säkerhetsjournal

Säkerhetsjournal.

Vi publicerar fynd efter att de har åtgärdats och verifierats — en kort sammanfattning, aldrig ett recept på en exploit. Åtgärdstiderna står bredvid varje post.

poster

Vad som har hänt.

15 juli 2026

Intern granskning före programmets lansering

Den 15 juli 2026 inledde vi en intern säkerhetsgranskning av CreateYourVPN. De rättningar vi har slutfört och verifierat på nytt publiceras nedan; fler följer i takt med att de driftsätts och bekräftas.

CreateYourVPN-teamet
15 juli 2026

Lade till skydd mot osäker cross-origin-konfiguration

Den nuvarande production-konfigurationen tillät inte godtyckliga origins, men koden tillät en farlig kombination av parametrar om en operatör konfigurerade den fel. Den kombinationen avvisas nu vid start och täcks av ett automatiserat test.

CreateYourVPN-teamet
15 juli 2026

Minskade den publika ytan för production-API:et

Interaktiv teknisk API-dokumentation var åtkomlig utan autentisering. Den gav ingen åtkomst till skyddade data, men gjorde det lättare att studera API:ets interna struktur. I production är dokumentationen nu inaktiverad, samtidigt som den förblir tillgänglig i en isolerad miljö för utveckling.

CreateYourVPN-teamet
15 juli 2026

Plattformens kryptografiska nycklar åtskilda efter syfte

En intern granskning fann att en enda hemlighet användes för två olika kryptografiska uppgifter. Detta skapade ingen direkt kringgång, men vidgade konsekvenserna av en nyckelkompromettering. De två syftena har åtskilts och vart och ett roteras nu oberoende.

CreateYourVPN-teamet
15 juli 2026

Garanterad rensning av hanteringsnyckeln efter borttagning av server

Rensningen av den krypterade hanteringsnyckeln kördes efter nätverksoperationer i bakgrunden och kunde utebli om dessa operationer misslyckades. Vi frikopplade nyckelrensningen från nätverkskaskaden och lade till ett garanterat nytt försök. Scenarierna med onåbar server och avbruten process täcks av tester.

CreateYourVPN-teamet
15 juli 2026

Tog bort en oanvänd auktoriseringsväg i partner-API:et

API:et stödde en extra cookie-baserad auktoriseringsväg som den nuvarande server-side-arkitekturen inte behövde. Ingen cross-site-attack hittades i production, men den extra vägen vidgade ytan för framtida misstag. API:et använder nu en enda, uttryckligen definierad auktoriseringsmetod, täckt av negativa tester.

CreateYourVPN-teamet
så läser du journalen

Vad som hamnar här.

vi publicerar

Sammanfattningar och tidslinjer

Kärnan i ett fynd, sårbarhetsklassen, rapportdatumet och åtgärdsdatumet. Om ett fynd vederlade ett SR-påstående — en offentlig rättelse av rapporten.

vi publicerar inte

Recept på exploits

Steg-för-steg-instruktioner, PoC-kod och detaljer som skulle hjälpa till att angripa andra servrar innan alla har uppdaterat.

Hittade du något?

Skriv till oss med en reproducerbar proof of concept. Vi svarar inom 72 timmar och triagerar internt.

security@createyourvpn.com/.well-known/security.txt · 90 dagars tystnad · safe harbor