журнал безпеки

Журнал безпеки.

Ми публікуємо знахідки після того, як вони виправлені й перевірені — коротке резюме, ніколи не рецепт експлойта. Терміни виправлення вказані поруч із кожним записом.

записи

Що сталося.

15 липня 2026 р.

Внутрішня перевірка перед запуском програми

15 липня 2026 року ми розпочали внутрішню перевірку безпеки CreateYourVPN. Виправлення, які ми завершили та перевірили повторно, опубліковано нижче; решта з'являтимуться в міру розгортання та підтвердження.

Команда CreateYourVPN
15 липня 2026 р.

Додано захист від небезпечної cross-origin конфігурації

Поточна production-конфігурація не дозволяла довільні origins, проте код допускав небезпечне поєднання параметрів у разі помилки оператора. Тепер така конфігурація відхиляється під час запуску і покрита автоматичним тестом.

Команда CreateYourVPN
15 липня 2026 р.

Скорочено публічну поверхню production API

Інтерактивна технічна документація API була доступна без автентифікації. Це не давало доступу до захищених даних, але полегшувало вивчення внутрішньої структури API. У production документацію тепер вимкнено, а для розробки вона лишається доступною в ізольованому середовищі.

Команда CreateYourVPN
15 липня 2026 р.

Розділено криптографічні ключі платформи за призначенням

Внутрішня перевірка виявила, що один секрет використовувався для двох різних криптографічних задач. Прямого обходу захисту це не створювало, проте збільшувало наслідки компрометації ключа. Призначення розділено, і кожне тепер ротується незалежно.

Команда CreateYourVPN
15 липня 2026 р.

Гарантовано очищення керуючого ключа після видалення сервера

Очищення зашифрованого керуючого ключа виконувалося після фонових мережевих операцій і могло не повторитися в разі їхнього збою. Ми відокремили очищення ключа від мережевого каскаду й додали гарантоване повторення. Сценарії недоступного сервера та переривання процесу покрито тестами.

Команда CreateYourVPN
15 липня 2026 р.

Видалено невикористовуваний спосіб авторизації партнерського API

API підтримував додатковий cookie-шлях авторизації, який не потрібен поточній server-side архітектурі. Підтвердженої міжсайтової атаки в production не виявлено, проте зайвий шлях збільшував поверхню майбутніх помилок. API переведено на один явно визначений спосіб авторизації й покрито негативними тестами.

Команда CreateYourVPN
як читати журнал

Що сюди потрапляє.

публікуємо

Резюме і терміни

Суть знахідки, клас вразливості, дата звіту і дата виправлення. Якщо знахідка спростувала SR-твердження — публічна поправка до звіту.

не публікуємо

Рецепти експлойтів

Покрокові інструкції, PoC-код і деталі, які допомогли б атакувати інші сервери, поки всі не оновляться.

Щось знайшли?

Напишіть нам із відтворюваним proof of concept. Відповідаємо протягом 72 годин, тріаж ведемо самі.

security@createyourvpn.com/.well-known/security.txt · 90 днів тиші · безпечна гавань