bezpečnostný denník

Bezpečnostný denník.

Nálezy zverejňujeme po ich oprave a overení — stručné zhrnutie, nikdy recept na exploit. Časy opravy sú pri každom zázname.

záznamy

Čo sa stalo.

15. júla 2026

Interná kontrola pred spustením programu

Dňa 15. júla 2026 sme začali internú bezpečnostnú kontrolu CreateYourVPN. Opravy, ktoré sme dokončili a znovu overili, sú zverejnené nižšie; ďalšie budú pribúdať tak, ako sa budú nasadzovať a potvrdzovať.

Tím CreateYourVPN
15. júla 2026

Pridaná poistka proti nebezpečnej cross-origin konfigurácii

Súčasná production konfigurácia nepovoľovala ľubovoľné origins, kód však umožňoval nebezpečnú kombináciu parametrov, ak ju operátor nesprávne nastavil. Táto kombinácia sa teraz pri štarte odmieta a je pokrytá automatickým testom.

Tím CreateYourVPN
15. júla 2026

Zmenšená verejná plocha production API

Interaktívna technická dokumentácia API bola dostupná bez autentifikácie. Neposkytovala prístup k chráneným údajom, ale uľahčovala štúdium vnútornej štruktúry API. V production je dokumentácia teraz vypnutá, pričom zostáva dostupná v izolovanom prostredí na vývoj.

Tím CreateYourVPN
15. júla 2026

Kryptografické kľúče platformy oddelené podľa účelu

Interná kontrola zistila, že jeden tajný kľúč sa používal na dve rôzne kryptografické úlohy. Toto síce nevytváralo priame obídenie ochrany, ale rozširovalo dosah kompromitácie kľúča. Oba účely boli oddelené a každý sa teraz rotuje nezávisle.

Tím CreateYourVPN
15. júla 2026

Zaručené vymazanie správcovského kľúča po odstránení servera

Vymazanie zašifrovaného správcovského kľúča prebiehalo po sieťových operáciách na pozadí a pri ich zlyhaní sa nemuselo zopakovať. Vymazanie kľúča sme oddelili od sieťovej kaskády a pridali zaručené opakovanie. Scenáre nedostupného servera a prerušeného procesu sú pokryté testami.

Tím CreateYourVPN
15. júla 2026

Odstránená nepoužívaná cesta autorizácie partnerského API

API podporovalo doplnkovú cestu autorizácie založenú na cookie, ktorú súčasná server-side architektúra nepotrebovala. V production sa nezistil žiadny cross-site útok, no cesta navyše rozširovala plochu pre budúce chyby. API teraz používa jedinú, explicitne definovanú metódu autorizácie, pokrytú negatívnymi testami.

Tím CreateYourVPN
ako čítať denník

Čo sem patrí.

zverejňujeme

Zhrnutia a časové osi

Podstata nálezu, trieda zraniteľnosti, dátum nahlásenia a dátum opravy. Ak nález vyvrátil tvrdenie SR — verejná oprava správy.

nezverejňujeme

Recepty na exploit

Podrobné návody krok za krokom, PoC kód a detaily, ktoré by pomohli zaútočiť na iné servery skôr, než sa všetci aktualizujú.

Našli ste niečo?

Napíšte nám s reprodukovateľným proof of concept. Odpovedáme do 72 hodín a triáž riešime interne.

security@createyourvpn.com/.well-known/security.txt · 90 dní mlčania · bezpečný prístav