Nhật ký bảo mật.
Chúng tôi công bố các phát hiện sau khi chúng được khắc phục và kiểm chứng — một bản tóm tắt ngắn, không bao giờ là công thức khai thác. Thời gian khắc phục nằm ngay cạnh mỗi mục.
Những gì đã xảy ra.
Rà soát nội bộ trước khi ra mắt chương trình
Vào ngày 15 tháng 7 năm 2026, chúng tôi đã bắt đầu một cuộc rà soát bảo mật nội bộ đối với CreateYourVPN. Các bản sửa lỗi mà chúng tôi đã hoàn tất và xác minh lại được công bố bên dưới; sẽ có thêm nữa khi chúng được triển khai và xác nhận.
— Đội ngũ CreateYourVPNĐã thêm cơ chế bảo vệ chống lại cấu hình cross-origin không an toàn
Cấu hình production hiện tại không cho phép các origin tùy ý, nhưng mã nguồn lại cho phép một tổ hợp tham số nguy hiểm nếu người vận hành cấu hình sai. Tổ hợp đó nay bị từ chối ngay khi khởi động và được bao phủ bởi một bài kiểm thử tự động.
— Đội ngũ CreateYourVPNĐã thu hẹp bề mặt công khai của production API
Tài liệu kỹ thuật tương tác của API có thể truy cập được mà không cần xác thực. Điều này không cấp quyền truy cập dữ liệu được bảo vệ, nhưng khiến việc nghiên cứu cấu trúc nội bộ của API dễ dàng hơn. Trong production, tài liệu này nay đã bị vô hiệu hóa, đồng thời vẫn khả dụng trong một môi trường tách biệt phục vụ phát triển.
— Đội ngũ CreateYourVPNĐã tách các khóa mật mã của nền tảng theo mục đích
Một cuộc rà soát nội bộ phát hiện rằng một khóa bí mật duy nhất được dùng cho hai công việc mật mã khác nhau. Điều này không tạo ra sự vượt qua trực tiếp, nhưng làm rộng thêm phạm vi ảnh hưởng khi khóa bị lộ. Hai mục đích đã được tách ra và mỗi khóa nay được luân chuyển độc lập.
— Đội ngũ CreateYourVPNĐã bảo đảm việc xóa khóa quản trị sau khi xóa máy chủ
Việc xóa khóa quản trị đã mã hóa chạy sau các thao tác mạng nền và có thể không lặp lại nếu các thao tác đó thất bại. Chúng tôi đã tách việc xóa khóa khỏi chuỗi thao tác mạng và thêm một lần thử lại được bảo đảm. Các tình huống máy chủ không thể truy cập và tiến trình bị gián đoạn đều được bao phủ bởi các bài kiểm thử.
— Đội ngũ CreateYourVPNĐã loại bỏ một đường ủy quyền không dùng đến của API đối tác
API hỗ trợ một đường ủy quyền bổ sung dựa trên cookie mà kiến trúc server-side hiện tại không cần đến. Không phát hiện cuộc tấn công liên trang nào trong production, nhưng đường bổ sung này làm rộng thêm bề mặt cho các sai sót trong tương lai. API nay dùng một phương thức ủy quyền duy nhất được định nghĩa rõ ràng, và được bao phủ bởi các bài kiểm thử phủ định.
— Đội ngũ CreateYourVPNNhững gì được đưa vào đây.
Tóm tắt và mốc thời gian
Cốt lõi của một phát hiện, lớp lỗ hổng, ngày báo cáo và ngày khắc phục. Nếu một phát hiện đã bác bỏ một tuyên bố SR — một đính chính công khai cho báo cáo.
Công thức khai thác
Hướng dẫn từng bước, mã PoC và các chi tiết có thể giúp tấn công các máy chủ khác trước khi mọi người cập nhật.
Tìm thấy điều gì đó?
Hãy viết cho chúng tôi kèm một bằng chứng khái niệm có thể tái lập. Chúng tôi phản hồi trong vòng 72 giờ và phân loại nội bộ.