请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
飞牛论坛里大把网友因中招无法升级系统还在咨询官方,甚至抱有侥幸心理认为重装系统再挂载存储池就万事大吉,虽说数据无价,但这时候不应该第一时间拔掉 NAS 网线-(有能力的隔离存储池进行查杀)-格式化硬盘吗?究竟是太小白了还是低估了 hacker😨
顺便说一句,此时此刻,明知中招还将 NAS 处于联网状态等待如何“修补”漏洞的人,以为关闭了 FN Connect 就万无一失的人,你浪费的时间就是给 hacker 操作的时间。
再顺便说一句,Crowdsec 是个好东西,如果非要暴露在公网,基本的安全知识得 Get 一些。顺便看了一下飞牛的态度,呵呵,放到娱乐圈应该已经被封杀了吧。
 |
1
pingdog 1 天前 via Android
你不能和一个处处为你好的人讲道理。
|
 |
2
mrliule OP @pingdog 主要是看到太多人还将 NAS 连着网,研究着看不懂的命令,咨询 ssh 是什么,怎么升不了级,术业有专攻,绝大部分飞牛用户不懂 Linux ,官方更应该知道这一点,但怎么就想方设法的逼着普通用户去学习 Linux 命令解决问题?而且即使升级成功了,就万无一失了么,黑客对抗手法仅此而已?难道没人质疑么?ε=(´ο`*)))唉
|
|
3
pingdog 1 天前 via Android  2
@mrliule 从这次事故开始,质疑他们处理方式的已经被打上 tag “境外势力” “友商”
v2ex 最开始是从这个感谢帖开始讨论他们的处理手法和漏洞猜测 /t/1189392 其后有人分享从飞牛论坛得到的更多详情 /t/1189672 后面就是 PoC 满天飞了 |
 |
4
jukanntenn 1 天前 2
我是飞牛用户,而且以后也会继续用,但看了飞牛公众号下方的评论真的想吐🤮。用户不是敦促飞牛加强安全方面的技术,提升团队的能力,而是将矛头直指境外、友商,什么“树大招风”,“友商看飞牛壮大坐不住了”,没有一个人指责是飞牛团队自身的问题。感觉飞牛在小红书上发展了太多用户导致这个样子了。
|
 |
5
kulove 1 天前 via Android 2
@jukanntenn 飞牛自己放出来的评论呗 引导舆论
|
 |
6
lingguo 1 天前 via Android
@jukanntenn 怀疑你在映射某国😏
|
|
7
mrliule OP 1
@pingdog 个人愚见,这个漏洞不算高级,充其量就算是个 bug ,一经发现马上就修复完全没问题,出了事立即担责,强制下线 FN Connect ,各种 push 给用户的通知信息全用上,哪怕就是给个积极的态度,用户也能感觉出飞牛以保护用户数据安全为主要使命。拖到现在,用户数据被一扫空,信誉也拖没了,还在想着办法让普通用户使用终端命令行,这太扯了。嫁祸给“境外势力”“友商”的手法太拙略,不赶紧告知用户“升级系统也无法 100%解决问题”这件事,真等更新后出现各种问题,飞牛是真下不来台的。我个人还挺喜欢飞牛的 UI ,但是处理方式的态度决定了一个企业能走多远。希望黑客是小白,完全只是为了盗取数据,不会让用户 NAS 变肉鸡,不会拿黑到的各种用户资料胡作非为,不会对 NAS 局域网设备进行非法操作,更新完重新挂载存储池就像没有漏洞一样……
无论你信不信,我反正不信。😌 |
|
8
mrliule OP 飞牛有官方人员在 V2 么?我诚恳的提醒贵公司,普通用户真的不会命令行,商店里的终端都下架了,让普通用户去使用 ssh 不如告诉用户:无法正常升级系统的或感觉自己中招的重装。
况且国内下载软件网站的生态,鬼知道不懂技术的用户会下到什么“软件”,只会给用户添堵,也给官方添麻烦。要不在官网放个 putty 。 |
|
9
pingdog 1 天前 via Android
@mrliule 有远见的团队,都是迅速修复并发布公告,即使有数十人讨论过的方案,永远绝对不会是 100%考虑到所有角度。
他大可以说完整修复方案需要讨论,先发布缓解方案并通知用户,迟几天发布修复补丁都无可厚非,这个首先直接误导用户更是大开眼界了。。 有一定工作经验的开发,或多或少都有被安全团队强制要求修复漏洞的经历,间接提高了开发时的各方面考虑。当然,也有分工明确的项目,有单独的 security team 为代码打安全补丁也合理 |
|
10
mrliule OP @pingdog 就当是责任心一般的初创公司送给我们的免费玩具吧,都在骂飞牛,说明还是愿意给飞牛机会,希望飞牛能正视这次风波的起因,像个爷们儿一样,自己写的代码有漏洞关友商什么事,勇于承担责任,积极道歉,出问题优先解决问题而不是推卸责任,虽然系统是免费的,但里面或许就是用户半生的数据。
|
 |
11
leiphi PRO @jukanntenn 我看还有喊加油的甚至
 |
 |
12
unusualcat 17 小时 24 分钟前
因为他们愚蠢又喜欢白嫖。这都是他们应得的。。。
|
 |
13
samli12 15 小时 58 分钟前
无论什么开源软件,不都是自担风险吗?
|
 |
14
Kirkcong 14 小时 29 分钟前
这也是我很疑惑的事情,root 都被拿到了,怎么敢认为自己能手动清理干净呢?不等重装还等啥。最关键的是,肥牛官方竟然也除了自己的查杀脚本,这有啥用啊,我真的笑。
|
 |
15
Hephaistos 13 小时 46 分钟前
|
 |
16
leoQaQ 12 小时 48 分钟前
我的飞牛 NAS 存的全是小姐姐,而且全是我精挑细选的,欢迎攻击,造福人类 QaQ
|
|
17
mrliule OP @Hephaistos #15 这个明显更有技术含量
 |
 |
18
Hermitist 47 分钟前
今天收到飞牛提示升级的短信.
不过飞牛行动是很慢, 之前我提过让他们在虚拟机那里增加个 note, 方便记录虚拟机的应用和信息,这么简单的一个提示, 他们只会说好好好, 到现在一年过去了都老样子. |
Select Language