8 年群晖正版老用户，今年做了个愚蠢的动作，出了用着极其稳定的群晖，换成 8 盘位飞牛，原因是系统开放，飞牛影视体验还不错。

昨天的 飞牛 0Day 事件之后，从各个社区、群获取到的信息看到了以下场面：

官方处理态度

• 官方在极力掩饰，即使大量技术细节已被爆出的情况下，还在装死；
• 漏洞能够追溯到 0.9 ，且飞牛有能力来尽快通知用户的情况下，仍然未关闭 fn connect ，目前根据扫描情况推算，仍有超过 90%的用户停留在 1.1.15 之前的版本，所有数据被看光光；

目前 0Day 导致的问题：

• 公开到外网，能够直接访问的飞牛 NAS ，如果没有更新到最新的 1.1.15 版本，通过路径穿越漏洞可以被入侵者用极低的成本拿到 NAS 中的所有文件；
• 即使没有公开到外网，fn connect 如果开启，依然能够通过官方 fn connect 来实现上面的入侵，隐私全面泄露。我尝试了一些常见的 name ，基本上全部成功看到了 NAS 中的照片、文件，甚至还看到了许多比特币钱包备份和恢复文件；
• 基于上面的漏洞能够获取到用于登陆 cookie 加密计算的私钥，随便让 AI 搞了下，可以搞定模拟登陆，进入到用户 NAS 并进行任意操作。目前看了被种马的都是通过这个路径~
• 大量隐私、配置文件泄露，即使亡羊补牢，仍然会有很多隐患。例如我翻到了一个用户自部署的 Bitwaden 服务端及密码导出文件 json;
• 很多飞牛用户挂载了网盘，通过这个漏洞可以直接访问已挂载的网盘文件~

决定

• 立即断网飞牛，并在以后完全不再尝试。不是不能接受漏洞问题，而是官方态度决定了这个产品的上限。
• 检查与隐私相关的其他服务，如果是来自于非知名厂商的产品，立即开始寻找替代品。
• 告知身边所有还在使用飞牛服务的朋友，立即放弃；

这应该是亲身经历的最大规模的一次普通人信息泄露了。最近几天应该有大量的黑灰产玩家在全网扫描，获取资源了。

这是第一次呼吁大家放弃一个本来我在支持的一个产品。希望未来有个开源的 NAS 替代来满足需要吧~