Säkerhetsjournal.
Vi publicerar fynd efter att de har åtgärdats och verifierats — en kort sammanfattning, aldrig ett recept på en exploit. Åtgärdstiderna står bredvid varje post.
Vad som har hänt.
Intern granskning före programmets lansering
Den 15 juli 2026 inledde vi en intern säkerhetsgranskning av CreateYourVPN. De rättningar vi har slutfört och verifierat på nytt publiceras nedan; fler följer i takt med att de driftsätts och bekräftas.
— CreateYourVPN-teametLade till skydd mot osäker cross-origin-konfiguration
Den nuvarande production-konfigurationen tillät inte godtyckliga origins, men koden tillät en farlig kombination av parametrar om en operatör konfigurerade den fel. Den kombinationen avvisas nu vid start och täcks av ett automatiserat test.
— CreateYourVPN-teametMinskade den publika ytan för production-API:et
Interaktiv teknisk API-dokumentation var åtkomlig utan autentisering. Den gav ingen åtkomst till skyddade data, men gjorde det lättare att studera API:ets interna struktur. I production är dokumentationen nu inaktiverad, samtidigt som den förblir tillgänglig i en isolerad miljö för utveckling.
— CreateYourVPN-teametPlattformens kryptografiska nycklar åtskilda efter syfte
En intern granskning fann att en enda hemlighet användes för två olika kryptografiska uppgifter. Detta skapade ingen direkt kringgång, men vidgade konsekvenserna av en nyckelkompromettering. De två syftena har åtskilts och vart och ett roteras nu oberoende.
— CreateYourVPN-teametGaranterad rensning av hanteringsnyckeln efter borttagning av server
Rensningen av den krypterade hanteringsnyckeln kördes efter nätverksoperationer i bakgrunden och kunde utebli om dessa operationer misslyckades. Vi frikopplade nyckelrensningen från nätverkskaskaden och lade till ett garanterat nytt försök. Scenarierna med onåbar server och avbruten process täcks av tester.
— CreateYourVPN-teametTog bort en oanvänd auktoriseringsväg i partner-API:et
API:et stödde en extra cookie-baserad auktoriseringsväg som den nuvarande server-side-arkitekturen inte behövde. Ingen cross-site-attack hittades i production, men den extra vägen vidgade ytan för framtida misstag. API:et använder nu en enda, uttryckligen definierad auktoriseringsmetod, täckt av negativa tester.
— CreateYourVPN-teametVad som hamnar här.
Sammanfattningar och tidslinjer
Kärnan i ett fynd, sårbarhetsklassen, rapportdatumet och åtgärdsdatumet. Om ett fynd vederlade ett SR-påstående — en offentlig rättelse av rapporten.
Recept på exploits
Steg-för-steg-instruktioner, PoC-kod och detaljer som skulle hjälpa till att angripa andra servrar innan alla har uppdaterat.
Hittade du något?
Skriv till oss med en reproducerbar proof of concept. Vi svarar inom 72 timmar och triagerar internt.