуском программы

15 июля 2026 года мы начали внутреннюю проверку безопасности CreateYourVPN. Исправления, которые мы завершили и перепроверили, опубликованы ниже; остальные появятся по мере развёртывания и подтверждения.

Команда CreateYourVPN
15 июля 2026 г.

Добавлена защита от небезопасной конфигурации междоменного доступа

Текущая production-конфигурация не разрешала произвольные источники, однако код допускал опасное сочетание параметров при ошибке оператора. Теперь такая конфигурация отклоняется при запуске и покрыта автоматическим тестом.

Команда CreateYourVPN
15 июля 2026 г.

Сокращена публичная поверхность production API

Интерактивная техническая документация API была доступна без аутентификации. Это не давало доступа к защищённым данным, но облегчало изучение внутренней структуры API. В production документация теперь отключена, а для разработки остаётся доступна в изолированной среде.

Команда CreateYourVPN
15 июля 2026 г.

Разделены криптографические ключи платформы

Внутренняя проверка обнаружила, что один секрет использовался для двух разных криптографических задач. Прямого обхода защиты это не создавало, однако увеличивало последствия компрометации ключа. Назначения разделены и получили независимую ротацию.

Команда CreateYourVPN
15 июля 2026 г.

Гарантирована очистка управляющего ключа после удаления сервера

Очистка зашифрованного управляющего ключа выполнялась после фоновых сетевых операций и могла не повториться при их сбое. Мы отделили очистку ключа от сетевого каскада и добавили гарантированное повторение. Сценарии недоступного сервера и прерывания процесса покрыты тестами.

Команда CreateYourVPN
15 июля 2026 г.

Удалён неиспользуемый способ авторизации партнёрского API

API поддерживал дополнительный cookie-путь авторизации, который не требовался текущей server-side архитектуре. Подтверждённой межсайтовой атаки в production не обнаружено, однако лишний путь увеличивал поверхность будущих ошибок. API переведён на один явно определённый способ авторизации и покрыт негативными тестами.

Команда CreateYourVPN
как читать журнал

Что сюда попадает.

публикуем

Резюме и сроки

Суть находки, класс уязвимости, дата отчёта и дата исправления. Если находка опровергла SR-утверждение — публичная поправка к отчёту.

не публикуем

Рецепты эксплойтов

Пошаговые инструкции, PoC-код и детали, которые помогли бы атаковать другие серверы, пока все не обновятся.

Что-то нашли?

Напишите нам с воспроизводимым proof of concept. Отвечаем в течение 72 часов, триаж ведём сами.

security@createyourvpn.com/.well-known/security.txt · 90 дней тишины · безопасная гавань