Güvenlik günlüğü.
Bulguları, düzeltilip doğrulandıktan sonra yayımlarız — kısa bir özet, asla bir istismar tarifi değil. Düzeltme süreleri her kaydın yanında yer alır.
Neler oldu.
Program başlamadan önce dahili inceleme
15 Temmuz 2026'da CreateYourVPN'in dahili bir güvenlik incelemesine başladık. Tamamlayıp yeniden doğruladığımız düzeltmeler aşağıda yayımlanmıştır; dağıtıldıkça ve doğrulandıkça daha fazlası eklenecektir.
— CreateYourVPN ekibiGüvensiz cross-origin yapılandırmasına karşı bir koruma eklendi
Mevcut production yapılandırması rastgele origin'lere izin vermiyordu, ancak bir operatör yanlış yapılandırırsa kod tehlikeli bir parametre birleşimine izin veriyordu. Bu birleşim artık başlangıçta reddediliyor ve otomatik bir testle kapsanıyor.
— CreateYourVPN ekibiproduction API'nin herkese açık yüzeyi küçültüldü
API'nin etkileşimli teknik belgeleri kimlik doğrulaması olmadan erişilebiliyordu. Bu, korunan verilere erişim sağlamıyordu, ancak API'nin iç yapısını incelemeyi kolaylaştırıyordu. production'da belgeler artık devre dışı bırakıldı; geliştirme için ise yalıtılmış bir ortamda erişilebilir kalıyor.
— CreateYourVPN ekibiPlatformun kriptografik anahtarları amaca göre ayrıldı
Bir dahili inceleme, tek bir gizli anahtarın iki farklı kriptografik iş için kullanıldığını buldu. Bu, doğrudan bir atlatma oluşturmuyordu, ancak bir anahtarın ele geçirilmesinin etki alanını genişletiyordu. İki amaç birbirinden ayrıldı ve her biri artık bağımsız olarak döndürülüyor.
— CreateYourVPN ekibiSunucu silindikten sonra yönetim anahtarının temizlenmesi garanti altına alındı
Şifreli yönetim anahtarının temizlenmesi, arka plandaki ağ işlemlerinden sonra çalışıyordu ve bu işlemler başarısız olursa yinelenmeyebiliyordu. Anahtar temizlemeyi ağ zincirinden ayırdık ve garantili bir yeniden deneme ekledik. Erişilemeyen sunucu ve kesintiye uğrayan süreç senaryoları testlerle kapsanıyor.
— CreateYourVPN ekibiKullanılmayan bir iş ortağı API yetkilendirme yolu kaldırıldı
API, mevcut server-side mimarisinin ihtiyaç duymadığı, cookie tabanlı ek bir yetkilendirme yolunu destekliyordu. production'da herhangi bir siteler arası saldırı bulunmadı, ancak fazladan yol gelecekteki hatalar için yüzeyi genişletiyordu. API artık açıkça tanımlanmış tek bir yetkilendirme yöntemi kullanıyor ve negatif testlerle kapsanıyor.
— CreateYourVPN ekibiBuraya ne girer.
Özetler ve zaman çizelgeleri
Bir bulgunun özü, güvenlik açığı sınıfı, bildirim tarihi ve düzeltme tarihi. Bir bulgu bir SR iddiasını çürüttüyse — rapora herkese açık bir düzeltme.
İstismar tarifleri
Herkes güncellemeden önce başka sunuculara saldırmaya yardımcı olabilecek adım adım talimatlar, PoC kodu ve ayrıntılar.
Bir şey mi buldunuz?
Yeniden üretilebilir bir kavram kanıtıyla bize yazın. 72 saat içinde yanıt veririz ve değerlendirmeyi kurum içinde yaparız.