Bezpečnostný denník.
Nálezy zverejňujeme po ich oprave a overení — stručné zhrnutie, nikdy recept na exploit. Časy opravy sú pri každom zázname.
Čo sa stalo.
Interná kontrola pred spustením programu
Dňa 15. júla 2026 sme začali internú bezpečnostnú kontrolu CreateYourVPN. Opravy, ktoré sme dokončili a znovu overili, sú zverejnené nižšie; ďalšie budú pribúdať tak, ako sa budú nasadzovať a potvrdzovať.
— Tím CreateYourVPNPridaná poistka proti nebezpečnej cross-origin konfigurácii
Súčasná production konfigurácia nepovoľovala ľubovoľné origins, kód však umožňoval nebezpečnú kombináciu parametrov, ak ju operátor nesprávne nastavil. Táto kombinácia sa teraz pri štarte odmieta a je pokrytá automatickým testom.
— Tím CreateYourVPNZmenšená verejná plocha production API
Interaktívna technická dokumentácia API bola dostupná bez autentifikácie. Neposkytovala prístup k chráneným údajom, ale uľahčovala štúdium vnútornej štruktúry API. V production je dokumentácia teraz vypnutá, pričom zostáva dostupná v izolovanom prostredí na vývoj.
— Tím CreateYourVPNKryptografické kľúče platformy oddelené podľa účelu
Interná kontrola zistila, že jeden tajný kľúč sa používal na dve rôzne kryptografické úlohy. Toto síce nevytváralo priame obídenie ochrany, ale rozširovalo dosah kompromitácie kľúča. Oba účely boli oddelené a každý sa teraz rotuje nezávisle.
— Tím CreateYourVPNZaručené vymazanie správcovského kľúča po odstránení servera
Vymazanie zašifrovaného správcovského kľúča prebiehalo po sieťových operáciách na pozadí a pri ich zlyhaní sa nemuselo zopakovať. Vymazanie kľúča sme oddelili od sieťovej kaskády a pridali zaručené opakovanie. Scenáre nedostupného servera a prerušeného procesu sú pokryté testami.
— Tím CreateYourVPNOdstránená nepoužívaná cesta autorizácie partnerského API
API podporovalo doplnkovú cestu autorizácie založenú na cookie, ktorú súčasná server-side architektúra nepotrebovala. V production sa nezistil žiadny cross-site útok, no cesta navyše rozširovala plochu pre budúce chyby. API teraz používa jedinú, explicitne definovanú metódu autorizácie, pokrytú negatívnymi testami.
— Tím CreateYourVPNČo sem patrí.
Zhrnutia a časové osi
Podstata nálezu, trieda zraniteľnosti, dátum nahlásenia a dátum opravy. Ak nález vyvrátil tvrdenie SR — verejná oprava správy.
Recepty na exploit
Podrobné návody krok za krokom, PoC kód a detaily, ktoré by pomohli zaútočiť na iné servery skôr, než sa všetci aktualizujú.
Našli ste niečo?
Napíšte nám s reprodukovateľným proof of concept. Odpovedáme do 72 hodín a triáž riešime interne.