Журнал безопасности.
Мы публикуем находки после того, как они исправлены и проверены — краткое резюме, никогда не рецепт эксплойта. Сроки исправления указаны рядом с каждой записью.
Что произошло.
Внутренняя проверка перед запуском программы
15 июля 2026 года мы начали внутреннюю проверку безопасности CreateYourVPN. Исправления, которые мы завершили и перепроверили, опубликованы ниже; остальные появятся по мере развёртывания и подтверждения.
— Команда CreateYourVPNДобавлена защита от небезопасной конфигурации междоменного доступа
Текущая production-конфигурация не разрешала произвольные источники, однако код допускал опасное сочетание параметров при ошибке оператора. Теперь такая конфигурация отклоняется при запуске и покрыта автоматическим тестом.
— Команда CreateYourVPNСокращена публичная поверхность production API
Интерактивная техническая документация API была доступна без аутентификации. Это не давало доступа к защищённым данным, но облегчало изучение внутренней структуры API. В production документация теперь отключена, а для разработки остаётся доступна в изолированной среде.
— Команда CreateYourVPNРазделены криптографические ключи платформы
Внутренняя проверка обнаружила, что один секрет использовался для двух разных криптографических задач. Прямого обхода защиты это не создавало, однако увеличивало последствия компрометации ключа. Назначения разделены и получили независимую ротацию.
— Команда CreateYourVPNГарантирована очистка управляющего ключа после удаления сервера
Очистка зашифрованного управляющего ключа выполнялась после фоновых сетевых операций и могла не повториться при их сбое. Мы отделили очистку ключа от сетевого каскада и добавили гарантированное повторение. Сценарии недоступного сервера и прерывания процесса покрыты тестами.
— Команда CreateYourVPNУдалён неиспользуемый способ авторизации партнёрского API
API поддерживал дополнительный cookie-путь авторизации, который не требовался текущей server-side архитектуре. Подтверждённой межсайтовой атаки в production не обнаружено, однако лишний путь увеличивал поверхность будущих ошибок. API переведён на один явно определённый способ авторизации и покрыт негативными тестами.
— Команда CreateYourVPNЧто сюда попадает.
Резюме и сроки
Суть находки, класс уязвимости, дата отчёта и дата исправления. Если находка опровергла SR-утверждение — публичная поправка к отчёту.
Рецепты эксплойтов
Пошаговые инструкции, PoC-код и детали, которые помогли бы атаковать другие серверы, пока все не обновятся.
Что-то нашли?
Напишите нам с воспроизводимым proof of concept. Отвечаем в течение 72 часов, триаж ведём сами.