从 30 号的这个帖子开始 https://www.v2ex.com/t/1189392 到今天,已经三四天的时间了,现在随便一搜,仍然有二十多万的资产暴露在公网,试了两百个,一半多可访问,32 个未升级到最新版本,存在路径穿越漏洞。
如果说这些用户存的就是些片子也就罢了,但是很多都是用来备份自己手机电脑的,里面的文档不少都是个人隐私,各种证件、资料。
去年不是计算机行业的朋友想折腾 NAS ,我推荐了群晖和飞牛,后面他没买硬件就涨价了,也就没折腾。我个人猜测,飞牛的大多数用户都是和我这个朋友类似的,第一次接触 NAS 的小白,他们不知道网络安全,也不知道暴露在公网意味着什么。查了下,广州铁刃智造技术有限公司成立于 23 年,这两年正是硬件便宜的时候,对于这些用户来说,NAS 比网盘便宜,可以备份各种设备的数据,还能看看片,就足够了。
现在出了这种级别的事故,官方的种种措辞还是遮遮掩掩,懂的人知道严重性,但大部分小白用户可能一点也意识不到,即便现在官方关闭了未升级的用户的内网穿透,作用也是有限的。这些用户脑子里是缺少安全意识的,只会照着教程一步一步做,并不能理解每一步的含义(回想我刚接触的时候也是如此),所以官方的指南是非常非常重要的。
以后飞牛在我这里是被拉入永久黑名单了,我觉得无关乎国产与否,任何品牌这么搞都是自寻死路。
 |
1
jpyl0423 5 小时 46 分钟前  7
小事捂成大事,做对一步都不会变成今天这样
|
 |
2
glacer 5 小时 39 分钟前
不是说昨晚把所有未升级版本的中继服务都停掉了?怎么还能连上
|
 |
3
unusualcat 5 小时 39 分钟前 12
捂盖子这种操作真.一脉相承
|
 |
4
EyebrowsWhite OP @glacer 官方的中继只是其中一种访问方式而已,而且我相信只是小部分
|
 |
5
iorilu 5 小时 35 分钟前
这种估计国外公司一夜就倒闭了
|
 |
6
jacketma 5 小时 32 分钟前
是不是飞牛官方没有能力判断 fn connect 的客户端用户是否升级了新版本?
这个时候,如果一刀切断掉 fn connect 功能,导致已经升级的用户也用不了这个功能,全面瘫痪。 所以,现在官方就只是装死,让那些老版本用户等着被入侵,或者自己主动升级。 |
 |
7
Mithril 5 小时 31 分钟前 8
这种级别的漏洞这么搞,作为一个私有存储产品直接上黑名单就行了。
和小米路由用 mimt 在 http 请求里面插广告一样,属于整个团队三观都有问题,从根子上就烂了。它根本没有意识到自己在做什么,一点安全意识都没有。根本也不在乎用户的数据安全。 这团队压根就不适合做这种产品。 |
 |
8
yuwancumian27149 5 小时 27 分钟前
我个人猜测,飞牛的大多数用户都是和我这个朋友类似的,第一次接触 NAS 的小白,他们不知道网络安全,也不知道暴露在公网意味着什么。
up 为什么会有这种离奇的想法??? |
 |
9
leang521 5 小时 24 分钟前
|
 |
10
dilidilid 5 小时 23 分钟前
|
 |
11
qiyilai 5 小时 21 分钟前
结合以前的讨论帖子看,nas 唯一选择就是群晖了
|
 |
12
geniussoft 5 小时 20 分钟前 via iPhone
群晖为什么有恃无恐,原因就在这里了
|
 |
13
adminpro 5 小时 20 分钟前 1
很烦这种,不想用就别用,飞牛收你钱了? 逼你用了? 还是怎么着??? 你既然选择免得产品,安全性你自己把握。
|
 |
14
Ketteiron 5 小时 19 分钟前
一、用户根本不知道漏洞,并且相信官方会妥善处理好漏洞。
二、没有强制升级,很多人会选择停留在旧版本。 三、通过查杀病毒升级到新版本的系统,依然无法杀干净潜在恶意文件,除非重装系统。 四、即使是目前最新的系统,依然存在鉴权漏洞。 草台班子就是这样的,没能力负责用户的安全问题,不知道一行弱智代码会产生什么样的破坏性。 |
|
15
EyebrowsWhite OP |
 |
16
Miary 5 小时 15 分钟前
建议学习群晖,几次重大漏洞都是在被完全曝光前推送安全补丁,然后再冷处理应对舆情,没有造成这么大面积影响。
|
 |
18
liuzimin 5 小时 13 分钟前
放心吧,互联网没有记忆。
过几个月后,飞牛 NAS 一样卖爆、生意兴隆、马年吉祥马上发财。 |
 |
19
Rickkkkkkk 5 小时 13 分钟前
哈哈,还好漏洞和别动东西不一样,让人闭嘴问题并不会消失。
|
 |
20
ala2008 5 小时 12 分钟前
飞牛和七牛有什么关系
|
|
21
Ketteiron 5 小时 11 分钟前 13
@adminpro #13 这次漏洞的最大受害者是开启了飞牛推荐的外网访问方式 FN Connect ,这 tm 是收费项目,那些免费白嫖的都没中招。
|
 |
24
ytmsdy 5 小时 9 分钟前 1
群辉贵是有贵的道理的!
上网这么多年,国内软件公司的尿性你们又不是不知道。 |
 |
25
GoldenSheep 5 小时 6 分钟前
 听说有公安用这玩意然后漏了内部数据 |
|
26
dilidilid 4 小时 59 分钟前 7
@adminpro 你别说,飞牛还真收钱了。而且你这种说法比我们批评飞牛的用户还要刻薄,我们是把飞牛作为一家正经的商业公司对待的,你的说法等于是说,飞牛这玩意儿就不配收钱,飞牛老板听到怕是得气死
|
 |
27
xixka 4 小时 59 分钟前
这下真就,免费的才是最贵的,数据随便被人看
|
 |
28
Hephaistos 4 小时 45 分钟前
乐了,商业公司产品安全性靠用户自学……
fn 之前在 V2EX 投推广的时候是不是也不是这些账号 |
|
29
Hephaistos 4 小时 44 分钟前
@Miary 他们学的会么,这次的路径穿透用户报给他们一个多月了,修都懒得修
|
 |
30
Aixtuz 4 小时 41 分钟前 1
“态度”没问题的时候,我才可能原谅对方“菜”。
态度有问题,啥都别说了,拜拜。 |
 |
31
yrom 4 小时 38 分钟前
当时还想买来玩的…还好
|
 |
32
shuiduoduo 4 小时 32 分钟前
@adminpro 粉红
fn-connect 算是付费吗? |
 |
33
loading 4 小时 28 分钟前 via Android
白群用户路过关心一下。
|
 |
34
unused 4 小时 26 分钟前
好像官方至今没有提醒用户对可能的信息泄露采取补救措施,坐等一波账号、钱包资产被盗。
|
 |
35
wangritian 4 小时 20 分钟前
可以容忍漏洞,没法容忍把用户当傻逼一样忽悠
|
 |
36
catazshadow 4 小时 11 分钟前 1
@adminpro Linux 免费,是不是所有的内核漏洞都要自己发掘自己打补丁啊??????????
|
 |
37
felixcode 4 小时 2 分钟前
安全团队可以裁员,法务团队开始招聘。
|
 |
38
Huelse 3 小时 42 分钟前
@Hephaistos #29 这确实该死,都已经提前报告了
|
 |
39
keyu1103 3 小时 35 分钟前
@adminpro fnconnect 我是交了钱的,对于飞牛和零刻的联名硬件产品我也买了,我算是付费用户。飞牛的问题不在于技术能力不足,而是作为一个跟数据打交道的公司,对数据安全没有概念,这种高危问题的处置方式让人没办法信任。
|
 |
40
duanxianze 3 小时 30 分钟前
本人也是飞牛用户,并不认同此观点,小白用户就应该自己承担风险,五五分,同责吧
|
 |
41
nuomi196500 3 小时 25 分钟前
以前用过某国产 NAS ,用自己的账号密码登录网页版却进入了别人的账号,竟然可以随意浏览和操作,安全漏洞相当大,那以后再也没用过任何 NAS ,都是存本地硬盘
|
 |
42
JoveYu 3 小时 24 分钟前
没有付费,就没有人有义务提供安全更新,毕竟免费使用,修漏洞是情分,不修是本分把。
但是如果你付了费,请往死里喷。不用客气。 |
 |
43
docx 3 小时 23 分钟前 via iPhone
经典的小问题没当回事,甚至遮遮掩掩,后面火烧得太大以至于捂不住了
|
 |
44
Kirkcong 3 小时 20 分钟前
@JoveYu 免费使用的人也为官方贡献了日活,用户数,测试数据。我们也不知道 12 月份提出来路径穿越漏洞的那位是否有付费,但我们肯定知道,这个漏洞是应该修的,无关你是否付费。
|
 |
47
WhaleFall2020 3 小时 2 分钟前
|
 |
48
v1 3 小时 0 分钟前
@GoldenSheep 必然是假的。内网不会用肥牛,外网不会存数据。
|
 |
49
safari9 2 小时 57 分钟前
免费,爱用的有福了
|
 |
50
biaoge123 2 小时 51 分钟前
之前看见个帖子说还能看见助记词啥的 还能把 bit 的密码全导出 可怕
|
|
54
EyebrowsWhite OP @duanxianze
@JoveYu 这件事情还没到划分责任的时候,当然,如果真要追责,那么个人用户无论是否付费使用了 FN Connect ,大概率零赔付,最多给你退款。要喷飞牛的点是,团队安全意识差,认错态度差,当鸵鸟,遮掩事实,让损失扩大化。 https://www.fnnas.com/terms https://www.fnnas.com/terms-of-fn-connect 我截取两段: 在法律允许的范围内,铁刃对许可软件或许可软件中包含的产品、服务或相关图形的适用性、可靠性、可用性、及时性、无病毒或其他有害内容或信息的正确性不作任何保证或声明。所有此类信息、许可软件、产品、服务和相关图形均“按原样”提供,不作任何形式的保证。铁刃特此排除与此信息、许可软件、产品、服务和相关图形等相关的所有明示或暗示的保证和条件,包括适销性、特定用途的适用性、技术专长、专有权利和非侵犯他人权利和相关法规等。在任何情况下,对于因许可软件的使用、性能或正确性或不正确性以及延迟或无法使用许可软件而引起的任何直接、间接、惩罚性、附带、特殊或继发性损害、使用损失、数据损失或利润损失或任何其他损失,铁刃均概不负责,即使此类损失的可能性是可以预见的。 您完全理解并同意,本产品的使用涉及到互联网及移动通讯等服务,可能会受到各个环节不稳定因素的影响。因此任何因不可抗力、计算机病毒或黑客攻击、系统不稳定、用户所在位置、用户关机、GSM 网络、互联网络、通信线路等其他我们无法预测或控制的原因,造成的软件服务中断、取消或终止的风险,由此给您带来的损失我们不承担赔偿责任。 |
 |
55
MrYELiex 2 小时 35 分钟前
nas 从性质和很多方式来讲 就是需要一定门槛的 毕竟普通用户几个需要这么大容量存储和随时访问 还是有一点专业性质门槛在 飞牛就是和小米汽车一样的 把一个本来需要一定门槛的东西 变成了所有人触手可用 又没有对应的安全限制跟上来 那出事故的概率必然会增加
便宜 方便 容量大 不可能三角在这里也是成立的 |
 |
57
microscopec 2 小时 31 分钟前 1
中国 nas 历史 3 大事件:
1 、绿联清空用户硬盘 2 、飞牛访问漏洞 3 、不能说 |
 |
58
silvernoo 2 小时 29 分钟前
我对 fn 从来不感冒,ubuntu 才是最好的 nas
|
 |
59
ff521 2 小时 27 分钟前
是的 ,我建议对所有国产软件都保持谨慎观点,包括在这里 v2 社区推荐的软件
|
 |
60
xiaofsu 2 小时 23 分钟前
@microscopec #57 绿联那个清空是换系统,如果你不换新系统还是可以保留数据的。
|
 |
61
kneo 2 小时 21 分钟前 1
@adminpro >很烦这种,不想用就别用,飞牛收你钱了? 逼你用了? 还是怎么着??? 你既然选择免得产品,安全性你自己把握。
看你的发帖记录你就是个用飞牛的小白。虽然你看起来不在意,还是友情提醒你关注下自己的数据安全。 |
 |
62
7gugu 2 小时 21 分钟前
@yuwancumian27149 这根本就不离奇,这才是普通用户的画像,大多数用户根本就意识不到网络安全的影响。
|
 |
63
Leeeeex PRO @adminpro
面对有理有据的质疑你还拿出「免费」想要掩盖安全性问题,真不知道你到底是无脑粉还是高级黑,你这种扛着红旗反红旗的人才是最可怕的,你以为官方的人就喜欢你这种用户吗?两边都不讨好。 |
|
64
microscopec 2 小时 12 分钟前
@xiaofsu 那你和自动更新的人说去
|
 |
65
supereater 2 小时 12 分钟前
之前不敢用飞牛就是怕这个,才几年的新系统,不用想,肯定是有漏洞的。当时我就在想,会在什么体量用户的时候爆发出来
|
|
67
Leeeeex PRO 给小白用户用的就应该直接锁死仅限 app 登录,想开公网 web 就不提供任何技术支持,用高门槛挡住小白。
|
 |
68
heftyMan 2 小时 6 分钟前
竟然有人愿意把自己隐私放到网上去保存,就算存也搞个加密文件包吧
|
 |
69
archxm 2 小时 6 分钟前 via Android
免费的,我觉得没啥好声讨的。
友好性,安全性,成本。既要,又要,这个心态要不得。 飞牛很好用,免费。做到这个程度,不错了。 |
 |
71
DT27 2 小时 5 分钟前
这么长时间了,官方还是没有正面面对啊,你以为你 gfb 啊,可以直接一句“我不了解你说的具体问题”。。。
我勒个去,直接打 gfb 把我 ip 封了。。。换了 ip 才上来。。。。。。 |
 |
72
erik0 1 小时 54 分钟前
不理解为啥要把自家 NAS 暴露在公网里,一个个哭爹喊娘的要公网 ip
有公网需求买个云服务不好吗 |
 |
73
jukanntenn 1 小时 48 分钟前
@glacer 飞牛很多小白的,有些照着别人用 AI 生成的保姆教程搭了公网,并不一定走 fnconnect
|
 |
74
IanHo 1 小时 46 分钟前
真小白应该像我一样老老实实买成品……😂
|
 |
75
dsggnbsp 1 小时 45 分钟前
@microscopec #57 不能说的是什么方向的 小白提问
|
 |
77
zerovoid 1 小时 24 分钟前
黑产早就撸完一轮了,现在估计已经挂 TG 上卖了,剩下的就是监控还有没有新货,再撸一轮。
|
 |
78
moregun 1 小时 17 分钟前
蜗牛主机刚装好飞牛,第二天就被爆出来有漏洞。看来还是只适合装片子。
|
 |
79
NoobPhper 1 小时 5 分钟前
0day 都爽完了, 剩下的都是小鱼小虾, 漏网之鱼,存视频监控的还是小心点吧
|
 |
80
littlejackyxu 1 小时 0 分钟前
但凡做对一步都不至于这样
|
 |
81
SuperGeorge 52 分钟前 1
楼上有些人还在洗,一个商业公司的商业产品,又不是社区为爱发电的产物,推广的时候巴不得全网都是产品广告,出了安全问题就可以把免费用户丢一边,生意能这么做?
|
 |
82
Rorysky 39 分钟前
放心啦,我都不知道怎么搜索公网上的飞牛
|
 |
83
NonResistance 36 分钟前 via iPhone
实在太差劲 这次事件完全没有任何值得称赞的弥补做法 遗臭万年了
|
 |
85
zx9481 25 分钟前
前段时间 cloudflare 挂掉我怎么没看见 v2 这么多人喷呢
|
 |
86
lovelive1024 20 分钟前
|
|
87
kneo 13 分钟前
@adminpro >是个小白,但我也知道自己的数据自己负责,自己做好防护
不,你负责不了。你也做不好防护。实际上你用的任何东西有漏洞你都只能当一个受害者。你能做的就是赌没影响到你,然后挺起胸脯说我不怕。 |
 |
88
azdcd 8 分钟前
@lovelive1024 这篇确实没看到过,之前也是在站内看到抓包华为路由器有什么骚操作 还是得自己刷 ow
|
Select Language