บันทึกความปลอดภัย
เราเผยแพร่สิ่งที่ค้นพบหลังจากที่มันถูกแก้ไขและตรวจสอบแล้ว — สรุปโดยย่อ ไม่ใช่สูตรการเจาะ (exploit) ระยะเวลาการแก้ไขอยู่ข้างแต่ละรายการ
เกิดอะไรขึ้นบ้าง
การตรวจทานภายในก่อนเปิดตัวโครงการ
เมื่อวันที่ 15 กรกฎาคม 2026 เราได้เริ่มการตรวจสอบความปลอดภัยภายในของ CreateYourVPN การแก้ไขที่เราทำเสร็จและตรวจสอบซ้ำแล้วได้เผยแพร่ไว้ด้านล่าง ส่วนที่เหลือจะทยอยตามมาเมื่อมีการปรับใช้และยืนยันแล้ว
— ทีม CreateYourVPNเพิ่มการป้องกันการตั้งค่า cross-origin ที่ไม่ปลอดภัย
การตั้งค่า production ปัจจุบันไม่อนุญาต origin ตามอำเภอใจ แต่โค้ดยอมให้เกิดการรวมพารามิเตอร์ที่อันตรายได้หากผู้ดูแลตั้งค่าผิดพลาด ขณะนี้การรวมดังกล่าวจะถูกปฏิเสธตอนเริ่มทำงานและครอบคลุมด้วยการทดสอบอัตโนมัติ
— ทีม CreateYourVPNลดพื้นผิวสาธารณะของ production API
เอกสารทางเทคนิคแบบโต้ตอบของ API สามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตน สิ่งนี้ไม่ได้ให้สิทธิ์เข้าถึงข้อมูลที่ได้รับการป้องกัน แต่ทำให้การศึกษาโครงสร้างภายในของ API ง่ายขึ้น ใน production เอกสารนี้ถูกปิดใช้งานแล้ว โดยยังคงพร้อมใช้งานในสภาพแวดล้อมที่แยกไว้สำหรับการพัฒนา
— ทีม CreateYourVPNแยกกุญแจการเข้ารหัสของแพลตฟอร์มตามวัตถุประสงค์
การตรวจสอบภายในพบว่ามีการใช้ความลับเดียวกันสำหรับงานเข้ารหัสสองงานที่แตกต่างกัน สิ่งนี้ไม่ได้ก่อให้เกิดการข้ามการป้องกันโดยตรง แต่ขยายผลกระทบหากกุญแจถูกบุกรุก วัตถุประสงค์ทั้งสองได้ถูกแยกออกจากกัน และแต่ละอย่างจะหมุนเวียนอย่างอิสระแล้ว
— ทีม CreateYourVPNรับประกันการล้างกุญแจการจัดการหลังการลบเซิร์ฟเวอร์
การล้างกุญแจการจัดการที่เข้ารหัสไว้ทำงานหลังการดำเนินการเครือข่ายเบื้องหลัง และอาจไม่ทำซ้ำหากการดำเนินการเหล่านั้นล้มเหลว เราได้แยกการล้างกุญแจออกจากลำดับการทำงานของเครือข่าย และเพิ่มการลองใหม่ที่รับประกันได้ สถานการณ์เซิร์ฟเวอร์ที่เข้าถึงไม่ได้และกระบวนการที่ถูกขัดจังหวะครอบคลุมด้วยการทดสอบ
— ทีม CreateYourVPNลบเส้นทางการอนุญาตของ API พาร์ตเนอร์ที่ไม่ได้ใช้งาน
API รองรับเส้นทางการอนุญาตเพิ่มเติมที่อิงกับ cookie ซึ่งสถาปัตยกรรม server-side ปัจจุบันไม่จำเป็นต้องใช้ ไม่พบการโจมตีข้ามไซต์ใน production แต่เส้นทางส่วนเกินนี้ขยายพื้นผิวของความผิดพลาดในอนาคต ขณะนี้ API ใช้วิธีการอนุญาตเพียงวิธีเดียวที่กำหนดไว้อย่างชัดเจน และครอบคลุมด้วยการทดสอบเชิงลบ
— ทีม CreateYourVPNอะไรที่อยู่ในนี้
สรุปและไทม์ไลน์
ใจความสำคัญของสิ่งที่ค้นพบ, ประเภทช่องโหว่, วันที่รายงานและวันที่แก้ไข หากสิ่งที่ค้นพบหักล้างข้อกล่าวอ้าง SR — การแก้ไขรายงานต่อสาธารณะ
สูตรการเจาะ (exploit)
คำแนะนำทีละขั้นตอน, โค้ด PoC และรายละเอียดที่จะช่วยโจมตีเซิร์ฟเวอร์อื่นก่อนที่ทุกคนจะอัปเดต
เจออะไรบางอย่างไหม?
เขียนหาเราพร้อม proof of concept ที่ทำซ้ำได้ เราตอบกลับภายใน 72 ชั่วโมงและคัดกรองภายในองค์กร