güvenlik günlüğü

Güvenlik günlüğü.

Bulguları, düzeltilip doğrulandıktan sonra yayımlarız — kısa bir özet, asla bir istismar tarifi değil. Düzeltme süreleri her kaydın yanında yer alır.

kayıtlar

Neler oldu.

15 Temmuz 2026

Program başlamadan önce dahili inceleme

15 Temmuz 2026'da CreateYourVPN'in dahili bir güvenlik incelemesine başladık. Tamamlayıp yeniden doğruladığımız düzeltmeler aşağıda yayımlanmıştır; dağıtıldıkça ve doğrulandıkça daha fazlası eklenecektir.

CreateYourVPN ekibi
15 Temmuz 2026

Güvensiz cross-origin yapılandırmasına karşı bir koruma eklendi

Mevcut production yapılandırması rastgele origin'lere izin vermiyordu, ancak bir operatör yanlış yapılandırırsa kod tehlikeli bir parametre birleşimine izin veriyordu. Bu birleşim artık başlangıçta reddediliyor ve otomatik bir testle kapsanıyor.

CreateYourVPN ekibi
15 Temmuz 2026

production API'nin herkese açık yüzeyi küçültüldü

API'nin etkileşimli teknik belgeleri kimlik doğrulaması olmadan erişilebiliyordu. Bu, korunan verilere erişim sağlamıyordu, ancak API'nin iç yapısını incelemeyi kolaylaştırıyordu. production'da belgeler artık devre dışı bırakıldı; geliştirme için ise yalıtılmış bir ortamda erişilebilir kalıyor.

CreateYourVPN ekibi
15 Temmuz 2026

Platformun kriptografik anahtarları amaca göre ayrıldı

Bir dahili inceleme, tek bir gizli anahtarın iki farklı kriptografik iş için kullanıldığını buldu. Bu, doğrudan bir atlatma oluşturmuyordu, ancak bir anahtarın ele geçirilmesinin etki alanını genişletiyordu. İki amaç birbirinden ayrıldı ve her biri artık bağımsız olarak döndürülüyor.

CreateYourVPN ekibi
15 Temmuz 2026

Sunucu silindikten sonra yönetim anahtarının temizlenmesi garanti altına alındı

Şifreli yönetim anahtarının temizlenmesi, arka plandaki ağ işlemlerinden sonra çalışıyordu ve bu işlemler başarısız olursa yinelenmeyebiliyordu. Anahtar temizlemeyi ağ zincirinden ayırdık ve garantili bir yeniden deneme ekledik. Erişilemeyen sunucu ve kesintiye uğrayan süreç senaryoları testlerle kapsanıyor.

CreateYourVPN ekibi
15 Temmuz 2026

Kullanılmayan bir iş ortağı API yetkilendirme yolu kaldırıldı

API, mevcut server-side mimarisinin ihtiyaç duymadığı, cookie tabanlı ek bir yetkilendirme yolunu destekliyordu. production'da herhangi bir siteler arası saldırı bulunmadı, ancak fazladan yol gelecekteki hatalar için yüzeyi genişletiyordu. API artık açıkça tanımlanmış tek bir yetkilendirme yöntemi kullanıyor ve negatif testlerle kapsanıyor.

CreateYourVPN ekibi
günlük nasıl okunur

Buraya ne girer.

yayımladıklarımız

Özetler ve zaman çizelgeleri

Bir bulgunun özü, güvenlik açığı sınıfı, bildirim tarihi ve düzeltme tarihi. Bir bulgu bir SR iddiasını çürüttüyse — rapora herkese açık bir düzeltme.

yayımlamadıklarımız

İstismar tarifleri

Herkes güncellemeden önce başka sunuculara saldırmaya yardımcı olabilecek adım adım talimatlar, PoC kodu ve ayrıntılar.

Bir şey mi buldunuz?

Yeniden üretilebilir bir kavram kanıtıyla bize yazın. 72 saat içinde yanıt veririz ve değerlendirmeyi kurum içinde yaparız.

security@createyourvpn.com/.well-known/security.txt · 90 gün sessizlik · güvenli liman