从 30 号的这个帖子开始 https://www.v2ex.com/t/1189392 到今天,已经三四天的时间了,现在随便一搜,仍然有二十多万的资产暴露在公网,试了两百个,一半多可访问,32 个未升级到最新版本,存在路径穿越漏洞。
如果说这些用户存的就是些片子也就罢了,但是很多都是用来备份自己手机电脑的,里面的文档不少都是个人隐私,各种证件、资料。
去年不是计算机行业的朋友想折腾 NAS ,我推荐了群晖和飞牛,后面他没买硬件就涨价了,也就没折腾。我个人猜测,飞牛的大多数用户都是和我这个朋友类似的,第一次接触 NAS 的小白,他们不知道网络安全,也不知道暴露在公网意味着什么。查了下,广州铁刃智造技术有限公司成立于 23 年,这两年正是硬件便宜的时候,对于这些用户来说,NAS 比网盘便宜,可以备份各种设备的数据,还能看看片,就足够了。
现在出了这种级别的事故,官方的种种措辞还是遮遮掩掩,懂的人知道严重性,但大部分小白用户可能一点也意识不到,即便现在官方关闭了未升级的用户的内网穿透,作用也是有限的。这些用户脑子里是缺少安全意识的,只会照着教程一步一步做,并不能理解每一步的含义(回想我刚接触的时候也是如此),所以官方的指南是非常非常重要的。
以后飞牛在我这里是被拉入永久黑名单了,我觉得无关乎国产与否,任何品牌这么搞都是自寻死路。
 |
1
jpyl0423 19 小时 58 分钟前  12
小事捂成大事,做对一步都不会变成今天这样
|
 |
2
glacer 19 小时 51 分钟前
不是说昨晚把所有未升级版本的中继服务都停掉了?怎么还能连上
|
 |
3
unusualcat 19 小时 51 分钟前 15
捂盖子这种操作真.一脉相承
|
 |
4
EyebrowsWhite OP @glacer 官方的中继只是其中一种访问方式而已,而且我相信只是小部分
|
 |
5
iorilu 19 小时 47 分钟前
这种估计国外公司一夜就倒闭了
|
 |
6
jacketma 19 小时 44 分钟前
是不是飞牛官方没有能力判断 fn connect 的客户端用户是否升级了新版本?
这个时候,如果一刀切断掉 fn connect 功能,导致已经升级的用户也用不了这个功能,全面瘫痪。 所以,现在官方就只是装死,让那些老版本用户等着被入侵,或者自己主动升级。 |
 |
7
Mithril 19 小时 43 分钟前 13
这种级别的漏洞这么搞,作为一个私有存储产品直接上黑名单就行了。
和小米路由用 mimt 在 http 请求里面插广告一样,属于整个团队三观都有问题,从根子上就烂了。它根本没有意识到自己在做什么,一点安全意识都没有。根本也不在乎用户的数据安全。 这团队压根就不适合做这种产品。 |
 |
8
yuwancumian27149 19 小时 39 分钟前
我个人猜测,飞牛的大多数用户都是和我这个朋友类似的,第一次接触 NAS 的小白,他们不知道网络安全,也不知道暴露在公网意味着什么。
up 为什么会有这种离奇的想法??? |
 |
9
leang521 19 小时 35 分钟前
|
 |
10
dilidilid 19 小时 35 分钟前
|
 |
11
qiyilai 19 小时 33 分钟前
结合以前的讨论帖子看,nas 唯一选择就是群晖了
|
 |
12
geniussoft 19 小时 32 分钟前 via iPhone
群晖为什么有恃无恐,原因就在这里了
|
 |
13
adminpro 19 小时 32 分钟前 2
很烦这种,不想用就别用,飞牛收你钱了? 逼你用了? 还是怎么着??? 你既然选择免得产品,安全性你自己把握。
|
 |
14
Ketteiron 19 小时 31 分钟前
一、用户根本不知道漏洞,并且相信官方会妥善处理好漏洞。
二、没有强制升级,很多人会选择停留在旧版本。 三、通过查杀病毒升级到新版本的系统,依然无法杀干净潜在恶意文件,除非重装系统。 四、即使是目前最新的系统,依然存在鉴权漏洞。 草台班子就是这样的,没能力负责用户的安全问题,不知道一行弱智代码会产生什么样的破坏性。 |
|
15
EyebrowsWhite OP |
 |
16
Miary 19 小时 27 分钟前
建议学习群晖,几次重大漏洞都是在被完全曝光前推送安全补丁,然后再冷处理应对舆情,没有造成这么大面积影响。
|
 |
18
liuzimin 19 小时 25 分钟前
放心吧,互联网没有记忆。
过几个月后,飞牛 NAS 一样卖爆、生意兴隆、马年吉祥马上发财。 |
 |
19
Rickkkkkkk 19 小时 25 分钟前
哈哈,还好漏洞和别动东西不一样,让人闭嘴问题并不会消失。
|
 |
20
ala2008 19 小时 24 分钟前
飞牛和七牛有什么关系
|
|
21
Ketteiron 19 小时 23 分钟前 18
@adminpro #13 这次漏洞的最大受害者是开启了飞牛推荐的外网访问方式 FN Connect ,这 tm 是收费项目,那些免费白嫖的都没中招。
|
 |
24
ytmsdy 19 小时 21 分钟前 1
群辉贵是有贵的道理的!
上网这么多年,国内软件公司的尿性你们又不是不知道。 |
 |
25
GoldenSheep 19 小时 18 分钟前
 听说有公安用这玩意然后漏了内部数据 |
|
26
dilidilid 19 小时 11 分钟前 12
@adminpro 你别说,飞牛还真收钱了。而且你这种说法比我们批评飞牛的用户还要刻薄,我们是把飞牛作为一家正经的商业公司对待的,你的说法等于是说,飞牛这玩意儿就不配收钱,飞牛老板听到怕是得气死
|
 |
27
xixka 19 小时 11 分钟前
这下真就,免费的才是最贵的,数据随便被人看
|
 |
28
Hephaistos 18 小时 57 分钟前
乐了,商业公司产品安全性靠用户自学……
fn 之前在 V2EX 投推广的时候是不是也不是这些账号 |
|
29
Hephaistos 18 小时 56 分钟前
@Miary 他们学的会么,这次的路径穿透用户报给他们一个多月了,修都懒得修
|
 |
30
Aixtuz 18 小时 53 分钟前 1
“态度”没问题的时候,我才可能原谅对方“菜”。
态度有问题,啥都别说了,拜拜。 |
 |
31
yrom 18 小时 50 分钟前
当时还想买来玩的…还好
|
 |
32
shuiduoduo 18 小时 44 分钟前
@adminpro 粉红
fn-connect 算是付费吗? |
 |
33
loading 18 小时 40 分钟前 via Android
白群用户路过关心一下。
|
 |
34
unused 18 小时 38 分钟前
好像官方至今没有提醒用户对可能的信息泄露采取补救措施,坐等一波账号、钱包资产被盗。
|
 |
35
wangritian 18 小时 32 分钟前
可以容忍漏洞,没法容忍把用户当傻逼一样忽悠
|
 |
36
catazshadow 18 小时 23 分钟前 1
@adminpro Linux 免费,是不是所有的内核漏洞都要自己发掘自己打补丁啊??????????
|
 |
37
felixcode 18 小时 14 分钟前
安全团队可以裁员,法务团队开始招聘。
|
 |
38
Huelse 17 小时 54 分钟前
@Hephaistos #29 这确实该死,都已经提前报告了
|
 |
39
keyu1103 17 小时 46 分钟前
@adminpro fnconnect 我是交了钱的,对于飞牛和零刻的联名硬件产品我也买了,我算是付费用户。飞牛的问题不在于技术能力不足,而是作为一个跟数据打交道的公司,对数据安全没有概念,这种高危问题的处置方式让人没办法信任。
|
 |
40
duanxianze 17 小时 42 分钟前
本人也是飞牛用户,并不认同此观点,小白用户就应该自己承担风险,五五分,同责吧
|
 |
41
nuomi196500 17 小时 37 分钟前
以前用过某国产 NAS ,用自己的账号密码登录网页版却进入了别人的账号,竟然可以随意浏览和操作,安全漏洞相当大,那以后再也没用过任何 NAS ,都是存本地硬盘
|
 |
42
JoveYu 17 小时 36 分钟前
没有付费,就没有人有义务提供安全更新,毕竟免费使用,修漏洞是情分,不修是本分把。
但是如果你付了费,请往死里喷。不用客气。 |
 |
43
docx 17 小时 35 分钟前 via iPhone
经典的小问题没当回事,甚至遮遮掩掩,后面火烧得太大以至于捂不住了
|
 |
44
Kirkcong 17 小时 32 分钟前
@JoveYu 免费使用的人也为官方贡献了日活,用户数,测试数据。我们也不知道 12 月份提出来路径穿越漏洞的那位是否有付费,但我们肯定知道,这个漏洞是应该修的,无关你是否付费。
|
 |
47
WhaleFall2020 17 小时 14 分钟前
|
 |
48
v1 17 小时 12 分钟前
@GoldenSheep 必然是假的。内网不会用肥牛,外网不会存数据。
|
 |
49
safari9 17 小时 9 分钟前
免费,爱用的有福了
|
 |
50
biaoge123 17 小时 3 分钟前
之前看见个帖子说还能看见助记词啥的 还能把 bit 的密码全导出 可怕
|
|
54
EyebrowsWhite OP @duanxianze
@JoveYu 这件事情还没到划分责任的时候,当然,如果真要追责,那么个人用户无论是否付费使用了 FN Connect ,大概率零赔付,最多给你退款。要喷飞牛的点是,团队安全意识差,认错态度差,当鸵鸟,遮掩事实,让损失扩大化。 https://www.fnnas.com/terms https://www.fnnas.com/terms-of-fn-connect 我截取两段: 在法律允许的范围内,铁刃对许可软件或许可软件中包含的产品、服务或相关图形的适用性、可靠性、可用性、及时性、无病毒或其他有害内容或信息的正确性不作任何保证或声明。所有此类信息、许可软件、产品、服务和相关图形均“按原样”提供,不作任何形式的保证。铁刃特此排除与此信息、许可软件、产品、服务和相关图形等相关的所有明示或暗示的保证和条件,包括适销性、特定用途的适用性、技术专长、专有权利和非侵犯他人权利和相关法规等。在任何情况下,对于因许可软件的使用、性能或正确性或不正确性以及延迟或无法使用许可软件而引起的任何直接、间接、惩罚性、附带、特殊或继发性损害、使用损失、数据损失或利润损失或任何其他损失,铁刃均概不负责,即使此类损失的可能性是可以预见的。 您完全理解并同意,本产品的使用涉及到互联网及移动通讯等服务,可能会受到各个环节不稳定因素的影响。因此任何因不可抗力、计算机病毒或黑客攻击、系统不稳定、用户所在位置、用户关机、GSM 网络、互联网络、通信线路等其他我们无法预测或控制的原因,造成的软件服务中断、取消或终止的风险,由此给您带来的损失我们不承担赔偿责任。 |
 |
55
MrYELiex 16 小时 47 分钟前
nas 从性质和很多方式来讲 就是需要一定门槛的 毕竟普通用户几个需要这么大容量存储和随时访问 还是有一点专业性质门槛在 飞牛就是和小米汽车一样的 把一个本来需要一定门槛的东西 变成了所有人触手可用 又没有对应的安全限制跟上来 那出事故的概率必然会增加
便宜 方便 容量大 不可能三角在这里也是成立的 |
 |
57
microscopec 16 小时 43 分钟前 2
中国 nas 历史 3 大事件:
1 、绿联清空用户硬盘 2 、飞牛访问漏洞 3 、不能说 |
 |
58
silvernoo 16 小时 41 分钟前
我对 fn 从来不感冒,ubuntu 才是最好的 nas
|
 |
59
ff521 16 小时 38 分钟前
是的 ,我建议对所有国产软件都保持谨慎观点,包括在这里 v2 社区推荐的软件
|
 |
60
xiaofsu 16 小时 35 分钟前
@microscopec #57 绿联那个清空是换系统,如果你不换新系统还是可以保留数据的。
|
 |
61
kneo 16 小时 33 分钟前 1
@adminpro >很烦这种,不想用就别用,飞牛收你钱了? 逼你用了? 还是怎么着??? 你既然选择免得产品,安全性你自己把握。
看你的发帖记录你就是个用飞牛的小白。虽然你看起来不在意,还是友情提醒你关注下自己的数据安全。 |
 |
62
7gugu 16 小时 33 分钟前
@yuwancumian27149 这根本就不离奇,这才是普通用户的画像,大多数用户根本就意识不到网络安全的影响。
|
 |
63
Leeeeex PRO @adminpro
面对有理有据的质疑你还拿出「免费」想要掩盖安全性问题,真不知道你到底是无脑粉还是高级黑,你这种扛着红旗反红旗的人才是最可怕的,你以为官方的人就喜欢你这种用户吗?两边都不讨好。 |
|
64
microscopec 16 小时 24 分钟前
@xiaofsu 那你和自动更新的人说去
|
 |
65
supereater 16 小时 24 分钟前
之前不敢用飞牛就是怕这个,才几年的新系统,不用想,肯定是有漏洞的。当时我就在想,会在什么体量用户的时候爆发出来
|
|
67
Leeeeex PRO 给小白用户用的就应该直接锁死仅限 app 登录,想开公网 web 就不提供任何技术支持,用高门槛挡住小白。
|
 |
68
heftyMan 16 小时 18 分钟前
竟然有人愿意把自己隐私放到网上去保存,就算存也搞个加密文件包吧
|
 |
69
archxm 16 小时 18 分钟前 via Android
免费的,我觉得没啥好声讨的。
友好性,安全性,成本。既要,又要,这个心态要不得。 飞牛很好用,免费。做到这个程度,不错了。 |
 |
71
DT27 16 小时 17 分钟前
这么长时间了,官方还是没有正面面对啊,你以为你 gfb 啊,可以直接一句“我不了解你说的具体问题”。。。
我勒个去,直接打 gfb 把我 ip 封了。。。换了 ip 才上来。。。。。。 |
 |
72
erik0 16 小时 6 分钟前
不理解为啥要把自家 NAS 暴露在公网里,一个个哭爹喊娘的要公网 ip
有公网需求买个云服务不好吗 |
 |
73
jukanntenn 16 小时 0 分钟前
@glacer 飞牛很多小白的,有些照着别人用 AI 生成的保姆教程搭了公网,并不一定走 fnconnect
|
 |
74
IanHo 15 小时 58 分钟前
真小白应该像我一样老老实实买成品……😂
|
 |
75
dsggnbsp 15 小时 57 分钟前
@microscopec #57 不能说的是什么方向的 小白提问
|
 |
77
zerovoid 15 小时 36 分钟前
黑产早就撸完一轮了,现在估计已经挂 TG 上卖了,剩下的就是监控还有没有新货,再撸一轮。
|
 |
78
moregun 15 小时 29 分钟前
蜗牛主机刚装好飞牛,第二天就被爆出来有漏洞。看来还是只适合装片子。
|
 |
79
NoobPhper 15 小时 17 分钟前
0day 都爽完了, 剩下的都是小鱼小虾, 漏网之鱼,存视频监控的还是小心点吧
|
 |
80
littlejackyxu 15 小时 12 分钟前
但凡做对一步都不至于这样
|
 |
81
SuperGeorge 15 小时 4 分钟前 1
楼上有些人还在洗,一个商业公司的商业产品,又不是社区为爱发电的产物,推广的时候巴不得全网都是产品广告,出了安全问题就可以把免费用户丢一边,生意能这么做?
|
 |
82
Rorysky 14 小时 51 分钟前
放心啦,我都不知道怎么搜索公网上的飞牛
|
 |
83
NonResistance 14 小时 48 分钟前 via iPhone 1
实在太差劲 这次事件完全没有任何值得称赞的弥补做法 遗臭万年了
|
 |
85
zx9481 14 小时 37 分钟前
前段时间 cloudflare 挂掉我怎么没看见 v2 这么多人喷呢
|
 |
86
lovelive1024 14 小时 31 分钟前
|
|
87
kneo 14 小时 25 分钟前
@adminpro >是个小白,但我也知道自己的数据自己负责,自己做好防护
不,你负责不了。你也做不好防护。实际上你用的任何东西有漏洞你都只能当一个受害者。你能做的就是赌没影响到你,然后挺起胸脯说我不怕。 |
 |
88
azdcd 14 小时 19 分钟前
@lovelive1024 这篇确实没看到过,之前也是在站内看到抓包华为路由器有什么骚操作 还是得自己刷 ow
|
 |
92
NicolasMing 14 小时 2 分钟前
还好,我都是关机,用的时候开一下
|
 |
97
HaloLegend 13 小时 49 分钟前
在刚出来的时候我就说过,免费的往往是最贵的
|
 |
98
libregratis 13 小时 37 分钟前
|
|
99
microscopec 13 小时 35 分钟前
@dsggnbsp 宗教系的公司,相册丢照片,问就是自己删的,5 年给不修
|
|
100
libregratis 13 小时 32 分钟前
 |
Select Language