Журнал безпеки.
Ми публікуємо знахідки після того, як вони виправлені й перевірені — коротке резюме, ніколи не рецепт експлойта. Терміни виправлення вказані поруч із кожним записом.
Що сталося.
Внутрішня перевірка перед запуском програми
15 липня 2026 року ми розпочали внутрішню перевірку безпеки CreateYourVPN. Виправлення, які ми завершили та перевірили повторно, опубліковано нижче; решта з'являтимуться в міру розгортання та підтвердження.
— Команда CreateYourVPNДодано захист від небезпечної cross-origin конфігурації
Поточна production-конфігурація не дозволяла довільні origins, проте код допускав небезпечне поєднання параметрів у разі помилки оператора. Тепер така конфігурація відхиляється під час запуску і покрита автоматичним тестом.
— Команда CreateYourVPNСкорочено публічну поверхню production API
Інтерактивна технічна документація API була доступна без автентифікації. Це не давало доступу до захищених даних, але полегшувало вивчення внутрішньої структури API. У production документацію тепер вимкнено, а для розробки вона лишається доступною в ізольованому середовищі.
— Команда CreateYourVPNРозділено криптографічні ключі платформи за призначенням
Внутрішня перевірка виявила, що один секрет використовувався для двох різних криптографічних задач. Прямого обходу захисту це не створювало, проте збільшувало наслідки компрометації ключа. Призначення розділено, і кожне тепер ротується незалежно.
— Команда CreateYourVPNГарантовано очищення керуючого ключа після видалення сервера
Очищення зашифрованого керуючого ключа виконувалося після фонових мережевих операцій і могло не повторитися в разі їхнього збою. Ми відокремили очищення ключа від мережевого каскаду й додали гарантоване повторення. Сценарії недоступного сервера та переривання процесу покрито тестами.
— Команда CreateYourVPNВидалено невикористовуваний спосіб авторизації партнерського API
API підтримував додатковий cookie-шлях авторизації, який не потрібен поточній server-side архітектурі. Підтвердженої міжсайтової атаки в production не виявлено, проте зайвий шлях збільшував поверхню майбутніх помилок. API переведено на один явно визначений спосіб авторизації й покрито негативними тестами.
— Команда CreateYourVPNЩо сюди потрапляє.
Резюме і терміни
Суть знахідки, клас вразливості, дата звіту і дата виправлення. Якщо знахідка спростувала SR-твердження — публічна поправка до звіту.
Рецепти експлойтів
Покрокові інструкції, PoC-код і деталі, які допомогли б атакувати інші сервери, поки всі не оновляться.
Щось знайшли?
Напишіть нам із відтворюваним proof of concept. Відповідаємо протягом 72 годин, тріаж ведемо самі.